Hallituksen esitys laeiksi julkisesta työvoima- ja yrityspalvelusta annetun lain muuttamisesta ja työllistymistä edistävästä monialaisesta yhteispalvelusta annetun lain 9 §:n muuttamisesta

Yleistä

Työ- ja elinkeinoministeriö pyytänyt lausuntoa hallituksen esityksestä laeiksi julkisesta työvoima- ja yrityspalvelusta annetun lain muuttamisesta (jäljempänä myös JTYP-laki)  ja työllistymistä edistävästä monialaisesta yhteispalvelusta annetun lain (jäljempänä myös TYP-laki)  9 §:n muuttamisesta. Hallituksen esityksen mukaan muutostarpeet johtuvat EU:n yleisen tietosuoja-asetuksen vaatimuksista. Keskeisimmät muutokset perustuvat rekisterinpitäjien ja niiden vastuunjaon määrittelemiseen. Lakiesityksissä määritellään myös henkilötietojen käsittelijä ja käsittelijän tehtävät.  Lisäksi lakiehdotuksissa tarkennetaan henkilötietojen käsittelytarkoitukset aiempaa tarkemmin.

Kuntaliitto pitää muutoksia sinänsä tarpeellisina, mutta kiinnittää huomiota sääntelyn yksityiskohtaisuuteen ja esittää harkittavaksi, onko näin yksityiskohtainen sääntely tarpeellista ja linjassa EU:n yleisen tietosuoja-asetuksen kanssa.

Henkilötietojen suojasta tulee kyllä säätää täsmällisesti ja tarkkarajaisesti, mutta esimerkiksi tietosuojavaltuutettu on ohjeessaan lainsäädäntölausuntoihin (16.10.2017) todennut, että ”lähtökohtana on pidettävä sitä, ettei tietosuoja-asetuksen mukaistakaan kansallista lainsäädäntöä tulisi olla.” Tietosuojavaltuutetun ohjeessa on myös korostettu tietosuoja-asetuksen ensisijaisuutta kansalliseen lainsäädäntöön nähden. Jos kansallisessa lainsäädännössä säädetään esim. tietosuoja-asetusta kattavammin vaikkapa rekisterinpitäjän ja käsittelijän toteuttamista 32 artiklassa tarkoitetuista tietoturvatoimista, tulee sääntelyn sisältää tosiasiallisia lisätoimia suhteessa tietosuoja-asetukseen.

Lakiesityksessä ehdotetaan kuitenkin, että julkisesta työvoima- ja yrityspalvelusta annetun lain sisältämää henkilötietojen käsittelyä koskevaa sääntelyä täsmennettäisiin useilta osin. Kuntaliitto pitää sinänsä hyvänä, että työ- ja elinkeinotoimiston asiakastietojärjestelmän sisältämien rekistereiden käyttötarkoituksista säädettäisiin nykyistä täsmällisemmin ja kattavammin ja rekisterien tietosisältöä täsmennettäisiin. Edellisten lisäksi käyttöoikeuksien myöntämisestä, muuttamisesta, perumisesta ja käyttöoikeuden mahdollistamasta tietojen käsittelystä säädettäisiin monelta kohdin nykyistä tarkemmin. Kuntaliitto katsoo, että sääntelyn tarkkuus saattaa käytännössä aiheuttaa ongelmia rekisterinpitäjille näiden tehdessä käsittelyyn liittyvää riskiarviota ja suunnitellessa käsittelyn tietoturvaa.

Yksityiskohtaiset kommentit

3 luvun 2 § Rekisterinpitäjä …. ja käsittelijä

Pykäläehdotuksessa luetellaan rekisterinpitäjät ja lisäksi todetaan, että ”Muut asiakastietojärjestelmää käyttävät tahot ovat yleisessä tietosuoja-asetuksessa tarkoitettuja käsittelijöitä.”

Pykälän yksityiskohtaisissa perusteluissa todetaan seuraavaa: ”Momentissa todettaisiin sel-vyyden vuoksi myös, että muut asiakastietojärjestelmää käyttävät tahot ovat yleisessä tieto-suoja-asetuksessa tarkoitettuja käsittelijöitä. Yleisessä tietosuoja-asetuksessa henkilötietojen käsittelijällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Tällaisia käsittelijöitä oli-sivat TE-toimistojen, ELY-keskusten, KEHA-keskuksen ja työ- ja elinkeinoministeriön virka-miehet, joille on myönnetty käyttöoikeus asiakastietojärjestelmään. Lisäksi käsittelijöitä voisi-vat olla esimerkiksi tahot, jotka tekisivät selvitystä tai arviointia KEHA-keskuksen tai työ- ja elinkeinoministeriön toimeksiannosta.”

Kuntaliitto huomauttaa, että vaikka tietosuoja-asetuksessa viitataan siihen, että käsittelijä voi olla myös luonnollinen henkilö, ei tällä tarkoiteta yksittäisiä viranhaltijoita tai työntekijöitä. Käsittelijä tässä tapauksessa olisi organisaatio, jonka kanssa rekisterinpitäjä on tehnyt tietosuoja-asetuksen 28 artiklassa tarkoitetun sopimuksen henkilötietojen käsittelystä rekisterinpitäjän lukuun. Käsittelijälle lankeaa Kuntaliiton näkemyksen mukaan tietosuoja-asetukseen ja sopimukseen perustuva vastuu henkilötietojen käsittelystä mahdollisesti aiheutuvasta vahingosta. Yksittäinen viranhaltija kantaa lähinnä virkavastuun omista toimistaan. Käyttöoikeuksien myöntäminen voitaneen nähdä pikemminkin työnjohdollisena tietoturvatoimena eikä varsinaisena sopimuksena henkilötietojen käsittelystä.

Käyttöoikeuksien myöntämistä, poistamista ym. koskeva sääntely (4a §, 5 § ja 5 a §)

Kuntaliitto ei sinänsä vastusta lakiesitystä, mutta kiinnittää huomiota siihen, että käyttöoikeuksien myöntäminen on yksi tekninen ja organisatorinen turvatoimi, jota tietosuoja-asetuksen 32 artiklassa tarkoitetaan ja sinänsä keino rekisterinpitäjän riskienhallintaa. Kuntaliiton mielestä sääntelyssä ja sen perusteluissa viitataan monin osin seikkoihin, jotka tulisi huomioida joka tapauksessa jo yleisen tietosuoja-asetuksen perusteella. Tämän vuoksi Kuntaliitto katsoo, että sääntelyn mahdollinen päällekkäisyys tietosuoja-asetuksen kanssa saattaisi olla hyvä vielä selvittää.

SUOMEN KUNTALIITTO

Juha Myllymäki
johtaja, lakiasiat

Tarja Krakau
johtava lakimies