Tietosuojavaltuutetun toimiston toimintakertomus 2018

Kuntaliitto kiittää mahdollisuudesta saada lausua ja tulla kuulluksi tietosuojavaltuutetun toimiston vuoden 2018 toimintakertomuksesta. Seuraavassa kuntaliiton näkemyksiä toimintakertomuksesta ja tietosuojasääntelyn toimeenpanosta kunnissa yleisemminkin.

Tietosuojavaltuutetun toimiston toimintakertomus vuonna 2018

Kuntaliitto toteaa, että vuosi 2018, jonka keväällä alkoi EU:n yleisen tietosuoja-asetuksen soveltaminen, on ollut haasteellinen paitsi kunnille niin myös tietosuojavaltuutetun toimistolle. Tämä näkyy tietosuojavaltuutetun toimiston toimintakertomuksestakin, mm. ”räjähdysmäisesti” kasvaneena asiamääränä. Yleisesti voi todeta, että tietosuojavaltuutetun toimisto selvisi vuodesta 2018 sangen hyvin, kun otetaan huomioon, että 

• vuosi 2018 oli monella tavoin murroskautta, kun tietosuoja-asetusta vasta alettiin soveltamaan,
• asiamäärä yli kaksin- melkein kolminkertaistui, mutta henkilöstömäärä säilyi loppuvuoteen 2018 saakka aiempien vuosien tasolla,
• asetusta täydentävää tietosuojalakia vielä valmisteltiin ja vireillä oli lukuisia muitakin isoja lakiuudistuksia (mm. sote- ja maakuntauudistus), joissa tietosuojakysymykset olivat akuutteja.

Vuonna 2018 tuli vireille liki 10 000 asiaa, kun niitä aiempina vuosina on ollut alle 4 000. Osaltaan asiamäärää lienee kasvattanut myös uudet ilmoitusvelvollisuudet. Yksistään uusina asioina ilmoitusvelvollisuuden piiriin tulleita tietoturvaloukkauksia oli ilmoitettu peräti 2 220. On huomattava, että ilmoitusvelvoite tuli vasta, kun tietosuoja-asetusta alettiin soveltaa 25.5.2018. Tietosuojavastaavia koskevia ilmoituksia tehtiin 1227. Näistä jälkimmäiset eivät liene kuitenkaan kasvattaneet työmäärää merkittävästi. Tietosuojavastaavan toimisto ei ilmoituksia tarkemmin tutki. Kysymys on pelkästä asetuksen 17 artiklan edellyttämästä yhteystietojen ilmoitusvelvollisuudesta valvontaviranomaiselle.

Selvää on, että kasvaneen ohjauksen ja neuvonnan tarve, lisääntyneet lausuntopyynnöt, kuulemistilaisuudet ja koulutukset ovat johtaneet siihen, että toimisto on ollut kovan paineen alla, kun lisäresursseja on saatu vasta vuoden 2018 loppupuolella.

Seuraavassa on tuotu esiin sitä, miten tämä on näkynyt kuntasektorilla.

Tietosuoja-asetuksen voimaantulon aiheuttamat toimet kunnissa

Yleisesti voidaan sanoa, että vuoden 2018 toukokuussa voimaan tullut EU:n yleinen tietosuoja-asetus on aiheuttanut kunnissa monenlaisia muutostarpeita, mutta osaltaan myös ryhdistänyt tietosuojakäytänteitä sekä kiinnittänyt aiempaa enemmän huomiota aivan jokapäiväisestä tietoturvasta huolehtimiseen.

Seuraavassa on lyhyesti tuotu esiin tietosuoja-asetuksen mukanaan tuomat hyödyt, mutta myös ne haasteet, joita asetuksen soveltaminen on tuonut tullessaan. Kuntaliitto on syyskuussa 2019 oikeusministeriön pyynnöstä antanut kommentit tietosuoja-asetuksen soveltamiseen.  Kommentteja kerättiin kuntien tietosuojavastaavilta, joten kuntaliiton kannanotot perustuivat suurelta osin kuntien tietosuojavastaaville tehtyyn kyselyyn.

Tietosuoja-asetuksen hyödyt

Tietosuoja-asetuksen tuomina hyötyinä on nähty mm. seuraavat seikat:

• tietosuojavastaavan nimittäminen organisaatioihin laajemminkin kuin vain sote-toimintoihin
• henkilökunnan tietoisuus tietosuojan merkityksestä ja tärkeydestä on kasvanut
• tietosuojatyöhön oli saatu myös aikaisempaa enemmän resursseja
• aikaisempaa laajempi tietosuojaperiaatteiden noudattamista osoittava dokumentaatio, jonka laatimista asetuksen vaatimus rekisterinpitäjän osoitusvelvollisuudesta edellyttää ja oka helpottaa mm. organisaation riskienhallintaa.

Monet asetuksen vaatimukset rekisterinpidolle ovatkin hyödyllisiä nimenomaan organisaation riskienhallinnan kannalta.

Tietosuoja-asetuksen soveltamisen haasteet

Kuten tietosuojavaltuutetun toimisto myös kunnat painivat niukkojen henkilöstöresurssien kanssa. Kuntaliiton tietosuojavastaavien verkosto on viestittänyt mm. seuraavia ongelmia ja haasteita

• tietosuojatyön puutteelliset resurssit
• tietosuojalainsäädännön aikaisempaa hankalampi soveltaminen
• tietosuojan ”väärin ymmärtäminen” organisaatiossa
• tietosuojavastaavan oman osaamisen ja tietojen riittämättömyyden tehtävän menestyksekkääseen hoitamiseen.

Kuntaliiton näkemys onkin, että asetuksen velvoitteet ovat edellyttäneet rekisterinpitäjiltä aikaisempaa enemmän resursseja ja tietämystä tietosuojaan liittyen. Monia asetuksen velvoitteista on sovellettu myös henkilötietolain aikana, mutta ovat käytännössä olleet vähemmällä huomiolla.

Suomessa oman lisähaasteensa tuo julkisuuslain (621/1999) soveltaminen tietosuojalainsäädännön rinnalla. Tietosuojalainsäädäntö ei saisi tarpeettomasti kaventaa hallinnon ja viranomaistoiminnan julkisuusperiaatetta, kuntalaisen muutoksenhakumahdollisuutta ja verkkotiedottamista kunnan asioista. Tietosuojasäädösten tiukka tulkinta saattaa käytännössä johtaa julkisuusperiaatteen kapenemiseen ja muutoksenhaun vaikeutumiseen viranomaistoiminnassa.

Julkisuuslakiin ei tehty mitään muutoksia tietosuojasääntelyn uudistamisen yhteydessä. Julkisuuslaki on osin hieman vanhahtava ja tiedon sijasta puhutaan usein asiakirjojen julkisuudesta.  Julkisuuslainsäädännön sekä henkilötietojen käsittelyä ja luovutusta koskevien säädösten tulkintoja ja tulkintatilanteita tulisi täsmentää yhtenäisellä ohjeistuksella. Ongelmana on se, ettei asetuksen kansallisena valvontaviranomaisena toimivalla tietosuojavaltuutetulla ole toimivaltaa tulkita tai valvoa julkisuuslain soveltamista. Tämä näkyy myös Kuntaliittoon kohdistuvan ohjauksen ja neuvonnan kysynnässä.

Julkisuuslain tunteminen ja soveltaminen ovat erottamattomia osa viranomaisen tietosuojatyötä. Erityisesti tältä osin Kuntaliitto näkee puutteita kuntakentällä. Julkisuuslainsäädäntö tunnetaan varsin hyvin kuntasektorin sisällä, mutta sen tärkeyttä ei aina huomioida riittävästi tietosuojatyön organisoinnissa. Kunnan tietosuojavastaavan tulee tuntea julkisuuslainsäädäntö ja sen suhde tietosuojalainsäädäntöön.

Seuraavassa on tuotu esiin joitakin ongelmallisiksi koettuja kohtia.

Tietojen luovuttaminen

Yksi tärkeä kohta, jossa julkisuuslaki ja tietosuoja risteävät, liittyy henkilötietojen luovuttamiseen. Tietosuojasääntelyssä ei oteta kantaa tietojen luovuttamiseen, vaan sääntelyssä viitataan julkisuuslakiin. Tietojen luovuttamisesta (antamisesta) säädetään vanhastaan julkisuuslaissa ja erityisesti lain 16 § on tässä tärkeässä roolissa. Alla olevassa taulukossa on huomioita säännöksestä.

Epäselvät peruskäsitteet – henkilötieto, rekisterinpitäjä

Jatkuvasti tulee esiin soveltamisongelmia peruskäsitteiden soveltamisessa, vaikka esimerkiksi tietosuoja-asetuksen henkilötiedon määritelmä ei kovin paljon muuttunut aiemmasta. Lähinnä tehtiin tarkennuksia ja lisättiin esimerkkejä. Henkilötieto voi olla suora tai epäsuora tieto, josta henkilö on tunnistettavissa. Esimerkkeinä henkilötiedoista on kirjattu mm. sijainti- ja paikkatiedot. Teknisellä sektorilla kerätään eri rekistereihin paljon tietoja ympäristöstä ja rakennuksista. Tietojen keräämisen tarkoituksena ei ole kerätä henkilötietoja, vaan tietoja tarvitaan erilaisiin infrastruktuurihankkeisiin, esim. tietoa putkisto- ja johtoverkoista. Kun näihin tietoihin yleensä liittyy myös sijaintiin liittyviä tietoja, kuten osoitteita ja kiinteistörekisteritunnuksia, joiden perusteella tiedot saattavat olla yhdistettävissä omistajiin ja/tai asukkaisiin saattaa tällaisetkin rekisterit olla tulkittavissa henkilörekistereiksi. Jos näin on, on julkistenkin tietojen luovuttaminen näistä rekistereistä ongelmallista julkisuuslain 16 § momentin asettamien rajoitusten vuoksi.

Epätietoisuus henkilötiedon käsitteen soveltamisalasta on jopa jossain määrin jähmettänyt hallinnollisia kehittämistoimia ja erityisesti tietojärjestelmähankkeita, kun oikein kukaan ei osaa /uskalla / halua ottaa kantaa siihen, miten esimerkiksi paikkatietoja tulisi käsitellä ja voidaanko vai suorastaan pitäisikö organisaation ulkopuolisille sallia pääsy tietoihin.

Myös rekisterinpitäjän käsite on herättänyt edelleen paljon kysymyksiä. Ongelmallista on se, että Suomessa on paljon erityislakeja, joissa on määräyksiä rekisterinpidosta eikä ole aivan selvää, ovatko säännökset täysin linjassa EU:n tietosuoja-asetuksen kanssa.

Tietosuoja-asetuksen soveltaminen sote-sektorilla tulkinnallista

Tietosuojavaltuutettu on lausunut julkisesti eri yhteyksissä,  että sote-sektori ja etenkin sairaanhoitopiirit tulkitsevat tietosuoja-asetusta väärin, lainvastaisesti ja että sairaanhoitopiirien toiminta on ristiriidassa tietosuoja-asetuksen kanssa. Tietosuojavaltuutettu ei kuitenkaan missään vaiheessa ole sairaanhoitopiirien käyttöön julkaissut ohjeita, opastusta taikka tarkempaa tietoa, miten sairaanhoitopiirien velvoitteita saataisiin hoidettua tietosuoja-asetuksen mukaisesti.

Ottaen huomioon sote-uudistuksen tarpeellisuuden ja Kuntapulssin tulokset (elokuu 2019) [1], jossa tietojärjestelmien integraatio oli kuntien kannalta tärkein sote-sektorin tavoite ja ylipäänsä potilastietojen käytettävyys, niin Kuntaliitto toivoo, että tietosuojavaltuutetun toimisto mitä pikimmin ohjeistaisi, miten asetusta käytännössä tulee soveltaa Suomen sote-sektorilla.

Henkilötietojen käsittelysopimukset

Asetuksen edellyttämien rekisterinpitäjän ja käsittelijän välisten sopimusten sisällön käyminen läpi on käytännössä osoittautunut haastavaksi sekä voimassa olevien, että neuvoteltavien uusien sopimusten osalta. Moni käsittelijän roolissa toimiva palveluntuottaja on tuottanut oman tietosuojasopimusmallinsa, jota se haluaa käyttää ja tarjota omille sopimuskumppaneilleen. Yritykset haluavat pitää laajan asiakaskuntansa tietosuojasopimukset yhdenmukaisina, eivätkä ole useinkaan halukkaita taipumaan rekisterinpitäjän esittämään sopimusmalliin ja sen ehtoihin. Tämä asettaa myös kunnat rekisterinpitäjinä hankalaan asemaan.

Epäselvää on muun muassa on, voivatko rekisterinpitäjä ja henkilötietojen käsittelijä sopimuksella tehokkaasti sopia keskinäisestä vastuustaan 82 artiklan vastuunjaosta poikkeavasti.

Henkilötietojen siirto kolmansiin maihin

Henkilötietojen siirtoon kolmansiin maihin asetus näyttäisi antavan paljonkin vaihtoehtoja, mutta käytännössä siirtomahdollisuudet ovat hyvin rajattuja. Esimerkiksi 45 artiklan mukaisia hyväksyttyjä maita on vähän ja ne eivät eurooppalaisesta näkökulmasta ole kovin merkittäviä. Yksilöllinen tiedonsiirtosopimus riittävine mekanismeineen on raskas menettely. On epäselvää, millaisin sopimusehdoin yksittäinen kunta pystyy takaamaan, ettei henkilötietoja siirretä ja käsitellä lainvastaisesti kolmansissa maissa?

Edellä olevien nostojen lisäksi soveltamisohjeita kaivattaisiin mm.

• tietojen luovuttamisessa tutkimushankkeisiin
• yhteisrekisterinpitäjyyteen ja sopimusten laadintaan
• suostumuksen käyttämiseen julkisella sektorilla
• oikeutetun etuun käsittelyperusteena julkisella sektorilla; olisiko joissakin tilanteissa sallittua?
• missä eri tilanteissa henkilötietojen ”toissijainen” käyttö on yhteensopivaa alkuperäisen käyttötarkoituksen kanssa.
• tietosuojaloukkausten ilmoittamiseen
• tällä hetkellä ilmoitusvelvollisuutta tulkitaan todella laajalla skaalalla; joku ilmoittaa vähäisetkin rikkomukset, kun taas isojakin

Yhteenveto

Tällä hetkellä kunnissa ollaan tilanteessa, että soveltamisohjeita ei oikein tahdo saada mistään, kun tietosuojavaltuutetun toimistossakin odotellaan ennen kaikkea EU:n tietosuojaneuvoston kannanottoja. EU:sta on jossain määrin tullutkin ohjeita. Usein hyvinkin tarkkaan analysoituja dokumentteja jostain yksittäisestä käsitteestä. Esimerkiksi monesta edellä tulkinnalliseksi mainitusta asiasta, kuten henkilötiedon ja rekisterinpitäjän käsitteestä, suostumuksesta ym. Ongelmana on, että soveltamisohjeet liikkuvat osin kovin ylätasolla ja ne ovat usein varsin pitkiä, jopa 20 -30 sivun mittaisia.

Käytännössä esimerkiksi tietojen luovuttamista henkilörekistereistä soveltavat muut kuin tietosuoja-asiantuntijat. Usein henkilöt joutuvat soveltamiskysymysten eteen varsinaisten muiden tehtäviensä ohella. Soveltajat voivat olla esim. sairaanhoitajat, toimistosihteerit, arkistonhoitajat, jonkin substanssialan valmistelijat ja esittelijät. Heillä on usein hyvä tietämys julkisuuslainsäädännöstä, mutta ei välttämättä henkilötietojen suojaa koskevasta sääntelystä. On kestämätön tilanne, että henkilöt, joiden päätoimi liittyy johonkin aivan muuhun ja toisenlaiseen osaamisalueeseen joutuvat käytännössä ratkomaan kaikkein vaikeimmat tulkintaongelmat parhaan ymmärryksensä mukaan, koska asiat esim. sopimukset eivät voi jäädä odottamaan EU:n soveltamisohjeita. Tällaisia tulkintakysymyksiä tulee Kuntaliittoonkin päivittäin.

Yhtenäisiä, yksiselitteisiä ja yksinkertaisia käytännön soveltamisohjeita kaivataan kovasti. EU:n ohjeista voisi tehdä ymmärrettäviä lyhennelmiä ja lisätä konkreettisia kansallisia esimerkkejä. Kuntaliitto olisi valmis ohjeistusta tekemään yhdessä tietosuojavaltuutetun toimiston kanssa. Näin pystyttäisiin myös yhdistämään julkisuuslain ja tietosuojasääntelyn asiantuntemus.  Tällä hetkellä myös Kuntaliitto toimii hieman epäkiitollisessa asemassa ja epätietoisena siitä, missä määrin se voi tulkintaohjeistusta antaa. Edes jonkinlaisia suosituksia käytännön arjessa selviytymiseen tulisi pystyä antamaan.

Eräs tietosuoja-asetuksen toimivuutta koskeneeseen oikeusministeriön lausuntopyyntöön vastannut organisaatio heitti ilmaan myös ajatuksen siitä, tulisiko tietosuojakysymyksiä varten perustaa vastaava neuvontayksikkö kuin julkisiin hankintoihin.

SUOMEN KUNTALIITTO

Tarja Krakau
johtava lakimies

1) Kuntapulssi on kysely, jonka Kuntaliitto tekee kartoittaakseen nopeasti jäsentensä toiveita ja näkemyksiä ajankohtaisista aiheista.Kuntapulssi elokuu 2019: https://www.kuntaliitto.fi/sites/default/files/media/file/Kuntapulssi%202019%20tulokset.pdf