Yleisen tietosuoja-asetuksen toimivuus ja sen soveltamiseen liittyvät kokemukset

1. Tausta

EU:n yleinen tietosuoja-asetus 2016/679 (EU) tuli sovellettavaksi 25.5.2018. Asetus jättää jäsenvaltioille kansallista asetuksen säännöksiä täsmentävää ja täydentävää sääntelyliikkumavaraa. Suomessa liikkumavaraa on käytetty 1.1.2019 voimaan tulleella tietosuojalailla (1050/2018) ja erityislainsäädännöllä.

Tietosuoja-asetuksen 97 artiklan mukaan komissio toimittaa Euroopan parlamentille ja neuvostolle säännöllisesti kertomukset asetuksen arvioinnista ja uudelleentarkastelusta. Komission tekemä asetuksen arviointi ja uudelleentarkastelu tehdään ensimmäistä kertaa toukokuussa 2020. Kun komissio tekee tällaisia arviointeja ja uudelleenarviointeja, sen tulee ottaa huomioon Euroopan parlamentilta ja neuvostolta sekä muilta asiaankuuluvilta elimiltä ja muista lähteistä saadut näkemykset ja löydökset.

Kansallisen lainsäädännön jälkiarvioinnille annetaan lähivuosina yhä enemmän merkitystä osana laadukkaan lainsäädännön tavoitetta. Hallitusohjelman mukaan Suomeen on tarkoitus laatia valtioneuvostotasoinen lainsäädännön jälkiarviointijärjestelmä, jonka valmistelu aloitetaan mahdollisimman pian. Tämä tavoite huomioiden on tarkoituksenmukaista jo nyt kiinnittää huomiota henkilötietojen ja yksityiselämän suojan toteutumiseen keskeisesti vaikuttavan tietosuoja-asetuksen ja tietosuojalain muodostaman sääntelykokonaisuuden toimivuuteen.

Lausuntopyynnön avulla oikeusministeriö selvittää yleisen tietosuoja-asetuksen soveltamiskokemuksia ja toimivuutta Suomessa. Ministeriö on pyytänyt lausuntoa joiltakin yksityisen ja julkisen sektorin toimijoilta, mukaan lukien Kuntaliitolta. Kuntaorganisaatioilta lausuntoa on pyydetty suoraan Helsingin kaupungilta sekä Helsingin ja Uudenmaan sairaanhoitopiiriltä.

2. Kysely Kuntaliiton tietosuojavastaavien verkoston jäsenille

Asetuksen noudattaminen on vaatinut tietosuojatyön kehittämistä ja organisointia myös kuntakentällä. Kuntaliitto on vuonna 2018 perustanut tietosuojavastaavien verkoston, jossa on jäseninä eri kuntaorganisaatioiden (kunnat, kuntayhtymät, kuntayhtiöt) tietosuojavastaavana toimivia henkilöitä. Syyskuussa 2019 verkostossa on jäseniä noin 400.

Kuntaliitto on oikeusministeriön lausuntopyyntöä varten kartoittanut kuntakentän kokemuksia verkoston jäsenille lähetetyllä kyselyllä. Verkoston jäsenet ovat voineet hyödyntää myös organisaatioltaan saatua palautetta kyselyyn vastatessaan.

Kyselyn vastausprosentti oli 44 eli 154 vastausta 354 vastaanottajalta. Kuntaliiton otanta perustuu vain verkoston jäseniksi liittyneiden tietosuojavastaavien lukumäärään. Täsmällistä tietoa kuntaorganisaatioiden tietosuojavastaavien lukumäärästä ei ole.

Vastaajista 72 % toimi tietosuojavastaavana kunnassa, 25 % kuntayhtymässä ja 5 % kunnallisessa yhtiössä. Vastauksissa eri kokoiset kunnat olivat kaikki tasapuolisesti edustettuna. Vastaajien enemmistönä olivat 20 000 - 50 000 asukkaan kunnat 27 prosentilla muiden kunta-kokojen osuuden ollessa 12-17 prosentin väliltä. Kuntayhtymissä suurin edustus oli 500 - 999 henkilöstömäärän kokoisissa yhtymissä (23 %). Vastanneissa kuntayhtiöissä oli enintään yhdeksän henkilön organisaatioita 30 % ja yli 100 henkilön organisaatioita 44 %. Neljälläviidesosaa (81 %) vastaajista kuului vastuualueelleen myös erityislainsäädäntöä. Näistä suurin osa (75 %) koski sosiaali- ja terveydenhuoltoa.

Kyselyn kysymykset olivat monivalintakysymyksiä. Kysymyksiin saattoi myös antaa täydentävän avovastauksen omin sanoin.

Kuntaliitto on ottanut huomioon omassa lausunnossaan kyselyssä esille tulleet kuntakentän kokemukset ja kommentit.

3. Suomen Kuntaliitto ry:n lausunto

Mitkä ovat olleet yleisen tietosuoja-asetuksen merkittävimpiä hyötyjä?

Kuntaliiton tekemässä kyselyssä kunnissa hyötyinä nähtiin tietosuojavastaavan nimittäminen organisaatioon (65 %), henkilökunnan tietoisuus tietosuojan merkityksestä ja tärkeydestä (56 %), tietosuojatyön aikaisempaa suuremmat resurssit (44 %) sekä tietosuojalainsäädännön selkeys verrattuna aikaisempaan (19 %).

Kuntaliitto tuo asetuksen hyötynä esille myös aikaisempaa laajemman dokumentaation tietosuojaan liittyen. Asetus on velvoittanut organisaation käymään läpi omat henkilötietovarantonsa. Rekisterinpitäjän osoitusvelvollisuus ja riskilähtöinen lähestymistapa tietosuojaan tuovat organisaation tietosuojaan selkeyttä ja ennakoitavuutta. Monet asetuksen vaatimukset rekisterinpidolle ovat hyödyllisiä nimenomaan organisaation riskienhallinnan kannalta.

Mitkä ovat olleet yleisen tietosuoja-asetuksen soveltamisessa ja toimivuudessa suurimpia haasteita?

Kuntaliiton kyselyn mukaan kuntien tietosuojavastaavien verkosto näki suurimpina haasteina tietosuojatyön puutteelliset resurssit (59 %), tietosuojalainsäädännön aikaisempaa hankalamman soveltamisen (38 %), tietosuojan väärin ymmärtämisen organisaatiossa (38 %) sekä tietosuojavastaavan oman osaamisen ja tietojen riittämättömyyden tehtävän menestyksekkääseen hoitamiseen (29 %).

Kuntaliiton näkemys on, että asetuksen velvoitteet ovat edellyttäneet rekisterinpitäjiltä aikaisempaa enemmän resursseja ja tietämystä tietosuojaan liittyen. Monet asetuksen velvoitteista ovat esiintyneet myös henkilötietolain ajalla, mutta ovat käytännössä olleet vähemmällä huomiolla.

Asetuksen velvoitteet rekisterinpitäjälle ovat vaatineet organisaation ja ennen kaikkea johdon asennemuutosta. Ongelmia tietosuojatyön ja asetuksen noudattamiseen aiheuttavat johdon epätietoisuus tietosuojatyön vaatimista resursseista ja ylipäätään tietosuojalainsäädännön sisällöstä. Tietosuojalainsäädännön vaikeaselkoisuuden edessä saattaa olla helppo ajatella, että organisaation tietosuojasta kantaa vastuun vain/lähinnä tietosuojavastaava.

Suomessa oman lisähaasteensa tuo julkisuuslain (621/1999) soveltaminen tietosuojalainsäädännön rinnalla. Tietosuojalainsäädäntö ei saisi tarpeettomasti kaventaa hallinnon ja viranomaistoiminnan julkisuusperiaatetta, kuntalaisen muutoksenhakumahdollisuutta ja verkkotiedottamista kunnan asioista. Tietosuojasäädösten tiukka tulkinta saattaa käytännössä johtaa julkisuusperiaatteen kapenemiseen ja muutoksenhaun vaikeutumiseen viranomaistoiminnassa.

Julkisuuslainsäädännön sekä henkilötietojen käsittelyä ja luovutusta koskevien säädösten tulkintoja ja tulkintatilanteita tulisi täsmentää yhtenäisellä ohjeistuksella. Ongelmana on se, ettei asetuksen kansallisena valvontaviranomaisena toimivalla tietosuojavaltuutetulla ole toimivaltaa tulkita tai valvoa julkisuuslain soveltamista. Tämä on näkynyt myös ohjeistuksen kysynnässä Kuntaliiton suuntaan.

Julkisuuslain tunteminen ja soveltaminen ovat erottamattomia osa viranomaisen tietosuojatyötä. Erityisesti tältä osin Kuntaliitto näkee puutteita kuntakentällä. Julkisuuslainsäädäntö tunnetaan varsin hyvin kuntasektorin sisällä, mutta sen tärkeyttä ei aina huomioida riittävästi tietosuojatyön organisoinnissa. Kunnan tietosuojavastaavan tulee tuntea julkisuuslainsäädäntö ja sen suhde tietosuojalainsäädäntöön.

Tämä ulottuvuus on erityisen vaarassa unohtua, kun tietosuojavastaavan tehtävää ulkoistetaan esimerkiksi yksityiselle yritykselle. Yritysten, jotka tarjoavat tietosuojavastaavan palveluita viranomaiselle, tulisikin tuntea myös julkisuuslainsäädäntö.

Asetuksen edellyttämien rekisterinpitäjän ja käsittelijän välisten sopimusten sisällön käyminen läpi on käytännössä osoittautunut haastavaksi sekä voimassa olevien, että neuvoteltavien uusien sopimusten osalta. Moni käsittelijän roolissa toimiva palveluntuottaja on tuottanut oman tietosuojasopimusmallinsa, jota se haluaa käyttää ja tarjota omille sopimuskumppaneilleen. Yritykset haluavat pitää laajan asiakaskuntansa tietosuojasopimukset yhdenmukaisina, eivätkä ole useinkaan halukkaita taipumaan rekisterinpitäjän esittämään sopimusmalliin ja sen ehtoihin. Tämä asettaa myös kunnat rekisterinpitäjinä hankalaan asemaan.

Ylipäätään käsittelyä koskevien sopimusten laatiminen ilman ulkoista konsultaatiota on hyvin vaikeaa. Lisäksi asetuksen sääntely käsittelijän ja rekisterinpitäjän välisistä vastuista suhteessa rekisteröityyn on tulkinnanvaraista. Epäselvää muun muassa on, voivatko rekisterinpitäjä ja henkilötietojen käsittelijä sopimuksella tehokkaasti sopia keskinäisestä vastuustaan 82 artiklan vastuunjaosta poikkeavasti.

Onko yleisen tietosuoja-asetuksen mahdollistamaa sääntelyliikkumavaraa käytetty Suomessa tarkoituksenmukaisella tavalla?

Kuntaliiton kyselyyn vastanneista 69 % koki, että liikkumavaraa on Suomessa käytetty tarkoituksenmukaisesti. Tämän kysymyksen kohdalla avovastauksia oli varsin niukasti.

Kuntaliitto toteaa, että asetuksen liikkumavaraa on käytetty tarkoituksenmukaisesti hallinnollisten sakkojen määräämistä koskien. Suomessa viranomaisille ei voida määrätä hallinnollista sakkoa. Asetus ja muu lainsäädäntö sisältävät tältä osin tarpeeksi muita seuraamuksia.

SUOMEN KUNTALIITTO