Hallinnollisten seuraamusmaksujen määrääminen tietosuojalainsäädännön rikkomuksista julkissektorilla

Oikeusministeriö pyytää lausuntoa luonnoksesta hallituksen esitykseksi eduskunnalle tietosuojalain ja henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain muuttamisesta.

Esitysluonnoksessa ehdotetaan mahdollistettavaksi hallinnollisten seuraamusmaksujen määrääminen viranomaisille ja julkishallinnon elimille tietosuojalainsäädännön rikkomisesta. Esitysluonnoksessa ehdotetaan lisäksi täsmennettäväksi tietosuojalainsäädännön rangaistussäännöksiä sekä säädettäväksi rajoituksista rekisterinpitäjän velvollisuuteen ilmoittaa henkilötietojen tietoturvaloukkauksesta rekisteröidylle.

Suomen Kuntaliitto ry toteaa lausuntopalvelussa antamassaan lausunnossa seuraavaa:

Yleiset kommentit ehdotetuista muutoksista

Kuntaliitto kiittää mahdollisuudesta lausua oikeusministeriön esityksestä. Kuntaliitto ei kannata ehdotettuja muutoksia eikä pidä perusteltuna ulottaa hallinnollisia seuraamusmaksuja viranomaisiin ja julkishallinnon elimiin. 

Kuntaliitto pitää ehdotettua sääntelyratkaisua ongelmallisena julkisen vallan rakenteiden ja perustuslain kannalta. Hallinnollinen seuraamusmaksu on oikeusjärjestyksemme näkökulmasta vieras menettely viranomaisiin kohdistettuna ja vaarantaa perusoikeuksien keskinäistä suhdetta. Perustuslain mukainen julkisen vallan lakisidonnaisuuden vaatimus sekä hallinnon lainalaisuusperiaate rajaavat hallinnollisten seuraamusmaksujen sovellettavuutta viranomaisiin. Viranhaltijoita myös sitoo jo nyt virkavastuu, joka kattaa rikosoikeudellisen, kurinpidollisen ja vahingonkorvausvastuun. Lisäksi hallintokantelu ja muu valvonta tarjoavat tehokkaita keinoja puutteiden korjaamiseen ilman erillistä seuraamusmaksua. 

Perustuslakivaliokunta on aiemmin arvioidessaan hallituksen esitystä EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi todennut, ettei seuraamusmaksusääntelyn ulottaminen viranomaistoimintaan olisi ollut sanotussa sääntelykokonaisuudessa valtiosääntöisesti ongelmatonta. Lisäksi perustuslakivaliokunta huomautti, että viranomaisille määrättävä hallinnollinen seuraamusmaksu olisi ongelmallinen myös perusoikeusjärjestelmän kokonaisuudessa. (PeVL 14/2018)

Kuntaliitto katsoo, että ehdotettu sääntelyratkaisu vaikuttaisi kansallisen oikeusjärjestelmän sisäiseen johdonmukaisuuteen. Johdonmukaisuus edellyttäisi lähtökohtaisesti, että mahdollisten seuraamusmaksujen tulisi tasapuolisesti kohdistua kaikkeen poikkeamaan lainmukaisesta viranomaismenettelystä. Samalla periaatteella seuraamusmaksut lienee lähtökohtaisesti mahdollista ulottaa kaikkeen virkavelvollisuuden vastaiseen menettelyyn ja laiminlyönteihin ja kaikkeen hyvän hallinnon vastaiseen toimintaan viranomaisissa, kuten neuvontavelvollisuuden laiminlyömiseen tai julkisuusperiaatteen puutteelliseen toteuttamiseen (määräajat ja menettelyt). On syytä pohtia, miksi juuri tietosuoja-asiat olisi arvotettava niin tärkeiksi, ettei niiden kohdalla riitä nykyisen lainsäädännön seuraamusjärjestelmä.

Kuntaliitto myös huomauttaa, että Suomessa on hyvin toimiva laillisuusvalvonta: ylimmillä laillisuusvalvojilla on mahdollisuus kanteluiden, omien aloitteiden ja syyteoikeutensa kautta toteuttaa virkavastuuta. Laillisuusvalvojien kannanotot varsin usein kohdistuvat viranomaiseen organisaationa, eivätkä ainoastaan esimerkiksi yksittäiseen viranhaltijaan – erityisesti silloin, kun viranomaisessa on havaittavissa kohtuutonta työtaakkaa, puutteellista töiden organisointia, ongelmia töiden järjestelyssä ja johtamisessa tai resurssipulaa.

Esimerkkeinä voidaan mainita useat ratkaisut, joissa on kanneltu yksittäisen viranhaltijan tai viranomaisen menettelystä, mutta virheen tai laiminlyönnin syntymiseen (pitkät käsittelyajat tyyppiesimerkkinä) on vaikuttanut olennaisesti resurssien vähyys. Tällaisessa tilanteessa voi olla kohtuutonta moittia yksittäistä viranhaltijaa, kun resursseista on päättänyt ylempi taho. Ylimpien laillisuusvalvojien ratkaisuissa on muun muassa todettu, että vaikka resurssien vähäisyys ei ole kelvollinen selitys virkavelvollisuuksien laiminlyönnille, ei ole kohtuullista ulottaa laillisuusvalvonnallista arviointia vain yksittäiseen virkamieheen tai viranomaiseen, mikäli lakisääteisten velvollisuuksien hoitaminen on vaikeutunut tai käynyt jopa mahdottomaksi selkeästi aliresursoinnin vuoksi. (Ks. esim. apulaisoikeuskanslerin päätökset 22.7.2020, OKV/934/10/2020, ja 23.3.2023, 2192/10/2021 sekä apulaisoikeusasiamiehen päätös 25.6.2025, EOAK/3806/2025)

Myös perustuslakivaliokunta on painottanut sen merkitystä, että hallinnollisten sanktioiden osalta tulisi pyrkiä varmistamaan riittävä kansallinen liikkumavara erityisesti sen huomioimiseksi, että Suomessa ei voida määrätä hallinnollisia seuraamusmaksuja viranomaisille, sillä viranomaisille voidaan määrätä ainoastaan rikosoikeudellisia seuraamuksia (PeVL 37/2021 vp).  Jos EU-säädös mahdollistaa joltakin osin kansallista liikkumavaraa viranomaisille ja julkisille elimille määrättävien seuraamusmaksujen suhteen, perustuslakivaliokunta on edellyttänyt, että säädöksen sen mahdollistaessa seuraamussääntelyä rajataan (PeVL 13/2023 vp). 

Kuntaliitto pitää tärkeänä, että perustuslakivaliokunnan kannanottoja kunnioitetaan kaikessa lainsäädännössä. Mikäli kannanottoja ei johdonmukaisesti noudateta, on olemassa vakava uhka, että hallinnolliset seuraamusmaksut voivat tulevaisuudessa kohdistua viranomaisiin myös tietosuojaa laajemmin muun EU-oikeuden täytäntöönpanolainsäädännössä. Riski heijastevaikutuksista on tunnistettu myös esitysluonnoksessa (s. 48), jossa on todettu, että tietosuoja-asetuksen säännöksiä hallinnollisista seuraamusmaksuista, mukaan lukien niiden jäsenvaltioille jättämä viranomaisia koskeva liikkumavara, on pidetty mallina useille muille EU-säädöksille. Kuten esitysluonnoksessakin (s. 40) on todettu, kaikki EU:n jäsenvaltiot eivät ole ulottaneet seuraamussääntelyä koskemaan viranomaisia. Ottaen huomioon julkishallintoon kohdistuvat muut erityisvaatimukset, Kuntaliitto ei pidä perusteltuna ulottaa Suomessa hallinnollisia seuraamusmaksuja viranomaisiin ja julkishallinnon elimiin. 

Viime kädessä seuraamusmaksut lankeaisivat kollektiivisesti veronmaksajien maksettavaksi. Kuntaliitto katsoo, että veronmaksajien varoilla ei tule kantaa vastuuta puutteellisesta tai virheellisestä menettelystä, vaan vastuun tulee kohdentua niihin tahoihin, jotka voivat omilla toimillaan tehokkaasti vaikuttaa sääntelyn noudattamisen edellytyksiin. 

Kuntaliitto kiinnittää myös huomiota, että esitysluonnoksessa (s. 71) on todettu, että kyseessä oleva esitys ei olisi riippuvainen muista esityksistä. Esitysluonnoksen perusteluissa (s. 45) ja valmisteluaineistossa (eduskunnan oikeusasiamiehen kanslian aikaisempi lausunto hallituksen esitystä edeltäneestä hallinnollisia seuraamusmaksuja koskevasta arviomuistiosta) on kuitenkin jo tuotu esiin, että tällä asialla on yhtymäkohtia virkarikossääntelyn uudistamishankkeeseen. Kuntaliitto katsoo, että seuraamusmaksukysymys tulisi arvioida ja ratkaista virkarikossääntelyn uudistamishankkeen yhteydessä tai sen jälkeen. 

Vaikutukset kuntien perustehtävien hoitamiseen

Suurin osa kuntien tehtävistä on määritelty laissa. Lisäksi kunnat voivat itsehallintonsa nojalla ottaa itselleen erilaisia vapaaehtoisia tehtäviä. Useimpien kunnan tehtävien hoito edellyttää henkilötietojen käsittelyä. Kuntaliitto painottaa, että kuntien perustehtävien toteuttamisen edellytykset on turvattava kaikissa tilanteissa. 

Kuntaliitto kantaa huolta, että seuraamusmaksujen ulottaminen viranomaisiin voisi myös johtaa resurssien kohdentamiseen ensisijaisesti niihin toimintoihin, joista voi seurata seuraamusmaksu. Lähes kaikki kunnat ja monet muutkin viranomaiset toimivat suurien säästöpaineiden alla. On merkittävä riski, että seuraamusmaksut tulisivat vaikeuttamaan niiden muiden lakisääteisten velvoitteiden suorittamista. Vaikutuksina voisi olla esimerkiksi käsittelyaikojen pidentyminen, neuvonnan heikentyminen sekä päätöksentekoon liittyvien menettelysäännösten ”suoraviivaistaminen” eli hyvän hallinnon ja muun muassa selvittämis- ja perusteluvelvollisuuden tason heikentyminen muissa kuin tietosuoja-asioissa.​ Käytännössä seuraamusmaksun säätämisellä voisi siten olla vaikutusta perusoikeuksien ja muiden yksilön oikeuksien etusijajärjestykseen ja keskinäiseen arvottamiseen, mitä ei perustuslakivaliokunnan lausuntokäytännön mukaan pitäisi olla. 

Seuraamusmaksu kohdistuisi kunnissa kuntien toimintamenoihin, jolloin resurssit hoitaa kuntien perustehtäviä heikkenisivät, mukaan lukien rekisterinpitäjien mahdollisuudet kehittää toimintaansa tietosuojasääntelyn edellyttämälle tasolle vähenevillä taloudellisilla varoilla. Tämä seuraus erityisesti koskee heikossa taloudellisessa asemassa olevia kuntia, joissa yksittäinen seuraamusmaksu voisi muodostua suhteettoman suureksi taloudelliseksi rasitteeksi. Myös mahdollisesta muutoksenhausta hallinto-oikeuksiin seuraamusmaksupäätöksissä aiheutuisi merkittävästi lisätyötä kunnille. Esimerkiksi asianajotoimistoilta muutoksenhakuun hankittu oikeudellinen apu voi myös tuoda kunnille huomattavat lisäkustannukset. Eri kokoisten kuntien resursseissa on varsin suuria eroja, eikä läheskään kaikissa kunnissa ole esimerkiksi omia juristeja toiminnan tukena.

Seuraamusmaksun määräytymistä koskevat huomiot

Kuntaliitto katsoo, että seuraamusmaksujen määräytymisen perusteet sekä niitä koskevat menettelysäännökset on arvioitava ja niistä on säädettävä asianmukaisesti, jotta viranomaisiin kohdistuvat seuraamusmaksut ovat ennakoitavia ja jotta viranomaistoiminnan erityispiirteet tulevat seuraamusmaksuja määrätessä asianmukaisesti huomioiduksi. Kuten esitysluonnoksessakin (s. 49) on todettu, vaikka Euroopan tietosuojaneuvosto on antanut tietosuoja-asetuksen 83 artiklaa täydentävät ohjeet, niissä ei ole juurikaan huomioitu viranomaisia. 

Lisäksi Kuntaliitto kiinnittää huomioita siihen, että esitysluonnoksen (s. 22) mukaan tietosuojavaltuutetulle esityksestä aiheutuvien lisätyövaikutusten arvioidaan kokonaisuutena jäävän vähäisiksi. Kuntaliitto ei pidä tätä arviota asianmukaisena ottaen huomioon viranomaisten erilaisuus ja esimerkiksi kuntasektorin toiminnan monimuotoisuus. Jos ehdotettu seuraamusmaksujärjestelmä toteutuu, on tietosuojavaltuutetun toimistolle varattava tehtäviensä hoitamiseen riittävät resurssit. 

Vaihtoehtoiset ratkaisut

Esitysluonnoksen (s. 41) mukaan ehdotetun hallinnollisia seuraamusmaksuja koskevan sääntelyn tavoitteena olisi erityisesti ennalta estää tietosuojalainsäädännön rikkomuksia viranomaistoiminnassa. Ehdotetun mallin sijaan edellä ja jäljempänä lausunnossa mainituista syistä perustellumpaa olisi kehittää muita vaihtoehtoisia tapoja varmistaa tietosuojan toteutuminen. 

Kuntaliitto toteaa, että tietosuojasääntelyn soveltaminen on ollut kuntasektorilla haastavaa ja että myös tietosuojan perusmääritelmien tulkintaan on liittynyt kuntasektorilla haasteita. Esimerkkeinä voidaan mainita rekisterinpitäjän määrittely kuntakontekstissa sekä henkilötietojen käsittelyn oikeusperusteiden tulkinta. 

Tietosuojasääntely on hallinnon yleissääntelyä, jonka selkeyteen ja sovellettavuuteen voidaan kohdistaa erityisiä vaatimuksia. Nykytilassa sääntely ei täytä näitä vaatimuksia. Kuntasektori on myös kokenut haastavaksi vahvasti jälkivalvontaan ja seuraamuksiin keskittyvän tietosuojavaltuutetun toimiston ohjauksen. Tietosuojasääntelyn tulkinta on monesti hyvin vaikeaa, eivätkä kunnat tällä hetkellä saa riittävää etukäteistä ohjausta ja neuvontaa valvontaviranomaiselta suunniteltujen toimenpiteiden, palvelukokonaisuuksien tai esimerkiksi järjestelmäuudistusten lainmukaisuudesta. Ennakollinen ohjaus ja neuvonta puuttuu kansallisella tasolla, eikä jälkikäteinen sanktiomenettely ole omiaan lisäämään ymmärrystä tietosuojasääntelystä. Näistä lähtökohdista käsin on perusteetonta säätää viranomaisiin kohdistuvista seuraamusmaksuista. Kuntaliitto pitää tätä epäkohtana, joka tulisi välittömästi korjata. Myös Euroopan tietosuojaneuvoston tulkintaohjeissa tulisi paremmin huomioida pohjoismaisten paikallisviranomaisten toimintaympäristö.

Riippumattoman neuvonnan toteuttamisen edellytyksiä voitaisiin parantaa merkittävästi eriyttämällä neuvonta valvonnasta. Joka tapauksessa vastuullinen henkilötietojen käsittely yhä monimutkaisemmassa digitaalisessa ympäristössä edellyttää suuntaamaan viranomaistehtäviä varsinaisesta valvonnasta ohjaukseen ja neuvontaan. Viranomaisiin kohdistettujen seuraamusten sijaan erityisesti tulisi painottaa valvovan viranomaisen velvollisuutta asianmukaisella tavalla ohjeistaa ja neuvoa sääntelyn soveltamisessa viranomaisia, jotta sääntelyn noudattaminen viranomaistoiminnassa olisi helppoa sekä tulkinnat esimerkiksi eri kuntien välillä yhdenmukaisia. Näiden menettelyjen kehittämisellä sääntelyn tavoite saavutettaisiin viranomaisten osalta tehokkaammin muuttamatta viranomaistoimintaa koskevaa vakiintunutta sääntelykokonaisuutta. 

Kuntaliitto myös yhtyy siihen, mitä eduskunnan oikeusasiamiehen kanslia on hallituksen esitystä edeltäneen arviomuistion lausuntokierroksella todennut seuraamusmaksun säätämisen sijaan todetuista ratkaisuvaihtoehdoista. Seuraamusmaksuja parempi vaihtoehto olisi se, että parannettaisiin virkarikosoikeudellisen vastuun toteutumisen mahdollisuuksia selkeyttämällä sääntelyä, jonka perusteella luonnollisten henkilöiden vastuuasemat rekisterinpitäjän ja henkilötietojen käsittelijän tehtävistä vastaavina tahoina ongelmatilanteissa löytyvät. Tämä voisi käytännössä tarkoittaa sitä, että kutakin organisaatiota koskevista tarkemmista säännöksistä ja määräyksistä tulisi ilmetä, mikä taho toimii rekisterinpitäjänä ja ketkä luonnolliset henkilöt organisaatiossa vastaavat rekisterinpitäjän ja henkilötietojen käsittelijöiden tehtävistä virkarikosoikeudellisella vastuullaan. 

Ehdotetun sanktiojärjestelmän sijaan olisi perustellumpaa myös arvioida säätelymahdollisuuksia tietosuojarikkomusten kohteeksi joutuneiden tahojen oikeussuojan parantamiseen.

Kuntien toiminnassa sovellettavat tietosuoja-asetuksen säännökset

Kuntaliitto kiinnittää huomiota myös esitysluonnoksessa (s. 57) todettuun, että tietosuoja-asetuksen 8 artikla (tietoyhteiskunnan palveluihin liittyvään lapsen suostumukseen sovellettavat ehdot) ei sovellu julkissektorilla ja että tietosuoja-asetuksen 20 artikla (oikeus siirtää tiedot järjestelmästä toiseen) ei koske viranomaisia. 

Kuntaliiton käsityksen mukaan lapsen suostumusta koskevan tietosuoja-asetuksen 8 artiklan soveltamisala ei kuntien toiminnassa ole kovin laaja, mutta säännös voisi mahdollisesti tapauskohtaisesti tulla sovellettavaksi esimerkiksi opetuksessa käytettävien sovellusten yhteydessä.[1] 

Myös tietojen siirtoa järjestelmästä toiseen koskevan oikeuden osalta Kuntaliitto toteaa, että tietosuoja-asetuksen 20 artiklan 3 kohdan mukaan tätä oikeutta ei sovelleta käsittelyyn, joka on tarpeen yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten. Myös tietosuoja-asetuksen johdanto-osan 68 perustelukappaleessa on todettu, että tämä oikeus on luonteeltaan sellainen, ettei sitä olisi käytettävä niitä rekisterinpitäjiä vastaan, joiden julkisiin velvollisuuksiin henkilötietojen käsittely kuuluu. Rekisterinpitäjillä ei näissä tapauksissa ole velvollisuutta mahdollistaa tietojen siirtämistä järjestelmästä toiseen. Kuntaliiton käsityksen mukaan artiklan soveltaminen ei kunnissa kuitenkaan ole kokonaan poissuljettua. Kuntaliitto toteaa myös, että useat kunnat ovat kiinnostuneet niin sanotun omadata-ajattelun toteuttamisesta ja suostumusperusteisesta henkilötietojen käsittelystä kuntien ei-lakisääteisissä palveluissa ja muussa toiminnassa.  

Selvyyden vuoksi Kuntaliitto pyytää tarkentamaan näiltä osin esityksen perusteluja. 

Lopuksi

Kuntaliitto ei pidä perusteltuna hallinnollisten seuraamusmaksujen ulottamista viranomaisiin. Ehdotetun mallin sijaan tulisi kehittää ohjaavia ja korjaavia mekanismeja, jotka tukevat kunnissa ja muissa viranomaisissa tietosuojavaatimusten toteuttamista ilman päällekkäisiä seuraamusjärjestelmiä.

Näin periaatteellinen muutos suhteessa perinteisiin viranomaisvastuisiin edellyttää laaja-alaista ja syvällistä arviointia, yleistä keskustelua ja tutkimusta vaikutusarvioineen.  Yksittäisenä muutoksena seuraamusmaksun säätäminen tietosuojasääntelyn rikkomisesta johtaisi sääntelykokonaisuuden pirstoutumiseen. Oikeusjärjestyksen julkishallintoon kohdistamat erityisvaatimukset osaltaan perustelevat sääntelyratkaisua, jossa hallinnollisia seuraamusmaksuja ei määrätä viranomaiselle. 
 

SUOMEN KUNTALIITTO

Juha Myllymäki
Lakiasianjohtaja

Pirkka-Petri Lebedeff
Johtava juristi

[1] Ks. esim. Silvennoinen Elisa, Tedre Matti ja Valtonen Teemu, Datafikoituva peruskoulu – tasapainoilua lapsen henkilötietojen suojan ja opetuksen tavoitteiden välillä. Lakimies 5/2024, s. 671–672.