6
Lausuntopalaute
Hallituksen esityksen luonnos oli lausuntokierroksella 2.10.–13.11.2025, ja Ahvenanmaan viranomaisille varattiin erikseen tilaisuus lausua ruotsinkielisestä hallituksen esityksen luonnoksesta sen valmistuttua. Lausunnon antoivat Aalto-yliopisto, Ahvenanmaan maakunnan hallitus, Digi- ja väestötietovirasto, eduskunnan oikeusasiamies, Elinkeinoelämän keskusliitto EK, Eläketurvakeskus, Energiavirasto, Espoon kaupunki, Etelä-Karjalan hyvinvointialue, Etelä-Pohjanmaan hyvinvointialue, Etelä-Suomen aluehallintovirasto, FiCom ry, Finanssiala ry, Helsingin hallinto-oikeus, Helsingin kaupunki, Helsingin yliopisto, Huoltovarmuuskeskus, HUS-yhtymä, Hyvinvointialueyhtiö Hyvil Oy, Ilmatieteen laitos, Itä-Suomen hallinto-oikeus, Itä-Suomen yliopisto, Jyväskylän koulutuskuntayhtymä Gradia, Jyväskylän yliopisto, Kangasalan kaupunki, Kansallisarkisto, Kansaneläkelaitos (Kela), Kauhajoen kaupunki, Keski-Suomen hyvinvointialue, Kirkkohallitus, Kunta- ja hyvinvointialuetyönantajat KT, liikenne- ja viestintäministeriö, Liikenne- ja viestintävirasto (Traficom), Luonnonvarakeskus (Luke), Länsi-Uudenmaan hyvinvointialue, Maahanmuuttovirasto, Maatalousyrittäjien eläkelaitos (Mela), Maanmittauslaitos, Metsähallitus, Museovirasto, Muuramen kunta, Nivalan kaupunki, Oikeusrekisterikeskus, Opetushallitus, opetus- ja kulttuuriministeriö, Patentti- ja rekisterihallitus, Pelastusopisto, Pieksämäen kaupunki, Pohjanmaan hyvinvointialue, Poliisihallitus, puolustusministeriö, Rahoitusvakausvirasto, Ruokavirasto, Satakunnan hyvinvointialue, Siuntion kunta, sisäministeriö, Sosiaali- ja terveysalan lupa- ja valvontavirasto (Valvira), sosiaali- ja terveysministeriö, Suomen sosiaali ja terveys ry (SOSTE), Suomen Akatemia, Suomen Asianajajat, Suomen Kuntaliitto ry, Suomen Sukututkimusseura ry, Suomen ympäristökeskus (Syke), Suomen Yrittäjät ry, Syyttäjälaitos, Tampereen kaupunki, Tampereen yliopisto, Tapaturmavakuutuskeskus (TVK), Terveyden ja hyvinvoinnin laitos (THL), tiedusteluvalvontavaltuutettu, tietosuojavaltuutetun toimisto, Tulli, Tuomioistuinvirasto, Turun kaupunki, Turvallisuus- ja kemikaalivirasto (TUKES), työ- ja elinkeinoministeriö, Työeläkevakuuttajat TELA ry (TELA), Ulosottolaitos, Utajärven kunta, Vaasan yliopisto, Vakuutuskeskus, Valtiokonttori, valtioneuvoston kanslia, valtioneuvoston oikeuskansleri, valtiovarainministeriö, Valtori, Varsinais-Suomen hyvinvointialue, Varsinais-Suomen liitto, Verohallinto, Väylävirasto, ympäristöministeriö sekä kaksi yksityishenkilöä.
Lausunnonantajista suurin osa suhtautui kielteisesti tai varauksellisesti siihen, että hallinnolliset seuraamusmaksut ulotettaisiin koskemaan viranomaisia ja muuta julkishallintoa. Näkemystä perusteltiin erityisesti perustuslain tulkintaan, viranomaisten toiminnan lainalaisuuteen ja budjettisidonnaisuuteen liittyvillä näkökohdilla sekä muilla keinoilla, joita viranomaisten osalta on käytettävissä tietosuojalainsäädännön rikkomiseen puuttumiseksi. Nämä perustelut sisältyivät pääosin jo lausuntokierroksella olleeseen hallituksen esityksen luonnokseen. Eräissä lausunnoissa kuitenkin tuettiin ehdotettuja hallinnollisia seuraamusmaksuja koskevia säännöksiä. Näitä näkemyksiä perusteltiin erityisesti seuraamusjärjestelmän tarkoituksenmukaisuuteen ja yksityissektorin ja julkissektorin rekisterinpitäjien ja henkilötietojen käsittelijöiden yhdenvertaiseen kohteluun liittyvillä syillä.
Seuraamusmaksun määräämistä koskeviin säännöksiin ei esitetty lausunnoissa juurikaan konkreettisia muutosehdotuksia. Ainoastaan muutamassa yksittäisessä lausunnossa esitettiin erityisesti viranomaisen koon ja taloudellisen aseman huomioimista koskevaan säännökseen huomioita, joiden johdosta sen sanamuotoa on arvioitu jatkovalmistelun aikana uudelleen. Lisäksi yksittäisissä lausunnoissa otettiin kantaa ehdotettuun tietosuoja-asetuksen 86 artiklaa koskevaan poikkeukseen ja ehdotettuun siirtymäsäännökseen. Myös näitä säännöksiä on täsmennetty lausuntojen perusteella.
Ehdotettua liikkumavaran käyttöä henkilötietojen tietoturvaloukkauksia koskevan ilmoitusvelvollisuuden rajoittamiseksi kannatettiin. Siihen liittyviä säännöksiä ja perusteluita ei ole tarkistettu jatkovalmistelun aikana.
Seuraamusmaksuja koskevien säännösten soveltamisala
Keskeisin lausuntopalaute koski sitä, tulisiko sääntelyä ylipäätään laajentaa koskemaan viranomaisia. Sääntelyyn kielteisesti tai varauksellisesti suhtautuvat lausunnonantajat perustelivat lausuntojaan erityisesti perustuslakiin ja viranomaisen toiminnan lainalaisuuteen liittyvin perusteluin. Kyseessä olevien myös hallituksen esitykseen sisältyvien perustelujen tarkoitus on tuoda esiin se, mistä syystä ehdotettua sääntelyä on välttämätöntä rajata julkissektorille määrättävien seuraamusmaksujen osalta.
Eduskunnan oikeusasiamies katsoi lausunnossaan, että seuraamusmaksulla tulee olla vaikutuksia varallisuuteen. Tästä johtuen seuraamusmaksun tulee kohdistua tahoihin, joilla ylipäätään voi olla varallisuutta. Eduskunnan oikeusasiamies ei kannattanut ehdotettua sääntelyä ja perusteli näkemyksensä yksityiskohtaisesti näkökohdilla, jotka liittyvät siihen, että viranomaiset eivät yleensä ole oikeushenkilöitä, eikä niillä ole kaikissa tapauksissa myöskään omaa varallisuutta tai omaisuutta. Oikeuskansleri ei ottanut lausunnossaan kantaa siihen, onko sääntelyn laajentaminen koskemaan viranomaisia tarkoituksenmukaista. Oikeuskansleri kuitenkin viittasi lausunnossaan perustuslakivaliokunnan lausuntoon PeVL 14/2018 vp ja siihen, ettei perustuslakivaliokunta ole toistaiseksi poikennut mainitussa lausunnossa esitetystä kannastaan, jonka mukaan hallinnollisen seuraamusmaksun kohdistaminen viranomaisiin ei olisi valtiosääntöoikeudellisista syistä ongelmatonta. Oikeuskanslerin mukaan poikkeaminen perustuslakivaliokunnan lausunnosta on perusteltua todeta esitysluonnoksen perusteluissa nimenomaisesti.
Esityksessä pitäydytään lausuntokierroksella olleen esitysluonnoksen mukaisessa soveltamisalassa jäljempänä mainituin vähäisin muutoksin. Esityksen lähtökohtana on yhtenäinen ja johdonmukainen seuraamusjärjestelmä, joka koskisi pääsääntöisesti kaikkia rekisterinpitäjiä ja henkilötietojen käsittelijöitä. Yleisen tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin velvoitteet koskevat kaikkia rekisterinpitäjiä ja henkilötietojen käsittelijöitä ja ovat lähtökohtaisesti organisaatiolle säädettyjä velvoitteita, riippumatta siitä onko kyse oikeushenkilöstä. Esityksessä lähdetään tämän vuoksi siitä, että seuraamusmaksu voidaan kohdistaa myös viranomaisen käytettävissä oleviin varoihin, kuten toimintamenoihin, vaikka kyse ei olisi viranomaisen omasta varallisuudesta. Seuraamusmaksun uhkalla arvioidaan esityksessä olevan ennalta estävää vaikutusta myös viranomaisten osalta, mutta sen ennalta estävä ja varoittava vaikutus kuitenkin muodostuu eri tavalla ja huomattavasti alemmasta seuraamusmaksun määrästä kuin yksityisten yritysten osalta. Suomen lainsäädännössä on jo entuudestaan myös esimerkkejä viranomaisiin kohdistuvista rahamääräisistä seuraamuksista. Ehdotettujen rajausten tarkoituksena on nimenomaisesti huomioida viranomaisten ja yritysten toiminnan väliset erot. Koska perustuslakivaliokunta on kuitenkin pitänyt viranomaiselle määrättäviä seuraamusmaksuja tietosuojalainsäädännön kontekstissa ongelmallisina, ja ehdotettu sääntely poikkeaisi sen nykyisestä tulkinnasta, perustuslakivaliokunnan lausunto ehdotuksesta on välttämätön. Ehdotettu poikkeaminen edelleen relevantista perustuslakivaliokunnan tulkintakäytännöstä on selvennetty esityksen säätämisjärjestysperusteluissa.
Oikeuskanslerin ja eduskunnan oikeusasiamiehen lausuntojen johdosta ehdotettuun tietosuojalain 24 a §:ään on lisätty uusi 1 momentti. Momentissa säädettäisiin yksityiskohtaisesti siitä, mille viranomaisille ja muille julkissektoria edustaville tahoille seuraamusmaksu voitaisiin määrätä yleisen tietosuoja-asetuksen 83 artiklan 1–3 kohdan ja ehdotetun pykälän mukaisesti. Vaikka tarkoituksena on, että seuraamusmaksu voidaan määrätä kaikille viranomaisille ja muille julkissektoria edustaville tahoille lukuun ottamatta niitä, jotka 24 §:n 4 momentissa rajataan nimenomaisesti seuraamusmaksuja koskevien säännösten soveltamisalan ulkopuolelle, lisätty momentti on perusteltu seuraamusmaksuihin liittyvän tarkkarajaisuuden vaatimuksen huomioimiseksi.
Ylimpien laillisuusvalvojien lausunnoissa ja useissa muissa lausunnoissa kritisoitiin yleiseen tietosuoja-asetukseen perustuvaa käsitettä ”julkishallinnon elin”, jota pidettiin epäselvänä. Käsitteessä kuitenkin pitäydyttäisiin tietosuojalain muuttamista koskevassa lakiehdotuksessa siitä syystä, että lakiehdotuksessa käytetään kansallista liikkumavaraa, joka koskee yleisen tietosuoja-asetuksen 83 artiklan 7 kohdan sanamuodon mukaisesti viranomaisia ja julkishallinnon elimiä. Se, mitä viranomaiset ja julkishallinnon elimet kattavat, on selvennetty säännöksen sisäisen määritelmän avulla.
Oikeuskanslerin lausunnon johdosta 24 §:n muutosten säännöskohtaisia perusteluja on täydennetty sen selventämiseksi, että valtioneuvoston oikeuskanslerin ja eduskunnan oikeusasiamiehen lisäksi seuraamusmaksut eivät koskisi myöskään Oikeuskanslerinvirastoa eikä eduskunnan oikeusasiamiehen kansliaa. Ylimmät laillisuusvalvojat rajattiin valvonnan ulkopuolelle tietosuojalakia koskevan ehdotuksen eduskuntakäsittelyssä. Hallintovaliokunnan mietinnöstä ilmenee, että tietosuojavaltuutetun valvontatoimivaltuudet eivät kata Oikeuskanslerinvirastoa eikä eduskunnan oikeusasiamiehen kansliaa.
Ehdotettua 24 §:n 4 momenttia on täydennetty tiedusteluvalvontavaltuutetun lausunnon johdosta siten, että hallinnollista seuraamusmaksua ei voisi määrätä tiedusteluvalvontavaltuutetulle henkilötietojen käsittelytoimista, jotka liittyvät tämän laillisuusvalvontatehtävään. Tällä poikkeuksella huomioitaisiin erityisesti tietosuojavaltuutetun ja tiedusteluvalvontavaltuutetun osittain päällekkäinen valvonta. Toisin kuin ylimpien laillisuusvalvojien osalta, tiedusteluvalvontavaltuutetun suorittama henkilötietojen käsittely kuuluu kuitenkin tietosuojavaltuutetun valvonnan piiriin, eikä siihen liity vastaavaa perustuslaista johtuvaa ongelmaa kuten ylimpien laillisuusvalvojien osalta. Ehdotetun rajauksen osalta momentin perusteluita on vastaavasti täydennetty.
Muutamassa lausunnossa esitettiin myös rajattavaksi seuraamusmaksujen soveltamisalan ulkopuolelle muitakin viranomaisia. Poliisihallitus esitti harkittavaksi ainakin sitä, tulisiko poliisi jättää rikosasioiden tietosuojalain seuraamusmaksujen soveltamisalan ulkopuolelle silloin, kun poliisi toteuttaa estävää ja paljastavaa toimintaa. Seuraamusjärjestelmän yhtenäisyyden ja johdonmukaisuuden varmistamiseksi esityksessä pitäydytään harvoissa poikkeuksissa. Kansallisen turvallisuuden osalta tiedustelutoimintaa harjoittavien viranomaisten tehtävät ovat unionin oikeuden ulkopuolista toimintaa tietosuojalainsäädännön kannalta. Sen sijaan poliisin estävään ja paljastavaan toimintaan liittyvä henkilötietojen käsittely kuuluu kaikilta osin unionin oikeuden rikkomisen sanktiointivelvoitteen piiriin. Hallituksen esityksen lähtökohtana on, että sanktiointivelvoitteen piiriin kuuluvat laiminlyönnit tulisivat pääosin katetuiksi seuraamusmaksuja koskevilla säännöksillä riippumatta sovellettavasta tietosuojan yleissäädöksestä tai käsittelyn tarkoituksesta.
Sisäministeriö ei pitänyt perusteltuna, että seuraamusmaksut koskevat hyvinvointialueita. Sisäministeriö katsoi, että seuraamusmaksun määrääminen hyvinvointialueelle vaikuttaa hyvinvointialueiden itsehallintoon ja rahoitusperiaatteisiin sekä saattaisi vaarantaa pelastustoimen palvelut lainvastaisella tavalla. Ehdotettuihin säännöksiin ei ole tältä osin tehty muutoksia. Mahdolliset vaikutukset ovat samanlaisia kaikkien julkisen sektorin toimijoiden osalta. Ehdotetuilla rajauksilla, erityisesti oikeasuhteisuuden ja viimesijaisuuden vaatimuksilla, vastataan näihin näkökohtiin.
Kirkkohallitus piti ongelmallisena seuraamusmaksuja koskevien säännösten soveltamista evankelis-luterilaiseen kirkkoon. Evankelis-luterilainen kirkko ja ortodoksinen kirkko ja niiden seurakunnat kuitenkin ovat hankintalain mukaisia hankintayksiköitä, joille voidaan määrätä jo nykyisin seuraamusmaksu hankintalain nojalla. Tästä syystä esityksessä ei tehdä poikkeusta niiden osalta. Keskeinen rekisterinpitäjien ja henkilötietojen käsittelijöiden yhdenvertaiseen kohteluun liittyvä näkökohta on myös se, että muita uskontoja edustavat uskonnolliset yhdyskunnat ovat yksityisoikeudellisia yhdistyksiä, jotka kuuluvat hallinnollisten seuraamusmaksujen soveltamisalaan jo nykyisin.
Yliopistojen lausunnoissa suhtauduttiin myös kielteisesti seuraamusmaksujen ulottamiseen koskemaan yliopistoja. Yliopistojen lausunnoissa nostettiin esiin muun muassa mahdolliset vaikutukset tieteen vapauteen. Lausuntopalautteessa katsottiin, että henkilötietojen suoja on osin ristiriidassa tieteellisen tutkimuksen ja tutkimuksen vapauden kanssa ja tulisi pohtia, minkälaisia vaikutuksia seuraamusmaksuilla voisi mahdollisesti olla tutkimuksen vapaudelle. Myös yliopistot ovat kuitenkin jo hankintalain mukaisia hankintayksiköitä, eivätkä ehdotetut seuraamusmaksut poikkeaisi vaikutuksiltaan oleellisesti hankintalain mukaisten seuraamusmaksujen vaikutuksista. Yliopistojen jättämiseen seuraamusmaksujen ulkopuolelle liittyisi lisäksi yhdenvertaiseen kohteluun liittyvä ongelma. Säätiömuotoiset yliopistot ja ammattikorkeakoulut kuuluvat jo nykyisin hallinnollisten seuraamusmaksujen soveltamisalaan. Näistä syistä ehdotusta ei ole muutettu jatkovalmistelun aikana.
Syyttäjälaitoksen lausunnossa katsottiin, että Syyttäjälaitos olisi jätettävä seuraamusmaksuvastuun ulkopuolelle, huomioiden että seuraamusmaksut eivät koskisi tuomioistuimia. Näkemystä perusteltiin sillä, että syyttäjät tekevät toimessaan lainkäyttöratkaisuja asioissa, jotka käsitellään sittemmin tuomioistuimissa saman tiedon perusteella ja samassa järjestelmässä. Syyttäjälaitoksen lausunnossa pidettiin ongelmallisena sitä, että samasta tiedosta samassa järjestelmässä on vastuussa toinen rekisterinpitäjä ja toinen ei. Ehdotusta ei ole muutettu myöskään tältä osin, huomioiden sen, että seuraamusvastuu perustuisi lähtökohtaisesti siihen, minkä rekisterinpitäjän vastuulla olevan tehtävän hoitamisen yhteydessä rikkomus on tapahtunut. Tällä ei ole suoraa yhteyttä tietojärjestelmiin. Syyttäjälaitos kuuluu lisäksi poliisin tavoin rikosasioiden tietosuojadirektiivin mukaisen sanktiointivelvoitteen piiriin. Esitysluonnoksessa on kuitenkin huomioitu, että joissakin tapauksissa esimerkiksi yhteisrekisterinpitotilanne voisi aiheuttaa haasteita. Nämä eivät kuitenkaan oleellisesti poikkea yksityissektoria koskevista yhteisrekisterinpitotilanteista.
Puolustusministeriö ja Puolustusvoimat katsoivat, että Puolustusvoimat tulisi sulkea seuraamusmaksujen ulkopuolelle myös silloin, kun kyse on yleisen tietosuoja-asetuksen soveltamisalaan kuuluvasta henkilötietojen käsittelystä. Esityksessä on pitäydytty siinä, että hallinnolliset seuraamusmaksut koskisivat yleisen tietosuoja-asetuksen soveltamisalalla pääsääntöisesti kaikkia viranomaisia. Seuraamusmaksujen ulkopuolelle ehdotetaan rajattavaksi kaikilta osin tuomioistuimet ja perustuslaista johtuvista syistä välttämättömät viranomaiset sekä tiedusteluvalvontavaltuutettu tämän laillisuusvalvontatehtävän osalta. Rikosasioiden tietosuojalain soveltamisalalla seuraamusmaksujen ulkopuolelle jäisivät puolestaan vain ne kansallisen turvallisuuden viranomaiset, joiden siinä tarkoitettu henkilötietojen käsittely on kokonaan unionin oikeuden ja siten sen mukaisen sanktiointivelvoitteen ulkopuolella, sekä tuomioistuimet.
Tietosuoja-asetuksen 86 artiklaa koskeva rajaus
Lausunnoissa kannatettiin laajalti ehdotettua tietosuojalain 24 a §:n 6 momenttiin sisällytettyä rajausta, jonka mukaan seuraamusmaksuja koskevien säännösten soveltamisalan ulkopuolelle jätetään tilanteet, joissa on kyse yleisen tietosuoja-asetuksen 86 artiklassa tarkoitetusta henkilötietojen luovuttamisesta henkilötietojen suojan ja asiakirjajulkisuuden yhteensovittamiseksi. Tätä ehdotusta kannatettiin laajalti myös niissä lausunnoissa, joissa lähtökohtaisesti suhtauduttiin hallinnollisiin seuraamusmaksuihin kielteisesti tai varauksellisesti. Momenttia on kuitenkin täsmennetty sen huomioimiseksi, että se koskee kaikkia julkista hallintotehtävää hoitavia yksityisiä. Lisäksi momenttia on täsmennetty Helsingin kaupungin lausunnon johdosta siten, että säännös kattaa kaikki momentissa tarkoitettuun henkilötietojen luovutukseen liittyvät käsittelytoimet.
Julkista hallintotehtävää hoitavat yksityiset
Niissä lausunnoissa, joissa kommentoitiin ehdotettujen viranomaisille määrättäviä seuraamusmaksuja koskevien säännösten ulottamista koskemaan julkista hallintotehtävää hoitavia yksityisiä, pääosin kannatettiin ehdotusta. Lausunnoissa pidettiin myös yleisesti tärkeänä, että edellä mainittu tietosuoja-asetuksen 86 artiklaa koskeva rajaus kattaa julkista hallintotehtävää hoitavat yksityiset.
Ehdotetun 24 a §:n 6 momenttia on kuitenkin tarkistettu Oikeuskanslerin lausunnon ja eräiden muiden lausuntojen johdosta siten, että seuraamusmaksua ei voisi määrätä yleisen tietosuoja-asetuksen 86 artiklan mukaisissa tilanteissa myöskään sellaisille julkista valtaa käyttäville tai julkista hallintotehtävää hoitaville yhteisöille, säätiöille tai yksityisille henkilöille, jotka soveltavat julkisuuslakia erityislainsäädännön perusteella. On mahdollista, että erityislaeissa julkisuuslain soveltaminen on laajennettu koskemaan myös muita kuin julkisuuslain 4 §:n 2 momentissa tarkoitettuja julkista valtaa käyttäviä.
Seuraamusmaksun määräämisen edellytykset
Osassa lausuntoja pidettiin ehdotettuja seuraamusmaksujen enimmäismääriä liian korkeina (esim. Digi- ja väestötietovirasto, Helsingin kaupunki ja Ruokavirasto). Hallituksen esityksessä on päädytty pitäytymään työryhmän ehdottamissa enimmäismäärissä sen varmistamiseksi, että säännökset ovat riittävän ennalta estäviä taloudelliselta asemaltaan vahvimpien viranomaisten huomioimiseksi. Jäljempänä mainitut täsmennykset säännöstasolla kuitenkin turvaavat heikossa taloudellisessa asemassa olevien viranomaisten toiminnan edellytykset.
Oikeuskanslerin lausunnossa kiinnitettiin huomiota tarpeeseen varmistua sääntelyn yksityiskohtaisuudesta ja tarkkarajaisuudesta perustuslakivaliokunnan lausuntokäytännön mukaisesti. Jatkovalmistelun aikana on erityisesti täydennetty ehdotettua tietosuojalain 24 a §:ää eräiden perustuslakivaliokunnan lausunnoista ilmenevien näkökohtien korostamiseksi. Vaikka yleisen tietosuoja-asetuksen 83 artiklan säännökset seuraamusmaksun määräämisen edellytyksistä ovat jo sellaisenaan yksityiskohtaiset, ja niitä sovellettaisiin seuraamusmaksun enimmäismääriä lukuun ottamatta myös viranomaisiin, pykälää on täydennetty oikeasuhteisuuden vaatimuksen korostamiseksi sekä sen selventämiseksi, että hallinnollinen seuraamusmaksu on sanktiona tarkoitettu viimesijaiseksi toimenpiteeksi. Säännöksessä korostettaisiin myös sitä, että seuraamusmaksu on jätettävä määräämättä, jos sitä koskevat edellytykset eivät täyty. Täsmennyksillä pyritään samalla vastaamaan lausunnoissa laajalti esiin nostettuihin huoliin seuraamusmaksun vaikutuksista. Vastaavat täsmennykset on tehty rikosasioiden tietosuojalain 58 b §:ään.
Useassa lausunnossa (mm. liikenne- ja viestintäministeriö, Tulli, ulkoministeriö, Energiavirasto, Helsingin kaupunki) katsottiin, että esityksessä tulisi avata tarkemmin, miten viranomaisen koko ja taloudellinen asema otetaan huomioon seuraamusmaksua harkittaessa ja määrättäessä. Myös valtiovarainministeriö katsoi lausunnossaan, että esitykseen tulisi lisätä tarkempia kriteerejä ja menettelytapoja, joilla seuraamusmaksun määräämisen kohtuullisuutta arvioidaan suhteessa viranomaisen taloudelliseen asemaan ja palvelutehtäviin. Tietosuojavaltuutettu katsoi, että viranomaisen koon määrittelyssä ei tulisi arvioida budjetin yksityiskohtia. Lausunnossa katsottiin, että budjetin osalta yleisluontoinen tarkastelu vuosittaisen budjetin ja henkilöstömäärän osalta olisi riittävää säännöksen tavoitteen saavuttamiseksi. Näitä tekijöitä voitaisiin vertailla muihin julkisen sektorin toimijoihin, jotta esimerkiksi pienet toimijat voidaan tunnistaa. Taloudellisen aseman arvioinnin osalta tietosuojavaltuutetun lausunnossa pidettiin tarkoituksenmukaisena, että tässä arvioinnissa keskityttäisiin yleisluontoiseen arvioon, eikä tarkasteltaisi yksittäisen toimijan lakisääteisiä tehtäviä tai velvoitteita.
Säännöskohtaisia perusteluja on täsmennetty edellä mainitun lausuntopalautteen huomioimiseksi. Esityksessä ei täysin yhdytä tietosuojavaltuutetun näkemykseen. Lähtökohtaisesti viranomaisen taloudellisen kantokyvyn arviointiin ei riitä yleisluontoinen budjetin suuruus ja henkilöstön määrä. Tietosuojavaltuutetulta ei kuitenkaan edellytettäisi sitä, että sen tulisi arvioida seuraamusmaksun vaikutuksia yksittäisten lakisääteisten tehtävien hoitamiseen. Kovin yksiselitteistä tulkintaohjetta esitykseen ei ole sisällytetty taloudellisen aseman huomioimisen osalta siitä syystä, että viranomaisten ja julkisoikeudellisten yhteisöjen rahoitustapa voi vaihdella huomattavasti. Lisäksi yksityiskohtainen tulkintaohjeistus voisi vaikeuttaa tietosuojavaltuutetun seuraamusharkintaa, huomioiden, että siihen sovellettaisiin myös Euroopan tietosuojaneuvoston ohjeita siltä osin kuin seuraamusmaksuihin sovellettaisiin samoja kriteerejä kuin yksityissektorin osalta. Perusteluihin on lisätty viittaus kyseisiin ohjeisiin.
Poliisihallitus piti lausunnossaan tärkeänä, että seuraamusmaksua määritettäessä olisi mahdollista huomioida viranomaisen koon ja kokonaisbudjetin lisäksi myös se, jos samaan kirjanpitoyksikköön kuuluu useampi viranomainen, jotka toimivat osin itsenäisinä rekisterinpitäjinä. Tässä yhteydessä tulisi lausunnon mukaan huomioida myös se, että osan kirjanpitoyksiköiden viranomaisten toimintamenot voivat koostua pääosin esimerkiksi kiinteäluonteisista henkilöstö- ja kalustokuluista. Oikeusrekisterikeskuksen lausunnon mukaan esityksessä tulisi lisäksi selventää, miten esimerkiksi seuraamusmaksun enimmäismääriä arvioidaan tilanteessa, jossa rekisterinpitäjä ja henkilötietojen käsittelijä ovat henkilötietojen käsittelystä tehtyyn sopimukseen perustuen saman viranomaisen eri toimintoja. Henkilötietojen käsittelijänä saattaa toimia myös jokin EU:n virasto (esim. eu-Lisa). Nämä näkökohdat olivat jo huomioituina lausuntokierroksella olleen hallituksen esitysluonnoksen seuraamusmaksun vaikutuksia koskevissa arvioissa, mutta niitä on lausuntopalautteen perusteella selvennetty.
Jo esitysluonnoksen valmistelun aikana selvitettiin useassa lausunnossa esiin nostettua mahdollisuutta asettaa seuraamusmaksun suuruudelle konkreettisemmat kriteerit. Seuraamusmaksun määrittäminen esimerkiksi prosentuaalisena osuutena budjetista ei ole kuitenkaan mahdollista siitä syystä, että viranomaisten rahoitusmallit poikkeavat toisistaan osin huomattavastikin. Lisäksi rahoitusmalli, joka perustuisi prosentuaaliseen osuuteen budjetista, voisi vaarantaa viranomaisten lakisääteisten tehtävien hoitamisen, koska viranomaisen toimintamenoista suuri osa on lakisääteisiä menoja. Esityksessä on selvennetty sitä, että ehdotetut enimmäismäärät tulisivat hyvin harvoin kyseeseen. Lisäksi edellä mainittu oikeasuhteisuuden vaatimus varmistaisi sen, että heikossa taloudellisessa tilanteessa olevalle viranomaiselle mahdollisesti määrättävä seuraamusmaksu ei muodostu kohtuuttomaksi eikä estäisi sen lakisääteisten tehtävien hoitamista. Hallituksen esityksen sisältämät rajaukset varmistavat prosentuaalista seuraamusmaksun laskentamallia paremmin sen, että viranomaisten väliset erot tulevat huomioiduiksi.
Verohallinto piti tärkeänä sen arviointia, olisiko kansallisessa sääntelyssä mahdollisuus rajata hallinnollinen sakko siten, että se määrättäisiin vain yleisen tietosuoja-asetuksen 83 § artiklan 4–6 kohdassa mainittujen säännösten noudattamisen tahallisesta tai tuottamuksellisesta laiminlyönnistä. Maanmittauslaitos katsoi, että uuteen 24 a §:ään olisi edellä olevaan perustuen joka tapauksessa perusteltua lisätä uusi 6 momentti, jossa säädettäisiin, että hallinnollinen seuraamusmaksu voidaan määrätä viranomaiselle ja julkishallinnon elimelle vain siltä osin kuin muut tietosuoja-asetuksessa ja kansallisessa lainsäädännössä tarkoitetut seuraamukset eivät ole tietosuoja-asetuksen 83 artiklan 1 kohdassa tarkoitetusti riittävän tehokkaita, oikeasuhtaisia ja varoittavia tietosuoja-asetuksen rikkomisen vuoksi. Etelä-Pohjanmaan hyvinvointialueen ja Satakunnan hyvinvointialue puolestaan toivat esiin, että seuraamusmaksu tulisi voida määrätä vasta hallinnollisen ohjauksen jälkeen. Hallituksen esityksessä on pitäydytty siinä, että hallinnollisen seuraamusmaksun määräämisen yleiset edellytykset olisivat pääosin samat kuin yksityissektorin osalta, huomioiden myös EU:n tuomioistuimen tulkintakäytännön. Tällä on tarkoitus varmistaa seuraamuksia koskevan käytännön yhtenäisyys ja johdonmukaisuus. Tietosuojalain 24 a §:ään ja rikosasioiden tietosuojalain 58 b §:ään on kuitenkin lisätty säännökset, joilla korostetaan seuraamusmaksun oikeasuhteisuutta ja viimesijaisuutta. Näiden säännösten arvioidaan samalla vastaavan osittain edellä mainittuun lausuntopalautteeseen, ja olevan myös mahdollisia viranomaisia koskevan liikkumavaran puitteissa.
Siirtymäsäännökset
Muutamassa lausunnossa (Aalto-yliopisto. Helsingin yliopisto, Terveyden ja hyvinvoinnin laitos) katsottiin, että lakiehdotusten siirtymäsäännöksiä tulisi tarkistaa siten, että lakia sovellettaisiin vain sellaisiin rikkomuksiin ja laiminlyönteihin, jotka ovat tapahtuneet lain voimaantulon jälkeen. Siirtymäsäännöksiä on muutettu ehdotetulla tavalla. Ehdotettujen lainmuutosten voimaantuloa koskevassa jaksossa (jakso 9) on täsmennetty, mitä säännöksissä tarkoitetaan rikkomuksen tai laiminlyönnin ajankohdalla.
Vaikutusten arviointi
Lausuntokierroksella pyrittiin selvittämään erityisesti ehdotettujen säännösten vaikutuksia. Lausuntopalaute kokonaisuutena pääosin tukee vaikutusten arviointia, joka sisältyi lausuntokierroksella olleeseen hallituksen esityksen luonnokseen. Suuressa osassa lausuntoja toistettiin esitysluonnoksessa esitettyjä arvioita, osin täydentäen niitä viranomaiskohtaisilla esimerkeillä. Ehdotetun sääntelyn vaikutuksia koskevasta lausuntopalautteesta ei siten aiheutunut merkittäviä tarkistustarpeita hallituksen esityksen luonnoksessa esitettyihin arvioihin.
Useissa lausunnoissa esitettiin kuitenkin voimakkaitakin arvioita erityisesti tietoyhteiskuntavaikutuksista. Lausuntopalautteen valossa ehdotetut seuraamusmaksuja koskevat säännökset aiheuttaisivat alun perin arvioitua laajemmin varovaisuutta esimerkiksi tietojärjestelmien kehityksessä. Valtiovarainministeriö katsoi, että esityksen kielteisiä vaikutuksia tietoyhteiskunnan kehittymisen kannalta oli vielä jatkovalmistelussa tarkennettava. Toisaalta eduskunnan oikeusasiamiehen lausunnossa tietoyhteiskuntavaikutuksia kyseenalaistettiin. Lausunnossa pidettiin yleisesti ottaen hyvinkin perusteltuna, että digitalisaatioon ja siihen perustuvien innovatiivisina markkinoitujen palveluratkaisujen käyttöönottoa viranomaisissa harkitaan huolellisesti myös henkilötietojen käsittelyn asianmukaisuuden näkökulmasta – huolellista harkintaa ei voida pitää ylivarovaisuutena tai muutosvastarintana.
Ehdotetun sääntelyn ennalta estävyyttä koskevien vaikutusten osalta lausunnonantajien näkemykset jakautuivat. Kuitenkin useissa lausunnoissa esitetyt arviot siitä, että sääntely aiheuttaa varovaisuutta viranomaisten keskuudessa, tukivat esitysluonnoksessa ollutta arviota siitä, että hallinnollisilla seuraamusmaksuilla olisi myös viranomaisten osalta ennalta estävää vaikutusta.
Edellä mainitun palautteen huomioimiseksi tietoyhteiskuntavaikutuksia koskevaa jaksoa on tarkistettu. Samalla on selvennetty sitä, että myös muihin esitysluonnoksen vaikutuksia koskeviin arvioihin liittyy epävarmuustekijöitä. Erityisesti vaikutusten laajuuteen katsotaan edelleen useimpien vaikutuslajien osalta liittyvän epävarmuutta, koska arvioiden tueksi ei ole saatavilla riittävän laajoja tilastollisia tai muita selvityksiä. Tietoyhteiskuntavaikutuksia koskevaa jaksoa ja sääntelyn ennalta estävyyttä jaksoa on täsmennetty. Tekstissä huomioidaan se, että mitä enemmän varovaisuutta tai huolellisuutta seuraamusmaksujen uhka aiheuttaa, sitä ennalta estävämpää sääntely olisi. Siten ehdotettujen säännösten tietoyhteiskuntavaikutuksia ei voida pitää yksinomaan kielteisinä, vaan ne ovat myös toivottuja vaikutuksia.
Lausuntopalaute kohdistui vaikutusten arvioinnin osalta pitkälti yksittäisen hallinnollisen seuraamusmaksun vaikutuksiin, ja osassa lausuntoja vaikutuksia pidettiin arvioitua laajempina. Esityksen vaikutuksia koskevissa arvioissa on pääosin pitäydytty. Perusteluja on kuitenkin joiltakin osin täsmennetty sen selventämiseksi, mihin arviot perustuvat. Yksittäisen hallinnollisen seuraamusmaksun vaikutusten arviointiin on tehty lisäksi pieniä täsmennyksiä sen selventämiseksi, että kaikki ehdotettujen seuraamusmaksujen soveltamisalaan kuuluvat ovat jo nykyisin hankintalain mukaisten seuraamusmaksujen soveltamisalassa, ja ehdotettujen säännösten mukaisten yksittäisten seuraamusmaksujen vaikutukset olisivat samankaltaisia kuin hankintalain mukaisten seuraamusmaksujen vaikutukset. Esityksessä ehdotetut säännökset kuitenkin hankintalaista poiketen edellyttäisivät nimenomaisesti sen varmistamista, että määrättävä seuraamusmaksu olisi oikeasuhteinen viranomaisen tai julkishallinnon elimen kokoon ja taloudelliseen asemaan nähden. Perusteluja on täsmennetty myös mahdollisen neuvonnan tarpeen lisääntymisen huomioimiseksi. Lisäksi vaikutuksia eräisiin viranomaisiin ja julkishallinnon elimiin on täydennetty, mukaan lukien evankelis-luterilainen kirkko ja ortodoksinen kirkko ja niiden seurakunnat, sekä yliopistot ja ammattikorkeakoulut.
Itä-Suomen hallinto-oikeuden mukaan esityksellä on mahdollisesti välillisiä vaikutuksia tuomioistuimelle, koska osalla viranomaisista voi olla henkilötietojen käsittelijän vastuita muiden viranomaisten lukuun (esimerkiksi Oikeusrekisterikeskus, Valtori, Palkeet). Tämä näkökohta on lisätty tuomioistuimia koskevaan vaikutusten arviointiin.
Muutamassa lausunnossa toivottiin selvennystä siihen, miten seuraamusmaksu määräytyisi yhteisrekisterinpitotilanteissa (esim. eduskunnan oikeusasiamies, Oikeusrekisterikeskus, opetus- ja kulttuuriministeriö, Ruokavirasto ja valtakunnansyyttäjän toimisto). Verohallinnon mukaan tulisi arvioida miten seuraamus jakautuisi silloin, jos tietosuojalainsäädännön rikkominen tapahtuu käytettäessä viranomaisten yhteisiä palveluita. Nämä näkökohdat oli jo huomioitu haasteellisina tilanteina lausuntokierroksella olleen esitysluonnoksen vaikutusten arviointia koskevassa jaksossa, mutta perusteluja on hieman täsmennetty sen selventämiseksi, että seuraamusmaksu määräytyisi lähtökohtaisesti sen mukaisesti, mikä rekisterinpitäjä on vastuussa siitä tehtävästä, jonka hoitamisen yhteydessä rikkomus on tapahtunut. Tästä huolimatta seuraamusmaksujen ulkopuolelle jäisivät esimerkiksi tuomioistuimet. Hallituksen esityksessä on kuitenkin pyritty välttämään suoria tulkintaohjeita esimerkiksi yhteisrekisterinpitotilanteiden osalta siitä syystä, että rekisterinpitovastuut voivat jakautua monin eri tavoin.
Sosiaali- ja terveysministeriö kiinnitti lausunnossaan huomiota esitysluonnoksen kohtaan, jossa käsitellään vaikutuksia valtion viranomaisiin ja toiminnan rahoittamista valtion talousarviossa, ja jossa todetaan, että seuraamusmaksun kattaminen esimerkiksi asiakasmaksujen korotuksilla ei tulisi kyseeseen. Sosiaali- ja terveysministeriö katsoi, että tähän liittyen olisi hyvä selventää, että seuraamusmaksun kattaminen asiakasmaksujen korotuksilla ei tulisi kyseeseen myöskään hyvinvointialueilla. Tämä näkökohta on huomioitu vaikutusten arvioinnissa yleisemmin kaikkien viranomaisten osalta eikä erillistä täsmennystä ole tehty hyvinvointialueiden osalta.
Valtiovarainministeriö katsoi lausunnossaan, että jatkotyössä tulisi varmistaa, ettei esimerkiksi viranomaisen omasta huolimattomuudesta johtunut seuraamusmaksu automaattisesti johda lisärahoitukseen, jolla seuraamusmaksuja katetaan. Tästä on lisätty maininta vaikutusten arviointia koskevaan osuuteen.
Sosiaali- ja terveysministeriö katsoi lausunnossaan, että esityksen vaikutustenarviointi hyvinvointialueiden lakisääteisten tehtävien hoitamisen ja palvelujen tarjoamisen kannalta oli suppeaa. Ehdotettu sääntely jätti lausunnon mukaan avoimeksi sen, miten seuraamusmaksun määrässä huomioitaisiin hyvinvointialueen lakisääteiset tehtävät. Samansuuntaisia arvioita oli myös useissa muissa lausunnoissa. Huomionarvoista on, että lakiehdotusten rajauksilla nimenomaisesti pyritään estämään haittaa lakisääteisten tehtävien hoitamiselle, mukaan lukien erityisesti oikeasuhteisuuden vaatimus.
Sosiaali- ja terveysministeriö katsoi lausunnossaan myös, että esityksessä tulisi huomioida kattavammin ehdotetun sääntelyn välilliset vaikutukset. Sosiaali- ja terveysministeriön näkemyksen mukaan esityksessä tulisi arvioida vielä tarkemmin sitä, miten seuraamusmaksu voisi vaikuttaa viranomaisen lakisääteisten tehtävien hoitamiseen ja perusoikeuksien toteutumiseen. Lausunnossa esiin nostetut näkökohdat on kuitenkin huomioitu esityksessä tarkoituksella yleisellä tasolla. Vaikutukset riippuisivat yksittäistapauksessa siitä, miten suuri seuraamusmaksu olisi suhteessa viranomaisen käytettävissä oleviin varoihin sekä muun muassa siitä, miten viranomainen on pannut nykyisin velvoitteet täytäntöön. Useimmat hallituksen esityksessä esitetyt vaikutuksia koskevat arviot ovat mahdollisia vaikutuksia, mukaan lukien perusoikeuksien punnintaan kohdistuvat vaikutukset, joiden tueksi ei ole saatavilla riittävästi selvityksiä esimerkiksi hankintalain mukaisten seuraamusmaksujen vaikutuksista. Useimpiin vaikutuslajeihin liittyy epävarmuustekijöitä. Tästä syystä jatkovalmistelun aikana on pitäydytty yleisellä tasolla.
Muut näkökohdat
Osassa lausuntoja kritisoitiin tai pidettiin epäselvänä ehdotetun sääntelyn ja digitalisaation tavoitteiden suhdetta. Esityksen taustaa koskevaa jaksoa on täydennetty lausuntopalautteen valossa sen selventämiseksi, mikä ehdotetun sääntelyn yhteys on julkisen hallinnon digitalisaatioon ja tietosuojalainsäädännön kokonaisuudistuksen tavoitteisiin.
Oikeuskanslerin lausunnossa kiinnitettiin huomiota siihen, että tietosuojalainsäädännön soveltamisesta kertyneet käytännön kokemukset kertovat siitä, että tietosuojavaltuutettu on omassa ratkaisukäytännössään verrattain usein joutunut antamaan viranomaisille huomautuksia tietosuojasääntelyn soveltamisesta. Esitysluonnoksen perusteluja oli lausunnon mukaan tarpeen täydentää nykykäytännön kuvauksella niin rikosoikeudellisen seuraamusjärjestelmän kuin tietosuojavaltuutetun valvontajärjestelmän osalta. Lausunnossa katsottiin, että nämä tiedot voivat muodostaa olennaisen perusteen tähänastisen, viranomaisiin kohdistuvan seuraamusjärjestelmän tulkintakäytännön muutokselle. Sisäministeriön lausunnossa puolestaan katsottiin, että esitysluonnoksesta ei saanut kovinkaan selkeää kuvaa seuraamusmaksujen todellisesta laajentamistarpeesta julkissektorille.
Esitysluonnoksella on kiinteä yhteys esiselvityksenä tehtyyn arviomuistioon, eikä esityksessä ole tarpeen toistaa kaikkea sen sisältöä, vaan siihen voidaan viitata. Jatkovalmistelun aikana katsottiin kuitenkin perustelluksi Oikeuskanslerin ja sisäministeriön lausuntojen johdosta lisätä esitykseen nykytilan arviointia koskevaan jaksoon kappale, jossa arvioidaan tietosuojavaltuutetun käytettävissä olevien korjaavien toimivaltuuksien riittävyyttä. Esityksen taustaa koskevaan jaksoon on myös lisätty tiivis teksti tietosuojavaltuutetun viranomaisiin kohdistamista valvontatoimenpiteistä. Muiden korjaavien toimivaltuuksien kuin seuraamusmaksujen määräämisen osalta esityksessä kuitenkin kiinnitetään huomiota siihen, että ne eivät rinnastu sanktioihin, joita tietosuojalainsäädäntö edellyttää korjaavien toimivaltuuksien lisäksi. Rikosoikeudellisten seuraamusten arviointi sisältyi jo lausuntokierroksella olleeseen esitysluonnokseen. Rikosoikeudellisen seuraamusjärjestelmän arviointia ja seuraamuslajin valintaa koskevia näkökohtia on täsmennetty vain vähäisiltä osin.
Sisäministeriön lausunnossa katsottiin, että esitysluonnoksessa ei ollut kovinkaan selkeästi kuvattu sitä, miten tietosuojalainsäädäntö eroaa muiltakin kuin seuraamusmaksua koskevilta osilta sen suhteen, onko kyseessä julkissektorin vai yksityisen sektorin toimija. Lausunnossa kiinnitettiin huomiota siihen, että henkilötietojen käsittelyperusteissa on tältä osin varsin merkittäviä eroja. Lisäksi lausunnon mukaan oli huomioitava, että julkissektorin toimijan tekemistä päätöksistä myös tietosuojan osalta on mahdollista valittaa hallintotuomioistuimeen. Käsittelyn oikeusperusteeseen liittyvä maininta on lisätty esityksen taustaa koskevaan jaksoon. Huomionarvioista kuitenkin on, että henkilötietojen käsittelyn oikeusperusteella ei ole vaikutusta yleisen tietosuoja-asetuksen mukaiseen sanktiointivelvoitteeseen, ja yksityissektorin osalta kaikki 6 artiklan 1 kohdan mukaiset käsittelyn oikeusperusteet ovat mahdollisia. EU:n tuomioistuin on myös tarkentanut henkilötietojen käsittelyperusteita oikeuskäytännössään, ja tämä on muuttanut tilannetta merkittävästi muun muassa viranomaisten osalta.
Oikeuskanslerin mukaan perusteluissa oli otettava huomioon, että viranomaiset ovat yksityisiä tahoja vaikeammassa asemassa soveltamistilanteissa, sillä nykyinen viranomaisten sääntelykehikko on muodostunut varsin monimutkaiseksi, ja ennakollisen ohjauksen tai neuvonnan saaminen tulkinnoissa on viranomaisille vaikeaa. Esimerkiksi tietosuojan ja julkisuuden yhteensovittaminen on käytännön viranomaistoiminnassa havaittu erityisen vaikeaksi. Näillä seikoilla voi Oikeuskanslerin lausunnon mukaan myös olla vaikutusta seuraamusjärjestelmän harkinnassa. Tästä on lisätty maininta ja viranomaisten neuvonnan tarve on huomioitu myös esitysluonnoksen vaikutustenarvioinnissa, mukaan lukien mahdolliset vaikutukset tietosuojavaltuutetulle. Yksityissektorilla on kuitenkin yleisen tietosuoja-asetuksen arviointien valossa samanlaisia haasteita tietosuojan ja yksityissektoria koskevan muun sääntelyn yhteensovittamisessa. Tietosuojavaltuutetun resursseja on lisätty erikseen valtion talousarviossa.
Eduskunnan oikeusasiamiehen lausunnossa katsottiin, että hallituksen esityksen luonnosta olisi syytä tarkentaa oikeushenkilöopin perusteiden osalta. Oikeussubjektien oikeuskelpoisuuteen, oikeustoimikelpoisuuteen sekä oikeudelliseen vastuunalaisuuteen liittyvien perusteiden tunnistaminen on lausunnon mukaan edellytyksenä minkä tahansa oikeudellisen sääntelyn johdonmukaisuudelle. Yleisen tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin mukainen rekisterinpitäjän vastuu, ja rajallisemmin henkilötietojen käsittelijän vastuu, ei kuitenkaan perustu samoihin lähtökohtiin. Rekisterinpitäjän oikeudellisella muodolla ei vastuun syntymisen kannalta ole merkitystä, vaan sillä, onko kyseessä taho, joka osallistuu käsittelyn tarkoitusten ja keinojen määrittämiseen. Kummassakin säädöksessä viitataan oikeushenkilöön ja luonnolliseen henkilöön, mutta Suomen oikeusjärjestelmästä poikkeavalla systematiikalla. Myös viranomainen on täysimääräisesti vastuussa rekisterinpitäjänä, mukaan lukien esimerkiksi vahingonkorvausvastuu. Hallituksen esityksen perusteluissa taloudellisista vaikutuksista on myös huomioitu se, että joissakin, joskin harvoissa tilanteissa seuraamusmaksu voidaan joutua määräämään muulle kuin rekisterinpitäjälle. Hallituksen esitystä ei ole tästä syystä täydennetty eduskunnan oikeusasiamiehen lausunnon näkemyksen mukaisesti. Hallituksen esityksen tekstissä on kuitenkin oikaistu virkkeet, joissa viranomaiset oli rinnastettu oikeushenkilöihin.
Eduskunnan oikeusasiamiehen lausunnossa kiinnitettiin huomiota myös siihen, että rekisterinpitäjän eksplisiittinen nimeäminen laissa ei ole julkishallinnon toimintojen osalta toistaiseksi läheskään kattavaa. Asian jatkovalmistelussa oli lausunnon mukaan lisäksi selvitettävä, kenelle seuraamusmaksu syyttäjälaitoksessa määrättäisiin. Näiltä osin hallituksen esitystä ei ole täydennetty. Vaikka rekisterinpitäjä viranomaisten osalta ei kattavasti ilmene erityislainsäädännöstä, se kuitenkin on yleisempää kuin yksityissektorin rekisterinpitäjien määrittely laissa. Tämä on myös huomioitu esityksessä. Rekisterinpitäjä on määritelty sekä yleisessä tietosuoja-asetuksessa että rikosasioiden tietosuojalaissa, ja EU:n tuomioistuin on tarkentanut tulkintakäytännössään rekisterinpitäjän käsitettä. Esitykseen on lisätty viittauksia kyseiseen tulkintakäytäntöön. Määritelmä ja sitä koskeva oikeuskäytäntö ohjaavat lain soveltamista niissä tilanteissa, joissa rekisterinpitäjä ei ilmene nimenomaisesti laista. Tietosuojalainsäädännön kokonaisuudistuksen yhteydessä ministeriöt ovat erikseen arvioineet erityislainsäädäntönsä muutostarpeita suhteessa yleiseen tietosuoja-asetukseen. Kukin ministeriö vastaa tarvittaessa oman lainsäädäntönsä täsmentämisestä muun muassa rekisterinpitovastuiden osalta. Esimerkiksi oikeusministeriössä on parhaillaan käynnissä hanke (OM029:00/2022), jonka yhteydessä on tarkoitus täsmentää Syyttäjälaitoksen ja muiden oikeushallinnon viranomaisten rekisterinpitovastuita.
Maa- ja metsätalousministeriön lausunnossa katsottiin, että HE-luonnoksessa pitäisi tarkemmin avata valtion talousarvioon liittyvää lainsäädäntöä ja talousarvion laadintaan liittyviä määräyksiä. Siinä katsottiin myös, että olisi paikallaan kuvata tarkemmin muun muassa sitä, millä tavoin ja missä tilanteissa toimintamenomomentin määrärahaa voisi käyttää talousarvioon liittyvän lainsäädännön tai laadintamääräyksen mukaisesti mahdollisen seuraamusmaksun maksamiseen. Hallituksen esitystä ei ole täydennetty näiltä osin. Hallituksen esityksessä ei ehdoteta lainmuutoksia, jotka vaikuttaisivat siihen, miten talousarvioon liittyvää lainsäädäntöä sovelletaan. Esitykseen ei myöskään sisälly sellaisia lainmuutoksia, jotka vaikuttaisivat esimerkiksi kuntien tai hyvinvointialueiden rahoituksen perusteisiin, joihin viitataan sisäministeriön lausunnossa. Seuraamusmaksut kohdistuisivat rekisterinpitäjinä toimiviin valtion viranomaisiin vastaavalla tavalla kuin hankintalain mukaiset seuraamusmaksut niihin viranomaisiin, jotka ovat siinä tarkoitettuja hankintayksiköitä. Yksittäisiä seuraamusmaksuja koskevissa vaikutusarvioissa on myös huomioitu tilanteet, joissa toimintamenomomentin mukaisia määrärahoja ei olisi mahdollista käyttää seuraamusmaksun maksamiseen.
Tampereen yliopisto ehdotti, että hallinnollisen seuraamusmaksun vanhenemisaika säädettäisiin enintään viideksi vuodeksi, tapahtumahetkestä tai loukkauksen jatkuessa sen päättymisestä. Ehdotukselle esitettiin useita perusteluja. Hallinnollisen seuraamusmaksun määräämistä koskeva kymmenen vuoden vanhenemisaika perustuu voimassa olevaan tietosuojalakiin ja johdonmukaisuussyistä rikosasioiden tietosuojalaissa ehdotetaan säädettäväksi saman pituisesta seuraamusmaksun vanhenemisajasta. Kummassakin lakiehdotuksessa kuitenkin jatkuvien rikkomusten ja laiminlyöntien osalta seuraamusmaksun määräämisen vanhenemisaika on lyhennetty viiteen vuoteen. Tätä muutosta pidetään oikeasuhteisuusvaatimuksen johdosta perusteltuna. Lisäksi toimeenpanoa ja seurantaa koskevaan jaksoon on lisätty maininta siitä, että vanhenemisaikaa voi olla syytä arvioida uudelleen säännösten jälkiarvioinnin yhteydessä.
Erillisenä kysymyksenä Poliisihallitus esitti harkittavaksi, tulisiko tietosuojalainsäädännön nojalla määrättyihin seuraamuksiin liittyvä muutoksenhaku keskittää tiettyihin, yhteen tai useampaan, hallinto-oikeuteen. Tietosuojavaltuutetun ratkaisuja koskeva muutoksenhaku jakautuu jo nykyisin kaikille hallinto-oikeuksille, mukaan lukien yksityissektorille määrättyjä seuraamusmaksuja koskeva muutoksenhaku. Muutoksenhaun keskittäminen poikkeaisi nykytilasta ja yleisistä alueellisia hallinto-oikeuksia koskevista tavoitteista, eikä keskittämiselle olisi painavia perusteita.
Osassa lausuntoja nostettiin esiin tarve ennakolliseen neuvontaan tai ohjaukseen. Näiden lausunnonantajien mukaan siihen tulisi panostaa ensisijaisesti sen sijaan, että viranomaisia säädetään koskemaan seuraamusmaksusääntely. Ehdotetussa sääntelyssä on kuitenkin huomioitu se, että tietosuojavaltuutetun tehtäviin kuuluvat kaikki yleisen tietosuoja-asetuksen 57 artiklassa säädetyt tehtävät, ei ainoastaan asetuksen noudattamisen valvonta. Nämä tehtävät, mukaan lukien ennakollinen neuvonta, eivät ole vaihtoehtoisia korjaavien toimivaltuuksien käytölle. Jälkikäteinen valvonta ei ole myöskään pelkästään seuraamusharkintaa. Tietosuojalainsäädännön edellyttämät sanktioluontoiset seuraamukset ovat kaikkiin rekisterinpitäjiin ja henkilötietojen käsittelijöihin liittyvä, jäsenvaltioille asetettu täytäntöönpanovelvoite. Tietosuojavaltuutetun toiminnan edellytysten turvaamisesta on huolehdittu erikseen osoittamalla valtion talousarviossa vuodesta 2026 alkaen pysyvä resurssien lisäys.
7
Säännöskohtaiset perustelut
7.1
Tietosuojalaki
24 §.Hallinnollinen seuraamusmaksu. Voimassa olevan 24 §:n 4 momentin mukaisesti seuraamusmaksua ei voida määrätä valtion viranomaisille, valtion liikelaitoksille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille, tasavallan presidentin kanslialle eikä Suomen evankelis-luterilaiselle kirkolle ja Suomen ortodoksiselle kirkolle eikä niiden seurakunnille, seurakuntayhtymille ja muille elimille. Momentin perustelujen mukaan tässä yhteydessä itsenäisen julkisoikeudellisen laitoksen käsite kattaa myös yliopistolaitoksen. Valtion liikelaitokset on suljettu seuraamusmaksuja koskevien säännösten soveltamisalan ulkopuolelle sillä perusteella, että ne eivät enää toimi kilpailuilla markkinoilla, vaan tuottavat palveluita valtionhallinnon sisällä. Voimassa olevan 4 momentin perustelujen mukaan momentissa säädetty rajaus ei koske sen sijaan niitä yksityisiä tahoja, jotka hoitavat perustuslain 124 §:n tarkoittamia julkisia hallintotehtäviä (HE 9/2018 vp, s. 56). Tällaisia tahoja ovat esimerkiksi julkisia terveydenhuoltopalveluita tarjoavat yksityiset ja ammattikorkeakoulut sekä säätiömuotoiset korkeakoulut.
Pykälän 4 momenttia ehdotetaan muutettavaksi siten, että hallinnollisia seuraamusmaksuja sovellettaisiin pääsääntöisesti myös edellä mainittuihin viranomaisiin ja julkishallinnon elimiin. Momentin mukaan seuraamusmaksua ei voisi määrätä tuomioistuimille eikä eduskunnan virastoille. Seuraamusmaksua ei voisi määrätä myöskään tiedusteluvalvontavaltuutetulle siltä osin kuin on kyse tiedustelutoiminnan valvonnasta annetun lain (121/2019) mukaiseen valvontaan liittyvistä henkilötietojen käsittelytoimista. Muutoksen myötä seuraamusmaksuja koskevien säännösten soveltamisala laajenisi koskemaan pääsääntöisesti viranomaisia ja muita hallintolain soveltamisalaan kuuluvia yhteisöjä. Hallintolain organisatorinen soveltamisala on määritelty laajaksi sen 2 §:n 2 ja 3 momentissa. Lakia sovelletaan sekä viranomaisten toiminnassa että julkista hallintotehtävää hoidettaessa. Säännöksen 2 momentin mukaan viranomaisia ovat valtion viranomaiset, hyvinvointialueiden ja hyvinvointiyhtymien viranomaiset, kunnalliset viranomaiset, itsenäiset julkisoikeudelliset laitokset sekä eduskunnan virastot ja tasavallan presidentin kanslia. Lakia sovelletaan 3 momentin mukaan myös valtion liikelaitoksissa, julkisoikeudellisissa yhdistyksissä sekä yksityisissä niiden hoitaessa julkisia hallintotehtäviä.
Koska tietosuojalakia ei sovelleta ollenkaan valtiopäivätoiminnan yhteydessä suoritettavaan henkilötietojen käsittelyyn, eikä tietosuojavaltuutettu ole myöskään toimivaltainen valvomaan eduskunnan oikeusasiamiehen ja valtioneuvoston oikeuskanslerin henkilötietojen käsittelyä, myöskään hallinnollista seuraamusmaksua koskevaa sääntelyä ei ole mahdollista soveltaa niihin. Tietosuojavaltuutetun valvontatoimivallan ulkopuolella ovat myös eduskunnan oikeusasiamiehen kanslia ja oikeuskanslerinvirasto, huomioiden niiden erottamattomuuden laillisuusvalvontaan liittyvässä henkilötietojen käsittelyssä. Tietosuojalain 14 §:n 2 momentti, jonka mukaan tietosuojavaltuutettu ei valvo valtioneuvoston oikeuskanslerin eikä eduskunnan oikeusasiamiehen toimintaa, lisättiin lakiehdotukseen hallintovaliokunnan mietinnön mukaisesti (HaVM 13/2018 vp). Säännöksen tarkoituksena on, että valvontaviranomaisen valvonta ei kohdistu ylimpiin laillisuusvalvojiin miltään osin. Laillisuusvalvonnan lisäksi myös esimerkiksi henkilöstöhallintoa koskeva henkilötietojen käsittely rajautuisi valvontaviranomaisen valvonnan ulkopuolelle. Mietinnössä korostetaan sitä, että tietosuoja-asetus tulee kuitenkin sovellettavaksi myös ylimpien laillisuusvalvojien suorittamaan henkilötietojen käsittelyyn.
Seuraamusmaksua koskevien säännösten soveltamisalan ulkopuolelle ehdotetaan jätettäväksi tuomioistuinten henkilötietojen käsittely kaikilta osin. Yleisen tietosuoja-asetuksen 55 artiklan 3 kohdan mukaisesti tietosuojavaltuutettu ei valvo käsittelytoimia, joita tuomioistuimet suorittavat lainkäyttötehtäviensä yhteydessä. Käytännössä sen arvioiminen, milloin kyse on lainkäyttötehtävästä tai muusta tuomioistuimen tehtävästä, voi kuitenkin olla vaikeaa, ja voi jäädä viime kädessä tuomioistuimen riippumattomuudesta johtuen tämän itsensä ratkaistavaksi. Seuraamusmaksun määräämisen kannalta sen sijaan on ensinnäkin keskeistä, että ne tehtävät, joihin seuraamusmaksu voitaisiin kohdistaa, on määritetty täsmällisesti ja tarkkarajaisesti. Toiseksi tuomioistuinten valtiosääntöisen aseman ja oikeusjärjestelmän systematiikan kannalta ei ole tarkoituksenmukaista, että hallinnollisia seuraamusmaksuja määrättäisiin tuomioistuimille. Osa niistä on toimivaltaisia käsittelemään seuraamusmaksuja koskevia muutoksenhakuasioita.
Hallinnollisten seuraamusmaksujen soveltamisalan ulkopuolelle ehdotetaan jätettäväksi myös eduskunnan virastot, joihin tietosuojavaltuutetun valvontatoimivalta ulottuu voimassa olevan tietosuojalain mukaisesti. Tietosuojavaltuutetun käytettävissä ovat myös niiden osalta hallinnollisen seuraamusmaksujen määräämistä lukuun ottamatta kaikki muut yleisen tietosuoja-asetuksen mukaiset korjaavat toimivaltuudet, joita koskevat säännökset eivät sisällä kansallista liikkumavaraa. Eduskunnan valtiosääntöisen aseman huomioimiseksi seuraamusmaksusääntelyä ei kuitenkaan ehdoteta laajennettavaksi koskemaan eduskunnan virastoja. Eduskunnan virastot poikkeavat toisistaan perustuslailliselta asemaltaan sekä siltä osin, miten niiden tehtävistä on säädetty. Siltä osin kuin eduskunnan virastoissa kuitenkin on viranhaltijoita, nämä rinnastuvat eduskunnan virkamiehiin.
Perustuslakivaliokunta on ottanut kantaa kyberturvallisuusdirektiivin täytäntöönpanolainsäädäntöä koskevan hallituksen esityksen käsittelyn yhteydessä kyseisen direktiivin sääntelyn soveltamiseen eduskunnan virastoihin (PeVL 62/2024 vp, kohdat 23 ja 26). Perustuslakivaliokunnan käsityksen mukaan direktiivissä ei edellytetty ehdotetun kaltaista eduskunnan virastoihin ulottuvaa soveltamisalaa. Valiokunnan mielestä direktiivissä mainitusta parlamentin käsitteestä hallituksen esityksessä omaksuttu suppea tulkinta ei ollut yhteensopiva eduskunnan valtiosääntöiseen asemaan kiinnittyvien näkökohtien kanssa. Hallituksen esityksen 2. lakiehdotusta oli muutettava siten, että tiedonhallintalain 4 a lukua ei sovelleta eduskunnan virastoihin. Tällainen muutos oli edellytyksenä 2. lakiehdotuksen käsittelemiselle tavallisen lain säätämisjärjestyksessä. Yleisen tietosuoja-asetuksen soveltamisala on kuitenkin kyberturvallisuusdirektiivin soveltamisalaa laajempi. EU:n tuomioistuimen oikeuskäytännöstä ilmenee, että tietosuoja-asetuksen soveltamisalaa koskevia poikkeuksia on tulkittava suppeasti, eikä tuomioistuin ole tehnyt poikkeusta parlamentin elinten henkilötietojen käsittelyn osalta, vaan niitä pidetään yleisessä tietosuoja-asetuksessa tarkoitettuina rekisterinpitäjinä (C-33/22 (österreichische Datenschutzbehörde), tuomio 16.1.2024 (suuri jaosto), 40–42 ja 50–51 kohta; C-272/19, Land Hessen, tuomio 9.7.2020, 74 kohta).
Eduskunnan virastojen rajaaminen kokonaan tietosuojalain mukaisen tietosuojavaltuutetun valvonnan ulkopuolelle ei edellä mainitun EU:n tuomioistuimen oikeuskäytännön valossa olisi mahdollista. Ne myös ovat jo valvonnan piirissä. Tietosuojalaissa on sen sijaan perustuslakivaliokunnan linjauksen perusteella (PeVL 14/2018 vp) säädetty eduskunnan valtiopäivätoiminta lain soveltamisalan ulkopuolelle. Perustuslakivaliokunnan tuoreen lausunnon valossa olisi kuitenkin ongelmallista se, että eduskunnan virastoille voitaisiin määrätä seuraamusmaksu tietosuojalainsäädännön rikkomisesta. Siten niiden osalta ehdotetaan edelleen käytettäväksi yleisen tietosuoja-asetuksen 83 artiklan 7 kohdan mukaista liikkumavaraa. Koska perustuslakivaliokunta on kyberturvallisuusdirektiivin osalta pitänyt valvonnan kohdistamista eduskunnan virastoihin tavallisen lain säätämisjärjestyksen edellytyksenä, eduskunnan ja sen virastojen toiminta ehdotetaan jätettäväksi seuraamusmaksuja koskevien säännösten soveltamisalan ulkopuolelle.
Hallinnollisten seuraamusmaksujen ulkopuolelle ehdotetaan jätettäväksi lisäksi tiedusteluvalvontavaltuutettu tiedustelutoiminnan valvontatehtävään liittyvien käsittelytoimien osalta. Tiedustelutoiminnan valvonnalla tarkoitetaan sekä siviili- että sotilastiedustelun parlamentaarista valvontaa ja laillisuusvalvontaa. Tiedustelutoiminnan ja suojelupoliisin muun toiminnan parlamentaarista valvontaa harjoittaa eduskunnan tiedusteluvalvontavaliokunta, jonka tehtävistä säädetään eduskunnan työjärjestyksessä (40/2000). Tiedustelutoiminnan laillisuusvalvontaa harjoittaa tiedusteluvalvontavaltuutettu. Valtuutettu valvoo myös suojelupoliisin muuta toimintaa. Tiedusteluvalvontavaliokunta ei kuulu tietosuojalain soveltamisalaan, kun taas tiedusteluvalvontavaltuutetun henkilötietojen käsittelyyn sovelletaan yleistä tietosuoja-asetusta ja tietosuojalakia.
Tiedusteluvalvontavaltuutetulla on laajat tiedonsaantioikeudet ja tarkastusoikeus, joka kohdistuu kokonaan unionin oikeuden ulkopuolella olevaan tiedustelutoimintaan. Tiedustelutoiminnan valvonta käsittää tiedustelumenetelmien ja tiedustelutiedon käytön sekä muun tiedustelutoiminnan lainmukaisuuden valvonnan, perus- ja ihmisoikeuksien toteutumisen valvonnan sekä oikeusturvan toteutumisen ja siihen liittyvien hyvien käytäntöjen edistämisen. Tiedusteluvalvontavaltuutetun suorittama valvonta on luonteeltaan laillisuusvalvontaa, joka poikkeaa muiden valvontaviranomaisten tehtävistä ja toimivaltuuksista, vaikka tehtävä ei perustu ylimpien laillisuusvalvojien tehtävistä poiketen perustuslakiin. Tiedusteluvalvontavaltuutettu on myös toimivaltainen valvomaan tuomioistuimen myöntämien tiedustelulupien noudattamista. (ks. myös PeVM 9/2018 vp)
Huomioiden tiedusteluvalvontavaltuutetun ja tietosuojavaltuutetun toimivaltuuksien osittaisen päällekkäisyyden, ja sen, että valvonta kohdistuu kokonaan unionin oikeuden ulkopuoliseen toimintaan, hallinnollisten seuraamusmaksujen määräämisen mahdollisuus tiedusteluvalvontavaltuutetulle ei olisi tämän valvontatehtävän yhteydessä tarkoituksenmukaista. Lähtökohtaisesti tietosuojavaltuutettu on jo nykyisin toimivaltainen valvomaan tiedusteluvalvontavaltuutetun suorittamaa henkilötietojen käsittelyä. Seuraamusmaksu ei olisi poissuljettu kuitenkaan tiedusteluvalvontavaltuutetun muun kuin tiedustelutoiminnan valvontaan liittyvän henkilötietojen käsittelyn osalta. Käytännössä kyse olisi esimerkiksi henkilöstöhallintoon liittyvästä tai muusta hallinnollisesta henkilötietojen käsittelystä.
Pykälän 5 momentissa säädetään seuraamusmaksun määräämistä koskevasta vanhenemisajasta. Momentissa on käytetty yleisen tietosuoja-asetuksen 83 artiklan 8 kohdan mukaista liikkumavaraa, ja se on perusteltu seuraamusten oikeasuhteisuuden vaatimuksella. Koska yleisessä tietosuoja-asetuksessa ei ole erityisiä menettelysääntöjä, kunkin jäsenvaltion asiana on vahvistaa oikeusjärjestyksessään sellaisia oikeussuojakeinoja koskevat yksityiskohtaiset säännöt, joilla pyritään turvaamaan kyseisen asetuksen säännöksiin perustuvat yksityisten oikeudet, kunhan tehokkuus- ja vastaavuusperiaatetta noudatetaan (C-683/21, Nacionalinis visuomenės sveikatos centras, tuomio 5.12.2023, 66 kohta). EU:n tuomioistuin on myös katsonut, että unionin oikeussääntöjen puuttuessa jäsenvaltioilla on oikeus soveltaa muun muassa preklusiivisia määräaikoja (C-291/24, Steiermärkische Bank und Sparkassen AG, tuomio 29.1.2026, 39 kohta; C-500/16, Caterpillar Financial Services, tuomio 20.12.2017, 37 kohta oikeuskäytäntöviittauksineen). Momentin ensimmäisen virkkeen mukaan seuraamusmaksua ei saa määrätä, jos on kulunut yli kymmenen vuotta siitä, kun rikkomus tai laiminlyönti on tapahtunut. Momentin toisen virkkeen mukaan, jos rikkomus tai laiminlyönti on ollut luonteeltaan jatkuvaa, kymmenen vuoden määräaika lasketaan siitä, kun rikkomus tai laiminlyönti on päättynyt.
Momentin toista virkettä ehdotetaan muutettavaksi siten, että jatkuvan rikkomuksen tai laiminlyönnin osalta seuraamusmaksua ei saisi määrätä, jos on kulunut yli viisi vuotta siitä, kun rikkomus tai laiminlyönti on päättynyt. Nykyinen kymmenen vuoden vanhenemisaika on pitkä verrattuna tuoreemmissa EU-oikeuden täytäntöönpanoon liittyvissä laeissa säädettyihin viiden vuoden vanhenemisaikoihin, ja siihen liittyy kysymys vanhenemisajan oikeasuhteisuudesta. Vaikka kymmenen vuoden vanhenemisaika voi olla perusteltu poikkeuksellisen vaikeissa ja rajat ylittävissä asioissa, joiden selvittäminen voi viedä aikaa, se voi muodostua kohtuuttomaksi erityisesti jatkuvien rikkomusten ja laiminlyöntien osalta. Muutos on perusteltu säännösten oikeasuhteisuuteen ja oikeusturvaan liittyvistä syistä. Ehdotettu lainmuutos koskisi sekä julkissektorin että yksityissektorin rekisterinpitäjille ja henkilötietojen käsittelijöille määrättäviä seuraamusmaksuja.
24 a §.Seuraamusmaksun määrääminen viranomaisille ja julkishallinnon elimille. Lakiin ehdotetaan lisättäväksi uusi 24 a §, jossa säädettäisiin seuraamusmaksun määräämiseen liittyvistä yksityiskohdista, jotka koskevat viranomaisia ja julkishallinnon elimiä. Pykälä koskisi kaikkia yleisen tietosuoja-asetuksen soveltamisalalla henkilötietoja käsitteleviä viranomaisia ja muita julkissektoria edustavia tahoja, pois lukien 24 §:n 4 momentissa mainitut tuomioistuimet, eduskunnan virastot ja tiedusteluvalvontavaltuutettu, sekä ylimmät laillisuusvalvojat ja eduskunnan valtiopäivätoiminta. Pykälän 1 momentin mukaan hallinnollinen seuraamusmaksu voitaisiin määrätä valtion viranomaiselle ja liikelaitokselle, kunnan ja kuntayhtymän viranomaiselle, hyvinvointialueen ja hyvinvointiyhtymän viranomaiselle, itsenäiselle julkisoikeudelliselle laitokselle, yhteisölle, säätiölle ja muulle itsenäiselle julkisoikeudelliselle yhteisölle, tasavallan presidentin kanslialle, Suomen evankelis-luterilaiselle kirkolle ja Suomen ortodoksiselle kirkolle sekä niiden seurakunnalle, seurakuntayhtymälle ja muulle elimelle, sekä julkista hallintotehtävää hoitavalle yhteisölle, säätiölle ja yksityiselle henkilölle (viranomaiset ja julkishallinnon elimet) noudattaen, mitä tietosuoja-asetuksen 83 artiklan 1–3 kohdassa ja tässä pykälässä säädetään, jos tietosuoja-asetuksen 58 artiklan 2 kohdassa säädetyt muut toimenpiteet eivät ole riittäviä. Seuraamusmaksu olisi jätettävä määräämättä, jos sen määräämisen edellytykset eivät täyty. Seuraamusmaksu olisi mahdollinen kaikille niille julkishallinnon rekisterinpitäjille ja henkilötietojen käsittelijöille, joita ei nimenomaisesti ole suljettu soveltamisalan ulkopuolelle 24 §:n 4 momentissa.
Se, mitä yleisen tietosuoja-asetuksen 83 artiklan 7 kohdassa tarkoitetaan viranomaisilla ja julkishallinnon elimillä, määräytyy tarkemmin kansallisen oikeusjärjestelmän mukaisesti. Kyseiseen kohtaan liittyvässä asetuksen johdanto-osan 150 kappaleessa ei tarkemmin perustella, mitä julkishallinnon elimillä tarkoitetaan. Käsitteen laajaa tulkintaa kuitenkin tukee asetuksen 86 artiklaan liittyvä johdanto-osan 154 kappale, jonka mukaan viranomaisia ja julkishallinnon elimiä koskevaan viittaukseen olisi tässä yhteydessä sisällytettävä kaikki viranomaiset ja muut elimet, jotka kuuluvat asiakirjojen saatavuutta koskevan jäsenvaltion lainsäädännön piiriin. Myös EU:n tuomioistuimen tulkintakäytännössä julkishallinnolle on annettu laaja merkitys (esim. asia C-413/15, tuomio (suuri jaosto) 10.10.2017, 33–35 kohta). Koska ehdotettu hallinnollisen seuraamusmaksun soveltamisalasäännös liittyy kiinteästi kansallisen liikkumavaran käyttöön, joka koskee nimenomaisesti viranomaisia ja julkishallinnon elimiä, näitä käsitteitä ehdotetaan käytettäväksi myös tietosuojalaissa. Momentti sisältäisi kuitenkin säännöksen sisäisen määritelmän sen selventämiseksi, mitä viranomaisilla ja julkishallinnon elimillä tarkoitettaisiin. Julkista hallintotehtävää hoitavat yksityiset rinnastettaisiin julkishallinnon rekisterinpitäjiin ja henkilötietojen käsittelijöihin, vaikka ne edustavat välillistä julkishallintoa. Säännös kattaisi kaikki julkista hallintotehtävää hoitavat yksityiset, eikä rajoittuisi julkisen vallan käyttämiseen. Säännös sen sijaan ei kattaisi sellaista yksityisen kuten osakeyhtiön suorittamaa henkilötietojen käsittelyä, joka ei liity julkisen hallintotehtävän hoitamiseen.
Sen lisäksi, että pykälä sisältäisi viranomaisille määrättäviä seuraamusmaksuja koskevat erityissäännökset suhteessa yleisen tietosuoja-asetuksen 83 artiklaan, artiklan 1–3 kohdan säännökset hallinnollisen seuraamusmaksun määräämisen edellytykset koskisivat myös viranomaisia. Viittauksella 83 artiklan 1–3 kohtaan huomioitaisiin EU:n tuomioistuimen tulkintakäytäntö, jonka mukaan seuraamusmaksun määräämisen aineelliset edellytykset eivät sisällä kansallista sääntelyliikkumavaraa. Samalla varmistettaisiin seuraamusmaksuihin liittyvän sääntelyn yksityiskohtaisuus ja tarkkarajaisuus perustuslain tulkintakäytännön edellyttämällä tavalla. Erityisesti kyseisten kohtien ja ehdotetun pykälän muodostamasta normistosta käy kokonaisuutena ilmi, minkä tietosuoja-asetuksen säännösten rikkomisesta voitaisiin määrätä seuraamusmaksu, ja ne sisältävät riittävän yksityiskohtaisen luonnehdinnan sanktioitavaksi tarkoitetuista rikkomuksista ja laiminlyönneistä. Lisäksi perustuslain tulkintakäytännön huomioimiseksi ehdotetussa 1 momentissa korostettaisiin seuraamusmaksun viimesijaisuutta sanktiona sekä seuraamusharkinnan sidonnaisuutta siihen, että seuraamusmaksu tulee jättää määräämättä, jos sen määräämisen edellytykset eivät täyty. (Ks. tarkemmin jakso 10.)
Ehdotetun hallinnollisen seuraamusmaksun viimesijaisuutta koskevan vaatimuksen tarkoituksena ei ole kuitenkaan poiketa yleisen tietosuoja-asetuksen 83 artiklan 1–3 kohdan mukaisista seuraamusmaksun määräämisen edellytyksistä, vaan seuraamusharkinta perustuisi yksityissektoria koskevia asioita vastaavasti samoihin näkökohtiin. Viimesijaisuudella tarkoitettaisiin sitä, että yksittäistapauksessa muut käytettävissä olevat toimenpiteet eivät olisi riittäviä suhteessa rikkomuksen tai laiminlyönnin vakavuuteen ja muihin asiaan liittyviin näkökohtiin, jolloin seuraamusmaksun määräämisen edellytykset täyttyisivät. Seuraamusmaksun määrääminen ei kuitenkaan edellyttäisi, että tietosuojavaltuutettu ensin toteuttaisi muita toimenpiteitä, vaan voisi harkintansa mukaan määrätä seuraamusmaksun yhdessä muiden toimenpiteiden kanssa tai niiden sijasta. Korkein hallinto-oikeus on myös katsonut, seuraamusmaksun määräämisen oikeasuhteisuutta arvioitaessa ei ole merkitystä sillä seikalla, että valvontaviranomainen ei ennen maksun määräämistä ollut käyttänyt muita korjaavia toimivaltuuksiaan, kuten varoituksen, huomautuksen tai määräyksen antamista (KHO:2023:81, kohta 50). Lähtökohtaisesti oikeasuhteisuuden ja seuraamusmaksun viimesijaisuuden vaatimukset seuraisivat jo suorasta yleisen tietosuoja-asetuksen 83 artiklan soveltamisesta, joka edellyttää EU:n tuomioistuimen oikeuskäytännön mukaisesti erityisesti rekisterinpitäjän tahallisen tai tuottamuksellisen toiminnan osoittamista. Perustuslakiin liittyvien näkökohtien huomioimiseksi oikeasuhteisuuden ja viimesijaisuuden vaatimuksia kuitenkin korostettaisiin 83 artiklan 7 kohtaan perustuvan viranomaisia koskevan liikkumavaran puitteissa.
Pykälän 2 ja 3 momentissa mukautettaisiin yleisen tietosuoja-asetuksen 83 artiklan 4–6 kohtaa siten, että viranomaiselle tai julkishallinnon elimelle määrättävien seuraamusmaksujen enimmäismäärät olisivat merkittävästi alemmat kuin tietosuoja-asetuksen kyseisissä kohdissa säädetyt enimmäismäärät. Siihen, kumpi enimmäismäärä tulisi kyseeseen, vaikuttaisi kuitenkin yksityissektoria vastaavasti se, minkä säännösten rikkomisesta olisi kyse. Pykälän 3 momentin soveltamisalaan kuuluvat seuraamusmaksut määrättäisiin 2 momentin alaan kuuluvia rikkomuksia vakavammista rikkomuksista tai laiminlyönneistä. Yksityiskohtaisempi seuraamusmaksujen porrastus ei olisi tarpeen, ottaen huomioon sen, että seuraamusmaksun ja sen suuruuden määräytymiseen vaikuttaisivat useat yleisen tietosuoja-asetuksen 83 artiklassa mainitut näkökohdat. Seuraamusmaksu perustuisi aina tapauskohtaiseen harkintaan. Viranomaisten toiminnan budjettisidonnaisuuden vuoksi ja seuraamusjärjestelmän johdonmukaisuussyistä viranomaisille ja julkishallinnon elimille ei ehdoteta seuraamusmaksun vähimmäismäärää. Myös yleisen tietosuoja-asetuksen säännöksissä säädetään pelkästään seuraamusmaksun enimmäismääristä.
Euroopan tietosuojaneuvosto on laatinut ohjeet yleisen tietosuoja-asetuksen mukaisten hallinnollisten seuraamusmaksujen laskemisesta (Suuntaviivat 4/2022, versio 2.1, hyväksytty 24. toukokuuta 2023) Siltä osin kuin viranomaisia koskisivat samat säännökset kuin yksityissektorin rekisterinpitäjiä ja henkilötietojen käsittelijöitä, ohjeet soveltuisivat tässä esityksessä ehdotettujen säännösten soveltamisen tueksi. Tämä koskee erityisesti yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa säädettyjä seuraamusmaksun määrässä huomioitavia seikkoja.
Pykälän 2 momentin mukainen seuraamusmaksun enimmäismäärä olisi 500 000 euroa. Momentissa viitataan yleisen tietosuoja-asetuksen 83 artiklan 4 kohtaan, jonka mukaan seuraamusmaksu voidaan määrätä rekisterinpitäjän ja henkilötietojen käsittelijän 8, 11, 25–39 ja 42 ja 43 artiklan mukaisten velvollisuuksien rikkomisesta. Näistä kuitenkaan 8 artikla, 27 artikla sekä 42 ja 43 artikla eivät lähtökohtaisesti sovellu julkissektorilla. Siten viranomaiselle tai julkishallinnon elimelle määrättävä seuraamusmaksu voisi liittyä velvoitteisiin, jotka koskevat sisäänrakennettua ja oletusarvoista tietosuojaa, yhteisrekisterinpitoa ja henkilötietojen käsittelijöitä, henkilötietojen käsittelyä rekisterinpitäjän alaisuudessa, selostetta käsittelytoimista, yhteistyötä valvontaviranomaisen kanssa, käsittelyn turvallisuutta ja tietoturvaloukkauksia koskevia ilmoituksia, tietosuojavaikutustenarviointia, ennakkokuulemista sekä tietosuojavastaavan nimittämistä, asemaa ja tehtäviä.
Pykälän 3 momentin mukainen seuraamusmaksun enimmäismäärä olisi 1 000 000 euroa. Momentissa viitataan yleisen tietosuoja-asetuksen 83 artiklan 5 ja 6 kohtaan. Artiklan 5 kohdan mukaan korkeampi seuraamusmaksu voidaan määrätä ensinnäkin asetuksen 5, 6, 7 ja 9 artiklassa tarkoitettujen käsittelyä koskevien perusperiaatteiden rikkomisesta. Näitä ovat henkilötietojen käsittelyn yleiset periaatteet, kuten käyttötarkoitussidonnaisuuden vaatimus ja tietojen minimointiperiaate, käsittelyn oikeusperusteita koskevat vaatimukset, suostumuksen edellytykset ja erityisiä henkilötietoryhmiä koskevat käsittelyn edellytykset.
Toiseksi tietosuoja-asetuksen 83 artiklan 5 kohdan mukainen korkeampi seuraamusmaksu voidaan määrätä rekisteröityjen 12–22 artiklan mukaisten oikeuksien rikkomisesta. Näistä kuitenkaan 20 artikla ei pääsääntöisesti koske viranomaisia, ja osa muista oikeuksista saattaa olla erityislainsäädäntöön sisällytettyjen rajoitussäännösten perusteella sovellettavissa vain osittain. Mainituissa artikloissa säädetyt oikeudet, jotka koskevat myös viranomaisen suorittamaa henkilötietojen käsittelyä, ovat rekisteröidyn informointivelvoitteet, rekisteröidyn oikeus saada tutustua tietoihin, oikeus tietojen oikaisemiseen, oikeus tietojen poistamiseen, oikeus käsittelyn rajoittamiseen, tietojen oikaisua, poistoa tai käsittelyn rajoittamista koskeva ilmoitusvelvollisuus, rekisteröidyn oikeus vastustaa henkilötietojen käsittelyä sekä oikeudet ja suojatoimet, jotka liittyvät automatisoituihin yksittäispäätöksiin, mukaan lukien profilointi. Seuraamusmaksu ei tulisi kyseeseen esimerkiksi rekisteröidyn oikeuden rajoittamisesta silloin, jos viranomaisella on laissa säädetty oikeus rajoittaa kyseessä olevaa rekisteröidyn oikeutta ja lain säännöksiä on noudatettu.
Kolmanneksi korkeampi seuraamusmaksu voitaisiin määrätä sellaisten säännösten rikkomisesta, jotka koskevat henkilötietojen siirtoja kolmanteen maahan tai kansainväliselle järjestölle. Näistä säädetään yleisen tietosuoja-asetuksen 44–49 artiklassa, jotka sisältävät säännökset tietosuojan riittävyyspäätösten soveltamisesta, tiedonsiirtojen sallimisesta sopimuksen nojalla, tietosuojan riittävyyttä koskevista poikkeuksista, sekä siirroista, joita ei sallita unionin lainsäädännössä. Niistä kuitenkaan 47 artikla ei koske viranomaisia.
Neljänneksi korkeampi seuraamusmaksu koskisi lähtökohtaisesti kaikkia yleisen tietosuoja-asetuksen IX luvussa tarkoitettuja henkilötietojen käsittelyn erityistilanteita. Näitä ovat sananvapaus ja tiedonvälityksen vapaus, asiakirjojen julkisuus, henkilötunnuksen käsittely, käsittely työsuhteen yhteydessä sekä arkistointi-, tutkimus- ja tilastointitarkoitukset.
Asetuksen 83 artiklan 6 kohdan mukaisesti korkeampi seuraamusmaksu voidaan määrätä 58 artiklan 2 kohdassa tarkoitetun valvontaviranomaisen määräyksen noudattamatta jättämisestä. Myös tässä tapauksessa viranomaisten osalta on perusteltua noudattaa vastaavaa ratkaisua.
Edellä mainittujen tilanteiden lisäksi korkeampi seuraamusmaksu olisi mahdollinen yleisen tietosuoja-asetuksen 10 artiklan vaatimusten rikkomisesta. Tämä perustuu tietosuojalaissa käytettyyn kansalliseen liikkumavaraan. Artikla koskee rikostuomioihin ja rikoksiin liittyvää henkilötietojen käsittelyä. Rikostuomioihin ja rikoksiin liittyvät henkilötiedot ovat valtiosääntöisesti arkaluonteisia. Euroopan neuvoston muutetussa yleissopimuksessa 108 ne rinnastuvat erityisiin henkilötietoryhmiin. Myös viranomaisten osalta näiden tietojen käsittely on poikkeuksellista ja rajoitettua silloin, kun kyse ei ole rikosrekisterin pitämisestä tai rikosasioissa toimivaltaisten viranomaisten suorittamasta käsittelystä. Silloin, kun viranomaisella on perusteltu tarve käsitellä rikostuomioihin ja rikoksiin liittyviä tietoja, asiasta säädetään nimenomaisesti laissa. Korkeampi seuraamusmaksun enimmäismäärä olisi perusteltu näiden tietojen käsittelyä koskevien vaatimusten rikkomisesta myös viranomaisille.
Seuraamusmaksun enimmäismäärien osalta on huomioitu se, että hallinnollisen seuraamusmaksun tulisi olla selvästi tuntuvampi kuin laissa säädettyjen laiminlyöntimaksujen keskimääräinen taso, jotta se on riittävän tehokas. Toisaalta ehdotetuissa enimmäismäärissä on huomioitu viranomaisten toiminnan budjettisidonnaisuus ja tarve varmistua siitä, että seuraamusmaksut eivät saisi muodostua niin korkeiksi, että ne haittaisivat viranomaisen lakisääteisten tehtävien hoitamista. Koska viranomaiset eivät toimi liiketaloudellisin perustein, vaan valtion talousarviossa osoitettujen määrärahojen turvin, eikä viranomaisen voida odottaa saavan myöskään säännösten rikkomisesta merkittävää taloudellista hyötyä, yksityissektoria huomattavasti alemmat kiinteät enimmäismäärät olisivat riittävät rikkomusten ennalta estämiseksi. Huomioiden sen, että taloudellisia vaikuttimia ei voida kuitenkaan täysin poissulkea, seuraamusmaksun olisi enimmäismäärältään oltava riittävän korkea sen varmistamiseksi, että seuraamuksella on pelotevaikutus, toisin sanoen se on tehokas, ennalta estävä ja varoittava. Tällä huomioitaisiin erityisesti sellaiset viranomaiset, joiden taloudellinen asema on selvästi muita parempi ja budjetissa on liikkumavaraa. Yksityissektorille määrättyjen seuraamusten valossa kuitenkin voitaneen arvioida, että lähelle enimmäismäärää asettuva seuraamusmaksu olisi odotettavissa hyvin harvoin. Viranomaisten tehtävien hoitamiselle voisi myös aiheutua haittaa siitä, että seuraamusmaksun maksaminen pääsääntöisesti tapahtuisi samoista varoista, jotka on budjetoitu viranomaisen lakisääteisten tehtävien ja velvoitteiden hoitamiseen (ks. edellä seuraamusmaksun vaikutusten arviointia koskeva jakso).
Lähtökohtaisesti seuraamusmaksu voitaisiin määrätä samojen säännösten rikkomisesta kuin yksityissektorin rekisterinpitäjille ja henkilötietojen käsittelijöille. Osa yleisen tietosuoja-asetuksen 83 artiklan 4 ja 5 kohdassa mainituista artikloista kuitenkin koskevat pelkästään yksityissektoria, eivätkä siten tulisi viranomaisten ja julkishallinnon elinten osalta sovellettaviksi.
Ehdotetun 4 momentin mukaan seuraamusmaksun määrästä päätettäessä olisi varmistuttava siitä, että se on oikeassa suhteessa viranomaisen tai julkishallinnon elimen kokoon ja taloudelliseen asemaan sekä rikkomuksen tai laiminlyönnin vakavuuteen. Vaatimus olisi välttämätön valtiosääntöisistä syistä (ks. jakso 10). Ehdotetut 2 ja 3 momentin mukaiset seuraamusmaksujen enimmäismäärät olisivat merkittävästi yleisen tietosuoja-asetuksen mukaisten seuraamusmaksujen enimmäismääriä alemmat, ja enimmäismäärää lähellä oleva seuraamusmaksu olisi käytännössä mahdollinen vain vakavimmista rikkomuksista tai laiminlyönneistä. Enimmäismäärät eivät myöskään olisi mahdollisia budjetiltaan pienten tai heikossa taloudellisessa tilanteessa olevien viranomaisten kannalta. Ehdotetulla oikeasuhteisuuden vaatimusta korostavalla säännöksellä varmistettaisiin seuraamuksen oikeasuhtaisuus osana seuraamuksen määräämismenettelyä. Oikeasuhteisuuspunninnassa tulisi huomioida viranomaisen tai julkishallinnon elimen koon ja taloudellisen aseman lisäksi myös rikkomuksen tai laiminlyönnin vakavuus sen varmistamiseksi, että seuraamus on samalla riittävän ennalta estävä ja varoittava. Vaikka oikeasuhteisuusvaatimus seuraisi sinänsä jo suoraan yleisen tietosuoja-asetuksen 83 artiklasta, vaatimuksen toistaminen ja mukauttaminen on mahdollista artiklan 7 kohdan mukaisen viranomaisia koskevan liikkumavaran puitteissa.
Momentin erityisenä tavoitteena olisi huomioida viranomaisen toiminnan budjettisidonnaisuus. Seuraamusmaksun määräämisen lähtökohdissa on tarpeen huomioida se, että Suomessa on suuri määrä erilaisia viranomaisia ja julkisyhteisöjä, jotka poikkeavat toisistaan budjetin ja henkilöstön suuruuden osalta. Jotta seuraamusmaksun määräämisestä ei aiheutuisi kohtuuttomia vaikutuksia viranomaisen tai muun julkisyhteisön lakisääteisten tehtävien hoitamiseen, viranomaisen taloudellisesta kantokyvystä olisi tarpeen varmistua seuraamusmaksun määrästä päätettäessä. Jos seuraamusmaksu olisi niin suuri, että viranomaisella olisi vaikeuksia suoriutua sen maksamisesta, seuraamusmaksulla voisi olla vaikutuksia siihen, pystyisikö tai minkälaisilla toimenpiteillä viranomainen pystyisi korjaamaan todetut puutteet. Pahimmassa tapauksessa seuraamusmaksu voisi haitata viranomaisen lakisääteisten tehtävien hoitamista tai jopa estää jonkin tehtävän hoitamisen. Vastaavanlaisia vaikutuksia voi kuitenkin olla jo nykyisin käytettävissä olevien tietosuojavaltuutetun korjaavien toimivaltuuksien käytöllä. Ehdotetulla seuraamusmaksun oikeasuhteisuutta koskevalla nimenomaisella vaatimuksella varmistettaisiin, että seuraamusmaksun määrät asettuvat kohtuulliselle tasolle.
Lisäksi oikeasuhteisuuden vaatimuksella huomioitaisiin eräät poikkeukselliset tilanteet. Edellä seuraamusmaksun vaikutusten arviointia koskevassa jaksossa todetaan, että joissakin harvemmissa tapauksissa seuraamusmaksua ei ole mahdollista maksaa valtion viranomaisen omista toimintamenoista. Näissä tapauksissa seuraamusmaksu kohdennettaisiin kirjanpitoyksikköön, joka voisi olla esimerkiksi ministeriö. Näissä tapauksissa seuraamusmaksu ei välttämättä vaikuttaisi ollenkaan rekisterinpitäjään tai henkilötietojen käsittelijään, jolle se on määrätty. Sen sijaan sillä voisi olla haitallisia vaikutuksia yleisemmin kirjanpitoyksikön varojen käyttöön.
Vastaavasti kuin yhteisösakon osalta on katsottu, taloudelliselle asemalle tulisi lähtökohtaisesti antaa yhtä olennainen merkitys kuin sille, että viranomaisen laiminlyönti täyttää tietosuoja-asetuksen 83 artiklassa säädetyt seuraamusmaksun määräämisen edellytykset, mukaan lukien erityisesti rikkomuksen tai laiminlyönnin vakavuus. Taloudellinen asema ei vaikuttaisi siihen, voidaanko seuraamusmaksu määrätä 83 artiklan edellytysten täyttyessä, mutta sen olisi vaikutettava määrättävän seuraamusmaksun suuruuteen. Viranomaisen heikko taloudellinen tilanne voisi vaikuttaa erityisesti seuraamusmaksua alentavana tekijänä. Taloudellisen tuloksen sijasta viranomaisen osalta seuraamusmaksun määrään vaikuttaisi osittain viranomaisen koko, huomioiden sen vuosittaisen budjetin ja henkilöstön määrän. Koska viranomaisen koko ei kuitenkaan automaattisesti tarkoita sitä, että sen budjetissa olisi varauduttu merkittäviin ennakoimattomiin menoihin, lisäksi seuraamusmaksun määrää arvioitaessa tulisi huomioida sen vaikutukset viranomaisen taloudelliseen kantokykyyn. Seuraamusmaksua määrätessä olisi toisin sanoen arvioitava, miten se vaikuttaisi viranomaisen edellytyksiin suoriutua lakisääteisten tehtäviensä hoitamisesta ja lakisääteisistä maksuista ja muista velvoitteista. Tällä ei tarkoiteta sitä, että tietosuojavaltuutetun olisi arvioitava sitä, miten seuraamusmaksu vaikuttaisi konkreettisesti yksittäisen viranomaisen tapauksessa sen lakisääteisten tehtävien hoitamiseen. Tietosuojavaltuutetun on kuitenkin hallintolain 31 §:n mukaisesti huolehdittava asian riittävästä ja asianmukaisesta selvittämisestä hankkimalla asian ratkaisemiseksi tarpeelliset tiedot sekä selvitykset. Taloudellisen tilanteen selvittäminen olisi tarpeen samaan tapaan kuin yritysten osalta. (Ks. Suuntaviivat 4/2022, s. 37–39). Tämä voi toisaalta edellyttää myös sitä, että rekisterinpitäjä tai henkilötietojen käsittelijä pystyy objektiivisella näytöllä osoittamaan, että seuraamusmaksu aiheuttaisi vahinkoa sen taloudelliselle kantokyvylle ja siten vaikeuttaisi kohtuuttomasti sen lakisääteisten tehtävien hoitamista. Tietosuojavaltuutetulla on tietosuojalaissa säädetty oikeus saada asian selvittämiseksi tarpeelliset tiedot salassapitosäännösten estämättä.
Lähtökohtaisesti seuraamusmaksu kohdistuisi vuosittaisen talousarvion ja tilinpäätöksen mukaiseen kirjanpitoyksikköön. Siinä tapauksessa, että rekisterinpitäjäksi on laissa tai muutoin määritetty sellainen yksikkö, joka ei ole erillinen viranomainen tai kirjanpitoyksikkö, seuraamusmaksu tulisi kohdistaa sille kirjanpitoyksikölle, jonka alaisuuteen rekisterinpitäjän toiminta kuuluu. Kyseeseen voisi tulla myös ohjaava ministeriö, jos toimija on itsenäinen, mutta ei kuitenkaan oma kirjanpitoyksikkönsä. Useimmissa tapauksissa seuraamusmaksu olisi esimerkiksi valtion viranomaisten osalta helposti kohdennettavissa talouskirjanpidossa sille tilille, joka on kyseessä olevan rekisterinpitäjän tai henkilötietojen käsittelijän käytössä. Yhteisrekisterinpitotilanteessa seuraamusmaksun kohdentamisessa oikealle kirjanpitoyksikölle ratkaisevaa olisi se, minkä rekisterinpitäjän vastuulla laiminlyönti on tosiasiallisesti. Suomessa on voimassa jonkin verran lainsäädäntöä, jossa säädetään kahden tai useamman viranomaisen tai yksikön välisestä yhteisrekisterinpidosta sekä näiden välisestä rekisterinpitäjän tehtävien jakautumisesta. Tällaisessa tapauksessa myös rikkomuksesta vastuussa oleva rekisterinpitäjä voi määräytyä ainakin joissakin tilanteissa suoraan lain säännösten perusteella.
Pykälän 5 momentissa täsmennettäisiin, että 2–4 momentin säännökset koskisivat kuitenkin yhteisöjä, säätiöitä ja yksityisiä henkilöitä vain siltä osin kuin ne hoitavat julkista hallintotehtävää. Voimassa olevan tietosuojalain 24 §:n 4 momenttia on sovellettu siten, että julkista hallintotehtävää hoitaville voidaan määrätä hallinnollinen seuraamusmaksu jo nykyisin. Silloin, kun julkista hallintotehtävää hoitavat yhteisöt, säätiöt ja yksityiset henkilöt kuitenkin rinnastuvat hallintolain säännösten mukaisesti viranomaiseen, niihin olisi perusteltua soveltaa samoja seuraamusmaksun määriä kuin viranomaisiin. Yksityisen toimijan taloudellisen aseman arvioinnin tulisi perustua siihen julkiseen tai muuhun rahoitukseen, joka yksityisen toiminnassa on tarkoitettu julkisen hallintotehtävän hoitamiseen. Tällä samalla varmistettaisiin, että viranomaiset ja julkista hallintotehtävää hoitavat yksityiset ovat yhdenveroisessa asemassa. Niissä tilanteissa, joissa yksityisten toiminnassa kuitenkaan ei ole kyse julkisen hallintotehtävän hoitamisesta, tietosuojalainsäädännön rikkomisesta määrättäisiin nykytilaa vastaavasti seuraamusmaksu suoraan yleisen tietosuoja-asetuksen 83 artiklan mukaisesti.
Pykälän 6 momentin mukaan seuraamusmaksua ei voitaisi määrätä julkisuuslain 4 §:ssä tarkoitetulle viranomaiselle ja mainittua lakia soveltavalle yhteisölle, säätiölle tai yksityiselle henkilölle henkilötietojen käsittelytoimista, jotka liittyvät tietosuoja-asetuksen 86 artiklassa tarkoitettuun henkilötietojen luovuttamiseen. Yleisen tietosuoja-asetuksen 86 artiklan mukaan viranomaiset taikka julkis- tai yksityisoikeudelliset yhteisöt yleisen edun vuoksi toteutetun tehtävän suorittamiseksi voivat luovuttaa viranomaisten tai yhteisöjen hallussa olevien virallisten asiakirjojen sisältämiä henkilötietoja viranomaiseen tai yhteisöön sovellettavan unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti, jotta voidaan sovittaa yhteen virallisten asiakirjojen julkisuus ja tämän asetuksen mukainen oikeus henkilötietojen suojaan. Ehdotettu poikkeus seuraamusmaksujen aineelliseen soveltamisalaan koskisi selkeyden vuoksi kaikkia yleisen tietosuoja-asetuksen 86 artiklassa tarkoitettuja henkilötietojen luovutustilanteita, jotka liittyvät artiklan sanamuodon mukaisesti julkisuuden ja henkilötietojen suojan yhteensovittamiseen.
Poikkeuksen soveltamisalaan kuuluisivat kaikki julkisuuslain 4 §:n 1 momentissa mainitut viranomaiset ja julkisuuslakia soveltavat yhteisöt, säätiöt tai yksityiset henkilöt. Viimeksi mainittuja ovat ensinnäkin pykälän 2 momentissa viranomaiseen rinnastetut muut julkista valtaa käyttävät. Mitä viranomaisesta säädetään, koskee myös lain tai asetuksen taikka lain tai asetuksen nojalla annetun säännöksen tai määräyksen perusteella julkista tehtävää hoitavia yhteisöjä, laitoksia, säätiöitä ja yksityisiä henkilöitä niiden käyttäessä julkista valtaa. Ehdotetussa säännöksessä, joka kattaisi yhteisöt, säätiöt ja yksityiset henkilöt, on huomioitu se, että julkisoikeudelliset laitokset tulisivat poikkeuksen piiriin julkisuuslain viranomaisen käsitteen kautta. Evankelis-luterilaisen kirkon asiakirjojen julkisuudesta säädetään erikseen. Toiseksi poikkeuksen soveltamisalaan kuuluisivat julkista valtaa käyttävät tai julkista hallintotehtävää hoitavat yhteisöt, säätiöt tai yksityiset henkilöt, jotka soveltavat julkisuuslakia erityislainsäädännön perusteella. Tarkoituksenmukaista on, että poikkeuksella katetaan yhdenveroisesti kaikki julkisuuslain 4 §:n soveltamisalaan kuuluvat viranomaiset ja muut lakia soveltavat tahot. Suomessa viranomaisen asiakirjojen julkisuuden ja henkilötietojen suojan yhteensovittaminen tapahtuu pääosin julkisuuslaissa. Asiakirjajulkisuutta koskevia säännöksiä sisältyy julkisuuslain lisäksi kuitenkin myös muuhun lainsäädäntöön, esimerkiksi verotustietojen julkisuudesta ja salassapidosta annettuun lakiin (1346/1999). Poikkeuksella katettaisiin sekä julkisuuslaista että muusta asiakirjajulkisuutta koskevasta lainsäädännöstä seuraavat soveltamistilanteet, jotka edellyttävät julkisuuden ja henkilötietojen suojan yhteensovittamista.
Perustuslakivaliokunta kiinnitti tietosuojalakiehdotusta käsitellessään huomiota siihen, että vain yhden perusoikeuden turvaamisen laiminlyöntiin kohdistuvan seuraamusmaksun uhka voi johtaa erityisesti julkisuusperiaatteen toteutumisen kaventumiseen viranomaistoiminnassa. (PeVL 14/2018 vp) Perustuslakivaliokunnan huomiossa on kyse oleellisesti siitä, millä tavalla kilpaileville oikeuksille annettaisiin painoarvoa erityisesti tulkinnanvaraisissa tilanteissa. Lähtökohtaisesti kaikki yleisen tietosuoja-asetuksen IX luvun mukaisesti hyväksytystä jäsenvaltion lainsäädännöstä johtuvat velvollisuudet kuuluisivat 83 artiklan mukaisten seuraamusmaksujen alaan. Ne olisivat myös korkeamman seuraamustason alassa, mukaan lukien 86 artiklassa tarkoitetut virallisten asiakirjojen julkisuuteen liittyvät henkilötietojen käsittelytilanteet, joissa on kyse viranomaisen asiakirjoihin sisältyvien henkilötietojen luovuttamisesta. Siten viranomainen voisi olla seuraamusmaksun uhkan kohteena esimerkiksi tulkinnanvaraisessa tilanteessa, jossa on kyse julkisiin asiakirjoihin sisältyvien henkilötietojen luovuttamisesta muuhun kuin niiden alkuperäiseen keräämistarkoitukseen, jos 86 artiklassa tarkoitettuja käsittelytilanteita ei rajattaisi seuraamusmaksuja koskevien säännösten soveltamisalan ulkopuolelle.
Julkisuusperiaatteen mukaisesti viranomaisten asiakirjat ovat julkisia, jollei julkisuuslaissa tai muussa laissa erikseen toisin säädetä. Julkisuuslain 9 §:n 1 momentin mukaan jokaisella on oikeus saada tieto viranomaisen asiakirjasta, joka on julkinen. Lain 10 §:n mukaan salassa pidettävästä viranomaisen asiakirjasta tai sen sisällöstä saa antaa tiedon vain, jos niin erikseen tässä laissa säädetään. Kun vain osa asiakirjasta on salassa pidettävä, tieto on annettava asiakirjan julkisesta osasta, jos se on mahdollista niin, ettei salassa pidettävä osa tule tietoon. Tietojen luovuttamisesta henkilörekisteristä säädetään lain 16 §:n 3 momentissa. Sen mukaan viranomaisen henkilörekisteristä saa antaa henkilötietoja sisältävän kopion tai tulosteen tai sen tiedot sähköisessä muodossa, jollei laissa ole toisin erikseen säädetty, jos luovutuksensaajalla on henkilötietojen suojaa koskevien säännösten mukaan oikeus tallettaa ja käyttää sellaisia henkilötietoja. Henkilötietoja saa kuitenkin luovuttaa suoramarkkinointia ja mielipide- tai markkinatutkimusta varten vain, jos niin erikseen säädetään tai jos rekisteröity on antanut siihen suostumuksensa.
Ehdotetun seuraamusmaksujen soveltamisalaa koskevan poikkeuksen tarkoituksena olisi huomioida tietosuojalakiehdotusta koskevan perustuslakivaliokunnan lausunnon valossa se, että seuraamusmaksujen uhka tilanteissa, joissa viranomainen noudattaa julkisuuslain tai muun asiakirjajulkisuuteen sovellettavan lain säännöksiä, voisi aiheuttaa konkreettisia vaikeuksia ja pahimmassa tapauksessa kaventaa julkisuutta lain säännösten vastaisesti. Seuraamusmaksun uhkan kohdentumisella tällaisiin tilanteisiin voisi lisäksi olla kaventavaa vaikutusta sananvapauden toteutumiseen, huomioiden julkisuusperiaatteen ja sananvapauden läheisen yhteyden.
Julkisuuslain 3 §:n mukaan tässä laissa säädettyjen tiedonsaantioikeuksien ja viranomaisten velvollisuuksien tarkoituksena on toteuttaa avoimuutta viranomaisten toiminnassa sekä antaa yksilöille ja yhteisöille mahdollisuus valvoa julkisen vallan ja julkisten varojen käyttöä, muodostaa vapaasti mielipiteensä sekä vaikuttaa julkisen vallan käyttöön ja valvoa oikeuksiaan ja etujaan. Julkisuuslain 17 §:n 1 momentin mukaan viranomainen on tämän lain mukaisia päätöksiä tehdessään ja muutoinkin tehtäviään hoitaessaan velvollinen huolehtimaan siitä, että tietojen saamista viranomaisen toiminnasta ei lain 1 ja 3 § huomioon ottaen rajoiteta ilman asiallista ja laissa säädettyä perustetta eikä enempää kuin suojattavan edun vuoksi on tarpeellista ja että tiedon pyytäjiä kohdellaan tasapuolisesti.
Julkisuuden ja tietosuojan yhteensovittaminen tapahtuu käytännössä esimerkiksi viranomaisen käsitellessä yksittäisiä tietopyyntöjä. Asiakirjajulkisuudesta on myös Suomessa runsaasti oikeuskäytäntöä hallinto-oikeuksista, joiden julkisuusasioiden kokonaismäärä on viime vuosina vaihdellut reilun sadan ja reilun kahdensadan asian välillä. Myös korkein hallinto-oikeus on vuosittain ottanut kantaa useisiin asiakirjajulkisuutta koskeviin asioihin, joiden lukumäärät ovat viime vuosien aikana vaihdelleet kahdestakymmenestä jopa reiluun kahdeksaankymmeneen asiaan. Osassa tapauksia on nimenomaisesti otettu kantaa henkilötietojen suojan ja julkisuuden yhteensovittamiseen (esim. KHO:2022:112, 15.9.2022, KHO:2022:146, 21.12.2022; KHO:2024:73, 14.5.2024). Asiakirjojen sisältämien henkilötietojen luovuttaminen voi kuitenkin tapahtua muutoinkin kuin pyynnöstä, esimerkiksi saattamalla viranomaisen päätös tai muu asiakirja julkisuuteen verkkosivuilla.
Oikeuskäytännöstä ilmenee, että sananvapaus ja henkilötietojen suoja ovat oikeuksia, joille olisi lähtökohtaisesti annettava sama painoarvo. (ks. esim. Standard Verlagsgesellschaft mbH v. Itävalta (nro 3), tuomio 7.12.2021, kohta 84 ja siinä viitatut tuomiot). Vastaavasti voidaan katsoa julkisuusperiaatteen ja henkilötietojen suojan osalta (PeVL 14/2018 vp). Muun muassa viranomaisen hallussa olevia yksityiselämään liittyviä arkaluonteisia henkilötietoja suojataan salassapitoperustein, mutta viranomaisen hallussa on myös julkisia henkilötietoja. Korkein hallinto-oikeus on esimerkiksi verotustietojen sähköistä luovutusta journalistiseen tarkoitukseen koskevassa asiassa ottanut kantaa julkisuuslain ja yleisen tietosuoja-asetuksen suhteeseen. Arvioitaessa henkilötietojen suojan ja julkisia asiakirjoja koskevan tiedonsaantioikeuden merkitystä perusoikeuksina on otettava huomioon, että nyt kysymyksessä olevassa tietopyynnössä tarkoitetut lailla julkisiksi säädetyt verotustiedot on niitä erikseen pyydettäessä joka tapauksessa luovutettava myös [tietosuoja-asetuksen mukaista] vastustamisoikeutta käyttäneiden henkilöiden osalta. Korkein hallinto-oikeus katsoi, että kyse ei ollut kyseisessä tilanteessa henkilötietojen suojan suhteen sellaisesta perusoikeuden ydinalueen suojaamisesta, jolle olisi annettava erityinen painoarvo verrattuna julkisuusperiaatteen toteutumiseen. (KHO:2022:146 21.12.2022, kohdat 73–74).
Yleisen tietosuoja-asetuksen 86 artiklan rajaaminen viranomaisia ja muita julkishallinnon rekisterinpitäjiä ja henkilötietojen käsittelijöitä koskevien seuraamusmaksujen soveltamisalan ulkopuolelle on mahdollista 83 artiklan 7 kohdan mukaisesti.
26 §.Rangaistussäännökset. Tietosuojalain 26 § sisältää viittaukset rikoslain säännöksiin, jotka koskevat tietosuojarikosta (38 luvun 9 §), viestintäsalaisuuden loukkausta ja törkeää viestintäsalaisuuden loukkausta (38 luvun 3 ja 4 §), tietomurtoa ja törkeää tietomurtoa (38 luvun 8 ja 8 a §), salassapitorikosta ja salassapitorikkomusta (38 luvun 1 tai 2 §) sekä virkasalaisuuden rikkomista (40 luvun 5 §). Viittaussäännöksillä rikoslakiin on pantu täytäntöön yleisen tietosuoja-asetuksen 84 artikla. Tietosuojarikosta koskevia säännöksiä sovelletaan muussa kuin rekisterinpitäjän tai henkilötietojen käsittelijän asemassa toimiviin henkilöihin. Viittaussäännöksissä mainitut rikosnimikkeet tulevat lisäksi vain vähäisiltä osin sovellettavaksi yleisessä tietosuoja-asetuksessa säädettyjen velvoitteiden rikkomiseen.
Pykälän 1 momenttia ehdotetaan täydennettäväksi siten, että siihen lisätään viittaus rikoslain 40 luvun 9 ja 10 §:ssä säädettyihin rangaistuksiin virkavelvollisuuden rikkomisesta ja tuottamuksellisesta virkavelvollisuuden rikkomisesta. Vaikka kyseiset rikoslain säännökset tulisivat sovellettaviksi ilman informatiivista viittaussäännöstäkin, momentin täydentäminen olisi tarpeen sen selventämiseksi, että myös virkavelvollisuuden rikkomista koskevat rikosnimikkeet voivat tulla sovellettavaksi niiden rikosnimikkeiden ohella, jotka mainitaan voimassa olevassa momentissa. Huomioiden viittaussäännösten yksityiskohtaisuuden, ilman täsmennystä virkavelvollisuuden rikkomista koskevien säännösten soveltamisesta voisi olla epäselvyyttä. Lisäksi täsmentäminen olisi tarpeen sen huomioimiseksi, että tietosuojalainsäädännön rikkomisen osalta kyseessä olisivat yleisimmin sovellettavat rikosnimikkeet tietosuojarikoksen ohella silloin, kun kyse on viranhaltijoiden vastuulla olevista teoista tai laiminlyönneistä. Tällä on erityistä merkitystä niiden viranomaisten osalta, jotka eivät kuuluisi hallinnollisten seuraamusmaksujen soveltamisalaan.
Rangaistussäännösten täydentämisen osalta on huomioitava se, että virkavelvollisuuden rikkomista ja tuottamuksellista virkavelvollisuuden rikkomista, kuten myös muita 26 §:ssä säädettyjä rikosnimikkeitä voi olla mahdollista soveltaa yksittäisen luonnollisen henkilön vastuulla oleviin tekoihin tai laiminlyönteihin joissakin tilanteissa, vaikka samanaikaisesti organisaatiolle voitaisiin määrätä hallinnollinen seuraamusmaksu rekisterinpitäjän vastuulla olevasta yleisen tietosuoja-asetuksen rikkomisesta. Hallinnollinen seuraamusmaksu kohdistuisi organisaatioon eli viranomaiseen rekisterinpitäjänä tai henkilötietojen käsittelijänä. Vaikka lähtökohtaisesti rekisterinpitäjä tai henkilötietojen käsittelijä voi olla myös luonnollinen henkilö, viranomaisten osalta se olisi hyvin harvinaista. Siinä tapauksessa, että kyse olisi luonnollisesta henkilöstä, hallinnollisen seuraamusmaksun ja rikosoikeudellisen seuraamuksen osalta seuraamusharkinnassa voisi nousta esiin kysymys kaksinkertaisen rangaistuksen kiellosta (ne bis in idem). Toisaalta kysymys voisi nousta esiin siinä tapauksessa, että kyse olisi kollegiaalisen toimielimen jäsenen rikosoikeudellisesta virkavastuusta, jota arvioitaisiin samanaikaisesti organisaatioon kohdistuvan seuraamusharkinnan kanssa.
Tietosuojarikosta koskevassa rikoslain säännöksessä on tietosuoja-asetuksen johdanto-osan 149 kappaleen mukaisesti varmistuttu siitä, että sen soveltamisala on eri kuin tietosuoja-asetuksen mukaisten hallinnollisten seuraamusmaksujen osalta, jolloin ne bis in idem –kysymys tuskin nousisi esiin. Oikeuskäytäntöä on yksityissektorin osalta toistaiseksi vähän, mutta ne bis in idem –vaikutus voidaan huomioida myös lain soveltamisen yhteydessä. Tietosuojarikoksen selkeästi erillisen soveltamisalan huomioiden, kaksinkertaisen rangaistuksen kiellon punninta ei välttämättä kuitenkaan nouse seuraamusharkintaa koskevissa perusteluissa esiin, vaikka asiakokonaisuudesta olisi samanaikaisesti vireillä rikosprosessi (kuten tietoturvaloukkausta koskevan ilmoituksen laiminlyöntiin liittyvä päätös 7.12.2021 dnro 1150/161/2021). Viranomaisten osalta kuitenkin tietosuojarikoksen sijasta virkarikokset olisivat ne bis in idem –periaatteen kannalta käytännössä ne rikokset, joiden osalta kysymys voisi nousta esiin. Siltä osin kuin on kyse tietosuoja-asetuksen tai rikosasioiden tietosuojalain rikkomisesta viranomaisessa, lähinnä virkarikossääntely kattaa niiden laiminlyönnit. Koska viranomaisten osalta rekisterinpitäjä tai henkilötietojen käsittelijä on yleensä organisaatio, kun taas virkarikoksesta voidaan tuomita vain luonnollinen henkilö, tältä osin kysymys todennäköisesti tulisi hyvin harvoin esiin. Kollegiaalisen päätöksenteon osalta rikosoikeudellinen virkavastuu sinänsä voisi joskus tulla arvioitavaksi samanaikaisesti hallinnollisen seuraamusmaksuharkinnan kanssa. Hallinnollisella seuraamusmaksulla suojataan kuitenkin eri oikeushyvää kuin virkarikoksesta aiheutuvalla rikosoikeudellisella seuraamuksella. Oikeuskäytännössä on myös hyväksytty jonkinasteinen päällekkäisyys menettelyissä. (ks. tarkemmin jakso 10).
Rikoslain 40 luvun 12 §:n 1 momentin mukaan 40 luvun virkamiestä koskevia säännöksiä sovelletaan myös julkista luottamustehtävää hoitavaan henkilöön ja julkista valtaa käyttävään henkilöön. Lisäksi 2 momentin mukaan luvun 1–3, 5 ja 14 §:ää sovelletaan, viraltapanoseuraamusta lukuun ottamatta, myös julkisyhteisön työntekijään. Viimeksi mainittu säännös rajaa virkavelvollisuuden rikkomista koskevan 9 ja 10 §:n ulkopuolelle siten kokonaan julkisyhteisöön työsuhteessa olevat henkilöt, kun taas 5 §:n virkasalaisuuden rikkomista koskevia säännöksiä sovelletaan myös näihin työntekijöihin. Ehdotettu tietosuojalain 26 §:n muutos ei poistaisi puutetta säännösten kattavuudessa viranomaisten mahdollisen työsuhteisen henkilökunnan osalta. Tältä osin lainmuutostarpeita on arvioitu erikseen virkarikossääntelyn tarkistamistarpeita koskevassa hankkeessa.
5 luku
Tietojenkäsittelyn erityistilanteet
34 a §. Rajoitukset rekisterinpitäjän velvollisuuteen ilmoittaa henkilötietojen tietoturvaloukkauksesta rekisteröidylle. Rekisterinpitäjän on yleisen tietosuoja-asetuksen 34 artiklan 1 kohdan mukaan ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä, kun henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille. Ilmoitusvelvollisuutta koskevassa 34 artiklassa säädetään lisäksi esimerkiksi rekisteröidylle annettavan ilmoituksen tietosisällöstä (2 kohta) ja ilmoittamatta jättämisen edellytyksistä (3 kohta). Yleisen tietosuoja-asetuksen 23 artiklan 1 kohdassa säädettyjen vaatimusten täyttyessä lainsäädäntötoimella on mahdollista rajoittaa muun muassa 34 artiklassa säädettyjen velvollisuuksien ja oikeuksien soveltamisalaa. Lakiin ehdotetaan lisättäväksi uusi 34 a §, jossa säädettäisiin yleisen tietosuoja-asetuksen 23 artiklan mukaisen liikkumavaran puitteissa edellytyksistä, joilla rekisteröidylle ilmoittamista voitaisiin lykätä tai rajoittaa tai jättää ilmoitus tekemättä.
Pykälän 1 momentissa viitattaisiin voimassa olevan tietosuojalain 34 §:n 1 momenttiin, jossa säädetään edellytyksistä, joilla rekisteröidyn oikeutta tutustua hänestä kerättyihin tietoihin voidaan rajoittaa. Ehdotetun momentin perusteella henkilötietojen tietoturvaloukkausta koskevan ilmoituksen tekemistä voitaisiin lykätä tai rajoittaa tai ilmoitus voitaisiin jättää tekemättä samoilla edellytyksillä (jäljempänä ”ilmoitusvelvollisuuden rajoittaminen”). Ilmoitusvelvollisuuden rajoittaminen olisi ensinnäkin mahdollista, jos ilmoittaminen saattaisi vahingoittaa kansallista turvallisuutta, puolustusta tai yleistä järjestystä ja turvallisuutta taikka haitata rikosten ehkäisemistä tai selvittämistä (34 §:n 1 momentin 1 kohta). Ehdotettu ilmoitusvelvollisuuden rajoittaminen perustuisi tältä osin asetuksen 23 artiklan 1 kohdan a–d alakohtaan. Näiden alakohtien mukaisesti 34 artiklan mukaista ilmoitusvelvollisuutta voitaisiin rajoittaa, jos on tarpeen taata kansallinen turvallisuus, puolustus, yleinen turvallisuus sekä rikosten ennalta estäminen, tutkinta, paljastaminen tai rikoksiin liittyvät syytetoimet taikka rikosoikeudellisten seuraamusten täytäntöönpano, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu tai tällaisten uhkien ehkäisy.
Toiseksi ilmoitusvelvollisuutta voitaisiin rajoittaa, jos ilmoittaminen saattaisi aiheuttaa vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka rekisteröidyn tai jonkun muun oikeuksille (34 §:n 1 momentin 2 kohta). Kyseisen rajoitusperusteen on katsottu kattavan esimerkiksi lastensuojeluasioihin liittyvät tilanteet (HE 9/2018 vp, s. 119). Ehdotettu ilmoitusvelvollisuuden rajoittaminen perustuisi tältä osin yleisen tietosuoja-asetuksen 23 artiklan 1 kohdan i alakohtaan, eli tarpeeseen taata rekisteröidyn suojelu tai muille kuuluvat oikeudet ja vapaudet.
Kolmanneksi ilmoitusvelvollisuutta voitaisiin rajoittaa, jos henkilötietoja käytetään valvonta- ja tarkastustehtävissä ja ilmoittamisen rajoittaminen olisi välttämätöntä Suomen tai Euroopan unionin tärkeän taloudellisen tai rahoituksellisen edun turvaamiseksi (34 §:n 1 momentin 3 kohta). Ehdotettu ilmoitusvelvollisuuden rajoittaminen perustuisi tältä osin yleisen tietosuoja-asetuksen 23 artiklan 1 kohdan e alakohtaan, jonka tarkoituksena on taata muut unionin tai jäsenvaltion yleiseen julkiseen etuun liittyvät tärkeät tavoitteet, erityisesti unionille tai jäsenvaltiolle tärkeä taloudellinen tai rahoituksellinen etu, mukaan lukien rahaan, talousarvioon ja verotukseen liittyvät asiat sekä kansanterveys ja sosiaaliturva. Lisäksi se perustuisi 23 artiklan 1 kohdan h alakohtaan eli tarpeeseen taata valvonta-, tarkastus- tai sääntelytehtävä, joka satunnaisestikin liittyy julkisen vallan käyttöön a–e ja g alakohdassa tarkoitetuissa tapauksissa.
Ilmoitusvelvollisuutta voitaisiin rajoittaa vain siltä osin ja niin pitkäksi aikaa, kuin tietosuojalain 34 §:n 1 momentin mukaiset edellytykset täyttyvät. Jos vain osa ilmoitukseen sisältyvistä tiedoista olisi sellaisia, että ne momentin mukaan jäisivät ilmoitusvelvollisuuden ulkopuolelle, rekisteröidylle tehtävän ilmoituksen tulisi sisältää muut 34 artiklan 2 kohdan mukaiset tiedot. Ilmoitusta voisi myös lykätä vain niin pitkäksi aikaa kuin on perusteltua rajoituksen tarkoituksena olevien intressien ja oikeuksien takaamiseksi. Edellytysten tarkoituksena olisi huomioida tietosuoja-asetuksen 23 artiklan mukaisiin rajoituksiin liittyvä edellytys, jonka mukaan rajoituksen olisi oltava demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide.
Pykälän 2 momentti sisältäisi viittauksen tietosuojalain 34 §:n 3 momenttiin, jonka perusteella rekisteröidylle olisi ilmoitettava rajoituksen syyt, ellei tämä vaaranna rajoituksen tarkoitusta. Aineellisen viittaussäännöksen mukaisesti sama velvollisuus koskisi myös tilanteita, joissa henkilötietojen tietoturvaloukkausta koskevaa ilmoitusta lykätään tai rajoitetaan tai se jätetään antamatta. Tällä varmistettaisiin rekisteröidyn oikeus saada tieto ilmoitusvelvollisuuteen kohdistuneesta rajoituksesta, mutta ei tarkempia yksityiskohtia tietoturvaloukkauksesta. On kuitenkin mahdollista, että jo pelkkä tieto tietoturvaloukkauksesta rekisteröidylle voisi vaarantaa rajoituksen tarkoituksen, kuten rekisteröidyn tai muun henkilön oikeudet tai esimerkiksi esitutkinnan intressien turvaamisen. Tällaisessa tilanteessa rekisterinpitäjällä ei olisi velvollisuutta kertoa rajoituksen syistä. Velvollisuus vastaisi yleisen tietosuoja-asetuksen 23 artiklan 2 kohdan h alakohdan mukaisesta rajoitukseen sovellettavasta suojatoimesta, joka koskee rekisteröityjen oikeutta saada tietoa rajoituksesta, paitsi jos tämä voisi vaarantaa rajoituksen tarkoituksen.
7.2
Laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä
51 §.Toimenpiteet. Pykälään lisättäisiin uusi toimivaltuus määrätä hallinnollisia seuraamusmaksuja (uusi 11 kohta), ja samalla 10 kohtaa tarkistettaisiin teknisesti. Toimivaltuus koskisi pelkästään rikosasioiden tietosuojalain rikkomisesta määrättäviä seuraamusmaksuja. Seuraamusmaksu voitaisiin määrätä uudessa 58 c §:ssä mainittujen säännösten rikkomisesta. Jos laissa tarkoitetut rikosasioissa toimivaltaiset viranomaiset rikkoisivat vastaavia yleisen tietosuoja-asetuksen 83 artiklassa mainittuihin säännöksiin sisältyviä velvoitteitaan, mahdollinen seuraamusmaksu määräytyisi tietosuoja-asetuksen ja tietosuojalain mukaisesti.
58 a §.Hallinnollinen seuraamusmaksu. Pykälä sisältäisi tietosuojalain säännöksiä vastaavasti tarkemmat säännökset menettelystä, jota sovellettaisiin seuraamusmaksun määräämiseen, sekä seuraamusmaksun määräämistä koskevasta vanhenemisajasta.
Pykälän 1 momentissa säädettäisiin seuraamuskollegiosta, jonka kokoonpano olisi sama kuin tietosuojalakia sovellettaessa. Momentin mukaan 51 §:n 11 kohdassa tarkoitetun hallinnollisen seuraamusmaksun määräisi tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio. Tietosuojavaltuutettu toimisi kollegion puheenjohtajana. Apulaistietosuojavaltuutetun ollessa estynyt voisi hänen sijaisenaan seuraamuskollegiossa toimia tietosuojavaltuutetun toimiston työjärjestyksessä määrätty esittelijä. Kollegio olisi päätösvaltainen kolmijäsenisenä.
Tietosuojavaltuutetun toimiston organisaatiosta säädetään tietosuojalaissa, jonka 8 §:ään rikosasioiden tietosuojalain 45 §:n 1 momentti sisältää viittaussäännöksen. Tietosuojalain 9 §:n 1 momentin mukaan tietosuojavaltuutetun toimistossa on vähintään kaksi apulaistietosuojavaltuutettua. Kollegio olisi siten aina vähintään kolmijäseninen. Tietosuojalain 11 §:n mukaan tietosuojavaltuutetun ja apulaistietosuojavaltuutetun nimittää valtioneuvosto viideksi vuodeksi kerrallaan. Kukin apulaistietosuojavaltuutettu on samalla tavalla toiminnassaan ja asemaltaan itsenäinen ja riippumaton kuin tietosuojavaltuutettu. Apulaistietosuojavaltuutetut eivät siten ole alaissuhteessa tietosuojavaltuutettuun. Tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen kelpoisuusvaatimuksista säädetään tietosuojalain 10 §:ssä. Tietosuojalain 16 §:n mukaan apulaistietosuojavaltuutetulla on tehtäviensä hoidossa samat toimivaltuudet kuin tietosuojavaltuutetulla.
Pykälän 2 momentissa säädettäisiin kollegioon sovellettavasta esittelymenettelystä. Kollegion päätös tehtäisiin esittelystä. Päätökseksi tulisi se kanta, jota enemmistö on kannattanut. Äänten mennessä tasan päätökseksi tulisi se kanta, joka on lievempi sille, johon seuraamus kohdistuu. Hallinnollista seuraamusmaksua koskevan asian valmistelisi ja esittelisi tietosuojavaltuutetun toimiston esittelijänä toimiva viranhaltija. Tietosuojalain 9 §:n mukaisesti tietosuojavaltuutetun toimistossa tulee olla tarpeellinen määrä tietosuojavaltuutetun tehtäväalaan perehtyneitä esittelijöitä. Rikosasioiden tietosuojalain soveltamisalalla määrättäviä seuraamusmaksuja koskevissa asioissa käytännössä kyse olisi rikosasioissa toimivaltaisten viranomaisten valvontaan perehtyneistä esittelijöistä.
Siltä osin kuin rikosasioiden tietosuojalaki ei sisältäisi erityisiä menettelysäännöksiä, mukaan lukien yleiset menettelylliset oikeusturvan takeet, sovellettaviksi tulisivat hallintolaki (434/2003) ja muu yleishallinto-oikeudellinen lainsäädäntö. Hallintolaissa säädetään muun muassa viranomaisen neuvonnasta, asianosaisen oikeudesta käyttää asiamiestä ja avustajaa, viranomaisen selvittämisvelvollisuudesta, selvitysten pyytämisestä ja asiakirjan täydentämisestä, kuulemisesta ja siihen liittyvästä menettelystä, suullisesta selvittämisestä ja todistelusta, katselmuksesta ja tarkastuksesta, tulkitsemisesta ja kääntämisestä samoin kuin päätöksen muodosta, sisällöstä, perustelemisesta ja valitusosoituksesta. Hallintomenettelyssä noudatetaan virallisperiaatetta. Seuraamusmaksua koskevaan päätökseen voisi hakea muutosta rikosasioiden tietosuojalain 59 §:n 1 momentissa mainitun oikeudenkäynnistä hallintoasioissa annetun lain (808/2019) mukaisesti. Muutoksenhakuoikeus kattaisi 58 a §:n 1 momentissa säädetyn seuraamuskollegion päätökset. Sen sijaan seuraamuskollegion päätöksiin ei sovellettaisi 59 §:n 2 momentin säännöstä, jonka mukaan tietosuojavaltuutetun päätöksessä voidaan määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta, jollei valitusviranomainen toisin määrää.
Pykälän 3 momentin mukaan seuraamusmaksua ei saisi määrätä, jos on kulunut yli kymmenen vuotta siitä, kun rikkomus tai laiminlyönti on tapahtunut. Jatkuvan rikkomuksen tai laiminlyönnin osalta seuraamusmaksua ei saisi määrätä, jos on kulunut yli viisi vuotta siitä, kun rikkomus tai laiminlyönti on päättynyt. Vanhentumista koskevilla säännöksillä huomioitaisiin seuraamusten oikeasuhteisuusvaatimus tietosuojalakia säännöksiä vastaavasti.
Seuraamusmaksun vanhenemisaika olisi pitkä, mutta se vastaisi tietosuojalain mukaista vanhenemisaikaa ja olisi perusteltu rikosasioiden tietosuojalain säännösten tehokkaan täytäntöönpanon varmistamiseksi. Henkilötietojen käsittelyä koskevien vaatimusten rikkomiset voivat olla laajoja, vakavia ja oikeudellisesti monimutkaisia ja ne voivat tulla valvontaviranomaisen tietoon pitkänkin ajan kuluttua. Sen vuoksi on tärkeää, että asian selvittämiseen ja seuraamusmaksun määräämiseen on riittävästi aikaa. Rikkomukset ja laiminlyönnit voivat lisäksi olla luonteeltaan joko kertaluonteisia tai jatkuvia.
Pykälän 4 momentti sisältäisi informatiivisen viittaussäännöksen, jonka mukaan tämän lain nojalla maksettavaksi määrätyn seuraamusmaksun täytäntöönpanosta säädetään sakon täytäntöönpanosta annetussa laissa (672/2002). Säännös vastaisi tietosuojalain muutettua 24 §:n 6 momenttia, joka tuli voimaan 1.1.2026.
Hallinnollinen seuraamusmaksu olisi täytäntöönpanokelpoinen hallinnollista seuraamusmaksua koskevan päätöksen tultua lainvoimaiseksi. Täytäntöönpanon ryhtymisellä tarkoitetaan Oikeusrekisterikeskuksen maksukehotuksella aloittamaa täytäntöönpanoa. Lähtökohtaisesti rahaseuraamukseen velvoitetulle on aina varattava tilaisuus maksaa seuraamus vapaaehtoisesti ennen Oikeusrekisterikeskuksen suorittamaa ja ulosottotoimin tapahtuvaa perintää. Ennen ulosmittausta rahasuoritukseen velvoitettua vielä pääsääntöisesti kahdesti kehotetaan maksamaan seuraamus. Hallinnollinen seuraamusmaksu maksettaisiin valtiolle.
58 b §.Seuraamusmaksun määräämisen yleiset edellytykset. Pykälässä säädettäisiin yleisistä edellytyksistä, joiden täyttyessä seuraamusmaksu voitaisiin määrätä toimivaltaiselle viranomaiselle. Lähtökohtana olisi, että seuraamusmaksu rikosasioissa toimivaltaiselle viranomaiselle voitaisiin määrätä samoin edellytyksin kuin tietosuoja-asetuksen soveltamisalalla toimivalle viranomaiselle. Tämä on perusteltua viranomaisia koskevan seuraamusjärjestelmän johdonmukaisuussyistä.
Rikosasioiden tietosuojalain säännökset koskevat sen 1 §:n 1 ja 2 momentissa tarkoitettuja toimivaltaisia viranomaisia. Lain soveltamisala on rajallinen. Silloin, kun hallinnollinen seuraamusmaksu voitaisiin määrätä yleisen tietosuoja-asetuksen ja tietosuojalain sijasta rikosasioiden tietosuojalain nojalla, sen olisi liityttävä henkilötietojen käsittelyyn rikosasioiden tietosuojalain 1 §:n 1 tai 2 momentissa mainittuun tarkoitukseen. Rikosasioiden tietosuojalain 1 §:n 1 momentin soveltamisala on sama kuin rikosasioiden tietosuojadirektiivin soveltamisala. Puolustukseen ja kansalliseen turvallisuuteen liittyvä henkilötietojen käsittely on lähtökohtaisesti unionin oikeuden soveltamisalan ulkopuolella. Rikosasioiden tietosuojalain 1 §:n 2 momentin soveltamisala on kansallinen sääntelyratkaisu, jossa on kyse unionin oikeuden ulkopuolelle jäävästä toiminnasta. Edellä tietosuojalain 24 §:n perusteluista kuitenkin ilmenee, että yleisen tietosuoja-asetuksen soveltamisalaa koskevia poikkeuksia tulkitaan kapeasti.
Lakia voitaisiin lähtökohtaisesti direktiivin mukaisesti soveltaa myös yksityiseen rekisterinpitäjään tai henkilötietojen käsittelijään sellaisessa tilanteessa, jossa yksityinen rinnastuisi rikosasioissa toimivaltaiseen viranomaiseen. Käytännössä kyse olisi siitä, että toimivaltaisen viranomaisen tehtävä olisi annettu yksityisen hoidettavaksi (julkinen hallintotehtävä). Suomessa ei ole delegoitu yksityisille sellaisia viranomaisen lakisääteisiä tehtäviä, jotka kuuluisivat rikosasioiden tietosuojalain soveltamisalaan. Joissakin EU:n jäsenvaltioissa kuitenkin on voitu antaa esimerkiksi rikosforensinen tutkintatehtävä (rikospaikkatutkinta tai rikoslaboratorio) yksityisen hoidettavaksi. Vaikka rikosasioiden tietosuojadirektiivin soveltamisalalla on yleisen tietosuoja-asetuksen tavoin mahdollista käyttää henkilötietojen käsittelijöitä, rikosasioiden tietosuojalakia sovelletaan lain 1 §:n mukaisesti pelkästään siinä tarkoitettujen toimivaltaisten viranomaisten henkilötietojen käsittelyyn. Lain soveltaminen edellyttää myös, että kyse on nimenomaisesti jostakin sen 1 §:ssä mainitusta käsittelytarkoituksesta.
Seuraamusmaksut koskisivat pääsääntöisesti kaikkia rikosasioiden tietosuojalain soveltamisalalla toimivaltaisia viranomaisia, lukuun ottamatta tuomioistuimia, Puolustusvoimia ja Suojelupoliisia. Huomioiden sen, että kaikki rikosasioissa toimivaltaiset viranomaiset käsittelevät henkilötietoja kummankin tietosuojan yleissäädöksen soveltamisalalla ja niiden velvoitteet ovat pääosin samansisältöisiä, seuraamusjärjestelmän säädöskohtainen erottelu ei ole näiden viranomaisten osalta tarkoituksenmukainen ja aiheuttaisi todennäköisesti lain soveltamiseen ja tulkintaan liittyviä ongelmia. Tämä johtuu rikostorjuntaan liittyvän EU:n tietosuojasäädösten soveltamisalan tulkinnanvaraisesta rajauksesta. Vaikka rikosasioiden tietosuojadirektiivi rajaa sen soveltamisalan koskemaan yksittäisen konkreettisen rikoksen uhkan torjumista, erityisesti rikostorjunnassa ja esitutkinnassa kahden säädöksen soveltamisalan rajaus voi olla vaikeaa. Myöskään rikosasioissa toimivaltaisia viranomaisia koskevassa erityislainsäädännössä ero kahden yleissäädöksen soveltamisalan välillä ei näyttäydy kovin selkeältä. Erilainen seuraamusjärjestelmä rikosasioissa voisi siten olla myös haasteellinen valvonnan kannalta.
Tietosuojavaltuutettu ei ole toimivaltainen valvomaan tuomioistuinten henkilötietojen käsittelyä silloin, kun ne toimivat lainkäyttötehtävissä. Ne ehdotetaan rajattaviksi rikosasioiden tietosuojalain nojalla määrättävien seuraamusmaksujen soveltamisalan ulkopuolelle kokonaan vastaavasti kuin tietosuojalaissa, tietosuojalain 24 §:n perusteluista tarkemmin ilmenevistä selkeyssyistä.
Kansallisen turvallisuuden ylläpitämisessä toimivaltaiset, joiden ydintehtävä on kokonaan unionin oikeuden soveltamisalan ulkopuolella (tiedusteluviranomaiset), olisi lisäksi mahdollista rajata seuraamusmaksusääntelyn ulkopuolelle. Tämä on perusteltavissa ennen kaikkea muista viranomaisista poikkeavalla laillisuusvalvonnalla. Myös tietosuojaan liittyvää valvontaa tehdään esimerkiksi yhteistyössä tiedusteluvalvontavaltuutetun kanssa. Käsiteltävät tiedot ovat poikkeuksellisen sensitiivisiä, ja rekisteröidyllä ei yleensä ole ollenkaan tarkastusoikeutta itseään koskeviin henkilötietoihin. Myös seuraamusmaksujen käsittelyyn liittyisi vaikeita salassapitokysymyksiä. Vastaavanlaisia kysymyksiä voi sinänsä liittyä myös tilanteisiin, joissa esitutkintaviranomainen käsittelee kansallisen turvallisuuden ylläpitämiseen liittyviä tietoja (esim. valtion turvallisuuteen kohdistuvat rikokset). Esitutkintaviranomaisten henkilötietojen käsittely kuuluu kuitenkin kaikilta osin unionin oikeuden soveltamisalaan, ja rikosasioiden tietosuojadirektiivin seuraamussäännöksiä koskeva täytäntöönpanovelvoite koskee niitä kaikilta osin. Niiden osalta seuraamusmaksusääntelystä tehtävät poikkeukset esitutkintaan liittyvien henkilötietojen käsittelytarkoitusten osalta eivät siten olisi tarkoituksenmukaisia.
Lainsäädännön selkeyden ja seuraamuksiin liittyvien perustuslaista johtuvien selkeysvaatimusten kannalta on perusteltua tehdä seuraamusmaksuja koskevien säännösten soveltamisalaa koskevat poikkeukset viranomaiskohtaisesti. Jotta seuraamusjärjestelmä olisi johdonmukainen, nämä poikkeukset olisi syytä rajata koskemaan vain edellä mainittuja viranomaisia.
Pykälän 1 momentin mukaan seuraamusmaksu voitaisiin määrätä toimivaltaiselle viranomaiselle, joka toimii rekisterinpitäjänä tai henkilötietojen käsittelijänä, lain säännösten rikkomisesta 51 §:n 1–10 kohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden asemesta kunkin yksittäisen tapauksen olosuhteista riippuen, jos kyseiset muut toimenpiteet eivät ole riittäviä. Seuraamusmaksu olisi jätettävä määräämättä, jos sen määräämisen edellytykset eivät täyty. Seuraamusmaksu voitaisiin määrätä myös tietosuojavaltuutetun 51 §:n 5–10 kohdan nojalla antaman määräyksen, kiellon tai rajoituksen noudattamatta jättämisestä. Ehdotetun 1 momentin säännöksissä huomioitaisiin perustuslain tulkintakäytännöstä johtuvat vaatimukset tietosuojalain 24 a §:n 1 momenttia vastaavasti.
Pykälän 2 momentissa säädettäisiin poikkeuksista seuraamusmaksun soveltamisalaan. Seuraamusmaksua ei voisi määrätä rikosasioissa toimivaltaisille tuomioistuimille. Seuraamusmaksua ei määrättäisi myöskään suojelupoliisille ja Puolustusvoimille 1 §:n 2 momentissa tarkoitetusta henkilötietojen käsittelystä.
Pykälän 3 momentti sisältäisi seuraamusharkinnassa huomioitavat näkökohdat. Säännökset olisivat samansisältöiset kuin yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa säädetyt seuraamusmaksun määräämisessä huomioitavat seikat. Tällä varmistettaisiin seuraamusmaksusääntelyn yhtenäisyys ja johdonmukaisuus. Momentin mukaan seuraamusmaksun määräämistä koskevassa harkinnassa ja seuraamusmaksun määrässä olisi otettava huomioon:
1) rikkomuksen luonne, vakavuus ja kesto huomioon ottaen kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus, sekä niiden rekisteröityjen lukumäärä, joihin rikkomus vaikuttaa, ja heille aiheutuneen vahingon suuruus;
2) rikkomuksen tahallisuus tai tuottamuksellisuus;
3) rekisterinpitäjän tai henkilötietojen käsittelijän toteuttamat toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi;
4) rekisterinpitäjän tai henkilötietojen käsittelijän vastuun aste, ottaen huomioon heidän 15, 31 ja 32 §:n nojalla toteuttamansa tekniset ja organisatoriset toimenpiteet;
5) rekisterinpitäjän tai henkilötietojen käsittelijän mahdolliset aiemmat vastaavat rikkomukset;
6) yhteistyön määrä valvontaviranomaisen kanssa rikkomuksen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi;
7) henkilötietoryhmät, joihin rikkomus vaikuttaa;
8) tapa, jolla rikkomus tuli valvontaviranomaisen tietoon, erityisesti se, ilmoittiko rekisterinpitäjä tai henkilötietojen käsittelijä rikkomuksesta ja missä laajuudessa;
9) jos kyseiselle rekisterinpitäjälle tai henkilötietojen käsittelijälle on aikaisemmin määrätty samasta asiasta 51 §:n 5–10 kohdassa tarkoitettuja toimenpiteitä, näiden toimenpiteiden noudattaminen;
10) mahdolliset muut kuin 1–9 kohdassa tarkoitetut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät.
Huomioiden ehdotettujen säännösten vastaavuuden yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan kanssa, edellä mainitut Euroopan tietosuojaneuvoston ohjeet voisivat soveltua lain soveltamisen tueksi myös rikosasioiden tietosuojalain mukaisia seuraamusmaksuja määrättäessä.
58 c §.Seuraamusmaksun määrä. Pykälässä säädettäisiin tietosuoja-asetuksen säännöksiä vastaavasti kahdesta eri seuraamusmaksun enimmäismäärästä, joka määräytyisi sen perusteella, mitä rikosasioiden tietosuojalain säännöksiä rikotaan. Pykälän 1 ja 2 momentissa lueteltaisiin tyhjentävästi ne pykälät, joiden säännösten rikkomiseen seuraamusmaksu voi liittyä. Pääosin kyse olisi velvoitteista, joiden rikkomisesta voidaan määrätä seuraamusmaksu myös yleisen tietosuoja-asetuksen nojalla. Rikosasioiden tietosuojalaki ei kuitenkaan kaikilta osin sisällä samoja velvoitteita.
Rikosasioiden tietosuojadirektiivi ei sisällä yleisen tietosuoja-asetuksen 86 artiklaa vastaavia säännöksiä, jotka koskevat tietosuojan ja asiakirjajulkisuuden yhteensovittamista. Sellaisia ei ole myöskään sisällytetty rikosasioiden tietosuojalakiin. Koska seuraamusmaksut ehdotetaan sidottavaksi yksittäisten rikosasioiden tietosuojalain säännösten rikkomiseen, asiakirjajulkisuustilanteita ei ole tarpeen erikseen huomioida. Silloin, kun viranomaiset käsittelevät henkilötietoja asiakirjapyyntöihin vastaamiseksi, henkilötietojen käsittely kuuluu yleisen tietosuoja-asetuksen soveltamisalaan riippumatta siitä, kumman tietosuojan yleissäädöksen soveltamisalaan viranomaisen omiin lakisääteisiin tehtäviin liittyvä käsittely kuuluisi. Siten myöskään rikosasioiden tietosuojalaissa tarkoitetuille viranomaisille ei olisi mahdollista määrätä hallinnollista seuraamusmaksua silloin, kun on kyse henkilötietojen luovuttamisesta asiakirjajulkisuuden ja henkilötietojen suojan yhteensovittamiseksi.
Pykälän 1 momentin mukaan lain 15–22 §:n, 31–36 §:n ja 38 §:n säännösten rikkomisesta määrättävä seuraamusmaksu voisi olla enintään 500 000 euroa. Momentissa mainitut pykälät sisältävät velvoitteita, jotka liittyvät sisäänrakennettuun ja oletusarvoiseen tietosuojaan, yhteisrekisterinpitoon ja henkilötietojen käsittelijöihin, henkilötietojen käsittelyyn rekisterinpitäjän alaisuudessa, selosteeseen käsittelytoimista, yhteistyöhön valvontaviranomaisen kanssa, käsittelyn turvallisuuteen ja tietoturvaloukkauksia koskeviin ilmoituksiin, tietosuojavaikutustenarviointiin, tietosuojavaltuutetun ennakkokuulemiseen suunnitelluista käsittelytoimista, sekä tietosuojavastaavan nimittämiseen, asemaan ja tehtäviin.
Pykälän 2 momentin mukaan lain 4–13 §:n, 23–28 §:n, 30 §:n ja 41–44 §:n säännösten rikkomisesta määrättävä seuraamusmaksu voisi olla enintään 1 000 000 euroa. Momentissa mainituissa pykälissä säädetyt velvoitteet liittyvät henkilötietojen käsittelyn yleisiin periaatteisiin, henkilötunnuksen käsittelyyn, erityisiin henkilötietoryhmiin, rekisteröidylle annettavia tietoja koskeviin informointivelvoitteisiin, rekisteröidyn oikeuteen saada tutustua itseään koskeviin tietoihin, rekisteröidyn oikeuteen itseään koskevien tietojen oikaisemiseen, rekisteröidyn oikeuteen itseään koskevien tietojen poistamiseen, rekisteröidyn oikeuteen käsittelyn rajoittamiseen, rekisterinpitäjälle asetettuun tietojen oikaisua, poistoa tai käsittelyn rajoittamista koskevaan ilmoitusvelvollisuuteen, automatisoituihin yksittäispäätöksiin, mukaan lukien profilointi, sekä henkilötietojen siirtoon kolmansiin maihin ja kansainvälisille järjestöille, mukaan lukien tietosuojan riittävyyttä koskevien päätösten soveltaminen, tiedonsiirtoihin sovellettavat sopimukset, tietosuojan riittävyyttä koskevat poikkeustilanteet, ja siirrot, joita ei sallita unionin lainsäädännössä.
Rikosasioissa toimivaltaisten viranomaisten osalta on keskeistä huomioida se, että osa seuraamusmaksuja koskevissa säännöksissä mainittujen pykälien sisältämistä velvoitteista ja oikeuksista eivät aina tule sovellettaviksi viranomaisten lakisääteisten tehtävien hoitamisessa. Esimerkiksi keskeneräisen esitutkinnan aikana rekisteröity, rikoksesta epäilty henkilö ei voi aina käyttää oikeuksiaan täysimääräisesti ennen kuin esitutkinta on edennyt sellaiseen vaiheeseen, että epäiltyä on kuultu. Siinäkin tapauksessa rikosasioiden tietosuojalaki mahdollistaa rekisteröidyn oikeuksien rajoittamisen tutkinnan intressien turvaamiseksi, jolloin rekisteröity voi käyttää oikeuksiaan välillisesti tietosuojavaltuutetun kautta. Näistä rikosprosessiin liittyvistä rajoituksista johtuen rekisteröidyn oikeuksiin liittyvissä tilanteissa hallinnollisen seuraamusmaksun määrääminen ei välttämättä olisi aina tarkoituksenmukaisin keino puuttua mahdollisiin laiminlyönteihin.
Pykälän 3 momentti sisältäisi tietosuojalain 24 a §:n 3 momenttia vastaavan säännöksen, jonka mukaan seuraamusmaksun määrästä päätettäessä olisi varmistuttava siitä, että se on oikeassa suhteessa viranomaisen kokoon ja taloudelliseen asemaan sekä rikkomuksen tai laiminlyönnin vakavuuteen, tietosuojalain säännöksen perusteluista ilmenevistä syistä.
Pykälän 4 momentissa huomioitaisiin sellaiset rikosasioiden tietosuojalain mukaisten velvoitteiden rikkomistilanteet, joissa rikottaisiin samanaikaisesti useita velvoitteita. Jos toimivaltainen viranomainen rikkoisi samoissa tai toisiinsa liittyvissä käsittelytoimissa tahallaan tai tuottamuksellisesti useita 1 tai 2 momentissa mainittuja säännöksiä, hallinnollisen seuraamusmaksun kokonaismäärä ei saisi ylittää vakavimmasta rikkomuksesta määrättyä seuraamusmaksua. Momentti vastaisi sisällöllisesti yleisen tietosuoja-asetuksen 83 artiklan 3 kohtaa, joka koskisi tietosuoja-asetuksen soveltamisalalla henkilötietoja käsitteleviä viranomaisia ja julkishallinnon elimiä.
61 §.Rangaistussäännökset. Lain 61 § sisältää tietosuojalain 26 §:ää vastaavat rangaistussäännökset. Pykälää täydennettäisiin tietosuojalain muutosta vastaavasti viittaussäännöksellä, jonka mukaan rangaistus virkavelvollisuuden rikkomisesta ja tuottamuksellisesta virkavelvollisuuden rikkomisesta säädetään rikoslain 40 luvun 9 ja 10 §:ssä. Voimassa olevasta pykälästä tulisi samalla muutetun pykälän 1 momentti. Myös rikosasioiden tietosuojalain rangaistussäännösten täydentäminen olisi tarpeen sen selventämiseksi, että virkavelvollisuuden rikkomista koskevat rikosnimikkeet voivat tulla sovellettavaksi niiden rikosnimikkeiden ohella, jotka mainitaan voimassa olevassa pykälässä. Lisäksi täsmentäminen olisi tarpeen sen huomioimiseksi, että tietosuojalainsäädännön rikkomisen osalta kyseessä olisivat yleisimmin sovellettavat rikosnimikkeet tietosuojarikoksen ohella. Koska tuomioistuimet ja lain 1 §:n 2 momentin soveltamisalaan kuluvan käsittelyn osalta kansallisen turvallisuuden ylläpitämisessä toimivaltaiset tiedusteluviranomaiset rajattaisiin hallinnollisia seuraamusmaksuja koskevien säännösten soveltamisalan ulkopuolelle, ilman täsmennystä voisi jäädä epäselväksi, mitkä seuraamukset tulisivat sovellettavaksi niissä tilanteissa, joissa organisaatioon ei voida kohdentaa seuraamusmaksua.
Rikosasioiden tietosuojalakia koskevassa hallituksen esityksessä (HE 31/2018 vp) pykälän perusteluista ilmenee, että pykälällä on tarkoitettu pantavaksi täytäntöön rikosasioiden tietosuojadirektiivin 57 artikla. Artiklan mukaan jäsenvaltioiden on vahvistettava säännöt direktiivin nojalla annettuihin säännöksiin kohdistuvien rikkomisten johdosta määrättävistä seuraamuksista. Rikosasioiden tietosuojalain säännösten täsmentäminen olisi siten välttämätöntä unionin oikeuden täytäntöönpanemisen kannalta siinä tapauksessa, että hallinnollisia seuraamusmaksuja ei ulotettaisi koskemaan sen soveltamisalalla toimivaltaisia viranomaisia. Se on kuitenkin joka tapauksessa välttämätöntä yleissopimuksen 108 muutospöytäkirjan (CETS 223) täytäntöönpanemiseksi tiedusteluviranomaisten ja tuomioistuinten osalta.
Pykälään lisättäisiin lisäksi uusi 2 momentti, jonka mukaan rikoslain 38 luvun 10 §:n 3 momentissa säädetään syyttäjän velvollisuudesta kuulla tietosuojavaltuutettua ennen tämän pykälän 1 momentissa mainittuja rikoksia koskevan syytteen nostamista samoin kuin tuomioistuimen velvollisuudesta varata tällaista asiaa käsitellessään tietosuojavaltuutetulle tilaisuus tulla kuulluksi. Kyseessä olisi tietosuojalain 26 §:n 2 momenttia vastaava informatiivinen viittaussäännös. Säännös lisättäisiin johdonmukaisuussyistä, koska rangaistussäännökset ovat myös muutoin saman sisältöiset.
10
Suhde perustuslakiin ja säätämisjärjestys
Ehdotettu sääntely on merkityksellistä perustuslain 10 §:n mukaisen yksityiselämän suojan ja henkilötietojen suojan sekä 12 §:n turvaaman asiakirjajulkisuuden ja sananvapauden kannalta. Perustuslain 10 §:n mukaista suojaa täydentävät ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn yleissopimuksen (Euroopan ihmisoikeussopimus) 8 artiklan mukainen yksityiselämän suoja sekä Euroopan unionin perusoikeuskirjan 7 artiklassa turvattu yksityiselämän suoja ja 8 artiklassa turvattu henkilötietojen suoja. Ihmisoikeussopimuksen 8 artiklan on katsottu Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä kattavan myös henkilötietojen suojan. Perusoikeuskirjan 11 artiklassa säädetään sananvapauden ja tiedonvälityksen vapaudesta. Myös Euroopan ihmisoikeussopimuksen 10 artikla suojaa sananvapautta.
Sääntely on merkityksellistä myös 2 §:n mukaisen julkisen vallan käytön lainalaisuuden, 21 §:n turvaamien hyvän hallinnon ja oikeusturvan takeiden sekä 22 §:n mukaisen perusoikeuksien ja ihmisoikeuksien turvaamista koskevan velvoitteen kannalta. Perustuslain 21 §:n lisäksi oikeudesta hyvään hallintoon säädetään EU:n perusoikeuskirjan 41 artiklassa.
Voimassa olevan tietosuojalain säännökset eivät mahdollista hallinnollisen seuraamusmaksun määräämistä viranomaisille ja julkishallinnon elimille yleisen tietosuoja-asetuksen säännösten rikkomisesta. Tietosuojalain 24 §:ssä on käytetty yleisen tietosuoja-asetuksen 83 artiklan 7 kohdan mukaista kansallista liikkumavaraa viranomaisten osalta. Tätä liikkumavaraa ehdotetaan käytettäväksi voimassa olevasta tietosuojalaista poiketen siten, että viranomaisille voitaisiin määrätä pääsääntöisesti hallinnollinen seuraamusmaksu tietosuojalainsäädännön rikkomisesta sekä tietosuojalain että rikosasioiden tietosuojalain nojalla. Niitä tilanteita, joissa seuraamusmaksu ei ole mahdollinen, koskisivat nykytilaa vastaavasti tietosuojalain 26 §:n rangaistussäännökset. Rikosasioiden tietosuojalakiin ei ole myöskään sisällytetty säännöksiä, joilla mahdollistettaisiin hallinnollinen seuraamusmaksu siinä tarkoitetuille toimivaltaisille viranomaisille lain säännösten rikkomisesta. Lailla on pantu täytäntöön rikosasioiden tietosuojadirektiivin 57 artikla, joka jättää sovellettavan seuraamusjärjestelmän kansalliseen harkintaan. Lain 61 § sisältää tietosuojalakia vastaavan sisältöiset rangaistussäännökset. Viranhaltijoiden osalta sovellettaviksi tulevat lisäksi erityisesti rikoslain säännökset virkavelvollisuuden rikkomisesta. Kummankin lain rangaistussäännöksiin lisättäisiin viittaukset niihin.
Kansallisen sääntelyliikkumavaran käyttö
Perustuslakivaliokunta on arvioidessaan hallituksen esitystä EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi katsonut, ettei seuraamusmaksusääntelyn ulottaminen viranomaistoimintaan olisi ollut sanotussa sääntelykontekstissa valtiosääntöisesti ongelmatonta (PeVL 14/2018 vp, s. 20). Valiokunta viittasi asiaa koskevassa hallituksen esityksessä omaksuttuun kantaan, jonka mukaan viranomaiselle määrättävä hallinnollinen seuraamusmaksu on yleisen oikeusjärjestyksemme kannalta vieras menettely. Hallituksen esityksen tavoin perustuslakivaliokunta kiinnitti lisäksi erityistä huomiota muun muassa viranomaisia sitovaan hallinnon lainmukaisuusperiaatteeseen ja virkavastuuseen, sekä viranomaisen velvollisuuteen hoitaa lakisääteiset tehtävänsä. Hallituksen esityksestä ilmenevien seikkojen lisäksi valiokunta huomautti, että viranomaisille määrättävä hallinnollinen seuraamusmaksu olisi ongelmallinen myös perusoikeusjärjestelmän kokonaisuudessa. (PeVL 14/2018 vp, s. 20; HE 9/2018 vp, s. 56) Mainitun esityksen perustelulausumat ovat oleellisesti samansisältöiset kuin ne, joilla on perusteltu rikoslain yhteisösakkoa koskevien säännösten rajallinen soveltaminen julkisella sektorilla. Yhteisöön kohdistettavat rikosoikeudelliset seuraamukset ja hallinnolliset seuraamukset eivät ole olleet samanaikaisesti perustuslakivaliokunnan arvioitavana.
Perustuslakivaliokunta on painottanut tietosuojalakiehdotusta koskevasta lausunnosta ilmenevien näkökohtien merkitystä käsitellessään hallituksen esitystä eduskunnalle laiksi verkon välityspalvelujen valvonnasta ja eräiksi muiksi laeiksi (HE 70/2023 vp). Perustuslakivaliokunta ei ole pitänyt säätämisjärjestyskysymyksenä seuraamusmaksujen määräämistä viranomaiselle, mutta valiokunta toteaa lausunnossaan, että liikenne- ja viestintävaliokunnan on syytä varmistua liikkumavaran alasta sekä asetuksen sen mahdollistaessa muutettava ja rajattava sääntelyä (PeVL 13/2023 vp, kappale 10, ks. myös PeVL 37/2021 vp). Perustuslakivaliokunta on myös arvioidessaan valtioneuvoston kirjelmää ehdotuksesta tekoälyasetukseksi painottanut sen merkitystä, että ”hallinnollisten sanktioiden osalta tulisi pyrkiä varmistamaan riittävä kansallinen liikkumavara erityisesti sen huomioimiseksi, että Suomessa ei voida määrätä hallinnollisia seuraamusmaksuja viranomaisille, sillä viranomaisille voidaan määrätä ainoastaan rikosoikeudellisia seuraamuksia” (PeVL 37/2021 vp, kappale 40).
Julkisista hankinnoista ja käyttöoikeussopimuksista annetun lain (1397/2016, hankintalaki) perusteella on kuitenkin mahdollista, että markkinaoikeus määrää hankintayksikkönä toimivalle viranomaiselle seuraamusmaksun eräistä lain säännösten rikkomuksista. Seuraamusmaksu voidaan määrätä myös Kilpailu- ja kuluttajaviraston esityksestä. Kyseinen laki ja myös sitä edeltänyt hankintalaki on säädetty perustuslakivaliokunnan myötävaikutuksella, mutta perustuslakivaliokunta on arvioinut seuraamusmaksujen osalta lähinnä muutoksenhakuun liittyviä kysymyksiä, eikä ole nimenomaisesti arvioinut hankintalain seuraamusmaksujärjestelmän soveltamista viranomaisiin (PeVL 49/2016 vp; PeVL 35/2009 vp). Perustuslakivaliokunta on myös vakiintuneesti todennut, että sen ei ole voitu katsoa ottaneen kantaa lakiehdotusten suhteesta perustuslakiin muilta kuin lausunnosta nimenomaisesti ilmeneviltä osin (Esim. PeVL 26/2017 vp, s. 11, PeVL 32/2020 vp, s. 3–4).
Tässä esityksessä ehdotetun sääntelyn kannalta huomionarvoisia ovat myös kahden sääntelykontekstin väliset erot. Hankintalakiin ei liity vastaavanlaisia yksityiselämän suojan ja muiden perusoikeuksien vastakkain asetteluun liittyviä kysymyksiä kuin tietosuojalainsäädäntöön. Lisäksi seuraamusmaksujen määrä mitataan eri tavalla kuin se mitattaisiin viranomaisten osalta tietosuojalainsäädännön rikkomisesta, ja seuraamusmaksun määrää tuomioistuin.
Hallituksen esityksessä ehdotetaan käytettäväksi yleisen tietosuoja-asetuksen 83 artiklan 7 kohdan ja rikosasioiden tietosuojadirektiivin 57 artiklan mukaista liikkumavaraa nykytilasta poiketen siten, että hallinnollinen seuraamusmaksu voitaisiin määrätä myös viranomaiselle ja julkishallinnon elimelle. Seuraamusmaksu voitaisiin määrätä pääosin samoin edellytyksin kuin yksityissektorin rekisterinpitäjälle tai henkilötietojen käsittelijälle. Sääntelyyn ehdotetaan kuitenkin oleellisia mukautuksia viranomaisten yksityissektorista poikkeavan aseman ja toiminnan budjettisidonnaisuuden sekä perustuslaista johtuvien vaatimusten huomioimiseksi. Samalla ehdotetaan seuraamusmaksun määräämiselle säädettyä vanhenemisaikaa lyhennettäväksi kymmenestä vuodesta viiteen vuoteen siltä osin kuin on kyse jatkuvista rikkomuksista ja laiminlyönneistä. Kyseisessä säännöksessä on käytetty tietosuoja-asetuksen 83 artiklan 8 kohdan mukaista liikkumavaraa. Muutos olisi perusteltu seuraamusmaksuihin liittyvän oikeasuhteisuuden vaatimuksen vuoksi ja oikeusturvaan liittyvistä syistä.
Nykyisellä liikkumavaran käytöllä tietosuojalaissa on pyritty vaikuttamaan myönteisesti perusoikeuksien toteutumiseen kokonaisuutena. Yleiseen tietosuoja-asetukseen perustuvien hallinnollisten seuraamusmaksujen määräämisen viranomaiselle mahdollistavasta sääntelystä aiheutuisi riskejä keskenään kilpailevien perus- ja ihmisoikeuksien punnintaan. Sama koskisi myös rikosasioiden tietosuojalain soveltamisalalla toimivia viranomaisia. Vaikka perustuslakivaliokunnan valtiosääntöisiin tehtäviin ei kuulu kansallisen täytäntöönpanosääntelyn arviointi EU:n aineellisen lainsäädännön kannalta, perustuslakivaliokunta on vakiintuneesti pitänyt tärkeänä varmistua siitä, että siltä osin kuin Euroopan unionin lainsäädäntö edellyttää kansallista sääntelyä tai mahdollistaa sen, tätä kansallista liikkumavaraa käytettäessä otetaan huomioon perus- ja ihmisoikeuksista seuraavat vaatimukset (ks. esim. PeVL 25/2005 vp). Valiokunta on tämän johdosta painottanut, että hallituksen esityksessä on erityisesti perusoikeuksien kannalta merkityksellisen sääntelyn osalta syytä tehdä selkoa kansallisen liikkumavaran alasta (PeVL 48/2018 vp, PeVL 26/2017 vp, s. 42, PeVL 2/2017 vp, s. 2, PeVL 44/2016 vp, s. 4).
Edellä mainituilla perustuslakivaliokunnan lausumilla on merkitystä edelleen, myös silloin, kun liikkumavaraa ehdotetaan käytettäväksi aiemmasta poikkeavalla tavalla. Myös hallituksen esityksessä ehdotetun sääntelyn osalta on syytä varmistua liikkumavaran käytön EU-oikeuden mukaisuudesta. Yleisen tietosuoja-asetuksen 83 artiklan 7 kohdan sisältämä liikkumavara on laaja. Sen lisäksi, että jäsenvaltio voi rajata viranomaiset kokonaan seuraamusmaksujen soveltamisalan ulkopuolelle, se voi ulottaa seuraamusmaksut koskemaan viranomaisia tarkoituksenmukaisessa laajuudessa. Rikosasioiden tietosuojadirektiivi jättää kansalliseen harkintaan sen, sovelletaanko viranomaisiin hallinnollista vai rikosoikeudellista seuraamusjärjestelmää.
Nykyisessä järjestelmässä on havaittu eräitä puutteita, joiden johdosta lakeja on tarpeen muuttaa. Hallituksen esityksessä katsotaan, että hallinnollisia seuraamusmaksuja koskevien säännösten soveltaminen viranomaisiin pääsääntöisesti olisi perusteltua erityisesti yleisen tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin tavoitteiden ja EU-oikeuden tehokkaan ja tarkoituksenmukaisen täytäntöönpanon kannalta. Nykyisessä seuraamusjärjestelmässä havaitut puutteet olisivat osittain korjattavissa rikosoikeudellisen seuraamusjärjestelmän täydentämisellä, mutta sillä ei pystyttäisi kohdentamaan seuraamusta organisaatioon. Pelkkä rikosoikeudellisten säännösten muuttaminen ei myöskään poistaisi ongelmaa siitä, että tällä hetkellä yksityissektorin toimijat ovat eriarvoisessa asemassa suhteessa viranomaisiin silloin, kun ne hoitavat samaa tai samankaltaista tehtävää. Hallinnollinen seuraamusmaksu on mahdollinen julkista hallintotehtävää hoitaville yksityisille rekisterinpitäjille ja henkilötietojen käsittelijöille jo nyt sen lisäksi, että niiden palveluksessa olevia voi koskea rikosoikeudellinen virkavastuu. Lisäksi kokonaisuutena julkissektorin ja yksityissektorin henkilötietojen käsittelijöiden eriarvoisen aseman kannalta merkityksellistä on se, että rikosoikeudellisen virkavastuun muodostumisen kynnys on selvästi korkeampi kuin hallinnollisen seuraamusmaksun määräämisen kynnys. Samanlaisista lainsäädännön rikkomistilanteista sanktio määräytyy julkissektorilla ja yksityissektorilla erilaisin kriteerein. Ehdotettu sääntely poistaisi tämän ongelman.
Sen lisäksi, että hallinnolliset seuraamusmaksut ulotettaisiin koskemaan julkissektoria, kansallista liikkumavaraa käytettäisiin nykytilasta poiketen siten, että yhteisöjä, säätiöitä ja julkisyhteisöjä koskisivat samat hallinnollisen seuraamusmaksun enimmäismäärät kuin viranomaisia siltä osin kuin henkilötietojen käsittely liittyy julkisen hallintotehtävän hoitamiseen. Lisäksi julkista hallintotehtävää hoitavia yksityisiä koskisi ehdotettu soveltamisalan rajaus, joka liittyy henkilötietojen suojan ja asiakirjajulkisuuden yhteensovittamiseen. Tällä liikkumavaran käytöllä varmistettaisiin näiden välillistä julkishallintoa edustavien yksityisten yhdenveroinen kohtelu viranomaisten kanssa.
Ehdotetulla liikkumavaran nykytilasta poikkeavalla käytöllä olisi myönteistä vaikutusta yksityiselämän ja henkilötietojen suojaan ja se lisäisi rekisteröityjen luottamusta digitaalisiin viranomaispalveluihin. Samalla seuraamusmaksujen uhkalla kuitenkin voi olla vaikutuksia perus- ja ihmisoikeuksien punnintaan sekä viranomaisten lakisääteisten tehtävien hoitamiseen. Ehdotetulla sääntelyllä on mahdollista varmistaa rekisteröityjen oikeuksien samantasoinen suoja riippumatta siitä, onko kyseessä julkishallinnon tai yksityissektorin rekisterinpitäjä tai henkilötietojen käsittelijä. Sääntelyyn ehdotettavilla mukautuksilla rajattaisiin vaikutuksia viranomaisten toimintaan, huomioiden edellä mainitut valtiosääntöiset näkökohdat.
Hallituksen esityksessä muodostetun arvion mukaan ehdotettu sääntely on kansallisen liikkumavaran puitteissa ja perustuslain tulkintakäytännön valossa mahdollista, edellyttäen että sääntelyssä varmistetaan tarvittavin rajauksin se, että vaikutukset viranomaisten lakisääteisten tehtävien hoitamiselle ja perusoikeuksien järjestelmälle kokonaisuutena jäävät mahdollisimman vähäisiksi, eivätkä heikennä perustuslain 21 §:n mukaisia oikeusturvan ja hyvän hallinnon takeita. Ehdotetuilla rajauksilla varmistettaisiin myös se, että esimerkiksi kunnille tai hyvinvointialueille ei seuraisi niin kohtuuttomia seuraamusmaksuja, että niillä voisi olla vaikutusta kuntien ja hyvinvointialueiden itsehallintoon tai rahoitusperiaatteisiin. Koska ehdotetut säännökset tarkoittaisivat hallinnollisten seuraamusmaksujen kohdistamista viranomaisiin, ja tämä poikkeaisi edellä mainitusta perustuslakivaliokunnan tulkintakäytännöstä, jonka mukaan sitä on pidetty ongelmallisena, perustuslakivaliokunnan arvio esityksestä on kuitenkin välttämätön.
Ehdotetut rajoitukset tietoturvaloukkauksesta ilmoittamista koskevaan velvollisuuteen
Esityksessä ehdotetaan käytettäväksi yleisen tietosuoja-asetuksen 23 artiklan 1 kohdan mukaista liikkumavaraa rajoittaa 34 artiklassa säädettyä rekisteröidyn oikeutta saada tieto henkilötietojen tietoturvaloukkauksesta. Ehdotetut säännökset olisivat merkityksellisiä perustuslain 10 §:n 1 momentin turvaaman yksityiselämän ja henkilötietojen suojan kannalta. Yleiseen tietosuoja-asetukseen perustuvien rekisteröidyn oikeuksien soveltamisalaa voidaan rajoittaa tietosuoja-asetuksen 23 artiklan mukaisesti, jos kyseisessä rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja -vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, ja jos rajoitus täyttää jonkin 23 artiklan 1 kohdassa säädetyistä rajoittamisen perusteista.
Tietosuojalakiin lisättäisiin säännökset, joiden perusteella rekisteröidylle tehtävää ilmoitusta henkilötietojen tietoturvaloukkauksesta voisi rajoittaa tai lykätä tai se voitaisiin jättää tekemättä kansalliseen turvallisuuteen ja rikosten selvittämiseen liittyvien intressien turvaamiseksi, rekisteröidyn tai muiden henkilöiden oikeuksien turvaamiseksi, sekä Suomen tai Euroopan unionin tärkeän taloudellisen tai rahoituksellisen edun turvaamiseksi. Ilmoitusta voisi rajoittaa tai lykätä tai se voitaisiin jättää tekemättä samoilla perusteilla kuin ne, joiden perusteella voidaan jo nykyisin rajoittaa rekisteröidyn tarkastusoikeutta. Rajoitukset perustuisivat tietosuoja-asetuksen 23 artiklan 1 kohdan e ja i alakohtaan. Ilmoitusvelvollisuuden rajoittamisen tavoitteena on sovittaa henkilötietojen suojaa yhteen muiden intressien ja oikeuksien kanssa sekä selventää ilmoitusvelvollisuutta koskevia säännöksiä, joiden rikkomisesta voidaan määrätä hallinnollisia seuraamusmaksuja.
Ehdotetut säännökset merkitsisivät perustuslain 10 §:n 1 momentin turvaaman yksityiselämän ja henkilötietojen suojan rajoittamista. Perustuslakivaliokunta on kiinnittänyt erityistä huomiota siihen, että perusoikeuksiin kohdistuvia rajoituksia on myös arvioitava kulloisessakin sääntely-yhteydessä perusoikeuksien yleisten rajoitusedellytysten valossa, erityisesti rajoitusten hyväksyttävyyden ja oikeasuhtaisuuden, kannalta (esim. PeVL 29/2016 vp, s. 4—5, PeVL 21/2012 vp, PeVL 47/2010 vp sekä PeVL 14/2009 vp). Yksityiselämän suojan rajoituksella tulisi olla hyväksyttävä yhteiskunnallinen päämäärä ja rajoituksen tulee olla välttämätön ja oikeassa suhteessa tavoiteltuun päämäärään. (PeVM 25/1994 vp, sekä esim. PeVL 56/2014 vp ja PeVL 18/2013 vp).
Ilmoitusvelvollisuutta voitaisiin rajoittaa vain siltä osin ja niin pitkäksi aikaa kuin ehdotetut rajoittamisen edellytykset täyttyvät. Jos vain osa ilmoitukseen sisältyvistä tiedoista olisi sellaisia, että ne momentin mukaan jäisivät ilmoitusvelvollisuuden ulkopuolelle, rekisteröidylle tehtävän ilmoituksen tulisi sisältää muut tietosuoja-asetuksen 34 artiklan 2 kohdan mukaiset tiedot. Ehdotetuilla säännöksillä ilmoitusvelvollisuutta voitaisiin rajoittaa vain, jos se olisi välttämätöntä rajoituksen perusteena olevan intressin tai oikeuden kannalta. Ehdotetut säännökset täyttäisivät tietosuoja-asetuksen 23 artiklan 1 kohdan vaatimukset ja perustuslain 10 §:n 1 momentin rajoittamiselle asetetut välttämättömyyden ja oikeasuhteisuuden vaatimukset.
Seuraamusjärjestelmän valinta ja sääntelyn tarkkarajaisuus
Edellä jaksosta 5.1 ilmenee, että hallituksen esityksen valmistelussa viranomaisia ja julkisen hallinnon elimiä koskevana vaihtoehtoisena seuraamusjärjestelmänä on tarkasteltu rikosoikeudellisen sääntelyn täsmentämistä, mukaan lukien mahdollisuus laajentaa yhteisösakon soveltamisalaa. Hallituksen esityksessä ehdotetussa hallinnollisten seuraamusmaksuja koskevien säännösten laajentamisessa koskemaan julkista sektoria on huomioitu seuraamusjärjestelmän valintaan liittyvät valtiosääntöiset ja tarkoituksenmukaisuuteen liittyvät näkökohdat sen lisäksi, että ehdotuksella varmistettaisiin EU-oikeuden asianmukainen täytäntöönpano.
Huomioiden tietosuojarikosta koskevien säännösten rajallisen soveltamisalan, tietosuojalainsäädännön rikkomiseen liittyvät rikosepäilyt viranhaltijoiden osalta käsiteltäisiin voimassa olevien rikoslain säännösten mukaisesti nykyisin lähinnä virkavelvollisuuden rikkomisena, ja rajallisissa tapauksissa kyseeseen voisi tulla virkasalaisuuden rikkominen. Rikoslain 40 lukuun sisältyvissä virkavelvollisuuden rikkomista koskevissa säännöksissä on kyse niin sanotuista blankosäännöksistä, joissa rangaistavaa toimintaa ei ole määritelty rikoksen tunnusmerkistössä tyhjentävästi. Virkavelvollisuudet määräytyvät tarkemmin muun lainsäädännön eli tässä tapauksessa yleisen tietosuoja-asetuksen ja rikosasioiden tietosuojalain perusteella.
Perustuslakivaliokunta on asiallisesti rinnastanut rangaistusluonteisen taloudellisen seuraamuksen rikosoikeudelliseen seuraamukseen. Hallinnollisen seuraamuksen yleisistä perusteista on säädettävä perustuslain 2 §:n 3 momentin edellyttämällä tavalla lailla, koska sen määräämiseen sisältyy julkisen vallan käyttöä. (esim. PeVL 46/2021 vp, 12 kohta, PeVL 39/2017 vp, s. 2, PeVL 2/2017 vp, s. 5, PeVL 15/2016 vp, s. 4, PeVL 10/2016 vp, s. 7–8 ja PeVL 28/2014 vp, s. 2/II) Vaikka perustuslain 8 §:n rikosoikeudellisen laillisuusperiaatteen täsmällisyysvaatimus ei sellaisenaan kohdistu hallinnollisten seuraamusten sääntelyyn, ei sääntelyn tarkkuuden yleistä vaatimusta kuitenkaan voida tällaisen sääntelyn yhteydessä sivuuttaa (ks. esim. PeVL 33/2025 vp, 10 kohta, PeVL 9/2018 vp, s. 3, PeVL 14/2013 vp, PeVL 17/2012 vp, PeVL 9/2012 vp, s. 2/II, PeVL 57/2010 vp, s. 2/II). Perustuslakivaliokunta on käytännössään myös ulottanut blankorangaistussääntelyä koskevan käytäntönsä (PeVM 25/1994 vp, s. 8/I) koskemaan hallinnollisia seuraamuksia koskevaa sääntelyäkin (PeVL 10/2016 vp, s. 8). Perustuslakivaliokunta on käytännössään korostanut, että blankorikossääntelyn osalta tavoitteena tulee olla, että niiden edellyttämät valtuutusketjut ovat täsmällisiä, rangaistavuuden edellytykset ilmaisevat aineelliset säännökset ovat kirjoitetut rikossäännöksiltä vaaditulla tarkkuudella ja nämä säännökset käsittävästä normistosta käy ilmi myös niiden rikkomisen rangaistavuus sekä kriminalisoinnin sisältävässä säännöksessä on jonkinlainen asiallinen luonnehdinta kriminalisoitavaksi tarkoitetusta teosta (PeVM 25/1994 vp, s. 8/I ja myös PeVL 33/2025 vp, 10 kohta, PeVL 9/2018 vp, s. 9, PeVL 10/2016 vp, s. 8).
Sääntelyn tarkkarajaisuutta koskevan vaatimuksen lisäksi säännösten tulee täyttää sanktioiden oikeasuhtaisuuteen liittyvät vaatimukset (ks. esim. PeVL 28/2014 vp, PeVL 15/2014 vp) Suhteellisuusvaatimus puolestaan edellyttää sen arvioimista, onko sanktiointi välttämätön sen taustalla olevan oikeushyvän suojaamiseksi. Tältä osin tulee arvioida, onko vastaava tavoite saavutettavissa muulla perusoikeuteen vähemmän puuttuvalla tavalla kuin teon säätämisellä rangaistavaksi (ks. PeVL 23/1997 vp). Sääntelyn hyväksyttävyyden ja oikeasuhtaisuuden lisäksi sanktioista säädettäessä on kiinnitettävä erityistä huomiota sääntelyn tarkkarajaisuuteen sekä sanktioiden kohteena olevien oikeusturvaan (PeVL 49/2017 vp).
Yleisen tietosuoja-asetuksen ja rikosasioiden tietosuojalain sisältämät velvoitteet ovat pääosin samansisältöisiä. Niitä voidaan myös pitää yksityiskohtaisina ja tarkkarajaisina. Sen sijaan yleisen tietosuoja-asetuksen 84 artikla ja 57 artikla jättävät avoimeksi sen, mitä velvoitteita rikosoikeudellisten rangaistusten olisi katettava. Lähtökohtaisesti mikä tahansa tietosuojalainsäädännön velvoitteen laiminlyönti voitaisiin kuitenkin katsoa virkavelvollisuuden rikkomiseksi edellyttäen, että teon rangaistavuuden yleisesti sovellettavat edellytykset täyttyvät ja laiminlyönti liittyy kyseessä olevan henkilön vastuulla olevaan velvoitteeseen, lukuun ottamatta julkisyhteisöjen työsuhteisia työntekijöitä.
Vaikka yleisen tietosuoja-asetuksen 84 artikla ja rikosasioiden tietosuojadirektiivin 57 artikla sisältävät kansallista liikkumavaraa, niissä tarkoitetuissa kansallisissa seuraamuksissa on keskeistä ottaa huomioon EU:n tuomioistuimen oikeuskäytännöstä seuraavat vaatimukset. Vaikka jäsenvaltiot voivat valita kyseessä olevan EU-lainsäädännön rikkomisesta määrättävät seuraamukset, niiden on tuomioistuimen mukaan huolehdittava erityisesti siitä, että unionin oikeuden rikkominen sanktioidaan vastaavin aineellisin ja menettelyllisin edellytyksin kuin kansallisen oikeuden vastaavanlaatuinen ja vakavuudeltaan samanlainen rikkominen, ja että seuraamus on joka tapauksessa tehokas, oikeasuhteinen ja varoittava (C-679/18, OPR-Finance, tuomio 5.3.2020, 25 kohta; C-565/12, LCL Le Crédit Lyonnais, tuomio 27.3.2014, 44 kohta). Lisäksi tuomioistuin on todennut, että seuraamusten on ankaruudeltaan vastattava niillä rangaistavien loukkausten vakavuutta ja niillä on erityisesti varmistettava todellinen varoittava vaikutus yleistä suhteellisuusperiaatetta kuitenkin noudattaen (C-679/18, OPR-Finance, tuomio 5.3.2020, 26 kohta; C‑42/15, Home Credit Slovakia, tuomio 9.11.2016, 63 kohta).
Edellä mainittu EU:n tuomioistuimen oikeuskäytännöstä ilmenevä vastaavuusperiaate ei tarkoita välttämättä sitä, että seuraamus olisi tarpeen kaikkien tietosuojalainsäädännön velvoitteiden rikkomisesta. Sen sijaan oleellista on se, kohdistuvatko viranomaisten osalta sovellettavaksi tulevat rikosoikeudelliset seuraamussäännökset yleisen tietosuoja-asetuksen ja rikosasioiden tietosuojalain velvoitteiden rikkomiseen mahdollisimman kattavasti. Hallituksen esityksessä muodostetun arvion mukaan virkarikossääntelyn aineellisoikeudellisessa kattavuudessa ei sinänsä ole erityisiä puutteita. Rikosoikeudellinen vastuu ei kuitenkaan koske rekisterinpitäjää organisaationa, vaikkakin rikosoikeudellinen virkavastuu voi toteutua myös kollegiaalisena.
Hallituksen esityksen taustalla oleva nykyisen seuraamusjärjestelmän arviointi osoitti, että tietosuojavelvoitteisiin liittyviä rikosasioista koskevaa oikeuskäytäntöä on kokonaisuutena vähän tietosuojarikoksia koskevia asioita lukuun ottamatta. Kollegiaalisesta vastuusta ei toistaiseksi ole nimenomaan tietosuojaan liittyvää virkarikoksia koskevaa oikeuskäytäntöä. Niissä harvoissa henkilötietojen käsittelyyn liittyvissä virkarikostapauksissa, joissa on ollut kyse tietosuojalainsäädännöstä johtuvista velvoitteista, on pyritty osoittamaan organisaatiosta yksittäinen vastuussa oleva viranhaltija. Nimenomaisesti rekisterinpitoon liittyvät syytteet eivät ole kuitenkaan menestyneet. Sen sijaan syyksilukeva tuomio on annettu muun virkavelvoitteen laiminlyönnistä. Oikeuskäytännön vähäisyyteen voi olla monia syitä.
Oikeuskäytännön vähäisyys ja tarkastelluista tuomioista ilmenevät vastuussa olevan henkilön osoittamisen haasteet herättävät kuitenkin yleisemmin kysymyksen siitä, missä määrin rikosoikeudellinen virkavastuu on mahdollista johtaa niistä velvoitteista, jotka määritetään tarkemmin tietosuojalainsäädännössä. Siinä tapauksessa, että nykyisessä seuraamusjärjestelmässä pitäydyttäisiin, järjestelmän täydentämistä voitaisiin pitää riittävänä keinona varmistaa seuraamusjärjestelmän kattavuus. Keskeisin ongelma liittyy seuraamuslajin valinnan kannalta kuitenkin siihen, että voimassa olevien rangaistussäännösten ja virkavelvollisuuden rikkomista koskevien säännösten perusteella viranomaiselle ei ole mahdollista määrätä rangaistusluontoista seuraamusta organisaationa. Vaikka yleisen tietosuoja-asetuksen 83 artiklan tarkoitusta täsmentävä EU:n tuomioistuimen linjaus (C-807/21, Deutsche Wohnen, tuomio 5.12.2023, 51 ja 43 kohta) ei koske rikosoikeudellista seuraamusjärjestelmää, sille voidaan antaa yleisemminkin merkitystä tietosuoja-asetuksen tarkoituksen kannalta. Yleisen tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin lähtökohtana on, että niissä säädetyt velvoitteet kuuluvat rekisterinpitäjän vastuulle. Rikosasioiden tietosuojadirektiivin johdanto-osasta myös nimenomaisesti ilmenee, että seuraamus tulee voida määrätä myös organisaatiolle. Direktiivi ei sinänsä ota kantaa siihen, minkä luonteinen toimivaltaiselle viranomaiselle määrättävän seuraamuksen tulisi olla. Hallituksen esityksessä on päädytty arvioon, että EU-oikeuden asianmukaisen täytäntöönpanon kannalta tarkoituksenmukaisinta olisi, että seuraamus voitaisiin määrätä myös viranomaiselle siten, että tekoa tai laiminlyöntiä ei ole tarpeen lukea yksittäisen viranhaltijan syyksi. Tässä tapauksessa valinta on tarpeen tehdä yhteisösakon ja hallinnollisen seuraamusmaksun välillä.
Perusoikeusrajoituksen hyväksyttävyysvaatimuksen mukaisesti kriminalisoinneille on esitettävä painava yhteiskunnallinen tarve ja perusoikeusjärjestelmän kannalta hyväksyttävä peruste (PeVL 9/2016 vp, s. 2, PeVL 23/1997 vp, s. 2/II). Perustuslakivaliokunnan mukaan esimerkiksi uhrin suojelu (ks. PeVL 6/2014 vp, s. 2) sekä tiettyjen muiden heikommassa asemassa olevien ryhmien (ks. PeVL 17/2006 vp, s. 3/I) sekä eri oikeushyviin liittyvien turvallisuusnäkökohtien (ks. esim. PeVL 20/2002 vp ja PeVL 26/2014 vp, s. 2) kohentaminen ovat muodostaneet hyväksyttäviä perusteita kriminalisoinneille. Sen sijaan fiskaaliset tavoitteet eivät ole rikosoikeudellisessa sääntely-yhteydessä hyväksyttäviä perusteita seuraamussääntelylle (PeVL 61/2014 vp, s. 3/I). Rangaistusseuraamuksen ankaruuden on oltava myös oikeassa suhteessa teon moitittavuuteen. Lisäksi rangaistusjärjestelmän kokonaisuudessaan tulee täyttää suhteellisuuden vaatimukset (PeVL 56/2014 vp, s. 2—3, PeVL 16/2013 vp, s. 2/I ja PeVL 23/1997 vp, s. 2/II).
Ehdotetun sääntelyn arvioinnissa on huomioitava myös perustuslakivaliokunnan kannat sanktioluonteisten hallinnollisten seuraamusten suhteen. Kuten edellä todetaan, perustuslakivaliokunta on vakiintuneesti käytännössään rinnastanut rangaistusluonteiset taloudelliset seuraamukset rikosoikeudelliseen seuraamukseen. Hallinnolliset rikkomukset muistuttavat rikosoikeudellisia rikoksia, koska hallinnolliset seuraamukset sisältävät rikosoikeudellisille rangaistuksille luonteenomaisia rankaisullisia ja ennaltaehkäiseviä piirteitä (ks. esim. Öztürk v. Saksa, 21.2.1984, kohta 53). Valiokunta on myös korostanut, ettei hallinnollisia sanktioluonteisia seuraamusmaksuja voida pitää perustuslain 81 §:n mukaisina veroina tai maksuina ja ettei niiden tarkoitus ole valtion menojen rahoittaminen eikä olla korvaus tai vastike julkisen vallan maksuvelvolliselle antamista eduista tai palveluista (ks. esim. PeVL 32/2005 vp, s. 2/II, PeVL 12/2005 vp, s. 3/I, PeVL 46/2004 vp, s. 3/I ja PeVL 61/2002 vp, s. 5/II). Hallituksen esityksessä ehdotetun sääntelyn kannalta huomionarvioisia ovat lisäksi perustuslakivaliokunnan kannanotot seuraamusmaksujen määräämisestä viranomaiselle (PeVL 13/2023 vp, PeVL 37/2021 vp, ja PeVL 14/2018 vp).
Lähtökohtaisesti tietosuojalainsäädännön tavoitteet voitaisiin saavuttaa yhtä hyvin yhteisösakkoa ja hallinnollisia seuraamusmaksuja koskevilla säännöksillä. Kumpaankin liittyisi myös samankaltaisia haasteita viranomaisten kannalta. Rangaistusjärjestelmän, mukaan lukien sakkojärjestelmän, yleisesti tunnustettuna tavoitteena kuitenkin on rikosten ehkäiseminen eri vaikutusmekanismeilla sekä rikosten ja rikollisuuskontrollin aiheuttamien kärsimysten ja kustannusten minimoiminen ja niiden oikeudenmukainen jakaminen eri osapuolten kesken (PeVL 9/2016 vp, s. 5) Yleiseen tietosuoja-asetukseen sisältyvän hallinnollisia seuraamusmaksuja koskevan sääntelyn ja tietosuojalainsäädännön rikkomiseen vaihtoehtoisesti sovellettavien rikosoikeudellisten seuraamusten tavoitteet ovat oleellisesti erilaisia. Kumpaankin kuitenkin liittyy ennalta estävyyden tavoite.
Huomioiden edellä todetut valtiosääntöiset ja EU:n tuomioistuimen oikeuskäytännöstä ilmenevät näkökohdat, tietosuojalainsäädännön mukaisten velvoitteiden laiminlyöntien kriminalisointi viranomaisten osalta ei olisi tarkoituksenmukaisin ratkaisu, vaan hallinnollista seuraamusjärjestelmää voidaan pitää paremmin soveltuvana. Yhteisösakkoon liittyisi myös ongelma siitä, että organisaation toiminnassa olisi tullut tehdä rikoksena pidettävä teko, jotta yhteisösakko olisi mahdollinen. Viranomaisten osalta huomionarvioista lisäksi on, että niille määrättäviin seuraamuksiin ei liity vastaavaa perusoikeuksien puuttumiseen liittyvää kysymysten asettelua kuin yksityisille määrättävien seuraamusten osalta. Sen sijaan edellä vaikutusten arvioinnissa on nostettu esiin muita varallisuuteen kohdistuvaan seuraamukseen liittyviä kysymyksiä, joilla on merkitystä viranomaisia koskevien seuraamusten oikeasuhteisuuden kannalta.
Ehdotetuissa viranomaisille määrättäviä hallinnollisia seuraamusmaksuja koskevissa säännöksissä nojauduttaisiin pääosin yleisen tietosuoja-asetuksen 83 artiklassa säädettyihin yksityiskohtaisiin seuraamusmaksun määräämisen edellytyksiin. Ensimmäisen lakiehdotuksen 24 a §:n 1 momentti sisältäisi aineellisen viittaussäännöksen, jolla varmistettaisiin 83 artiklan 1–3 kohdan soveltaminen. Ehdotetussa pykälässä säädettäisiin lisäksi nimenomaisesti vaatimuksesta varmistua seuraamusmaksun määrästä päätettäessä siitä, että se on oikeassa suhteessa viranomaisen kokoon ja taloudelliseen asemaan sekä rikkomuksen tai laiminlyönnin vakavuuteen. Viranomaisia koskevat seuraamusmaksut olisivat myös mahdollisia samojen 83 artiklassa nimenomaisesti mainittujen säännösten rikkomisesta kuin yksityissektorin rekisterinpitäjille ja henkilötietojen käsittelijöille. Rikosasioiden tietosuojalakiin lisättäisiin vastaavan sisältöiset säännökset. Yleisen tietosuoja-asetuksen 83 artiklan säännökset on kirjoitettu täsmällisesti ja niistä käy selvästi ilmi niiden rikkomisen rangaistavuus. Siten tietosuojalainsäädännön rikkomisen rangaistavuuden kannalta ehdotetut säännökset täyttäisivät nykyisin sovellettavia virkavelvollisuuden rikkomista koskevia säännöksiä paremmin tarkkarajaisuuden vaatimukset.
Viranomaiseen kohdistuvalla seuraamusmaksulla voisi välillisesti olla kuitenkin vaikutuksia hallinnon asiakkaiden perusoikeuksiin, joita tarkastellaan jäljempänä tarkemmin. Perustuslakivaliokunnan kannanottojen huomioimiseksi hallituksen esityksessä on ehdotettu rajauksia viranomaisia koskeviin säännöksiin. Samalla säännöksillä viranomaisia koskevien seuraamusmaksujen enimmäismääristä ja viranomaisen koon ja taloudellisen aseman huomioimisesta varmistettaisiin sääntelyn oikeasuhteisuus.
Seuraamusmaksujen suuruuden perusteet
Kuten edellä todetaan, perustuslakivaliokunnan lausuntokäytännössä on vakiintuneesti katsottu, että rangaistusluonteisia taloudellisia seuraamuksia koskevan sääntelyn on täytettävä sanktioiden oikeasuhtaisuuteen liittyvät vaatimukset (PeVL 33/2025, 7 kohta, PeVL 46/2021 vp, 16 kohta, PeVL 39/2017 vp, s. 3, PeVL 2/2017 vp, s. 5, PeVL 15/2016 vp, s. 5 ja PeVL 28/2014 vp, s. 2/II). Valiokunta on tässä yhteydessä kiinnittänyt usein huomiota siihen, voidaanko taloudellinen seuraamus määrätä oikeushenkilöiden lisäksi luonnolliselle henkilölle. Valiokunnan mielestä esimerkiksi luonnolliselle henkilölle määrättävä viiden miljoonan euron seuraamusmaksu on vaikuttanut suhteellisen ankaralta seuraamukselta (PeVL 15/2016 vp, s. 5). Valiokunnan käytännössä myös seuraamusmaksua, jonka suuruudeksi ehdotettiin vähintään 500 euroa ja enintään 40 000 euroa, on pidetty suhteellisen suurina, etenkin siltä osin kuin niitä oli tarkoitus soveltaa myös luonnollisiin henkilöihin (PeVL 46/2021 vp, 16 kohta). Perustuslakivaliokunta on painottanut, että EU-säännösehdotuksista neuvoteltaessa tulee kiinnittää aina vakavaa huomiota siihen, että erityisesti luonnollisiin henkilöihin kohdistuvien seuraamusmaksujen tulee olla enimmäismäärältään oikeasuhtaisia. (PeVL 33/2025 vp, 8 kohta)
Koska hallinnollisia seuraamusmaksuja ei ole yleensä ehdotettu mahdollistettavaksi viranomaisille, perustuslakivaliokunnan tulkintakäytännöstä ei tarkemmin ilmene, minkä suuruiset seuraamusmaksut olisivat viranomaisten osalta ongelmallisia oikeasuhteisuuden kannalta. Tietosuojalakia koskevan lakiehdotuksen käsittelyn yhteydessä valiokunta on kuitenkin huomauttanut, että yleiseen tietosuoja-asetukseen perustuneet seuraamusmaksut, joiden enimmäismäärä määriteltiin joko kiinteän enimmäismäärän (20 000 000 euron) tai liikevaihtomallin (neljä prosenttia yrityksen vuotuisesta liikevaihdosta) perusteella, ovat määrältään huomattavia ja ne voivat muodostua oikeasuhtaisuusvaatimuksen kannalta ongelmallisiksi, mikä korostaa oikeusturvalle asetettuja vaatimuksia (PeVL 14/2018 vp, s. 18). Perustuslakivaliokunta kiinnitti huomiota korkean seuraamusmaksun uhkan ongelmallisuuteen myös kannanotossaan, joka koski viranomaisia. (PeVL 14/2018 vp, s. 21) Tietosuoja-asetuksen 83 artikla soveltaminen sellaisenaan tarkoittaisi, että viranomaisiin sovellettaisiin siinä säädettyjä kiinteitä seuraamusmaksun enimmäismääriä. Vaikka viranomaiset ovat eräitä valtuutettuja lukuun ottamatta vain harvoin luonnollisia henkilöitä, myös viranomaisille mahdollistettavien seuraamusmaksujen enimmäismääriin liittyy erityinen tarve varmistua siitä, että ne muodostuvat tasoltaan oikeasuhteisiksi. Vaikka osalla viranomaisista voi olla suuri budjetti, tosiasiallisesti ennakoimattomien menojen maksamiseen käytettävissä olevat varat voivat olla vähäiset.
Yleisen tietosuoja-asetuksen 83 artiklan 1 kohta edellyttää valvontaviranomaisen varmistavan, että hallinnollisen seuraamusmaksun määrääminen asetuksen 83 artiklan mukaisesti on kussakin yksittäisessä tapauksessa tehokasta, oikeasuhteista ja varoittavaa. Hallinnolliset seuraamusmaksut määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti 58 artiklan 2 kohdan a–h ja j alakohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden sijasta. Asetuksen 83 artiklan 2 kohdassa säädetään yksityiskohtaisesti seuraamusmaksua määrättäessä huomioitavista näkökohdista. Artiklan 3 kohta edellyttää, että jos rekisterinpitäjä tai henkilötietojen käsittelijä rikkoo samoissa tai toisiinsa liittyvissä käsittelytoimissa tahallaan tai tuottamuksellisesti useita tämän asetuksen säännöksiä, hallinnollisen seuraamusmaksun kokonaismäärä ei saa ylittää vakavimmasta rikkomuksesta määrättyä seuraamusmaksua. Nämä säännökset tulisivat tietosuojalain ehdotetun 24 a §:n mukaisesti sovellettaviksi myös silloin, kun kyse olisi julkissektorin rekisterinpitäjää tai henkilötietojen käsittelijää koskevasta seuraamusharkinnasta.
Yleisen tietosuoja-asetuksen 83 artiklan 4 ja 5 kohta, joissa säädetään seuraamusmaksujen enimmäismääristä, eivät sisällä liikkumavaraa yksityissektorin osalta. Sen sijaan artiklan 7 kohta mahdollistaa liikkumavaran viranomaisten osalta muun muassa tältä osin. Ehdotetussa tietosuojalain 24 a §:ssä ja sitä vastaavasti rikosasioiden tietosuojalain 58 c §:ssä säädettäisiin julkissektorilla sovellettavista seuraamusmaksujen enimmäismääristä, jotka olisivat rikkomuksesta riippuen 500 000 euroa tai 1 000 000 euroa. Lisäksi säännöksissä edellytettäisiin nimenomaisesti, että seuraamusmaksua määrästä päätettäessä on varmistuttava siitä, että se on oikeassa suhteessa viranomaisen tai julkishallinnon elimen kokoon ja taloudelliseen asemaan sekä rikkomuksen tai laiminlyönnin vakavuuteen.
Ehdotetuissa seuraamusmaksujen enimmäismäärissä on huomioitu se, että viranomaisten toiminnassa sääntelyn ennalta estävyys muodostuu eri tavalla kuin yritysten toiminnassa, koska viranomaisten toimintaan ei liity pääsääntöisesti taloudellisen voiton tavoittelua. Siten viranomaisten rikkomuksia ja laiminlyöntejä ennalta estää merkittävästi tietosuoja-asetuksessa säädettyjä enimmäismääriä alemmat seuraamusmaksujen enimmäismäärät. Sillä, että viranomaiset noudattavat seuraamusmaksun uhkan ansiosta aiempaa enemmän huolellisuutta ja varovaisuutta muun muassa tietojärjestelmähankkeissa, on rikkomuksia ennalta estävää vaikutusta. Viranomaisten on myös mahdollista esimerkiksi saavuttaa rikkomuksella tai laiminlyönnillä taloudellista säästöä, jota voidaan pitää tietosuoja-asetuksessa tarkoitettuna epäsuorana taloudellisena etuna.
Ehdotetut seuraamusmaksujen enimmäismäärät olisivat yksityissektoria alemmasta tasosta huolimatta edelleen merkittäviä perustuslain tulkintakäytännön valossa, erityisesti jos kyseessä olisi luonnollinen henkilö viranomaisena (kuten valtuutetut) tai jos viranomaisen taloudellinen kantokyky olisi heikko tai koko budjetti alittaisi 500 000 euroa. Seuraamusmaksujen enimmäismäärien olisi kuitenkin oltava riittävän korkeat, jotta seuraamusjärjestelmä olisi tehokas, varoittava ja oikeasuhteinen kaikkien julkissektorin toimijoiden osalta. Ehdotetussa tietosuojalain 24 a §:ssä ja rikosasioiden tietosuojalain 58 c §:ssä korostetulla oikeasuhteisuuden vaatimuksella varmistettaisiin se, että enimmäismäärä ei olisi mahdollinen budjetiltaan pienten tai heikossa taloudellisessa asemassa olevien viranomaisten osalta. Vaikka oikeasuhteisuuden vaatimus sisältyy yleisen tietosuoja-asetuksen 83 artiklan 1 kohtaan, sen toistamiselle ehdotetussa muodossa ei ole estettä, huomioiden artiklan 7 kohtaan sisältyvän liikkumavaran siitä, missä määrin seuraamusmaksuja voitaisiin määrätä viranomaisille ja julkishallinnon elimille.
Perustuslakivaliokunta on pitänyt hallinnollisten sanktioiden oikeasuhtaisuuden kannalta merkittävinä paitsi säännöksiä sanktioiden euromääräisestä suuruudesta myös säännöksiä seuraamuksen suuruuden määräytymisessä huomioon otettavista seikoista ja seuraamusmaksun määräämättä jättämisestä. Valiokunta on myös käytännössään edellyttänyt, että viranomaisen harkinnan sanktion määräämättä jättämisestä tulee olla sidottua harkintaa siten, että seuraamusmaksu on jätettävä määräämättä laissa säädettyjen edellytysten täyttyessä (PeVL 46/2021 vp, 17 kohta, PeVL 46/2021 vp, 17 kohta, ks. myös PeVL 49/2017 vp, PeVL 39/2017 vp). Perustuslakivaliokunta on antanut merkitystä muiden hallinnollisen seuraamusmaksun määräämisen edellytysten ohella myös seuraamusmaksujen viimesijaisuudelle ja edellyttänyt viimesijaisuuden ilmenemistä laista (PeVL 46/2021 vp, kohdat 18 ja 19). Perustuslakivaliokunnan lausuntokäytännössä mainitut seikat ilmenevät pääosin yleisen tietosuoja-asetuksen 83 artiklan 1–3 kohdasta, joissa säädetään hallinnollisen seuraamusmaksun määräämisen edellytyksistä, ja ne koskisivat myös julkissektoria. Nämä seuraamusmaksujen määräämisen edellytykset eivät sisällä kansallista liikkumavaraa. Vastaavat säännökset ehdotetaan sisällytettäviksi rikosasioiden tietosuojalain 58 b §:ään.
Tietosuoja-asetuksen 83 artiklan 7 kohta kuitenkin mahdollistaa liikkumavaran käytön siltä osin, missä määrin seuraamusmaksuja voitaisiin määrätä viranomaisille. Huomioiden perustuslain tulkintakäytännöstä ilmenevät vaatimukset, tietosuojalain 24 a §:ssä ja rikosasioiden tietosuojalain 58 b §:ssä korostettaisiin seuraamusharkinnan sitomista sen määräämistä koskeviin edellytyksiin sekä seuraamuksen viimesijaisuutta. Seuraamusmaksun viimesijaisuuden periaate ei yksiselitteisesti ilmene yleisen tietosuoja-asetuksen säännöksistä tai johdanto-osan perusteluista, vaikka 83 artiklan mukaisiin seuraamusmaksun määräämisen edellytyksiin sidottu harkinta käytännössä tarkoittaa sitä, huomioiden myös EU:n tuomioistuimen korostamat tahallisuuden tai tuottamuksellisuuden vaatimukset (C-683/21, Nacionalinis visuomenės sveikatos centras, tuomio 5.12.2023, kohta 73). Ehdotettujen viimesijaisuuden periaatetta korostavien säännösten arvioidaan olevan mahdollisia viranomaisia koskevan liikkumavaran puitteissa ilman, että ne vaarantaisivat yksityissektorin ja julkissektorin rekisterinpitäjien ja henkilötietojen käsittelijöiden yhdenvertaisen kohtelun. Viimesijaisuudella tarkoitettaisiin käytännössä sitä, että yksittäistapauksessa muut käytettävissä olevat korjaavat toimenpiteet eivät olisi riittäviä 83 artiklan 1–3 kohtaan sidotun harkinnan perusteella. Seuraamusmaksun määrääminen ei kuitenkaan edellyttäisi, että tietosuojavaltuutettu ensin toteuttaisi muita toimenpiteitä, vaan voisi harkintansa mukaan määrätä seuraamusmaksun yhdessä muiden toimenpiteiden kanssa tai niiden sijasta (KHO:2023:81, kohta 50)
Ehdotetut seuraamusmaksun suuruuden määräytymisen perusteita koskevat tietosuojalakiin lisättävät säännökset ja yleisen tietosuoja-asetuksen suoraan sovellettavat säännökset, sekä vastaavat rikosasioiden tietosuojalain säännökset täyttäisivät esityksessä muodostetun arvion mukaan kokonaisuutena perustuslain tulkintakäytännöstä ilmenevät vaatimukset sanktioiden oikeasuhteisuudesta. Perustuslakivaliokunnan arvio ehdotettujen viranomaisia koskevien mukautusten riittävyydestä on kuitenkin tarpeen, huomioiden viranomaisten toiminnan yksityissektorista poikkeavan luonteen.
Kaksoisrangaistavuuden kielto (ne bis in idem)
Hallituksen esityksen valmistelun yhteydessä on arvioitu sitä, voisiko hallinnollisten seuraamusmaksujen ulottaminen koskemaan viranomaisia aiheuttaa kysymyksiä kaksinkertaisen rangaistuksen kiellosta. Euroopan ihmisoikeussopimuksen 7. lisäpöytäkirjan 4 artiklassa määrätään ns. ne bis in idem -säännöstä, jonka mukaan ketään ei saa saman valtion tuomiovallan nojalla tutkia uudelleen tai rangaista oikeudenkäynnissä rikoksesta, josta hänet on jo lopullisesti vapautettu tai tuomittu syylliseksi kyseisen valtion lakien ja oikeudenkäyntimenettelyn mukaisesti. Myös kansalaisoikeuksia ja poliittisia oikeuksia koskevan kansainvälisen yleissopimuksen 14 artiklan 7 kohta ja EU:n perusoikeuskirjan 50 artikla määräävät periaatteesta. Kiellon katsotaan sisältyvän myös Suomen perustuslain yksilön oikeusturvaa koskevan 21 §:n 2 momentin säännökseen oikeudenmukaisen oikeudenkäynnin takeista, jotka on lailla turvattava (PeVL 9/2012 vp, s. 3; HE 309/1993 vp, s. 74/II).
Euroopan ihmisoikeustuomioistuimen ratkaisukäytännössä kiellon soveltamisala ei rajoitu vain varsinaisiin rikosoikeudellista rangaistusta koskeviin tuomioihin, vaan se ulottuu myös erilaisiin rangaistusluonteisiin hallinnollisiin seuraamuksiin. Rangaistusluonteisen seuraamusmaksun määrääminen samasta teosta kuin rikosoikeudellinen seuraamus voi saattaa sen Euroopan ihmisoikeussopimuksen 7. pöytäkirjan 4 artiklan soveltamisalaan (Sergey Zolotukhin v. Venäjä, tuomio 10.2.2009 (suuri jaosto), 52–57 kohta; ks. myös esim. Jussila v. Suomi, tuomio 23.11.2006, ja Ruotsalainen v. Suomi, tuomio 16.6.2009). Vastaavasti perusoikeuskirjan 50 artiklaa on tulkittu EU:n tuomioistuimen oikeuskäytännössä (esim. C-524/15, Menci, tuomio 20.3.2018, 30 kohta). Kaksoisrangaistavuuden kiellon ei voida katsoa koskevan vain puhtaasti peräkkäisiä menettelyjä, vaan myös samanaikaisesti vireillä olevia menettelyjä. Tämä tulkinta on johdettavissa jo ihmisoikeussopimuksen mainitun artiklan sanamuodosta, ja se näyttäisi vastaavan myös Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä esitettyjä linjauksia (ks. em. Sergey Zolotukhin -tuomio, ja Tomasovic v. Kroatia, tuomio 18.10.2011; ks. myös PeVL 9/2012 vp, s. 4)
Myös perustuslakivaliokunta on vakiintuneesti käytännössään rinnastanut rangaistusluonteiset taloudelliset seuraamukset rikosoikeudelliseen seuraamukseen (esim. PeVL 39/2017 vp, s. 2, PeVL 2/2017 vp, s. 5, PeVL 15/2016 vp, s. 4, PeVL 10/2016 vp, s. 7–8 ja PeVL 28/2014 vp, s. 2/II). Perustuslakivaliokunta on rangaistuksenluonteisia seuraamuksia koskevan sääntelyn yhteydessä arvioinut, onko kaksoisrangaistavuuden kiellon vaatimukset otettu asianmukaisesti huomioon (PeVL 10/2016 vp ja PeVL 17/2013 vp). Tietosuojarikosta koskevassa rikoslain säännöksessä on varmistuttu siitä, että sen soveltamisala on eri kuin tietosuoja-asetuksen mukaisten hallinnollisten seuraamusmaksujen osalta, jolloin ne bis in idem –vaikutusta ei pitäisi syntyä. Muissa rikosnimikkeissä, joihin voimassa olevissa tietosuojalain ja rikosasioiden tietosuojalain rangaistussäännöksissä viitataan, ei myöskään ole kyse tietosuojalainsäädännön mukaisten velvoitteiden rikkomisesta.
Oikeuskäytäntöä on yksityissektorin osalta toistaiseksi vähän, mutta ne bis in idem –vaikutus voidaan huomioida myös lain soveltamisen yhteydessä. Tietosuojarikoksen selkeästi erillisen soveltamisalan huomioiden, kaksinkertaisen rangaistuksen kiellon punninta ei välttämättä kuitenkaan nouse seuraamusharkintaa koskevissa perusteluissa esiin, vaikka asiakokonaisuudesta olisi samanaikaisesti vireillä rikosprosessi (kuten arviomuistiossa mainittu tietoturvaloukkausta koskevan ilmoituksen laiminlyöntiin liittyvä päätös 7.12.2021 dnro 1150/161/2021). Viranomaisten osalta kuitenkin tietosuojarikoksen sijasta virkarikokset olisivat ne bis in idem –periaatteen kannalta käytännössä ne rikokset, joiden osalta kysymys voisi nousta esiin. Siltä osin kuin on kyse tietosuoja-asetuksen tai rikosasioiden tietosuojalain rikkomisesta viranomaisessa, lähinnä virkarikossääntely kattaa niiden laiminlyönnit. Viranomaisten osalta rekisterinpitäjä tai henkilötietojen käsittelijä on yleensä organisaatio, kun taas virkarikoksesta voidaan tuomita vain luonnollinen henkilö, joten tältä osin kysymys vaikuttaisi viranomaisten osalta melko teoreettiselta. Seuraamusmaksu lähtökohtaisesti määrättäisiin suoraan rekisterinpitäjälle tai henkilötietojen käsittelijälle ilman, että organisaatiosta on tarpeen osoittaa yksittäistä rikkomuksesta vastuussa oleva henkilö. Kollegiaalisen päätöksenteon osalta rikosoikeudellinen virkavastuu sinänsä voisi joskus tulla arvioitavaksi samanaikaisesti hallinnollisen seuraamusmaksuharkinnan kanssa.
Kuten tietosuojarikoksen seuraamussäännöksillä, hallinnollisella seuraamusmaksulla suojataan kuitenkin eri oikeushyvää kuin virkarikoksesta aiheutuvalla rikosoikeudellisella seuraamuksella (vrt. VaaHO:2023:3). Toisaalta oikeuskäytännössä on jo hyväksytty jonkinasteinen päällekkäisyys menettelyissä. Se, että kahdella menettelyllä tavoitellaan erilaisia yleisen edun mukaisia tavoitteita, joita on oikeutettua suojata samanaikaisesti, voidaan menettelyjen ja seuraamusten päällekkäisyyden suhteellisuusperiaatteen mukaisuutta tarkasteltaessa ottaa huomioon tekijänä, jolla pyritään perustelemaan tämä päällekkäisyys, edellyttäen, että nämä menettelyt täydentävät toisiaan ja että kyseisestä päällekkäisyydestä aiheutuva lisärasitus voidaan siten oikeuttaa tavoitelluilla kahdella päämäärällä. Tässä tapauksessa oleellista on sääntelyn selkeys, päällekkäisten menettelyjen välttämättömyys ja yhteensovittaminen, sekä seuraamusten oikeasuhteisuus (C-117/20, bpost SA v. Autorité belge de la concurrence, tuomio 22.3.2022 (suuri jaosto), 49–50 kohta; C-524/15, Menci, tuomio 20.3.2018, 49, 52, 53, 55 ja 58 kohta, sekä Euroopan ihmisoikeustuomioistuimen tuomio 15.11.2016, A ja B v. Norja, 130–132 kohta; ks. myös PeVL 9/2012 vp).
Hallituksen esityksessä ehdotetaan kuitenkin lisättäväksi kummankin lain rangaistussäännöksiin viittaukset virkavelvollisuuden rikkomista koskeviin rikoslain pykäliin. Viittauksilla selkiytettäisiin EU-oikeuden mukaisten velvoitteiden täytäntöönpanoa erityisesti niiden viranomaisten huomioimiseksi, joihin ei sovellettaisi hallinnollisia seuraamusmaksuja. Hallinnolliset seuraamusmaksut eivät myöskään tarkoittaisi sitä, etteikö yksittäinen viranhaltija voisi olla joissakin tapauksissa yksin rikosoikeudellisessa virkavastuussa tietosuojalainsäädännön rikkomisesta sen sijaan, että kyseessä olisi organisaation vastuulla oleva laiminlyönti.
Huomioiden edellä mainitut näkökohdat ja sen, että mahdolliset ne bis in idem –tilanteet olisivat suurella todennäköisyydellä harvinaisia, eikä osittaiselle päällekkäisyydelle ole oikeuskäytännön valossa estettä, hallinnollisten seuraamusmaksujen ulottaminen koskemaan viranomaisia ei olisi kaksinkertaisen rangaistuksen kiellon kannalta ongelmallista.
Julkisen vallan käyttö, oikeusturva ja hyvän hallinnon takeet
Ehdotettu sääntely olisi merkityksellistä perustuslain 2 §:n 3 momentissa tarkoitetun julkisen vallan käytön ja perustuslain 21 §:n mukaisten oikeusturvan ja hyvän hallinnon takeiden kannalta. Hallinnollisen seuraamuksen yleisistä perusteista on säädettävä perustuslain 2 §:n 3 momentin edellyttämällä tavalla lailla, koska sen määräämiseen sisältyy julkisen vallan käyttöä. Perustuslakivaliokunta on katsonut rangaistusluonteisen hallinnollisen seuraamuksen määräämiseen sisältyvän merkittävää julkisen vallan käyttöä. Toimivaltaa seuraamusmaksun määräämiseen ei perustuslain 124 § huomioon ottaen voida siksi säätää muulle kuin viranomaiselle. (ks. esim. PeVL 49/2017 vp, PeVL 14/2013 vp, PeVL 57/2010 vp, PeVL 55/2005 vp, PeVL 32/2005 vp). Perustuslakivaliokunta on katsonut perustuslain 21 §:ssä säädettyjen oikeusturvan ja asianmukaisen menettelyn takeiden merkityksen korostuvan sitä enemmän, mitä ankarammasta seuraamuksesta on kysymys (esim. PeVL 14/2018 vp, s. 19).
Jokaisella on perustuslain 21 §:n 1 momentin mukaan oikeus saada asiansa käsitellyksi asianmukaisesti ja ilman aiheetonta viivytystä lain mukaan toimivaltaisessa tuomioistuimessa tai muussa viranomaisessa. Kun on kysymys hallintoviranomaisen toiminnasta, asian käsittelyssä on noudatettava hyvän hallinnon takeita, joita pykälän 2 momentin mukaan ovat muun muassa käsittelyn julkisuus, oikeus tulla kuulluksi ja saada perusteltu päätös sekä oikeus hakea muutosta. Nämä hyvän hallinnon takeet turvataan perustuslain mukaan lailla. Vaikka perusoikeuksia koskevilla säännöksillä suojataan pääosin luonnollisen henkilön oikeuksia, viranomaiset ovat tietosuojalainsäädännön mukaisia rekisterinpitäjiä ja henkilötietojen käsittelijöitä, ja tietosuojavaltuutettu tekee niitä koskevia hallintopäätöksiä. Ehdotetulla seuraamusmaksusääntelyllä puututtaisiin viranomaisten toimintaa varten varatun rahoituksen käyttöön. Hyvän hallinnon takeilla on myös tässä tapauksessa korostunut merkitys. Viranomaisella on oikeus hakea tietosuojavaltuutetun päätöksiin muutosta valittamalla hallinto-oikeuteen tietosuojalain ja rikosasioiden tietosuojalain mukaisesti.
Hallinnollisten seuraamusmaksujen määräämiseen sovelletaan yleisen tietosuoja-asetuksen 83 artiklan lisäksi tietosuojalain 24 §:n säännöksiä. Siltä osin kuin asiasta ei säädetä niissä, tietosuojavaltuutetun päätöksentekoon sovelletaan hallintolakia. Perustuslakivaliokunta on katsonut, että määräämismenettelyn asianmukaisuutta, riippumattomuutta ja puolueettomuutta perustuslain 21 §:n edellyttämällä tavalla turvaa se, että seuraamusmaksun määräämisestä päättäminen säädetään monijäsenisen elimen toimivaltaan kuuluvaksi. Perustuslakivaliokunta on tämän ohella kiinnittänyt huomiota lisäksi siihen, että menettelyyn liittyvien oikeusturvajärjestelyiden merkitystä korostaa osaltaan se, ettei tietosuoja-asetuksessa tarkemmin määritellä, minkä suuruisena seuraamusmaksu kussakin tilanteessa tulee määrätä. Asetuksessa asetetaan ainoastaan maksun hyvin korkeat ylärajat ja luetellaan erilaisia tekijöitä, jotka tulee ottaa huomioon hallinnollisia sanktioita määrättäessä (83 artikla 2 kohta). (PeVL 14/2018 vp; PeVL 24/2018 vp)
Tietosuojalain 24 §:n 1 momentin mukaisesti tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen seuraamusmaksun määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio. Pykälässä säädetään myös seuraamusmaksun määräämiseen sovellettavasta menettelystä, jossa seuraamusmaksua koskeva päätös tehdään esittelystä. Seuraamuskollegiota koskevat säännökset lisättiin lakiehdotukseen eduskuntakäsittelyn aikana perustuslakivaliokunnan lausuntojen (PeVL 14/2018 vp, PeVL 24/2018 vp) johdosta hallintovaliokunnan mietinnössä sen huomioimiseksi, että laissa säädettävä seuraamuskollegio käyttäisi merkittävää julkista valtaa. Tämän vuoksi sen kokoonpanon tuli käydä perustuslain 2 §:n 3 momentin ja 119 §:n 2 momentin johdosta ilmi suoraan laista. Sääntelyä oli täsmennettävä myös säännöksillä kollegion päätösvaltaisuudesta. Perustuslakivaliokunta katsoi jälkimmäisessä lausunnossaan, että hallintovaliokunnan ehdottaman sääntelyn voidaan katsoa pääosin täyttävän vähimmäisvaatimukset, mutta ratkaisua ei voitu pitää perustuslain 21 §:n kannalta optimaalisena. Kolmen virkamiehen muodostamaa seuraamuskollegiota voidaan sinänsä pitää monijäsenisenä toimielimenä. Perustuslakivaliokunta piti lisäksi hallintovaliokunnan ehdottamaa päätösmenettelyä koskevaa säännöstä asianmukaisena (PeVL 24/2018 vp, s. 3). Voimassa olevaa tietosuojalakia vastaavan sisältöiset säännökset ehdotetaan lisättäväksi rikosasioiden tietosuojalakiin perustuslain 2 §:n 3 momentista johtuvien vaatimusten huomioimiseksi.
Perustuslakivaliokunta katsoi myös, että ehdotettu kollegio ei myöskään parhaalla mahdollisella tavalla täyttänyt asetuksessa edellytettyä riippumattomuutta ja puolueettomuutta, kun sen kokoonpanossa ovat yksinomaan valvontaviranomaiset itse. Perustuslakivaliokunnan mielestä perustuslain 21 §:stä johtuvista syistä olisi ollut perusteltua erottaa toisistaan tietosuojavaltuutetun ja seuraamustoimielimen tehtävät siten, että tietosuojavaltuutettu ei ole hallinnollisesta seuraamusmaksusta päättävän toimielimen jäsen. Vastaavasti olisi ollut johdonmukaista määritellä laissa seuraamustoimielimen päätöksentekoa edeltävä asian selvittäminen ja muu valmistelu sekä esittely tietosuojavaltuutetun tehtäväksi. Myös tietosuoja-asetuksen nojalla määrättävän hallinnollisen seuraamusmaksun ankaruuteen liittyvät oikeusturvaan ja päätöksentekomenettelyyn kohdistuvat erityisvaatimukset puoltaisivat perustuslakivaliokunnan mukaan vahvasti seuraamusmaksun määräämistoimivallan ja seuraamusmaksun perusteiden selvittämiseen liittyvien tehtävien erottelua toisistaan. Perustuslakivaliokunnan käsityksen mukaan tällainen organisatorinen erottelu vahvistaisi myös seuraamustoimielimen riippumatonta asemaa ja asianosaisen oikeusturvan takeisiin kuuluvia puolustautumisoikeuksia. (PeVL 24/2018 vp, s. 4, ks. myös PeVL 14/2018 vp, s. 19)
Perustuslakivaliokunnan lausunnoista jää avoimeksi se, tarvittaisiinko voimassa olevaan sääntelyn mukaiseen organisaatioon tai menettelyyn ylimääräisiä muutoksia siinä tilanteessa, että seuraamusmaksun määrääminen olisi mahdollista myös viranomaiselle. Tietosuojavaltuutetun organisaatiota arvioitiin oikeusministeriössä uudelleen. Hallituksen esityksellä HE 31/2023 vp korjattiin kuitenkin vain perustuslakivaliokunnan lausunnosta 24/2018 ilmenevä tietosuojavaltuutetun riippumattomuuteen liittyvä epäkohta. Perustuslakivaliokunta katsoi, että tietosuojavaltuutetun toimiston toimimista oikeusministeriön yhteydessä ei voitu pitää täysin ongelmattomana siltä kannalta, että tietosuojaviranomaiselle kuuluu erittäin merkittävää sanktiovaltaa, jonka käyttämisen tulisi perustuslain 21 §:n mukaisen oikeusturvan toteuttamiseksi olla organisatorisesti riippumatonta. Tietosuojalakia muutettiin siten, että tietosuojavaltuutettu ei enää sijaitse oikeusministeriön yhteydessä, vaan oikeusministeriön hallinnonalalla.
Hallituksen esityksessä ei ehdoteta muutettavaksi tietosuojavaltuutetun organisaatiota ja menettelyjä, vaan voimassa olevan tietosuojalain mukaista esittely- ja päätöksentekomenettelyä sovellettaisiin myös viranomaisiin. Perustuslakivaliokunnan edellä mainittujen huomioiden johdosta vastaavan sisältöiset säännökset on tarpeen sisällyttää myös rikosasioiden tietosuojalakiin. Huomioiden kuitenkin sen, mitä perustuslakivaliokunta on lausunut siitä, että yleisessä tietosuoja-asetuksessa ei tarkemmin määritetä sovellettavien seuraamusmaksujen suuruutta, säännöksiin ehdotetaan sisällytettäväksi viranomaisten toiminnan luonteen huomioivia mukautuksia. Viranomaisille määrättävien seuraamusmaksujen enimmäismäärät olisivat ehdotuksen mukaan ensinnäkin tuntuvasti alemmat kuin yksityissektorin osalta. Koska pelkkä enimmäismäärä jättäisi kuitenkin yksittäistapauksessa määrättävän seuraamusmaksun määrän vapaaseen harkintaan, ja kyse olisi julkisen vallan käytöstä suhteessa toiseen viranomaiseen, seuraamusmaksua määrättäessä olisi lisäksi huomioitava viranomaisen koko ja taloudellinen asema. Hallituksen esityksessä muodostetun arvion mukaan nämä lisävaatimukset ovat välttämättömiä.
Huomioiden edellä mainitun tietosuojavaltuutetun riippumattomuutta korostavan lainmuutoksen ja hallituksen esityksessä ehdotetut viranomaisia koskevat rajaukset, nykyisen kollegiaalisen päätöksentekomenettelyn arvioidaan täyttävän perustuslain 21 §:n mukaisen hyvän hallinnon vähimmäistakeet.
Perustuslakivaliokunta on kiinnittänyt huomiota siihen, että seuraamusmaksusääntelyn ulottaminen viranomaistoimintaan ei olisi valtiosääntöisesti ongelmatonta. Rikosoikeudelliseen seuraamusjärjestelmään kuitenkin liittyy tässä esityksessä esiin nostettuja puutteita, eikä tietosuojalakiehdotuksen käsittelyn yhteydessä arvioitu rikosoikeudellista ja hallinnollista seuraamusjärjestelmää samanaikaisesti kokonaisuutena. Perustuslakivaliokunnan arvio on tarpeen siitä, täyttävätkö ehdotetut säännökset seuraamusmaksujen määräämisestä viranomaisille hallinnon lainalaisuutta koskevat vaatimukset, huomioiden merkittävän julkisen vallan käytön suhteessa viranomaisiin.
Liikkumavaran käytön vaikutukset perus- ja ihmisoikeuksien suojaan
Perustuslain 22 §:n mukaan julkisen vallan on turvattava perusoikeuksien ja ihmisoikeuksien toteutuminen. Tämä turvaamisvelvollisuus viittaa sanamuotonsa perusteella perusoikeuksien ja ihmisoikeuksien järjestelmään kokonaisuutena, ei pelkästään yksittäiseen perusoikeuteen. Tietosuojalain esitöiden mukaan henkilötietojen suojaan läheisesti liittyviä perusoikeuksia ovat yksityiselämän suojan lisäksi oikeus kunniaan, oikeus yhdenvertaiseen kohteluun, oikeus henkilökohtaiseen koskemattomuuteen, oikeus ihmisarvoiseen kohteluun, oikeus turvallisuuteen sekä yhdenvertaisuus ja syrjinnän kielto ja oikeus vaikuttaa itseään koskeviin asioihin, uskonnonvapaus ja omantunnon vapaus, sananvapaus ja julkisuus (HE 9/2018 vp, s. 6). Lisäksi on huomioitava perustuslain 21 §:n mukaiset hyvän hallinnon takeet.
EU:n tietosuojalainsäädäntöä koskevassa komission ehdotuksessa on otettu huomioon se, että tietosuojauudistus voi vaikuttaa myös useisiin muihin perusoikeuskirjassa vahvistettuihin perusoikeuksiin. Komission vaikutusten arvioinnissa on katsottu tietosuojaa koskevan sääntelyn vaikuttavan yksityiselämän suojan ohella myönteisesti mm. lapsen oikeuksiin, syrjinnän kieltoon, sananvapauteen ja elinkeinovapauteen. Tietosuoja-asetuksen nimenomaisesti säädettynä tavoitteena on vaikuttaa myönteisesti myös muiden perusoikeuksien ja –vapauksien toteutumiseen, ja vapaaseen liikkuvuuteen, vaikka se suojaakin erityisesti henkilötietoja. Asetus myös sisältää useita säännöksiä, joissa on erityisesti huomioitu suhde muihin perusoikeuksiin.
Perustuslakivaliokunta on painottanut, että yksityiselämän ja henkilötietojen suoja tulee suhteuttaa toisiin perus- ja ihmisoikeuksiin sekä muihin painaviin yhteiskunnallisiin intresseihin, kuten esimerkiksi yleiseen turvallisuuteen liittyviin intresseihin, jotka voivat ääritapauksessa palautua henkilökohtaisen turvallisuuden perusoikeuteen (PeVL 5/1999 vp, s. 2/II). Lainsäätäjän tulee turvata perustuslain yksityiselämän ja henkilötietojen suoja tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa (PeVL 14/2018 vp, s. 20–21). Perustuslakivaliokunta on myös painottanut, että yksityiselämän ja henkilötietojen suojalla ei ole etusijaa muihin perusoikeuksiin nähden. Arvioinnissa on kyse kahden tai useamman perusoikeussäännöksen yhteensovittamisesta ja punninnasta (esim. PeVL 54/2014 vp, s. 2/II, PeVL 10/2014 vp, s. 4/II). EU:n tuomioistuin on toistuvasti muistuttanut, että perusoikeuskirjan 7 ja 8 artiklassa vahvistetut perusoikeudet eivät ole ehdottomia vaan ne on suhteutettava siihen tehtävään, joka niillä on yhteiskunnassa (esim. C-623/17, Privacy International, tuomio 6.10.2020, kohta 63 oikeuskäytäntöviittauksineen; ks. myös yhdistetyt asiat C-92/09 ja C-93/09, Volker und Markus Schecke ja Eifert, tuomio 9.11.2010).
Viranomaisen henkilötietojen käsittelyperusteena on lähes poikkeuksetta yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdassa tarkoitettu lakisääteinen velvoite tai e alakohdassa tarkoitettu yleistä etua koskevan tehtävän hoitaminen tai julkisen vallan käyttö. Siten viranomaisen henkilötietojen käsittelystä säädetään yleisen tietosuoja-asetuksen ohella tarkemmin muualla laissa. Sama koskee lähtökohtaisesti myös rikosasioiden tietosuojalaissa tarkoitettuja toimivaltaisia viranomaisia, joiden osalta lain soveltamisalasäännöksessä tarkoitetuissa tehtävissä on kyse yleistä etua koskevista tehtävistä, johon lisäksi liittyy tyypillisesti julkisen vallan käyttöä. Viranomaisen on kaikissa tilanteissa hoidettava lakisääteiset tehtävänsä. Viranomaisen lakisääteisissä tehtävissä on myös valtaosin kyse jonkin perusoikeuden turvaamisesta, edistämisestä tai rajoittamisesta. Viranomaisen velvollisuus turvata ja edistää perus- ja ihmisoikeuksia kaikessa toiminnassaan ei rajoitu perustuslain 10 tai 12 §:ään.
Hallinnolliset seuraamusmaksut antaisivat poikkeuksellisen vahvaa suojaa yksityiselämän ja henkilötietojen suojalle. Siitä, että viranomaisia koskisivat hallinnolliset seuraamusmaksut ilman poikkeuksia, aiheutuisi myös perustuslakivaliokunnan arvion mukaan riskejä sille, miten viranomaiset punnitsevat keskenään näiden oikeuksien kanssa kilpailevia perusoikeuksia. (PeVL 14/2018 vp, s. 20–21) Hallituksen esitystä edeltävässä arviomuistiossa on arvioitu tarkemmin tilanteita, joihin voisi liittyä yksityiselämän ja henkilötietojen suojan punnintaa suhteessa muihin sen kanssa kilpaileviin perusoikeuksiin tai muihin viranomaisen lakisääteiseen tehtävään liittyviin painaviin yhteiskunnallisiin intresseihin (arviomuistion s. 69–74). Perusoikeuspunnintaa voisi liittyä esimerkiksi tietosuojavaikutustenarviointiin sekä henkilötietojen tietoturvaloukkauksia koskeviin ilmoituksiin. Lisäksi perusoikeuspunnintaa voisi liittyä rekisteröidyn oikeuksien toteuttamiseen erityisesti niissä tilanteissa, joissa oikeuksia voi olla tarpeen rajoittaa esimerkiksi yleisen edun turvaamiseksi tai toisten henkilöiden oikeuksien suojaamiseksi, tai esimerkiksi siirrettäessä henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle.
Riskit perusoikeuksien suojaan eivät kuitenkaan aina olisi välittömiä huomioiden sen, että viranomaisen on kaikissa tilanteissa noudatettava lakia. Perusoikeuksien punnintaa liittyy hyvin erilaisiin viranomaisen tehtäviin, joista usein säädetään laissa yksityiskohtaisesti, kuten sosiaaliviranomaisten tehtäviin ja poliisin toimivaltuuksien käyttöön. Sillä, että viranomaiset rekisterinpitäjinä tai henkilötietojen käsittelijöinä rikkovat tietosuojaan liittyviä rekisteröidyn oikeuksia, voisi myös olla heikentävää vaikutusta muiden perusoikeuksien toteutumiseen. Tämä on nimenomaisesti huomioitu Euroopan komission tekemässä vaikutusten arvioinnissa.
Huomioiden hallituksen esityksessä ehdotetut rajaukset viranomaisia koskeviin hallinnollisiin seuraamusmaksuihin, yleisen tietosuoja-asetuksen ja rikosasioiden tietosuojalain nimenomaiset perusoikeuksien huomioimista koskevat vaatimukset, viranomaisen laissa säädetyn velvollisuuden suojata perusoikeuksia sekä hallinnon lainalaisuusperiaatteen, viranomaisia koskevan sääntelyn arvioidaan kokonaisuutena varmistavan riittävästi sen, että henkilötietojen suoja ei saisi perusteettoman vahvaa suojaa suhteessa muihin perusoikeuksiin. Hallituksen esityksessä kuitenkin arvioidaan, että poikkeuksen tähän muodostavat perustuslain 12 §:n suojaamat julkisuus ja sananvapaus, joihin myös perustuslakivaliokunta kiinnitti erityistä huomiota tietosuojalakia koskevan ehdotuksen käsittelyn yhteydessä.
Julkisuus ja sananvapaus
Perustuslain 12 §:n 2 momentin mukaan viranomaisen hallussa olevat asiakirjat ja muut tallenteet ovat julkisia, jollei niiden julkisuutta ole välttämättömien syiden vuoksi lailla erikseen rajoitettu. Jokaisella on oikeus saada tieto julkisesta asiakirjasta ja tallenteesta.
Perustuslakivaliokunta on käytännössään kiinnittänyt erityistä huomiota perustuslain 12 §:n 2 momentissa turvatun asiakirjajulkisuuden suhteeseen yksityiselämän ja henkilötietojen suojaan, ja on korostanut näiden välistä tasapainoa (ks. esim. PeVL 60/2017 vp, s. 3 ja PeVL 43/1998 vp, s. 2/II; ks. myös PeVL 22/2008 vp, s. 4/I). Valiokunta on katsonut, että esimerkiksi arkaluonteisten tietojen salassapitoa voidaan pitää välttämättömänä perustuslain 10 §:n 1 momentissa turvatun yksityiselämän suojaamiseksi (PeVL 39/2009 vp, s. 2/I). Tällainen toisen perusoikeuden edistäminen on muodostanut sellaisen välttämättömän syyn, jonka vuoksi viranomaisen hallussa olevien asiakirjojen julkisuutta on ollut mahdollista perustuslain 12 §:n 2 momentin nojalla lailla erikseen rajoittaa (PeVL 2/2008 vp, s. 2, PeVL 40/2005 vp, s. 2/II). Sen sijaan esimerkiksi julkishallinnon palkkaustietoihin ei kytkeydy niin vahvaa yksityisyyden suojaamisen intressiä, että se asiakirjajulkisuutta koskevan perusoikeuden valossa oikeuttaisi näiden tietojen laajan salassapidon. Valiokunta piti säännöksen muuttamista edellytyksenä lakiehdotuksen käsittelylle tavallisen lain säätämisjärjestyksessä (PeVL 43/1998 vp, s. 7/II—8/I).
Perustuslakivaliokunta kiinnitti tietosuojalakiehdotusta käsitellessään huomiota siihen, että vain yhden perusoikeuden turvaamisen laiminlyöntiin kohdistuvan seuraamusmaksun uhka voi johtaa erityisesti julkisuusperiaatteen toteutumisen kaventumiseen viranomaistoiminnassa. (PeVL 14/2028 vp) Hallituksen esityksessä muodostetun arvion mukaan tämä riski olisi ilmeinen, ottaen huomioon edellä säännöskohtaisissa perusteluissa mainitun oikeuskäytännön asiakirjajulkisuusasioissa. Yksityiselämän ja henkilötietojen suoja on muita perus- ja ihmisoikeuksia selvemmin usein vastakkain julkisuusperiaatteen kanssa. Julkisuusperiaatteella on myös läheinen yhteys sananvapauteen. Siten julkisuusperiaatteen toteutumisen kaventumisella voisi olla vaikutuksia myös sananvapauden käyttämiseen.
Perustuslain 12 §:n 1 momentin ensimmäisen virkkeen mukaan jokaisella on sananvapaus. Momentin toisen virkkeen mukaan sananvapauteen sisältyy oikeus ilmaista, julkistaa ja vastaanottaa tietoja, mielipiteitä ja muita viestejä kenenkään ennakolta estämättä. Vastaavat säännökset sananvapaudesta sisältyvät EU:n perusoikeuskirjan 11 artiklan 1 kohtaan. Artiklan 2 kohdan mukaan tiedotusvälineiden vapautta ja moniarvoisuutta kunnioitetaan. Tietosuojan ja sananvapauden ja tiedonvälityksen vapauden yhteensovittaminen on tietosuoja-asetuksen 85 artiklan vaatimusten mukaisesti Suomessa toteutettu tietosuojalain 27 §:n säännöksillä. Pykälä sisältää yksityiskohtaisen luettelon poikkeuksista ja rajoituksista tietosuoja-asetuksen säännösten soveltamiseen. Oikeuskäytännöstä ilmenee, että sananvapaus ja henkilötietojen suoja ovat oikeuksia, joille olisi lähtökohtaisesti annettava sama painoarvo (ks. esim. Standard Verlagsgesellschaft mbH v. Itävalta (nro 3), tuomio 7.12.2021, kohta 84 ja siinä viitatut tuomiot).
Hallituksen esityksessä ehdotetaan hallinnollisia seuraamusmaksuja koskevaa poikkeusta yleisen tietosuoja-asetuksen 86 artiklan soveltamisalaan kuuluvien käsittelytilanteiden osalta. Ehdotetun poikkeuksen mukaan seuraamusmaksua ei voitaisi määrätä sellaisissa 86 artiklassa tarkoitetuista henkilötietojen käsittelytoimista, jotka liittyvät asiakirjajulkisuuden ja tietosuojaa koskevien vaatimusten yhteensovittamiseen. Rajaus olisi mahdollinen yleisen tietosuoja-asetuksen 83 artiklan 7 kohdan mukaisen liikkumavaran puitteissa. Ehdotetulla poikkeuksella estettäisiin sääntelyn julkisuutta ja sananvapautta kaventava vaikutus erityisesti tulkinnanvaraisissa tilanteissa. Ehdotettu soveltamisalan poikkeus koskisi myös yhteisöjä, säätiöitä ja yksityisiä henkilöitä, jotka soveltavat julkisuuslakia.
Ehdotetun julkisuusperiaatteen soveltamiseen liittyvän poikkeuksen hallinnollisten seuraamusmaksujen määräämiseen arvioidaan riittävän sen varmistamiseksi, että hallituksen esityksessä ehdotetut säännökset eivät ole ongelmallisia henkilötietojen suojan ja julkisuuden yhteensovittamisen kannalta.
Perustuslakivaliokunta on pitänyt hallinnollisen seuraamusmaksun määräämistä viranomaiselle lähtökohtaisesti ongelmallisena. Perustuslain tulkintakäytännöstä jää kuitenkin avoimeksi se, mikä merkitys tulisi antaa sille, että rahamääräiset seuraamukset ovat mahdollisia Suomessa jo nykyisin eräiden kansallisten lakien ja EU-säädösten nojalla, ja millä edellytyksillä ja rajauksilla hallinnollinen seuraamusmaksu olisi mahdollinen tietosuojalainsäädännön kontekstissa. Ehdotettujen säännösten arvioidaan kokonaisuutena varmistavan sen, että tietosuojalainsäädännön rikkomisesta viranomaiselle määrättävä seuraamusmaksu ei estä tai kohtuuttomasti haittaa viranomaisen lakisääteisten tehtävien hoitamista.
Edellä mainituilla perusteilla lakiehdotukset voidaan käsitellä tavallisessa lainsäätämisjärjestyksessä. Ehdotetut tietosuojalain 24 ja 24 a §:n ja rikosasioiden tietosuojalain 51 §:n ja 58 a–58 c §:n säännökset kuitenkin poikkeaisivat perustuslakivaliokunnan edellä mainitusta tulkinnasta siten, että hallinnollinen seuraamusmaksu voitaisiin jatkossa kohdistaa viranomaisiin. Koska perustuslakivaliokunta on lausuntokäytännössään todennut sen olevan valtiosääntöoikeudellisesti ongelmallista useasta syystä, perustuslakivaliokunnan näkemys on tarpeen ehdotetun sääntelyn hyväksyttävyydestä.
Hallitus pitää suotavana, että perustuslakivaliokunta antaisi asiasta lausunnon.