Tietosuojalaki on edelleen eduskunnan käsiteltävänä

Siitä huolimatta, että EU:n yleistä tietosuoja-asetusta on sovellettu jo yli viisi kuukautta, eduskunta käsittelee edelleen uutta kansallista tietosuojalakia koskevaa hallituksen esitystä. Hallintovaliokunta antoi siitä mietinnön 25.10.2018. Samasta asiasta perustuslakivaliokunta on lausunut jo kaksi kertaa ja lakivaliokunta kerran. Yksi ongelmallisista kohdista on kysymys siitä, mikä taho päättää hallinnollista sakoista. Hallintovaliokunta ehdottaa, että niistä määrää seuraamuskollegio, joka muodostuu tietosuojavaltuutetusta ja kahdesta apulaistietosuojavaltuutetusta.

Tietosuoja-asetus on sellaisenaan sovellettavaa oikeutta ja uudella tietosuojalailla on tarkoitus täydentää ja täsmentää asetusta kansallista liikkumavaraa hyödyntämällä. Alun perin uuden lain piti tulla voimaan samaan aikaan kun asetuksen soveltaminen alkoi eli 25.5.2018.

Hallinnollisesta sakosta päättää seuraamuskollegio

Hallintovaliokunnan mietinnön mukaan hallinnollisen sakon määrää tietosuojavaltuutetun ja kahden apulaistietosuojavaltuutetun yhdessä muodostama seuraamuskollegio. Tietosuojavaltuutettu toimisi puheenjohtajana. Apulaistietosuojavaltuutetun ollessa estynyt voi hänen sijaisenaan kollegiossa toimia tietosuojavaltuutetun toimiston työjärjestyksessä määrätty esittelijä. Kollegio olisi päätösvaltainen kolmijäsenisenä. Asiat ratkaistaisiin esittelystä ja päätökseksi tulisi se kanta, jota enemmistö on kannattanut. Yllättäen ehdotetaan säännöstä, jonka mukaan äänten mennessä tasan päätökseksi tulee se kanta, joka on lievempi sille, johon seuraamus kohdistuu. Kuinka kolme ääntä voi mennä tasan? Vai voiko yksi seuraamuskollegion kolmesta jäsenestä jättää äänestämättä tai äänestää tyhjää?

Tietosuoja-asetuksen rikkomisesta viranomainen voi määrätä varoituksen, huomautuksen, erilaisia määräyksiä, kieltoja, päättää sertifikaatin menettämisestä tai määrätä hallinnollisen sakon. Uudessa tietosuojalaissa hallinnollista sakkoa kutsutaan hallinnolliseksi seuraamusmaksuksi. Se on uusi rangaistusluonteinen seuraamus, jolla lainsäätäjä on halunnut korostaa tietosuojan tärkeyttä. Sen suuruus rikkomisen tyypistä riippuen voi olla maksimissaan 10 tai 20 miljoonaa euroa tai 2 tai 4 %:a yrityksen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta. Hallituksen esityksen mukaan hallinnollista seuraamusmaksua ei voisi määrätä julkisen sektorin toimijalle.

Kun viranomainen määrää hallinnollisen seuraamusmaksun, sen tulee varmistaa, että seuraamus on kussakin yksittäistapauksessa tehokas, oikeasuhtainen ja varoittava. Seuraamusmaksu voidaan määrätä muiden toimenpiteiden lisäksi tai niiden sijasta yksittäistapauksen olosuhteiden mukaan. Kun viranomainen päättää seuraamusmaksun määräämisestä ja määrästä, sen on otettava huomioon muun muassa rikkomisen luonne, vakavuus ja kesto, onko kyse tahallisesta tai tuottamuksellisesta toiminnasta ja mitä on tehty aiheutuneen vahingon lieventämiseksi. Myös vastuun aste, ottaen huomioon toteutettu tietosuoja sekä käsittelyn turvallisuuden edellyttämät tekniset ja organisatoriset toimenpiteet, voivat vaikuttaa päätökseen. Lisäksi mahdolliset aiemmat vastaavat rikkomukset, yhteistyön aste valvontaviranomaisen kanssa tilanteen korjaamiseksi ja se, miten rikkomus tuli valvontaviranomaisen tietoon voidaan ottaa huomioon. Myös rikkomisesta saatu taloudellinen hyöty voi vaikuttaa seuraamukseen. Seuraamusmaksusta voi valittaa hallinto-oikeuteen ja valitusluvalla korkeimpaan hallinto-oikeuteen.

Ongelmana yritysten oikeusturva

Tietosuoja-asetus ei mahdollista sitä, että hallinnollista seuraamusmaksuista Suomessa päätettäisiin tuomioistuimessa. Näinhän menetellään kilpailuoikeudellisten sakkojen osalta, jolloin kilpailuviranomainen esittää ja sakosta päättää markkinaoikeus. Se olisi paras vaihtoehto ja vastaisi suomalaista oikeuskulttuuria. On harmi, että TATTI- eli tietosuoja-asetuksen täytäntöönpanotyöryhmän ehdotus seuraamuslautakunnasta on unohdettu. Suomessa on tietosuoja-asioissa kuitenkin 30 vuoden kokemus lautakuntamuotoisen elimen toiminnasta, sillä tietosuojalautakunta on toiminut keskeisenä tietosuojaa koskevia päätöksiä tekevänä elimenä. Se on toimiva esimerkki siitä, miten toimivaltaa päätöksenteossa voitaisiin  jakaa.

Ongelmallista on se, että samat viranomaiset sekä valvovat toimintaa että määräävät rikkomuksista seuraamukset. Hallinnollinen seuraamusmaksu voi muodostua hyvin ankaraksi rangaistusluonteiseksi sanktioksi. Viime kädessä kyse on rekisterinpitäjien ja henkilötietojen käsittelijöiden oikeusturvasta, sillä asetus on monelta osin tulkinnanvarainen. Tietosuoja-asetushan sisältää 99 artiklaa. Euroopan tietosuojaneuvosto ja sen edeltäjä WP29-työryhmä ovat jo nyt antaneet lukuisia ohjeita siitä, miten asetusta tulisi tulkita ja soveltaa.

Joka tapauksessa on tärkeää saada uusi tietosuojalaki voimaan ja suomalaisille tietosuojaviranomaisille riittävät resurssit toimintaan.

Keskuskauppakamarin Tietosuojapäivä järjestetään Helsingissä 26.11.2018. Tule mukaan kuulemaan konkreettisia esimerkkejä siitä, miten eri yritykset järjestävät tietosuoja-asiansa käytännössä. Päivässä perehdytään myös uuteen tietosuojalakiin ja siihen missä mennään uusien Euroopan tietosuojaneuvoston ohjeistuksien osalta. Ilmoittautuminen on käynnissä, katso tarkemmat tiedot!