Nyt kun EU:n yleistä tietosuoja-asetusta on sovellettu jo lähes kuusi kuukautta, eduskunta sai vihdoin hyväksyttyä uuden tietosuojalain. Tietosuoja-asetus on sellaisenaan sovellettavaa oikeutta ja uudella tietosuojalailla täydennetään ja täsmennetään asetusta kansallista liikkumavaraa hyödyntämällä. Alun perin uuden lain piti tulla voimaan samaan aikaan kun asetuksen soveltaminen alkoi eli 25.5.2018.
Uusi laki lähti presidentin vahvistettavaksi viime viikolla ja se tullee voimaan vielä kuluvan vuoden aikana. Eduskunta muutti hallituksen esityksen sisältämää lakiehdotusta hallintovaliokunnan mietinnön mukaisesti. Hallintovaliokunnan lisäksi myös perustuslakivaliokunta käsitteli tietosuojalakiehdotusta kaksi kertaa ja lakivaliokunta kerran. Yksi ongelmallisista kohdista oli kysymys siitä, mikä taho päättää hallinnollista sakosta. Eduskunta päätti, että niistä määrää seuraamuskollegio, joka muodostuu tietosuojavaltuutetusta ja kahdesta apulaistietosuojavaltuutetusta.
Hallinnollisesta sakosta päättää seuraamuskollegio
Vahvistusta odottavan tietosuojalain mukaan hallinnollisen sakon määrää tietosuojavaltuutetun ja kahden apulaistietosuojavaltuutetun yhdessä muodostama seuraamuskollegio. Tietosuojavaltuutettu toimii puheenjohtajana. Apulaistietosuojavaltuutetun ollessa estynyt voi hänen sijaisenaan kollegiossa toimia tietosuojavaltuutetun toimiston työjärjestyksessä määrätty esittelijä. Kollegio olisi päätösvaltainen kolmijäsenisenä. Asiat ratkaistaisiin esittelystä ja päätökseksi tulisi se kanta, jota enemmistö on kannattanut. Yllättäen laissa on säännös, jonka mukaan äänten mennessä tasan päätökseksi tulee se kanta, joka on lievempi sille, johon seuraamus kohdistuu. Kuinka kolme ääntä voi mennä tasan? Vai voiko yksi seuraamuskollegion kolmesta jäsenestä jättää äänestämättä tai äänestää tyhjää?
Tietosuoja-asetuksen rikkomisesta viranomainen voi määrätä varoituksen, huomautuksen, erilaisia määräyksiä, kieltoja, päättää sertifikaatin menettämisestä tai määrätä hallinnollisen sakon. Uudessa tietosuojalaissa hallinnollista sakkoa kutsutaan hallinnolliseksi seuraamusmaksuksi. Se on uusi rangaistusluonteinen seuraamus, jolla lainsäätäjä on halunnut korostaa tietosuojan tärkeyttä. Sen suuruus rikkomisen tyypistä riippuen voi olla maksimissaan 10 tai 20 miljoonaa euroa tai 2 tai 4 %:a yrityksen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta. Lain esitöiden mukaan hallinnollista seuraamusmaksua ei voi määrätä julkisen sektorin toimijalle.
Kun viranomainen määrää hallinnollisen seuraamusmaksun, sen tulee varmistaa, että seuraamus on kussakin yksittäistapauksessa tehokas, oikeasuhtainen ja varoittava. Seuraamusmaksu voidaan määrätä muiden toimenpiteiden lisäksi tai niiden sijasta yksittäistapauksen olosuhteiden mukaan. Kun viranomainen päättää seuraamusmaksun määräämisestä ja määrästä, sen on otettava huomioon muun muassa rikkomisen luonne, vakavuus ja kesto, onko kyse tahallisesta tai tuottamuksellisesta toiminnasta ja mitä on tehty aiheutuneen vahingon lieventämiseksi. Myös vastuun aste, ottaen huomioon toteutettu tietosuoja sekä käsittelyn turvallisuuden edellyttämät tekniset ja organisatoriset toimenpiteet, voivat vaikuttaa päätökseen. Lisäksi mahdolliset aiemmat vastaavat rikkomukset, yhteistyön aste valvontaviranomaisen kanssa tilanteen korjaamiseksi ja se, miten rikkomus tuli valvontaviranomaisen tietoon voidaan ottaa huomioon. Myös rikkomisesta saatu taloudellinen hyöty voi vaikuttaa seuraamukseen. Seuraamusmaksusta voi valittaa hallinto-oikeuteen ja valitusluvalla korkeimpaan hallinto-oikeuteen.
Ongelmana yritysten oikeusturva
Tietosuoja-asetus ei mahdollista sitä, että hallinnollista sakoista Suomessa olisi päätetty tuomioistuimessa. Näinhän menetellään kilpailuoikeudellisten sakkojen osalta, jolloin kilpailuviranomainen esittää ja sakosta päättää markkinaoikeus. Se olisi ollut paras vaihtoehto ja olisi vastannut suomalaista oikeuskulttuuria. On harmi, että TATTI- eli tietosuoja-asetuksen täytäntöönpanotyöryhmän ehdotus seuraamuslautakunnasta on unohdettu. Suomessa on tietosuoja-asioissa kuitenkin 30 vuoden kokemus lautakuntamuotoisen elimen toiminnasta, sillä tietosuojalautakunta on toiminut keskeisenä tietosuojaa koskevia päätöksiä tekevänä elimenä. Se on toimiva esimerkki siitä, miten toimivaltaa päätöksenteossa olisi voitu jakaa.
Ongelmallista on se, että samat viranomaiset sekä valvovat toimintaa että määräävät rikkomuksista seuraamukset. Hallinnollinen seuraamusmaksu voi muodostua hyvin ankaraksi rangaistusluonteiseksi sanktioksi. Viime kädessä kyse on rekisterinpitäjien ja henkilötietojen käsittelijöiden oikeusturvasta, sillä asetus on monelta osin tulkinnanvarainen. Tietosuoja-asetushan sisältää 99 artiklaa. Euroopan tietosuojaneuvosto ja sen edeltäjä WP29-työryhmä ovat jo nyt antaneet lukuisia ohjeita siitä, miten asetusta tulisi tulkita ja soveltaa.
Joka tapauksessa on tärkeää saada uusi tietosuojalaki voimaan ja suomalaisille tietosuojaviranomaisille riittävät resurssit toimintaan.
Keskuskauppakamarin Tietosuojapäivä järjestetään Helsingissä 26.11.2018. Tule mukaan kuulemaan konkreettisia esimerkkejä siitä, miten eri yritykset järjestävät tietosuoja-asiansa käytännössä. Päivässä perehdytään myös uuteen tietosuojalakiin ja siihen missä mennään uusien Euroopan tietosuojaneuvoston ohjeistuksien osalta. Ilmoittautuminen on käynnissä, katso tarkemmat tiedot!
Kirjoitusta päivitetty 20.11.