EU:N tietosuoja-asetuksen soveltaminen käynnistyy tänään perjantaina, vaikka eduskunta käsittelee parhaillaan hallituksen esitystä uudeksi tietosuojalaiksi. Perustuslakivaliokunta teki vastikään tärkeän linjauksen koskien hallinnollisten seuraamusmaksujen määräämistä. Sen mukaan ehdotettu hallinnollista seuraamusmaksua koskeva päätöksentekomenettely on perustuslain vastainen.
Uusi tietosuojalaki liittyy EU:n yleisen tietosuoja-asetuksen täytäntöönpanoon ja kotimaiseen tietosuojalainsäädännön uudistamiseen. Tarkoituksena on uuden lain avulla hyödyntää tietosuoja-asetuksen sisältämä kansallinen liikkumavara täydentämällä sekä täsmentämällä tietosuoja-asetusta. Vaikka tietosuoja-asetus on sellaisenaan sovellettavaa oikeutta, on tärkeää saada aikaan jatkuvuutta nyt voimassa olevaan henkilötietolakiin nähden, esimerkiksi henkilötunnuksen käsittelyn osalta. Tämä helpottaa yritysten valmistautumista.
Hallituksen esityksen mukaan tietosuojavaltuutettu sekä valvoisi että päättäisi rangaistusluonteisista seuraamusmaksuista, kun valvontaviranomaisen toimivaltuudet keskitettäisiin tietosuojavaltuutetulle. Tietosuojavaltuutettu voisi harkintansa mukaan ratkaista asiat joko esittelystä tai ilman esittelyä. Halutessaan tietosuojavaltuutettu voisi pyytää erityisen, perustettavaksi ehdotetun asiatuntijalautakunnan lausuntoa.
Ehdotus on hätkähdyttävä, sillä yleinen tietosuoja-asetus ei edellytä tällaista tietosuojan valvontaan ja päätöksentekoon liittyvän toimivallan keskittämistä yhdelle viranomaiselle. Tietosuoja-asetuksen mukaiset hallinnolliset sakot ovat kuitenkin suuruudeltaan huomattavat ja tuovat merkittävän muutoksen suomalaiseen oikeuskulttuuriin.
Kansallinen valvontaviranomainen voi määrätä tietosuoja-asetuksen rikkomisesta hallinnollisen sakon, jonka suuruus rikkomisen tyypistä riippuen voi olla maksimissaan 10 tai 20 miljoonaa euroa. Jos kyse on yrityksestä, sakon suuruus on 2 tai 4 prosenttia yrityksen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta.
Ehdotus on myös huolestuttava, sillä siitä aiheutuisi ongelmia rekisterinpitäjien ja henkilötietojen käsittelijöiden oikeusturvaan saman viranomaisen sekä valvoessa että määrätessä seuraamukset. Jo nyt on yleisesti tiedossa, että tietosuoja-asetus on melko tulkinnanvarainen. Yksin jo tästä syystä on perusteltua jakaa päätösvaltaa, kun hallinnollisista sakoista päätetään.
Nyt voimassa olevan lainsäädännön mukaan tietosuojavaltuutetun tehtävänä on ollut vaikuttaa henkilötietojen käsittelyyn sekä ohjaamalla että neuvomalla. Tietosuojalautakunta on toiminut keskeisenä tietosuojaa koskevia päätöksiä tekevänä elimenä. Täten Suomessa on tietosuoja-asioissa jo 30 vuotta pitkä kokemus lautakuntamuotoisen elimen toiminnasta, mikä antaa erinomaisen ja käytännössä hyvin toimivan esimerkin siitä, miten toimivalta päätöksenteon osalta on mahdollista jakaa.
Nyt eduskunnalla on mahdollisuus käyttää kansallista liikkumavaraa ja päättää kotimaiseen oikeustraditioon paremmin soveltuvasta ratkaisusta.
Minna Aalto-Setälä
lakimies, Keskuskauppakamari
Kirjoitus on julkaistu alun perin Helsingin Sanomien mielipidepalstalla 25.5.2018.