Asiakas maksaa aina

Julkaistu 6.3.2018

Tulihan se sieltä, voidaan sanoa kansallista tietosuojalakia koskevasta hallituksen esityksestä (HE 9/2018 vp). Heti seuraavana päivänä 2. maaliskuuta Elinkeinoelämän keskusliitto kommentoi esitystä.

Tiedotteessaan Esitys tietosuojalaiksi kaipaa vielä työstämistä EK nostaa esille oikeastaan saman kysymyksen kaksi puolta. Toisaalta tietosuojavaltuutetulle tulisi etujärjestön mielestä liian laajat toimivaltuudet; toisaalta se vastustaa esitettyä ratkaisua, jonka mukaan hallinnollisia sakkoja ei voisi määrätä valtion viranomaisille, kunnallisille viranomaisille tai itsenäisille julkisoikeudellisille laitoksille. Se asettaisi yksityisen sektorin toimijat huonompaan asemaan.

Toimivaltuuksista olen EK:n kanssa eri mieltä, toisesta kommentista samaa. Tarkastelen tätä jälkimmäistä kohtaa vähän tarkemmin.

Hallituksen esityksessä valittua linjaa perustellaan sillä, että viranomaiseen kohdistuva rangaistusluonteinen hallinnollinen seuraamus olisi nykyiselle oikeusjärjestykselle vieras menettely ja edellyttäisi eräänlaista järjestelmämuutosta, joka olisi jouduttu valmistelemaan pikaisella aikataululla. No, oikeastaanhan nyt on valmisteltu poikkeus muutoin sellaisenaan voimassa olevaan tietosuoja-asetukseen (EU 2016/679).

Perusteluja linjalle ovat myös budjettirahoitus, viranomaisia sitova hallinnon lainmukaisuusvaatimus ja noudatettavat hallinnon yleislait. Eli budjetin niukkuuden vuoksiko riskiperusteinen lähestymistapa unohdettaisiin ja järjestelmät tehtäisiin alun alkaenkin asetuksen vastaisiksi?

Olisi huomioitava myös rikosoikeudellinen virkavastuu ja vahingonkorvausvastuu. Virkatoimista voivat rekisteröidyt tehdä myös hallintokanteluita. Lisäksi tietosuojavaltuutettu voisi käyttää uhkasakkotoimivaltaansa myös viranomaisiin.

Lähtötilanteen arvioimisessa osviittaa tarjoavat aiemmat tilannekatsaukset. Ehdoton suosikkini, Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä Vahti on useita vuosia seurannut julkisen hallinnon tietoturvallisuuden kehittymistä ja julkaissut siitä barometreja (ks. esim. Henkilöstön ja johdon tietoturvabarometri). Niiden tulokset osoittavat valitettavasti – Vahtin hyvästä työstä huolimatta – että tilanne on lähes jämähtänyt paikoilleen.

Esimerkkinä olkoon vaikka kysymys johdon sitoutumisesta tietoturvallisuuden toteuttamiseen johtoryhmän jäsenenä: tulos neliportaisella asteikolla 3,18. Tai kysymys, käsitteleekö johto tietoturvatilannetta säännöllisesti: 2,53. Kun on kysytty, onko henkilötietojen käsittelyyn saatu koulutusta ja ohjeistusta, vastaukset osoittavat, että lähes 20 prosenttia työtekijöistä on ilman johdon tukea. Näin on ollut siis jo pitkään.

Kun porkkana ei näytä tepsivän, olisiko hyvä, jos ainakin joissakin tilanteissa voisi käyttää myös keppiä? Tietosuoja-asetus kun nimenomaan vastuuttaa organisaatioiden ylintä johtoa.

Hallituksen esittämää ratkaisua pitää tietysti arvioida myös oikeudelliselta kantilta. Tällöin oma huomioni kiinnittyy seuraamusjärjestelmään kokonaisuudessaan. Sen tulisi taata riittävä rekisteröityjen oikeusturva. Esitetyssä muodossa viranomainen pääsee kuin koira veräjästä. Näin ollen seuraamusjärjestelmä ei ole tietosuoja-asetuksen edellyttämällä tavalla uskottava ja tehokas eikä oikeasuhteinen ja varoittava, eikä se siten välttämättä ole edes asetuksen mukainen.

Seuraamuksen tulisi kohdistua rekisterinpitäjään ja/tai henkilötietojen käsittelijään, ei yksittäiseen työntekijään. Pelkkä rikoslain muuttaminen ei vielä kaikissa tapauksissa kohdista vastuuta oikein.

Toiminnalliselta kannalta voidaan kuvata lopuksi seuraava ajatusmalli: Viranomaisen ylin johto vastaa siitä, että viranomaisen toiminta on tietosuoja-asetuksen mukaista. Sen on kuitenkin usein pakko käyttää palveluntuottajaa, jota se ei ole voinut itse valita tai jonka toimintaan se ei tosiasiallisesti voi vaikuttaa – saati, että se edes tietäisi, miten tuo toimija toimii. Osapuolten välillä ei välttämättä ole edes kirjallista sopimusta (vrt. asetuksen artikla 28!). Palveluntuottaja puolestaan on mennyt ulkoistamaan henkilötietojen käsittelyn yksityisen sektorin tietojenkäsittely-yhtiölle, jolle taas voidaan kohdistaa hallinnolliset sanktiot. Yhtiö tietysti leipoo ne palvelunsa hintoihin.

Sopimusjuristeille tulee töitä.

Onneksi hallituksen esityksen perustelujen mukaan on kuitenkin seurattava niiden seuraamuksien tehokkuutta, joita viranomaiselle tietosuoja-asetuksen rikkomisesta aiheutuu. Vastaisuudessa hallinnollisten seuraamusmaksujen määräämistä viranomaisille arvioidaan kertyneen seurantatiedon ja oikeuskäytännön sekä unionitason suositusten ja linjausten valossa uudelleen.

Olen käsitellyt seuraamusjärjestelmään liittyviä kysymyksiä blogissani myös 28.7.2015, 30.11.2016 ja 1.3.2017.