Tiekartta
Laskuri raksuttaa kohti yleisen tietosuoja-asetuksen soveltamisen alkamista. Helmikuun alussa aikaa on jäljellä kokonaista 478 päivää.
Tietämme kohti uutta aikaa paalutetaan monella merkittävällä tiekartan viitalla. Ensimmäinen niistä olkoon (1) Euroopan unionin tuomioistuimen ratkaisukäytäntö. Käynnissä olevaan kansalliseen keskusteluumme liittyy tuomioistuimen 21.12.2016 antama tuomio yhdistetyissä asioissa C-203/15 ja C-698/15 (Tele2 Sverige AB). Sen mukaan sähköisen viestinnän tietosuojadirektiiviä on tulkittava siten, että se on esteenä kansalliselle säännöstölle, jossa rikollisuuden torjumiseksi säädetään kaikkien tilaajien ja rekisteröityjen käyttäjien kaikkien liikenne- ja paikkatietojen yleisestä ja erotuksetta tapahtuvasta säilyttämisestä kaikkien sähköisten viestintävälineiden osalta. Toiseen kysymykseen tuomioistuin vastasi, että lainsäädäntö on esteenä kansalliselle säännöstölle, jossa säännellään liikenne- ja paikkatietojen suojaa ja turvaa, erityisesti toimivaltaisten kansallisten viranomaisten oikeutta saada säilytettäviä tietoja, ja joissa ei rikollisuuden torjumisen puitteissa rajoiteta tätä tietojen saantia vain vakavan rikollisuuden torjumisen tarkoitukseen, eikä tietojen saannin edellytykseksi aseteta tuomioistuimen tai riippumattoman hallintoviranomaisten suorittamaa ennakkovalvontaa, eikä vaadita, että kyseessä olevat tiedot säilytetään unionin alueella. Pahoittelen kapulakieltä!
Tuomiolla voi olla merkitystä käynnissä olevaa (2) verkkovalvontalakia ja (3) sen valvontaa koskevaan työhön. Tuon työn taustallahan on myös tarve (4) muuttaa perustuslakiamme viestinnän luottamuksellisuuden osalta. Samoin uskoakseni olisi syytä arvioida tietoyhteiskuntakaaren ko. kohdat vielä kerran.
Komissio julkisti 10. tammikuuta ehdotuksensa (5) uudeksi sähköisen viestinnän tietosuoja-asetukseksi. Ehdotuksessa on muun muassa mielenkiintoinen lainvalvonnan vastuuttamista koskeva 18 artikla. Samoin mielenkiintoista tässäkin on instrumentin valintaa koskeva päätös.
Yleistä tietosuoja-asetusta (6) pohtiva TATTI-työryhmä on ymmärtääkseni edistynyt hienosti omassa työssään. Nähtäväksi jää, minkälaiset normienpurkutalkoot saamme aikaan (7) erityislainsäädännön osalta. Selvää lienee kuitenkin, että ainakin eräitä erityislakeja joudumme päivittämään. Viranomaisten väliseen tietojen siirtoon sovelletaan pääsääntöisesti julkisuuslakia, arkistotoimeen arkistolakia ja muuhun henkilötietojen käsittelyyn henkilötietolakia. Valtiovarainministeriön johdolla on aloittanut työnsä (8) tiedonhallinnan kehittämisen työryhmä, joka toimeksiantonsa mukaisesti tarkastelee muun muassa julkisuuslainsäädäntöämme (jota koskeva artikla on muuten tietosuoja-asetuksessa).
Nyttemmin työnsä aloitti myös tietosuojadirektiivin (9) implementointia varten oikeusministeriön asettama työryhmä työskentelynsä. Sitä tarvitsemme muun muassa rakentamaan siltaa direktiivin, yleisen tietosuoja-asetuksen ja turvallisuussektorille säädettävien (10) erityislakien välille. Sisäministeriöllähän on jo ollut samasta syystä myös työryhmänsä.
Erityisen mielenkiintoista on nähdä, mitä vaikutusta käynnissä olevien työryhmien työllä tulee olemaan eduskunnan Perustuslakivaliokunnan ratkaisukäytäntöön.
Tässä rinnalla tapahtuu myös EU:n instituutioita koskevan (11) tietosuojalainsäädännön täytäntöönpanon valmistelu. Käynnissä on myös eurooppalaisen tietosuojaviranomaisen EDPB:n perustaminen (12) ja operatiiviseen kuntoon viilaaminen, jolla tulee olemaan vaikutuksensa myös meidän kansallisen tietosuojaviranomaisemme (13) muotoutumiseen, työskentelyyn, resurssitarpeisiin ja IT-ratkaisuihin.
Oven takana odottavat lisäksi käynnissä olevan digitaalisen sisämarkkinastrategian mukaisesti annetut komission esitykset (COM(2015)634 ja COM(2015)635) digitaalista sisältöä koskevaksi sääntelyksi (14) ja "digitaalista kauppaa koskevaksi laiksi" (15). Ensin mainittu on siis se, jossa esitetään henkilötiedot rahan veroiseksi maksuvälineeksi (kts. 3 artikla).
Tätä kirjoitettaessa on Privacy Shield -järjestelyn (16) ylle noussut tummia pilviä; Yhdysvaltain presidentin 25. tammikuuta antamassa kansallisen turvallisuuden parantamista koskevassa asetuksessa kun on muiden kuin yhdysvaltojen kansalaiset jätetty yksityisyyden suojaa koskevan lain soveltamisen ulkopuolelle. Komissio joutunee arvioimaan, mikä vaikutus sillä on Privacy Shield -järjestelyyn.
Tässä tiekartassa on edellä esittämälläni tavalla, eikä edes tyhjentävästi lueteltuna, paljon tienviittoja. On itsestään selvää, että näiden kaikkien hankkeiden yhteensovittaminen edellyttää hyvää keskinäistä koordinointia. Oma kysymyksensä on, kuka toimisi sellaisena luotsina, jolla olisi hallussaan kokonaiskuva ja toimintamalli hyvään lopputulokseen pääsemiseksi.
Tässä vielä tiekartta ylempänä tekstissä esitetyssä järjestyksessä:
1) tuomioistuinten ratkaisukäytännöt, mm. tekstissä mainitut
2) verkkovalvontalaki
3) verkkovalvontalain valvonnan järjestäminen
4) perustuslaki
5) ehdotus sähköisen viestinnän tietosuoja-asetukseksi (COM(2017) 10 final)
6) oikeusministeriön TATTI-työryhmä (yleinen tietosuoja-asetus, EU 2016/679, GDPR)
7) em:n toimeksiannon (OM 1/41/2016) kohdat 3 ja 4
8) tiedonhallinnan sääntelyn kehittämistä selvittävä työryhmä (VM/1709/00.01.00.01/2016)
9) EU:n tietosuojadirektiivin (EU 2016/680) täytäntöönpano (OM 21/41/2016)
10) mm. poliisin henkilötietolain kokonaisuudistus
11) komission ehdotus toimielinten tietosuoja-asetukseksi
12) WP29; Press Release, Brussels, 16 January 2017
13) TATTI-työryhmän toimeksiannon kohta 2
14) tekstissä mainittu asiakirja
15) testissä mainittu asiakirja
16) Privacy Shield (C(2016) 4176 final