Toimivaltavaje
Tietosuojavaltuutetun toimisto on Euroopan tietosuojaneuvosto EDPB:n jäsen. Vaikka enää on alle kymmenkunta jäsenvaltiota, joissa ei ole saatettu tietosuoja-asetuksen tai -direktiivin edellyttämiä kansallisia lainsäädäntötoimia loppuun, EDPB:n jäseniksi hyväksyttiin kaikki ne tietosuojaviranomaiset, joiden toimivalta on perustunut kumottuun tietosuojadirektiiviin.
Meillä Suomessa on vielä toistaiseksi voimassa henkilötietolaki sekä laki tietosuojalautakunnasta ja -valtuutetusta. Kansainvälisten tehtävien hoitaminen – uusissa muodoissaan – sisältyvät tietosuoja-asetukseen. Tietosuojavaltuutetun lakisääteisenä tehtävänä on huolehtia toimialaansa kuuluvista kansainvälisistä tehtävistä. Näin ollen meidän kuuluisi hoitaa tietosuoja-asetuksen 57 artiklan mukaisia tehtäviä ilman 58 artiklassa säädettyjä kaikkia valtuuksia. Toisin sanottuna tietosuojavaltuutetun asema ja tehtävät on määritelty, mutta toimivalta odottaa kansallista tietosuojalakia.
Mitä tästä toimivaltavajeesta sitten seuraa?
Kun tietosuojavaltuutetulta puuttuu edes osa asetuksen mukaisista tehokkaista korjaavista toimivaltuuksista, oikeuden saaminen hidastuu. Rekisteröityjen asioiden käsittely venyy ja se tulee tapahtumaan kenties kokonaan muiden viranomaisten toimesta. Kauhuskenaarion mukaan tietosuojavaltuutetun rooli olisi ehkä vain esitellä asioita sellaiselle monijäseniselle toimielimelle, jolla ei välttämättä olisi erityistä tietosuojaan liittyvää asiantuntemusta. Tämä on luonnollisesti haaste harmonisoinnin ja ennustettavuuden kannalta. Rekisterinpitäjien kannalta oikeuden saamisen hitaus voi tarkoittaa esimerkiksi markkinahäiriötilanteen tarpeetonta jatkumista.
Ylikansallisissa asioissa oikeus saattaa yhä enemmän loitontua. Kun kollegaviranomaisemme huomaavat, ettemme ehkä pysty hoitamaan kaikkia ylikansallisia asioita samalla tehokkuudella kuin muut, he saattavat alkaa toimia kansallisesti. Tällä voi luonnollisesti olla haitallisia vaikutuksia myös koko tietosuoja-asetuksen harmonisointi-ideaan. Kansallisen erityislainsäädäntömme kaikkia koukeroita ei Euroopassa hallita. Suomi lienee edelleen ainoa maa, jossa on esimerkiksi työelämän tietosuojalaki.
Odotamme kansallista tietosuojalakia, koska ilman sitä emme pääse muodostamaan tarvittavaa, uutta organisaatiotamme. On esitetty kahta apulaistietosuojavaltuutettua. Kummallakin olisi itsenäiset toimivaltuudet. Pidän hyvänä ajatusta, että tämä kolmikko voisi esimerkiksi määrittää hallinnolliset seuraamukset. Pohdimme myös, tuleeko meille asiantuntijalautakunta tai jokin muu monijäseninen toimielin. Asioiden käsittelyn prosesseja emme pysty tässä tilanteessa suunnittelemaan ihan loppuun asti. Tämä puolestaan voi heikentää kykyämme tiedottaa asioista. Näin ollen voidaan sanoa, että oikeuden saanti on muuttumassa tehottomammaksi.
Komissio muuten kuvaa jäljempänä viittaamassani tiedonannossa kansallisten tietosuojaviranomaisten roolia näin: ”Tietosuojaviranomaisten tehtäviin kuuluu tiedottaminen rekisterinpitäjille ja käsittelijöille näiden velvoitteista. Lisäksi niiden tehtävänä on suuren yleisön tietoisuuden ja ymmärryksen parantaminen tietojen käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista. Tämä ei kuitenkaan tarkoita, että rekisterinpitäjien ja henkilötietojen käsittelijöiden pitäisi odottaa saavansa tietosuojaviranomaisilta sellaista räätälöityä ja yksilöllistä oikeudellista neuvontaa, jota vain lakimiehet tai tietosuojavastaavat voivat tarjota.” (Lihavointi kirjoittajan.) Komissio jatkaa: ”Resurssipuute voi myös heikentää tietosuojaviranomaisten mahdollisuuksia käyttää valtuuksiaan, esimerkiksi tutkintavaltuuksia. Jäsenvaltion on lain mukaan osoitettava kansalliselle tietosuojaviranomaiselle tekniset, taloudelliset ja henkilöresurssit, tilat ja infrastruktuuri, jotka ovat tarpeen, jotta viranomainen voi suorittaa tehtävänsä ja käyttää valtuuksiaan tehokkaasti.”
Komissio antoi 24.1.2018 päivätyn tiedonannon Euroopan parlamentille ja neuvostolle. Siinä komissio kertoo aikovansa toteuttaa jäsenvaltioiden osalta mm. seuraavia toimia: ”Toukokuun 2018 jälkeen komissio aikoo valvoa tiiviisti asetuksen soveltamista jäsenvaltioissa ja toteuttaa tarvittavia toimia, mukaan lukien rikkomusmenettelyt”. Sekään ei siis ole poissuljettua, että me EU:n mallioppilaat joudumme komission toimien kohteeksi.
Tällä hetkellä on käynnissä henkilötietojen suojan osalta vilkas työ asiaa koskevan erityislainsäädännön uudistamiseksi asetukseen liittyvän kansallisen liikkumavaran rajoissa, samoin kuin tarpeettomien lakien kumoamiseksi. Käynnissä on ainakin jonkinmoiset normienpurkutalkoot. Usein lainsäädännössä käytetään viittauksia. Tässä tapauksessa viittaus haluttaisiin osoittaa kansalliseen tietosuojalakiin, mutta mitä teet, kun se puuttuu. Eri ministeriöissä tehtävä työ siis jämähtää odottamaan uutta lakiamme.
Oma lukunsa on hankaluus, joka meille täällä tietosuojavaltuutetun toimistossa asiasta koituu. Joudumme analysoimaan jokaisen kantelun ja sen käsittelyyn liittyvän kansallisen lain toimivaltamme kannalta. Onko kysymys tilanteesta, jossa ei ole kansallista liikkumavaraa, mutta jonka ratkaiseminen voi tapahtua nykyisten toimivaltojemme puitteissa. Sitten on vielä – kuten edellä esitin – tilanteet, joissa sovelletaan tietosuoja-asetusta, mutta joiden ratkaisemiseen meillä ei ole tehokkaita toimivaltuuksia.