Voiko henkilötietoja siirrättää viranomaisilta yksityiselle sektorille?

8.6.2020 11.28
Kolumni
Tietosuojavaltuutettu Reijo Aarnio

Kysymystä pohdittiin syvällisesti, monipuolisesti ja tavoitehakuisesti valtiovarainministeriön ja tietosuojavaltuutetun toimiston kesäkuun alussa järjestämässä Round Table -tapaamisessa. Vallitseva käsitys on, ettei GDPR ole tällä hetkellä kysymyksen tilanteissa toimiva instrumentti. Tarvittaisiin jotain muuta – ja ehkä vähän uutta ajatteluakin.

Maassamme on erinomaiset tietovarannot. Tähän asti yhteiskuntamme on kiinnittänyt huomionsa siihen, miten tieto liikkuu viranomaisten välillä. Perussäännös tältä osin on julkisuuslain 16.3 §. Lisäksi meillä on paljon erityislainsäädäntöä. Tiedonhallintalaki on uusin instrumentti tässä keinovalikoimassa.

Tietosuoja-asetuksen yhtenä kantavana ideana on lainmukainen tietojen liikkuvuus. Sen 20 artiklassa säädetään rekisteröidylle kuuluvasta oikeudesta siirtää tiedot järjestelmästä toiseen (Data Portability). Tietosuojalainsäädännön turvaamaa tiedollista itsemääräämisoikeutta rajoittavat kuitenkin artiklan ehdot. Omia tietoja on GDPR:n perusteella oikeus siirtää vain silloin, kun henkilötietoja käsitellään joko suostumuksen tai sopimuksen perusteella. Nämä käsittelyn oikeusperusteet eivät juuri tule kyseeseen viranomaistoiminnan ja -rekisterien kohdalla. Tiedollinen itsemääräämisoikeus ei siis toimi kansalaisen halutessa, että esimerkiksi hänen kansalliseen osaamistietovarantoonsa talletetut tietonsa välitettäisiin työnhakutilanteessa suoraan työtä tarjoavalle. Teknologiateollisuus ry:llä oli esittää vastaavista tilanteista erinomaisia esimerkkejä.

Lisätään vettä myllyyn. Rekisteröidyillä on tarkastusoikeus myös viranomaisten rekistereihin. Me saamme kyllä itsellemme itseämme koskevat tiedot. Viranomaisilta niitä voi pyytää myös yleisö- tai asianosaisjulkisuuden perusteella. Hyvän hallinnon periaatteisiin kuuluu myös palveluperiaate. Tätä kaikkea varten, ja moniin muihinkin tarpeisiin, meillä on lisäksi olemassa digitaalinen infrastruktuuri. Onko meillä siis oikeus vaatia, että myös viranomaiset toimittavat henkilötietomme haluamaamme paikkaan?

Käydyssä keskustelussa kävi ilmi, että viranomaispuolella ja yksityisellä sektorilla on tunnistettavissa yhteinen tahtotila asian edistämiseksi. Hallitusohjelmassa on MyData-ajatteluun perustuvia kirjauksia, ja yksityisellä sektorilla on havaittu konkreettisia tarpeita. Liikenteen palveluista annetussa laissa tilanne on jo tunnistettu ja käytännön kokeilujakin on tehty eri sektoreilla.

Ihan riskitöntä tietojen siirrettävyys ei ole tietosuojan kannalta. Rekisteröidyt saattavat olla alisteisessa asemassa tiedonkäyttäjään nähden (esimerkiksi työnhakijana) tai tietoja voidaan siirtää eri syistä liian laajasti. Tietosuoja suojaa myös tiedollista itsemääräämisoikeutta!

Emme saa unohtaa Euroopan unioniakaan. Sielläkin on herätty, ja EU-tason strategian laadinta on jo käynnissä. Meillä olisi nyt etsikkoaikamme toimia tiennäyttäjinä koko unionissa ja samalla nauttia niistä hyödyistä, joita voisimme tarjota kansalaisille.  

Pohtimamme kysymys on jo huomioitu hallitusohjelmassa. Palikat tiedollisen itsemääräämisoikeuden vahvistamiseen turvallisella tavalla alkavat olla kasassa. Tarvitaan tiekartta ja opas asian maaliin saattamiseksi.