Totuus hallinnollisista sanktioista

Me olemme tehneet ensimmäiset luonnokset hallinnollisten sanktioiden käytöstä. Ne perustuvat paljolti siihen työhön ja keskusteluihin, joita niistä on käyty WP29:ssä. Tilanteet, joissa rekisterinpitäjä on sijoittunut toiseen maahan kuin oikeudenloukkauksen kohteeksi joutuneet rekisteröidyt, ovat kieltämättä hankalia. Pyrkimyksenämme on nimittäin luoda systeemi, jonka avulla voisimme varmistua siitä, ettei sanktiojärjestelmäkään ohjaa perinteiseen forum shoppingiin.

Asetuksen ensisijaisena tavoitteena on edistää digitaalisten sisämarkkinoiden kehittymistä, kilpailukykyä ja talouskasvua. Siksi olen huolestuneena seurannut tietosuoja-aiheista viestintää, jonka kärkenä on suoranaisesti pelotella toimijoita sanktioilla. Se on mielestäni erinäisiltä kouluttajilta ja konsulteilta lyhytnäköistä kerman kuorintaa, joka kääntyy itseään vastaan. Jos suomalaiset toimijat käpertyvät markkinoiden harmonisoituessa sisäänpäin, on ilmeinen vaara, että ulkomaiset toimijat tulevat enenevässä määrin suomalaisten markkinoille.

Tietosuojaviranomaisten toimivaltaan kuuluvat hallinnolliset sanktiot tulevat tilkitsemään tietosuojan seuraamusjärjestelmässä olevan ammottavan aukon. Rekisteröidyn kannalta vahingonkorvausjärjestelmä on vahingon näyttövaatimuksineen hankala. Toisaalta rikosoikeudellinen seuraamus joudutaan nykyisin kohdistamaan ihan yleisten oppienkin mukaan tekijään, eli johonkuhun luonnolliseen henkilöön. Poliisilla on vaikeuksia tutkia juttuja. Syyttäjät vaativat alhaisia sakkorangaistuksia lievästä asteikosta johtuen, ja tuomioistuimet tuomitsevat enimmäkseen alhaisia määriä päiväsakkoja. Lainvastaisesta toiminnasta, joskaan ei tässä yhteydessä varsinaisesti rikoksesta, hyötyvä rekisterinpitäjäorganisaatio on päässyt kuin koira veräjästä. Tässä on muuten syytä mainita, että nyt neuvoteltavana olevassa komission ehdotuksessa sähköisen viestinnän tietosuoja-asetukseksi (ePrivacy Regulation) on sanktioiden käyttö ulotettu koskemaan eräissä tilanteissa myös ohjelmistojen tarjoajia. Niihin kohdistuisi ehdotuksen mukaan kahden prosentin liikevaihtopohjainen tai 10 miljoonan euron suuruinen sanktio.

Edellä mainituista syistä johtuen on syytä arvioida ja valottaa, miten tuota hallinnollista seuraamusta tultaisiin käyttämään. Tietosuojaviranomaisten toimivallasta säädetään yleisen tietosuoja-asetuksen 58 artiklassa. Työkalupakkiimme kuuluvat muun muassa:

1) varoitus

2) huomautus

3) rekisterinpitäjälle annettavat määräykset

4) käsittelyä koskevien rajoitusten asettaminen

5) sertifioinnin peruuttaminen

6) keskeytysmääräyksen asettaminen.

Hallinnollisia sakkoja koskevassa 83 artiklassa todetaan, että jokaisen valvontaviranomaisen on varmistettava, että tietosuoja-asetuksen rikkomisesta määrättävien hallinnollisten sakkojen on kussakin yksittäisessä tapauksessa oltava tehokasta, oikeasuhteista ja varottavaa.

Sanktiot määrätään siis kunkin yksittäisen tapauksen olosuhteiden mukaisesti 58 artiklassa mainittujen alakohtien toimenpiteiden lisäksi tai niiden sijaan.

Hallinnolliset sanktiot eivät siis laukea automaattisesti. Niiden käyttöön ryhtymistä arvioitaessa tulemme lisäksi ottamaan huomioon perustuslakimme 21 §:n oikeusturvavaatimuksen, hallintolain periaatteet ja hyvän hallinnon takeet sekä tapauksesta riippuen jopa Euroopan ihmisoikeussopimuksen 6 artiklan.

Suoritamme siis kokonaisharkinnan, jossa ensin kysymme itseltämme, onko kyseinen tietty tapaus sellainen, jossa 58 artiklan mukaiset korjaavat toimivaltuutemme eivät ole riittävät. Sitten varmistamme WP29:n myöhemmin julkaistavista määrityksistä sen, että sakotusta tulisi käyttää samakaltaisissa tilanteissa ja lopuksi sen, että sakon määrä on yleisen mittapuumme mukainen.

Sanktioiden käyttöön tulee luonnollisesti liittymään myös ihan normaali oikeusturvatie valitusmahdollisuuksineen.

Toivomukseni siis on, että ymmärtäisimme ulosmitata asetuksella tavoiteltavat hyödyt ja välttäisimme turhaan pelkäämästä markkinoille menemistä. Joku tulee kuitenkin täyttämään tyhjiön.