Milka Valtanen ja Saarlotta Virri

Oudon tilanteen korjaisi kansallinen tietosuojalaki, mutta asiantuntijat haukkuvat hallituksen esitystä vaikealukuiseksi ja osin perustuslain vastaiseksi.

EU:n uutta GDPR-tietosuoja-asetusta aletaan soveltaa perjantaina 25. toukokuuta.

Asetus vahvistaa yksityishenkilöiden tietosuojaa ja koventaa henkilörekisterin pitäjien vastuuta ja sen laiminlyönnistä koituvia sanktioita. Vakavissa tietosuojan rikkomistapauksissa sakot voivat olla jopa 20 miljoonaa euroa tai 4 prosenttia yrityksen liikevaihdosta.

Toistaiseksi kukaan Suomessa ei tosin voi valvoa asetuksen toteuttamista.

Oikeusministeriössä alettiin vuonna 2016 valmistella uutta kansallista tietosuojalakia, jonka on tarkoitus määrittää, miten GDPR-asetusta sovelletaan Suomessa.

Lakia ei kuitenkaan ole saatu valmiiksi, eikä se ehdi tulla voimaan ennen GDPR:n voimaantuloa. Oikeusministeriön lainsäädäntöneuvos Anu Taluksen mukaan lakiesitys myöhästyy ”joillakin viikoilla”.

Lakiluonnoksessa GDPR:n valvontaviranomaiseksi on nimetty tietosuojavaltuutettu.

Ennen kuin kansallinen laki on voimassa tietosuojavaltuutettu tai kukaan muukaan ei kuitenkaan voi käyttää GDPR-asetukseen perustuvia toimivaltuuksia, eli määrätä sakkoja tietosuojan loukkauksista.

Myöhästymisen lisäksi hallituksen esitys sisältää kohtia, jotka näyttävät olevan ristiriidassa perustuslain kanssa.

Eduskunnan perustulakivaliokunnan mielestä tietosuojavaltuutettu ei voi yksin päättää seuraamusmaksuista, vaan niistä päättämään tarvitaan monijäseninen toimielin.

Myös oikeusasiamies Petri Jääskeläinen pitää lakiesitystä perustuslain vastaisena. Hänen mukaansa järjestely, jossa tietosuojavaltuutettu voisi valvoa eduskunnan oikeusasiamiestä olisi perustuslain vastainen.

Lakia valmistelevilta virkamiehiltä ei saa selkeää vastausta siihen, miten tilanne on tarkoitus ratkaista.

”Toki perustuslakivaliokunnan esittämät huomiot otetaan asianmukaisesti huomioon jatkovalmistelussa”, Talus sanoo.

Olipa lopullinen malli mikä hyvänsä, sakkopäätös voi jäädä pelkäksi välivaiheeksi. Harva yritys suostuisi seuraamusmaksuihin ilman tuomioistuimen käsittelyä.

Lakiesityksen suurin ongelma on kuitenkin kielenkäyttö, jota on lausunnoissa suomittu epäselväksi ja epätarkaksi.

Tietosuojavaltuutetun toimintaa valvova oikeuskansleri Tuomas Pöysti huomauttaa lausunnossaan, että tietosuoja-asetusta ja tietosuojalakia joutuvat tulkitsemaan muutkin kuin informaatio-oikeuden asiantuntijat, sillä tietosuoja koskettaa myös yksityisiä ihmisiä, yrityksiä ja yhteisöjä.

Tietosuoja on laajasti sovellettavaa arjen juridiikkaa, minkä vuoksi Pöysti haluaa kohdistaa lakiehdotuksen selkeyteen ”kriittisiä huomioita”:

Esitys on kokonaisuutena vaikeaselkoinen, Pöysti kirjoittaa.

Jopa poikkeuksellisen vaikeaselkoinen.

”Se on yksi heikkolaatuisimmista käännöksistä, joita olen lukenut.”

Julkisoikeuden professori Tomi Voutilainen ihmettelee, mikseivät lainvalmistelijat ole selventäneet lakitekstiä lausunnonantajien, lainsäädännön arviointineuvoston ja perustuslakivaliokunnan huomautuksista huolimatta.

”Ei niitä lausuntoja turhaan kirjoiteta.”

Epäselvän luonnostekstin ongelma on, etteivät rekisterinpitäjät ja rekistöidyt välttämättä ymmärrä, mitä tietosuoja-asetus ja kansallinen tietosuojalaki edellyttävät.

”Tässä on kyse ihan perusoikeuksien toteuttamisesta”, Voutilainen sanoo.

Hänen mukaansa myös EU:n GDPR-asetuksen käännös on ”lähellä pohjanoteerausta”.

”Se on yksi heikkolaatuisimmista käännöksistä, joita olen lukenut. Resitaaleissa, eli artikloiden perusteluissa, puhutaan yhtä ja varsinaisessa artiklassa toista. Vaikuttaa siltä, että asetus olisi käännetty ikään kuin koneellisesti.”

Oikeusministeriön Anu Taluksen mukaan laki on mutkikas ennen kaikkea siksi, että tietosuojalakia on luettava yhdessä yleisen tietosuoja-asetuksen kanssa. Kansallinen laki voi ainoastaan täydentää EU:n antamaa asetusta esimerkiksi joillakin poikkeuksilla rekisteröidyn oikeuksiin.

”Nähdäkseni tietosuojalain perusteella on selkeää, mistä rekisteröidyn oikeuksista rekisterinpitäjä voi kyseisen lain nojalla poiketa”, Talus sanoo.

Kansallisen lain valmistumista odotellessa Suomi jatkaa nykyisen henkilötietolain soveltamista GDPR:n rinnalla.

Osa sen pykälistä on tosin ristiriidassa GDPR:n kanssa. Silloin noudatetaan EU:n asetusta.