Siirry esitykseen
HE 137/2000
Hallituksen esitys Eduskunnalle laiksi henkilötietolain muuttamisesta
Esityksessä ehdotetaan henkilötietolainsäädännön muuttamista niin, että säännöksissä otetaan huomioon niin sanotun henkilötietodirektiivin nojalla tapahtuva komission päätöksenteko.
Henkilötietodirektiivin mukaan henkilötietoja voidaan siirtää Euroopan unionin ulkopuoliseen maahan yleensä vain sillä edellytyksellä, että kyseisessä maassa taataan tietosuojan riittävä taso. Komissio voi henkilötietodirektiivissä säädetyssä menettelyssä päättää tietosuojan tason riittävyydestä tai riittämättömyydestä jäsenvaltioita sitovalla tavalla. Henkilötietolakiin ehdotetaan lisättäväksi säännökset komission päätöksenteosta ja päätösten velvoittavuudesta.
Laki on tarkoitettu tulemaan voimaan mahdollisimman pian sen jälkeen, kun se on hyväksytty ja vahvistettu.
Yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annetun Euroopan parlamentin ja neuvoston direktiivin (95/46/EY), jäljempänä henkilötietodirektiivi, tavoitteena on turvata yksilöiden perusoikeudet ja -vapaudet, erityisesti oikeus yksityisyyteen henkilötietojen automaattisessa tietojenkäsittelyssä ja manuaalisissa henkilörekisteritoiminnoissa sekä henkilötietojen vapaa liikkuminen Euroopan unionin jäsenvaltioiden välillä. Koska henkilötietojen kansainvälinen siirto on tarpeen muun ohella kansainvälisen kaupan kehittämiseksi, henkilötietodirektiivillä taattava yksilöiden tietosuoja ei ole esteenä henkilötietojen siirrolle sellaisiin kolmansiin maihin, jotka voivat turvata tietosuojan riittävän tason.
Henkilötietodirektiiviä sovelletaan yhteisön oikeuden eli Euroopan unionin ensimmäisen pilarin oikeusjärjestelmän alaan kuuluvaan henkilötietojen käsittelyyn. Myös komission henkilötietodirektiivin nojalla tekemä päätös tietosuojan tason riittävyydestä kolmannessa maassa voi näin ollen kohdistua vain sellaiseen henkilötietojen käsittelyyn, joka toteutetaan ensimmäisen pilarin alueella. Henkilötietodirektiiviä ei sovelleta Euroopan unionin toisen ja kolmannen pilarin alueella toteutettavaan henkilötietojen käsittelyyn, kuten henkilötietojen käsittelyyn, joka liittyy Euroopan unionista tehdyn sopimuksen V ja VI osastossa tarkoitettuun yleistä turvallisuutta, puolustusta, valtion turvallisuutta ja valtion toimintaa rikosoikeuden alalla koskeviin toimiin.
Jäsenvaltioiden on tullut toteuttaa direktiivin edellyttämät lainsäädännölliset toimenpiteet viimeistään 24 päivänä lokakuuta 1998. Suomessa henkilötietojen käsittely on saatettu vastaamaan direktiivin velvoitteita 1 päivänä kesäkuuta 1999 voimaan tulleella henkilötietolailla (523/1999). Osassa jäsenvaltioita direktiiviä ei ole vielä pantu täytäntöön. Henkilötietolaki on soveltamisalaltaan kattava henkilötietojen käsittelyä sääntelevä yleislaki, jota sovelletaan täydentävästi myös henkilötietojen käsittelyä jollakin tietyllä alueella sääntelevän erityislainsäädännön rinnalla.
Henkilötietoja voidaan henkilötietodirektiivin 25 artiklassa ilmaistun pääsäännön mukaan siirtää EU:n ulkopuoliseen niin sanottuun kolmanteen maahan vain, jos kyseisessä maassa taataan tietosuojan riittävä taso. Tietosuojan tason riittävyyttä on artiklan 2 kohdan mukaan arvioitava kaikkien tiettyyn siirtoon tai siirtojen ryhmään liittyvien olosuhteiden osalta. Erityisesti on otettava huomioon tietojen luonne, suunnitellun käsittelyn tai suunniteltujen käsittelyjen tarkoitus ja kestoaika, alkuperämaa ja lopullinen kohde, kyseisessä kolmannessa maassa voimassa olevat yleiset tai alakohtaiset oikeussäännöt sekä ammattisäännöt ja tässä maassa noudatettavat turvatoimet.
Suomen lainsäädännössä henkilötietodirektiivin 25 artiklaan sisältyvä periaate ilmaistaan henkilötietolain 22 §:ssä. Säännöksen mukaan henkilötietoja voidaan siirtää Euroopan unionin jäsenvaltioiden alueen tai Euroopan talousalueen (ETA) ulkopuolelle ainoastaan, jos kyseisessä maassa taataan tietosuojan riittävä taso. Tietosuojan tason riittävyyden asianomaisessa kolmannessa maassa arvioi kussakin tapauksessa rekisterinpitäjä ja tietosuojavaltuutettu, jolle rekisterinpitäjän on henkilötietolain 36 §:n 2 momentin 1 kohdan mukaan ilmoitettava 22 §:n nojalla toteutettavasta henkilötietojen siirrosta. ETA-maat on rinnastettu henkilötietolaissa EU:n jäsenvaltioihin, koska ETA:aan kuuluvat EU:n ulkopuoliset maat, Islanti, Norja ja Liechtenstein ovat sitoutuneet saattamaan kansalliset lainsäädäntönsä vastaamaan henkilötietodirektiivin vaatimuksia.
Henkilötietodirektiivin 26 artiklassa säädetään niistä poikkeusperusteista, jotka oikeuttavat siirtämään henkilötietoja sellaiseen kolmanteen maahan, jossa ei taata tietosuojan riittävää tasoa 25 artiklan 2 kohdassa tarkoitetulla tavalla. Henkilötietojen siirto on 26 artiklan 1 kohdan mukaan sallittua muun muassa rekisteröidyn yksiselitteisesti antamalla suostumuksella tai, jos siirto on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöön panemiseksi tai oikeusvaateen laatimiseksi. Jäsenvaltio voi 26 artiklan 2 kohdan nojalla hyväksyä henkilötietojen siirron kolmanteen maahan myös, jos rekisterinpitäjä antaa riittävät takeet henkilöiden yksityisyyden suojasta.
Henkilötietodirektiivin 26 artiklaa vastaava sääntely sisältyy henkilötietolain 23 §:ään. Pykälässä säädetään siitä, milloin henkilötietojen siirto EU:n tai ETA:n ulkopuolelle on mahdollista silloin, kun edellä mainitut 22 §:ssä säädetyt yleiset edellytykset henkilötietojen siirrolle eivät täyty.
Yleistä
Komissio voi henkilötietodirektiivin 25 artiklan 6 kohdan mukaan todeta, että tietyssä kolmannessa maassa taataan tietosuojan riittävä taso 25 artiklan 2 kohdan tarkoittamassa merkityksessä. Jäsenvaltioiden on toteutettava tarvittavat toimenpiteet noudattaakseen komission päätöstä. Direktiivin 25 artiklan 4 kohdan nojalla komissio voi edellä mainitun menettelyn mukaisesti todeta, että tietyssä kolmannessa maassa ei taata tietosuojan riittävää tasoa. Tällöin jäsenvaltioiden on toteutettava tarvittavat toimenpiteet kyseiseen kolmanteen maahan kohdistuvien samanluonteisten siirtojen estämiseksi.
Tietosuojan tason riittävyys voi perustua joko kyseisessä kolmannessa maassa voimassa olevaan tietosuojalainsäädäntöön tai tietosuojan taso voidaan taata muilla keinoin, kuten esimerkiksi kyseisessä maassa voimassa olevilla yleisillä tai alakohtaisilla oikeussäännöillä ja noudatettavilla turvatoimilla. Koska kolmansissa maissa noudatetaan toisistaan poikkeavia tietosuojaa koskevia näkemyksiä, on tietosuojan riittävyys arvioitava ja komission päätökset tehtävä siten, ettei mielivaltaisesti tai epäoikeudenmukaisesti syrjitä mitään niistä kolmansista maista, joissa vallitsevat samanlaiset olosuhteet, eikä muodosteta peiteltyä kaupan estettä yhteisön tämänhetkisten kansainvälisten sitoumusten mukaisesti.
Komissio toteaa tietosuojan tason riittävyyden henkilötietodirektiivin 31 artiklan 2 kohdassa säädetyn menettelyn mukaisesti. Komissiota avustaa jäsenvaltioiden edustajista koostuva komitea, jonka puheenjohtajana on komission edustaja. Puheenjohtaja tekee komitealle ehdotuksen tarvittavista toimenpiteistä ja komitea antaa siitä lausuntonsa. Komissio konsultoi asiassa myös jäsenvaltioiden tietosuojan valvontaviranomaisia, jotka ottavat asiaan kantaa henkilötietodirektiivin 29 artiklan tietosuojatyöryhmässä. Saatuaan komitean lausunnon komissio päättää toimenpiteistä. Jos toimenpiteet eivät ole komitean lausunnon mukaisia, komission on ilmoitettava niistä viipymättä neuvostolle ja lykättävä päättämiensä toimenpiteiden soveltamista. Neuvosto voi määräenemmistöllä päättää asiasta toisin.
Henkilötietojen siirto kolmanteen maahan on henkilötietodirektiivin 25 artiklassa säädetyistä edellytyksistä poiketen 26 artiklan 4 kohdan mukaan mahdollista myös, jos komissio päättää 31 artiklan 2 kohdassa mainitun menettelyn mukaisesti, että tietyillä mallisopimuslausekkeilla annetaan riittävät takeet henkilöiden yksityisyyden suojasta.
Komissio on tehnyt 26 päivänä heinäkuuta 2000 ensimmäiset päätöksensä tietosuojan tason riittävyydestä Unkarin, Sveitsin ja Yhdysvaltojen osalta. Unkarin ja Sveitsin osalta komissio on katsonut tietosuojan riittävän tason tulevan turvatuksi kansallisella lainsäädännöllä. Yhdysvaltojen osalta komissio on katsonut niin sanotun Safe harbor ―järjestelmän turvaavan tietosuojan tason. Komission päätöksiä voidaan tarkistaa aina, kun päätöksen täytäntöönpanosta saadut kokemukset osoittavat sen olevan tarpeen. Joka tapauksessa komissio arvioi päätösten täytäntöönpanon kolmen vuoden kuluttua siitä, kun ne on annettu tiedoksi jäsenvaltioille.
Unkarin ja Sveitsin lainsäädäntö
Komissio on 26 päivänä heinäkuuta 2000 tekemillään päätöksillä katsonut, että Unkari ja Sveitsi tarjoavat kaikessa henkilötietodirektiivin soveltamisalaan kuuluvassa henkilötietojen käsittelyssä riittävän tietosuojan tason EU:sta siirrettäville henkilötiedoille. Tämä johtuu näiden maiden tietosuojalainsäädännöstä ja siitä, että nämä maat ovat liittyneet Euroopan neuvoston jäsenvaltioiden vuonna 1981 tekemään yleissopimukseen yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä (SopS 36/2000). Kummassakin maassa tietosuojaa koskevien säännösten soveltaminen on taattu muutoksenhakukeinoin ja riippumattomien viranomaisten valvonnalla.
Unkarissa henkilötietojen suojaa turvataan sekä perustuslailla että tietosuojalailla, joka on tullut voimaan 1 päivänä toukokuuta 1993. Henkilötietojen suojaan liittyviä säännöksiä on myös alakohtaisissa laeissa.
Myös Sveitsissä henkilötietojen suojasta on säädetty sekä perustuslaissa että liittovaltion ja kantonien lainsäädännössä. Liittovaltion perustuslaissa taataan kaikille henkilöille oikeus yksityisyyden suojaan ja erityisesti oikeus suojeluun henkilötietojen väärinkäyttöä vastaan. Liittovaltion tuomioistuimen kehittämässä oikeuskäytännössä on vahvistettu yleiset periaatteet, joita sovelletaan henkilötietojen käsittelyyn sekä liittovaltion että kantonien tasolla.
Sveitsin liittovaltion yleinen tietosuojalaki tuli voimaan 1 päivänä heinäkuuta 1993. Lakia sovelletaan liittovaltion toimielinten ja koko yksityissektorin suorittamaan henkilötietojen käsittelyyn, sekä kantonien toimielinten suorittamaan käsittelyyn liittovaltion lainsäädännön täytäntöönpanemiseksi, jos kantonit eivät määrää, että kyseisiin käsittelyihin sovelletaan kantonien tietosuojaa koskevia säännöksiä. Useimmat kantonit ovat antaneet lakeja sellaisia aloja koskevasta tietosuojasta, jotka kuuluvat niiden toimivaltaan. Muissa kantoneissa tietojen käsittelyä ohjaavat ohjesäännön tasoiset määräykset tai kantonien tuomioistuimissa kehitetyt periaatteet.
Yhdysvallat ja Safe harbor -järjestelmä
Päinvastoin kuin edellä mainituissa maissa, Yhdysvalloissa ei ole yleistä tietosuojalainsäädäntöä. Koska muun muassa kaupallisista syistä on pidetty tärkeänä, että henkilötietojen siirto Yhdysvaltoihin olisi mahdollisimman joustavaa, ovat komissio ja Yhdysvaltojen hallitus joutuneet miettimään ratkaisuja, joilla tietosuojan riittävä taso henkilötietojen siirrossa tulisi turvatuksi.
Komissio on Yhdysvaltojen kanssa henkilötietodirektiivin 25 artiklan 5 kohdassa käymiensä keskustelujen nojalla 26 päivänä heinäkuuta 2000 päättänyt, että henkilötietojen siirroissa Yhdysvaltoihin tietosuojan riittävä taso on taattu, jos yhdysvaltalainen siirronsaaja on sitoutunut noudattamaan Yhdysvaltojen kauppaministeriön (US Department of Commerce) ja komission hyväksymiä ja Yhdysvaltojen kauppaministeriön vahvistamia niin sanottuja kansainvälisiä Safe harbor ("turvasatama") -periaatteita.
Safe harbor -järjestelmään voi liittyä yhdysvaltalainen organisaatio, jossa sovelletaan tehokkaan henkilötietojen suojan takaavaa lainsäädäntöä tai säännöstöä. Organisaation tulee kuulua sellaisen komission päätöksessä luetellun Yhdysvaltojen valtiollisen toimielimen lakisääteisen toimivallan piiriin, jolla on valtuudet tutkia valituksia ja määrätä korvauksia sopimattomista tai harhaanjohtavista käytännöistä sekä tarjota oikeussuojaa yksityisille, jos periaatteita ei noudateta.
Järjestelmään liittyneiden organisaatioiden on noudatettava Safe harbor -periaatteita ja sitouduttava periaatteiden noudattamiseen julkisesti. Jos Safe harbor-järjestelmään liittynyt organisaatio ei noudata tietosuojaperiaatteita, asian on oltava kannekelpoinen Federal Trade Comission Act ―lain nojalla, jossa kielletään kauppaa koskevat tai kauppaan vaikuttavat sopimattomat tai vilpilliset toimet, tai vastaavan muun lain nojalla, jossa kielletään kyseiset toimet.
Safe harbor -järjestelmään liitytään ilmoittamalla asiasta Yhdysvaltojen kauppaministeriölle tai sen nimeämälle edustajalle. Yhdysvaltojen kauppaministeriö tai sen nimeämä ylläpitää yleisesti saatavilla olevaa luetteloa organisaatioista, jotka ilmoittavat noudattavansa Safe harbor -periaatteita. Kauppaministeriö tai sen nimeämä edustaja pitää julkisesti saatavilla myös kaikki sille ilmoitetut lopulliset päätökset, joiden mukaan organisaatio on jättänyt noudattamatta Safe harbor-periaatteita tai jotka koskevat muita seikkoja, joiden perusteella organisaation osallistuminen Safe harbor -järjestelmään saattaa päättyä. Tällaisia seikkoja ovat esimerkiksi yritysostot ja sulautumiset.
Safe harbor -periaatteiden mukaan organisaation on muun muassa ilmoitettava rekisteröidylle, mihin tarkoitukseen se kerää ja käyttää häntä koskevia tietoja sekä annettava rekisteröidylle mahdollisuus päättää, saako hänen henkilötietojaan käyttää alkuperäisen käyttötarkoituksen kanssa yhteensopimattomaan tarkoitukseen tai luovuttaa kolmansille. Periaatteet takaavat lähtökohtaisesti rekisteröidylle tarkastusoikeuden häntä koskeviin tietoihin ja oikeuden saada virheelliset tiedot korjatuiksi. Safe harbor -periaatteisiin sitoutuneiden organisaatioiden on huolehdittava henkilötietojen suojaamisesta ja periaatteiden rikkomisen varalta on kunkin organisaation osalta oltava olemassa menettelyt, joilla varmistetaan tietosuojaperiaatteiden noudattaminen ja organisaatiolle koituvat seuraamukset niiden noudattamatta jättämisestä.
Rekisterinpitäjän antamien takeiden riittävyyden arviointi ja komission mallisopimus- lausekkeet
Vaikka tietosuojan tasoa tietyssä kolmannessa maassa ei olisikaan todettu turvatuksi henkilötietodirektiivin 25 artiklassa edellytetyllä tavalla, voi jäsenvaltio kuitenkin henkilötietodirektiivin 26 artiklan 2 kohdan mukaan hyväksyä tietojen siirron tällaiseen maahan, jos rekisterinpitäjä antaa riittävät takeet henkilöiden yksityisyyden suojasta ja perusoikeuksien ja -vapauksien suojasta sekä vastaavien oikeuksien soveltamisesta. Rekisterinpitäjän antamat takeet voivat johtua erityisesti tietojen siirrossa käytettävistä sopimuslausekkeista. Jos toinen jäsenvaltio tai komissio ilmaisee vastalauseensa edellä mainittujen takeiden hyväksymisestä, komissio voi direktiivin 31 artiklan 2 kohdassa mainitun menettelyn mukaisesti päättää, ovatko takeet riittävät. Komissio voi edellä mainitun menettelyn mukaisesti päättää myös, että tietyillä mallisopimuslausekkeilla annetaan riittävät takeet tietosuojan tasosta. Jäsenvaltioiden on toteutettava tarvittavat toimenpiteet noudattaakseen komission päätöksiä.
Komissio on aloittanut tietosuojan tason takaavien mallisopimuslausekkeiden laatimisen direktiivin 31 artiklan 2 kohdan mukaisessa komiteamenettelyssä.
Jäsenvaltioiden on pantava täytäntöön henkilötietodirektiivi kansallisessa lainsäädännössään. Komission edellä kuvatut päätökset ovat jäsenvaltioita velvoittavia. Jäsenvaltioiden on lähtökohtaisesti sallittava tietojen siirto sellaiseen kolmanteen maahan, jossa komissio on todennut tietosuojan tason turvatuksi. Henkilötietojen sallitun siirron edellytyksenä on kuitenkin myös, että henkilötietodirektiivin muut säännökset täytäntöönpanevia kansallisia säännöksiä noudatetaan ennen tietojen siirtämistä. Tietosuojalautakunta voi henkilötietolain 44 §:n nojalla kieltää henkilötietojen siirron, ellei siirrettävien tietojen käsittelyssä ole noudatettu kansallisia säännöksiä.
Unkarin, Sveitsin ja Yhdysvaltojen tietosuojan tason riittävyyttä koskevien komission päätösten mukaan jäsenvaltioiden on toteutettava päätösten noudattamisen edellyttämät toimenpiteet 90 päivän kuluessa siitä, kun ne on annettu tiedoksi jäsenvaltioille. Päätökset on annettu tiedoksi jäsenvaltioiden pysyville edustajille 27 päivänä heinäkuuta 2000 ja julkaistu yhteisön virallisessa lehdessä 25 päivänä elokuuta 2000.
Henkilötietolakiin ei sisälly säännöksiä, joissa todettaisiin edellä mainittujen komission päätösten velvoittavuus arvioitaessa kansallisesti kolmannen maan tietosuojan tason riittävyyttä. Lakiin ei sisälly myöskään nimenomaista säännöstä siitä, että tietojen siirto olisi sallittu silloin kun siirrossa käytetään komission hyväksymiä mallisopimuslausekkeita. Näiden säännösten lisääminen henkilötietolakiin on tullut ajankohtaiseksi komission edellä kuvattujen päätösten teon ollessa vireillä. Henkilötietojen siirron perusteiden ilmeneminen selvästi ja kokonaisuudessaan laista lisäisi myös henkilötietojen käsittelyn avoimuutta. Näistä syistä esitetään, että henkilötietolakia täydennettäisiin säännöksillä, joiden mukaan henkilötietojen siirto kolmansiin maihin voi perustua myös komission hyväksymiin edellä kuvattuihin päätöksiin tai mallisopimuslausekkeisiin. Ehdotetuilla muutoksilla ei ole kustannusvaikutuksia. Henkilötietojen siirrosta kolmansiin maihin ei olisi velvollisuutta ilmoittaa tietosuojavaltuutetulle, jos siirto perustuu edellä mainittuihin komission päätöksiin tai mallisopimuslausekkeisiin.
Ehdotuksella täsmennettäisiin henkilötietolain säännöksiä niistä perusteista, joilla henkilötietojen siirto kolmansiin maihin on henkilötietodirektiivin mukaan sallittua.
Henkilötietodirektiivin tarkoitus on yksityisyyden suojan turvaamisen ohella, että henkilötietojen siirto olisi vapaata paitsi toisiin EU:n jäsenvaltioihin, myös sellaisiin kolmansiin maihin, joissa tietosuojan riittävä taso turvataan direktiivin edellyttämällä tavalla. Nämä maat rinnastuvat oikeuksissa ja velvollisuuksissa EU:n jäsenvaltioihin, eikä niitä saa kohdella eri tavoin kuin jäsenvaltioita. Henkilötietojen siirto sellaiseen kolmanteen maahan, jossa komissio on päätöksellään todennut tietosuojan riittävän tason tulevan turvatuksi, on vapaata. Näiden maiden joukko laajenee sitä mukaa kuin komissio tekee tällaisia päätöksiä. Myös komission hyväksymät mallisopimuslausekkeet tulevat helpottamaan rekisterinpitäjien mahdollisuuksia siirtää henkilötietoja EU:n ulkopuolelle.
Rekisterinpitäjillä ei olisi velvollisuutta ilmoittaa tietosuojavaltuutetulle edellä
mainituilla perusteilla tapahtuvista henkilötietojen siirroista kolmansiin maihin. Näiden ilmoitusvelvollisuuden ulkopuolelle jäävien kolmansien maiden määrä tulee lisääntymään sitä mukaa kuin komissio tekee edellä kuvattuja päätöksiä tietosuojan tason riittävyydestä kyseisissä maissa.
Komissio antaa tekemänsä päätökset tiedoksi jäsenvaltioille. Komission päätökset julkaistaan myös Euroopan yhteisöjen virallisessa lehdessä. Tietosuojavaltuutetun tehtävänä olisi muun toimialaansa kuuluvan tiedotustoiminnan ohella pitää yleisesti saatavilla tiedot komission päätöksistä ja Safe harbor -järjestelmään liittyneistä organisaatioista sekä komission hyväksymät mallisopimuslausekkeet.
Jonkin verran lisätyötä tietosuojavaltuutetulle aiheutuu myös tietosuojavaltuutettujen kansainvälisestä yhteistyöstä Safe harbor -järjestelmän mukaisessa EU:n tietosuojaviranomaisten paneelissa. Kyse on tietosuojaviranomaisten vapaamuotoisesta järjestelystä, jossa nämä voivat antaa ohjeita Safe harbor -järjestelmään liittyneille organisaatioille ja toimia muutenkin näihin organisaatioihin nähden Safe harbor -periaatteiden täytäntöönpanoa tukevana toimielimenä.
Koska komission päätöksiin tai mallisopimuslausekkeisiin perustuvista henkilötietojen siirroista ei olisi velvollisuutta ilmoittaa tietosuojavaltuutetulle, tämä toisaalta vähentäisi henkilötietojen siirtoa koskevien ilmoitusten käsittelystä tietosuojavaltuutetulle aiheutuvaa työtä.
Ehdotetuilla muutoksilla ei ole kustannusvaikutuksia.
Hallituksen esitys on valmisteltu virkatyönä oikeusministeriössä. Esitysehdotuksesta pyydettiin lausunto tietosuojavaltuutetulta, jolla ei ollut siihen huomautettavaa.
22 a §. Komission päätökset. Henkilötietojen siirto EU:n jäsenvaltioiden alueen ja ETA:n ulkopuolelle olisi 1 momentin mukaan mahdollista, jos Euroopan yhteisöjen komissio on henkilötietodirektiivin 25 artiklan 6 kohdan mukaisesti todennut, että kyseisessä maassa taataan tietosuojan riittävä taso. Henkilötietodirektiiviä sovelletaan yhteisön oikeuden eli Euroopan unionin ensimmäisen pilarin oikeusjärjestelmän alaan kuuluvaan henkilötietojen käsittelyyn. Myös komission edellä mainittu päätös tietosuojan tason riittävyydestä kolmannessa maassa voi näin ollen kohdistua vain sellaiseen henkilötietojen käsittelyyn, joka toteutetaan ensimmäisen pilarin alueella. Henkilötietodirektiiviä ei sovelleta Euroopan unionin toisen ja kolmannen pilarin alueella toteutettavaan henkilötietojen käsittelyyn, kuten henkilötietojen käsittelyyn, joka liittyy Euroopan unionista tehdyn sopimuksen V ja VI osastossa tarkoitettuun yleistä turvallisuutta, puolustusta, valtion turvallisuutta ja valtion toimintaa rikosoikeuden alalla koskeviin toimiin.
Tietosuojan tason riittävyys voi johtua kyseisen maan lainsäädännöstä tai kansainvälisistä sitoumuksista, jotka on tehty erityisesti henkilötietodirektiivin 25 artiklan 5 kohdassa tarkoitettujen komission kanssa käytyjen keskustelujen yhteydessä. Kolmannessa maassa taattavan tietosuojan tason riittävyyttä on 25 artiklan 2 kohdan mukaan arvioitava kaikkien tiettyyn siirtoon tai siirtojen ryhmään liittyvien olosuhteiden osalta. Erityisesti on otettava huomioon tietojen luonne, suunnitellun käsittelyn tai suunniteltujen käsittelyjen tarkoitus ja kestoaika, alkuperämaa ja lopullinen kohde, kyseisessä kolmannessa maassa voimassa olevat yleiset tai alakohtaiset oikeussäännöt sekä ammattisäännöt ja tässä maassa noudatettavat turvatoimet.
Komissio voi henkilötietodirektiivin 25 artiklan 4 kohdan mukaan todeta 31 artiklan 2 kohdassa vahvistetun menettelyn mukaisesti, että tietyssä kolmannessa maassa ei taata tietosuojan riittävää tasoa 25 artiklan 2 kohdassa tarkoitetulla tavalla. Jäsenvaltioiden on toteutettava tarvittavat toimenpiteet samanluonteisten siirtojen estämiseksi kyseiseen kolmanteen maahan. Tämän mukaisesti pykälän 2 momentissa ehdotetaan säädettäväksi, ettei henkilötietoja voida siirtää EU:n jäsenvaltioiden alueen tai ETA:n ulkopuolelle, jos komissio on henkilötietodirektiivin 25 artiklan 4 kohdan mukaisesti todennut, että kyseisessä maassa ei taata tietosuojan riittävää tasoa. Komissio voi arvioida tietosuojan tason riittävyyttä koko kyseisen maan tai esimerkiksi osavaltion osalta taikka ainoastaan maahan kohdistuvien tietyn tyyppisten siirtojen osalta. Komission päätöksestä käy ilmi, missä laajuudessa henkilötietojen siirto kyseiseen maahan on kussakin tapauksessa kielletty.
Komission päätökset julkaistaan yhteisön virallisessa lehdessä. Tietosuojavaltuutetun tehtävänä olisi Suomessa tiedottaa näistä komission päätöksistä ja niistä kolmansista maista, joissa komissio on päätöksellään katsonut tietosuojan tason riittäväksi tai riittämättömäksi. Tietosuojavaltuutettu tiedottaisi myös siitä luettelosta, jota Yhdysvalloissa pidetään Safe harbor -periaatteita noudattamaan sitoutuneista organisaatioista.
23 §. Poikkeusperusteet. Jäsenvaltio voi henkilötietodirektiivin 26 artiklan 2 kohdan mukaan hyväksyä henkilötietojen siirron sellaiseen kolmanteen maahan, jossa ei taata tietosuojan riittävää tasoa direktiivin 25 artiklan 2 kohdassa tarkoitetulla tavalla, jos rekisterinpitäjä antaa riittävät takeet henkilöiden yksityisyyden suojasta ja perusoikeuksien ja -vapauksien suojasta. Nämä takeet voivat erityisesti johtua soveltuvista sopimuslausekkeista. Tämän mukaisesti henkilötietolain 23 §:n 7 kohdassa säädetään mahdolliseksi henkilötietojen siirto EU:n jäsenvaltioiden tai ETA:n ulkopuolelle, jos rekisterinpitäjä antaa sopimuslausekkein tai muulla tavoin riittävät takeet henkilöiden yksityisyyden ja oikeuksien suojasta.
Henkilötietodirektiivin 26 artiklan 3 kohta velvoittaa jäsenvaltion ilmoittamaan artiklan 2 kohdan mukaisesti hyväksymistään rekisterinpitäjän antamiin takeisiin perustuvista henkilötietojen siirroista komissiolle ja muille jäsenvaltioille. Suomessa henkilötietojen siirrosta kolmansiin maihin tällä perusteella on henkilötietolain 36 §:n 2 momentin 1 kohdan mukaan ilmoitettava tietosuojavaltuutetulle. Jos tietosuojavaltuutettu ilmoituksen saatuaan katsoo, että henkilötietoja voidaan siirtää EU:n jäsenvaltioiden alueen tai ETA:n ulkopuolelle henkilötietolain 23 §:n 7 kohdan perusteella, hänen on tietosuojalautakunnasta ja tietosuojavaltuutetusta annetun asetuksen (432/1994) 10 b §:n mukaan ilmoitettava tästä komissiolle ja jäsenvaltioille.
Jos komissio tai toinen jäsenvaltio ei pidä turvatakeita riittävinä, komissio tekee asiassa päätöksen 31 artiklan 2 kohdassa tarkoitetun menettelyn mukaisesti. Jäsenvaltioiden on toteutettava tarvittavat toimenpiteet noudattaakseen komission päätöstä. Pykälän 7 kohtaan ehdotetaan edellä sanotusta johtuen lisättäväksi siinä nykyään säädetyn henkilötietojen siirron perusteen lisäedellytykseksi se, ettei komissio ole todennut yksityisyyden suojasta annettuja turvatakeita riittämättömiksi.
Henkilötietojen siirto EU:n jäsenvaltioiden alueen ulkopuolelle on henkilötietodirektiivin 26 artiklan 4 kohdan mukaan mahdollinen myös, jos komissio päättää 31 artiklan 2 kohdassa säädetyn menettelyn mukaisesti, että tietyillä mallisopimuslausekkeilla annetaan riittävät takeet tietosuojan riittävän tason turvaamisesta. Edellä mainitut takeet antaa sekä tietojen luovuttaja että niiden vastaanottaja. Jäsenvaltioiden on 26 artiklan 4 kohdan mukaan toteutettava tarvittavat toimenpiteet noudattaakseen komission päätöstä. Tämän vuoksi ehdotetaan, että tämä poikkeusperuste henkilötietojen siirtoon lisätään pykälän uudeksi 8 kohdaksi.
Pykälän johdantokappaletta tarkistettaisiin niin, että siinä viitattaisiin 22 §:n ohella myös ehdotettuun 22 a §:ään.
Komission päätökset tietosuojan tason turvaamisesta kolmannessa maassa ovat jäsenvaltioita velvoittavia. Unkarin, Sveitsin ja Yhdysvaltojen tietosuojan tason riittävyyttä koskevien komission päätösten mukaan jäsenvaltioiden on toteutettava päätösten noudattamisen edellyttämät toimenpiteet 90 päivän kuluessa siitä päivästä, jolloin ne on annettu tiedoksi jäsenvaltioille. Päätökset on annettu tiedoksi jäsenvaltioiden pysyville edustajille 27 päivänä heinäkuuta 2000 ja julkaistu yhteisön virallisessa lehdessä 25 päivänä elokuuta 2000. Laki ehdotetaan tulevaksi voimaan mahdollisimman pian sen jälkeen, kun se on hyväksytty ja vahvistettu.
Ehdotetulla lailla täydennettäisiin säännöksiä niistä edellytyksistä, joilla henkilötietojen siirto EU:n jäsenvaltioiden alueen ja ETA:n ulkopuolelle on sallittua. Täsmentämällä näin henkilötietojen käsittelyn sääntelyä laissa vahvistettaisiin samalla myös yksityisyyden suojan toteutumista henkilötietojen käsittelyssä. Lakiehdotus on muutenkin sopusoinnussa perustuslain kanssa, minkä vuoksi se voidaan säätää tavallisessa lainsäätämisjärjestyksessä.
Edellä esitetyn perusteella annetaan Eduskunnan hyväksyttäväksi seuraava lakiehdotus:
Eduskunnan päätöksen mukaisesti
muutetaan 22 päivänä huhtikuuta 1999 annetun henkilötietolain (523/1999) 23 §:n johdantokappale sekä 6 ja 7 kohta sekä
lisätään lakiin uusi 22 a § ja 23 §:ään uusi 8 kohta seuraavasti:
22 a §Komission päätökset
Henkilötietoja voidaan siirtää Euroopan unionin jäsenvaltioiden alueen tai Euroopan talousalueen ulkopuolelle siltä osin kuin Euroopan yhteisöjen komissio on yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY, jäljempänä henkilötietodirektiivi, 3 artiklan ja 25 artiklan 6 kohdan mukaisesti todennut, että kyseisessä maassa taataan tietosuojan riittävä taso.
Henkilötietoja ei voida siirtää Euroopan unionin jäsenvaltioiden alueen tai Euroopan talousalueen ulkopuolelle siltä osin kuin komissio on henkilötietodirektiivin 3 artiklan ja 25 artiklan 4 kohdan mukaisesti todennut, että kyseisessä maassa ei taata tietosuojan riittävää tasoa.
23 §Poikkeusperusteet
Silloin kun siirto ei ole mahdollinen 22 tai 22 a §:n nojalla, voidaan henkilötietoja kuitenkin siirtää, jos:
6) siirto tehdään rekisteristä, josta yleinen tai erityisin perustein tapahtuva tiedonsaanti on nimenomaisesti säädetty;
7) rekisterinpitäjä antaa sopimuslausekkein tai muulla tavoin riittävät takeet henkilöiden yksityisyyden ja oikeuksien suojasta, eikä komissio ole henkilötietodirektiivin 3 artiklan ja 26 artiklan 3 kohdan mukaisesti todennut takeita riittämättömiksi; tai
8) siirto tapahtuu henkilötietodirektiivin 26 artiklan 4 kohdassa tarkoitettuja komission hyväksymiä mallisopimuslausekkeita käyttäen.
Tämä laki tulee voimaan päivänä kuuta 2000.
Helsingissä 6 päivänä lokakuuta 2000
Tasavallan Presidentti
TARJA HALONEN
Oikeusministeri
Johannes Koskinen