TaVM 15/2018 vp HE 98/2018 vp

Esityksessä ehdotetaan muutettavaksi majoitus- ja ravitsemistoiminnasta annettua lakia, matkapalveluyhdistelmien tarjoajista annettua lakia, vaarallisten kemikaalien ja räjähteiden käsittelyn turvallisuudesta annettua lakia, vaatimustenmukaisuuden arviointipalvelujen pätevyyden toteamisesta annettua lakia, mittauslaitelakia, tilintarkastuslakia ja yrityspalvelujen asiakastietojärjestelmästä annettua lakia. Mainittuihin lakeihin tehtäisiin Euroopan unionin yleisestä tietosuoja-asetuksesta ja henkilötietojen suojaa koskevan kansallisen lainsäädännön muutoksista johtuvat välttämättömät muutokset. Muutokset ovat pääosin teknisluonteisia ja liittyvät suurelta osin viittauksiin henkilötietojen suojaa koskevaan lainsäädäntöön.

Lisäksi esityksessä ehdotetaan muutettavaksi Kilpailu- ja kuluttajavirastosta annettua lakia siten, että laissa säädettäisiin poikkeuksesta tietosuoja-asetuksen sääntelyyn siltä osin kuin se koskee rekisteröidyn oikeutta tutustua hänestä kerättyihin tietoihin.

Lait on tarkoitettu tulemaan voimaan mahdollisimman pian.

Euroopan parlamentti ja neuvosto antoivat keväällä 2016 Euroopan unionin tietosuojapaketin, johon kuuluvat luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) annettu Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 (jäljempänä tietosuoja-asetus) ja luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta annettu Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680. Tietosuoja-asetuksella kumottiin yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annettu Euroopan parlamentin ja neuvoston direktiivi 95/46/EY (jäljempänä henkilötietodirektiivi), joka on Suomessa pantu täytäntöön henkilötietolailla (523/1999). Tietosuoja-asetuksen soveltaminen alkoi 25 päivänä toukokuuta 2018.

Tietosuoja-asetuksen tarkoitus on yhtäältä taata luonnollisten henkilöiden suojelu henkilötietojen käsittelyn yhteydessä ja toisaalta tukea vapauden, turvallisuuden ja oikeuden alueen ja talousunionin kehittämistä, taloudellista ja sosiaalista edistystä sekä talouksien lujittamista ja lähentämistä EU:n sisämarkkinoilla. Tietosuoja-asetus on huomattavasti yksityiskohtaisempi kuin henkilötietodirektiivi. Lainsäädäntöinstrumentin luonne on myös erilainen. Tietosuoja-asetus on jäsenmaissa suoraan sovellettavaa ja velvoittavaa lainsäädäntöä.

Vaikka tietosuoja-asetus on kansallisesti suoraan sovellettava säädös, se ei kaikilta osin harmonisoi EU:n jäsenvaltioiden henkilötietojen suojaa koskevaa lainsäädäntöä, vaan jättää jäsenvaltioille direktiivinomaista kansallista liikkumavaraa. Kansallisella liikkumavaralla tarkoitetaan tietosuoja-asetuksen osoittamaa harkintamarginaalia, jonka puitteissa jäsenvaltioiden lainsäätäjien on mahdollista antaa tai pitää voimassa kansallista lainsäädäntöä. Tällä lainsäädännöllä täydennetään tai täsmennetään asetuksen säännöksiä, jotka muodostavat perustavanlaatuisen rungon henkilötietojen käsittelyä koskevalle säännöstölle. Tällaista täsmentävää tai täydentävää kansallista lainsäädäntöä on siten aina luettava yhdessä tietosuoja-asetuksen kanssa. Tietosuoja-asetusta täydentävä tai täsmentävä kansallinen lainsäädäntö on mahdollista ainoastaan silloin, kun se tietosuoja-asetuksessa nimenomaisesti sallitaan. Kansallinen liikkumavara ei kaikilta osin suoranaisesti velvoita jäsenvaltioita säätämään tietosuoja-asetusta täydentävää tai täsmentävää kansallista lainsäädäntöä, vaan kyse on mahdollisuudesta. Tämä edellyttää myös Suomessa niin kansallisen yleislain eli henkilötietolain kuin erityislainsäädännön uudistamista.

Hallitus on 1.3.2018 antanut eduskunnalle esityksen EU:n yleistä tietosuoja-asetusta täydentäväksi yleiseksi lainsäädännöksi (HE 9/2018 vp, jäljempänä tietosuojalakiesitys).

Työ- ja elinkeinoministeriön hallinnonalalla on useita lakeja, joissa säädetään henkilötietojen käsittelystä ja joiden yhdenmukaisuus uuden tietosuojalainsäädännön kanssa on tarpeen tarkistaa. Näiden lakien säännökset täydentävät yleislakien eli viranomaisten toiminnan julkisuudesta annetun lain (621/1999; jäljempänä julkisuuslaki) ja henkilötietolain sääntelyä.

Tietosuoja-asetuksella vahvistetaan säännöt luonnollisten henkilöiden suojelulle henkilötietojen käsittelyssä sekä säännöt, jotka koskevat henkilötietojen vapaata liikkuvuutta. Asetuksella suojellaan luonnollisten henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan. Asetusta ei sovelleta henkilötietojen käsittelyyn, jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin lainsäädännön soveltamisalaan. Asetuksen tavoitteet ja periaatteet vastaavat pitkälti henkilötietodirektiivin tavoitteita ja periaatteita.

Tietosuoja-asetuksen kohde, tavoitteet ja soveltamisala sekä asetuksessa käytettävät käsitteet määritellään asetuksen I luvussa. Asetuksen 2 artiklassa säädetään asetuksen aineellisesta soveltamisalasta. Asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.

Tietosuoja-asetuksen keskeisten käsitteiden määritelmät (4 artikla) vastaavat pitkälti henkilötietodirektiiviä. Henkilötiedoilla tarkoitetaan asetuksessa kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, eli rekisteröityyn, liittyviä tietoja (4 artiklan 1 kohta). Rekisterinpitäjällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti (4 artiklan 7 kohta). Henkilötietojen käsittelijällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun (4 artiklan 8 kohta). Asetuksessa on myös uusia käsitteitä ja määritelmiä.

Tietosuoja-asetuksen 5 artiklassa säädetään henkilötietojen käsittelyä koskevista yleisistä periaatteista, joita ovat lainmukaisuus, kohtuullisuus ja läpinäkyvyys, käyttötarkoitussidonnaisuus, tietojen minimointi, täsmällisyys, säilytyksen rajoittaminen sekä eheys ja luottamuksellisuus. Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että periaatteita on noudatettu (osoitusvelvollisuus).

Tietosuoja-asetuksen 6 artiklassa säädetään henkilötietojen käsittelyn lainmukaisuudesta. Asetuksen 6 artiklan 1 kohdassa luetellaan ne edellytykset, joiden tulee täyttyä, jotta henkilötietojen käsittely olisi lainmukaista. Luettelossa mainitut edellytykset vastaavat pääosin henkilötietolain 8 §:n 1 momentissa mainittuja asioita. Käsittelyperusteista tämän esityksen kannalta keskeinen on erityisesti 6 artiklan 1 kohdan c alakohdassa säädetty peruste koskien käsittelyä, joka on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi. Tietosuoja-asetuksen 6 artiklan 2 kohdassa annetaan jäsenvaltioille mahdollisuus pitää voimassa tai ottaa käyttöön yksityiskohtaisempia säännöksiä asetuksessa vahvistettujen sääntöjen soveltamisen mukauttamiseksi sellaisessa käsittelyssä, joka tehdään 1 kohdan c ja e alakohdan noudattamiseksi määrittämällä täsmällisemmin tietojenkäsittely- ja muita toimenpiteitä koskevat erityiset vaatimukset, joilla varmistetaan laillinen ja asianmukainen tietojenkäsittely.

Oikeusministeriön asettama tietosuoja-asetuksen edellyttämien kansallisten lainsäädäntötoimenpiteiden tarvetta selvittänyt työryhmä (TATTI-työryhmä) on lähtenyt siitä, että viranomaisten henkilötietojen käsittelyn tulisi ensi sijassa perustua asetuksen 6 artiklan 1 kohdan c alakohtaan eli rekisterinpitäjän lakisääteiseen velvoitteeseen. Perustuslain (731/1999) 2 §:n 3 momentin mukaan julkisen vallan käytön tulee perustua lakiin. Kaikessa julkisessa toiminnassa on noudatettava tarkoin lakia. Jo tästä perustuslaillisesta vaatimuksesta seuraa se, että kansallisesti viranomaisten ja julkishallinnon elinten suorittama henkilötietojen käsittely voidaan nykyisin valtaosin perustaa tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohtaan. Kuitenkin myös samaisen kohdan e alakohdassa tarkoitettu yleinen etu saattaa tulla viranomaistoiminnassa joissakin tapauksissa käsittelyperustana sovellettavaksi. Tällaisia tilanteita voi syntyä viranomaisten tehtävien kehittyessä ja moninaistuessa. Tietosuoja-asetuksen johdanto-osan kappaleen 45 mukaan kummassakin tilanteessa käsittelyllä tulisi joka tapauksessa olla perusta unionin oikeudessa tai jäsenvaltion lainsäädännössä. Tämä tarkoittaa, että viranomaisen tehtävä ja toimivaltuudet tulee kuvata lainsäädännössä niin, että henkilötietojen käsittelyn oikeusperusta ja tarkoitus voidaan perustellusti siitä johtaa toiminnan tavoite huomioon ottaen. (OM:n mietintöjä ja lausuntoja 8/2018.)

Asetuksen 6 artiklan 3 kohdan mukaan käsittelyn ollessa tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi ja käsittelyn ollessa tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi on käsittelyn perustasta säädettävä joko unionin oikeudessa tai rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä. Käsittelyn tarkoitus määritellään kyseisessä käsittelyn oikeusperusteessa tai, 1 kohdan e alakohdassa tarkoitetussa käsittelyssä, sen on oltava tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Lainsäädäntö voi sisältää erityisiä säännöksiä, joilla mukautetaan asetuksen sääntöjen soveltamista. Tällaiset erityiset säännökset voivat koskea muun muassa yleisiä edellytyksiä, jotka koskevat rekisterinpitäjän suorittaman tietojenkäsittelyn lainmukaisuutta; käsiteltävien tietojen tyyppiä; asianomaisia rekisteröityjä, yhteisöjä joille ja tarkoituksia joihin henkilötietoja voidaan luovuttaa; käyttötarkoitussidonnaisuutta; säilytysaikoja; sekä käsittelytoimia ja -menettelyjä, mukaan lukien laillisen ja asianmukaisen tietojenkäsittelyn varmistamiseen tarkoitetut toimenpiteet. Lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhtainen sillä tavoiteltuun oikeutettuun päämäärään nähden.

Tietosuoja-asetuksen 9 artiklassa säädetään erityisiä henkilötietoryhmiä koskevasta käsittelystä. Erityisten henkilötietoryhmien käsite käy ilmi 9 artiklan 1 kohdasta, jossa säädetään seuraavasti: ”Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä.” Käsittelykieltoon liittyvistä poikkeuksista säädetään asetuksen 9 artiklan 2 kohdassa.

Tietosuoja-asetuksen 10 artiklassa säädetään rikostuomioihin ja rikkomuksiin ja niihin liittyviin turvaamistoimiin liittyvien henkilötietojen käsittelystä. Säännöksen mukaan tällaisten henkilötietojen käsittely on sallittua, jos se suoritetaan vain viranomaisen valvonnassa tai silloin, kun se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa säädetään asianmukaisista suojatoimista rekisteröidyn oikeuksien ja vapauksien suojelemiseksi.

Tietosuoja-asetuksen III luvussa säädetään rekisteröidyn oikeuksista. Rekisteröidyn oikeuksia koskevassa luvussa on säännökset muun muassa:

rekisteröidyn informoinnista (12—14 artikla),

rekisteröidyn oikeudesta saada pääsy tietoihin (15 artikla),

oikeudesta tietojen oikaisemiseen (16 artikla),

oikeudesta tietojen poistamiseen (17 artikla),

oikeudesta käsittelyn rajoittamiseen (18 artikla),

oikeudesta siirtää tiedot järjestelmästä toiseen (artikla 20) ja

vastustamisoikeudesta (21 artikla).

Tietosuoja-asetuksen 23 artiklan 1 kohdassa annetaan jäsenvaltioille mahdollisuus lainsäädännöllä rajoittaa asetuksen 12—22 artiklassa ja 34 artiklassa sekä 5 artiklassa, siltä osin kuin sen säännökset vastaavat 12—22 artiklassa säädettyjä oikeuksia ja velvollisuuksia, säädettyjen velvollisuuksien ja oikeuksien soveltamisalaa, jos kyseisessä rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja -vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide tiettyjen tärkeiden intressien takaamiseksi. Artiklan 2 kohdassa säädetään asioista, joita koskevia säännöksiä tällaisen lainsäädännön on tarpeen mukaan sisällettävä.

Tietosuoja-asetuksen IV luvussa säädetään rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuuksista. Tietosuoja-asetuksen V luku koskee henkilötietojen siirtoa kolmansiin maihin ja kansainvälisille järjestöille, VI luku valvontaviranomaisia, VII luku valvontaviranomaisten yhteistyötä ja yhdenmukaisuusmekanismia ja VIII luku oikeussuojakeinoja, vastuita ja seuraamuksia.

Asetuksen IX luvussa säädetään tietojenkäsittelyyn liittyvistä erityistilanteista, joita ovat esimerkiksi: henkilötietojen käsittely ja virallisten asiakirjojen julkisuus (86 artikla), kansallisen henkilötunnuksen käsitteleminen (87 artikla), arkistointitarkoitus taikka tieteellinen tai historiallinen tutkimustarkoitus tai tilastollinen tarkoitus (89 artikla). Tietosuoja-asetuksen 86 artiklan mukaan viranomaiset taikka julkis- tai yksityisoikeudelliset yhteisöt yleisen edun vuoksi toteutetun tehtävän suorittamiseksi voivat luovuttaa viranomaisten tai yhteisöjen hallussa olevien virallisten asiakirjojen sisältämiä henkilötietoja viranomaiseen tai yhteisöön sovellettavan unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti, jotta voidaan sovittaa yhteen virallisten asiakirjojen julkisuus ja tämän asetuksen mukainen oikeus henkilötietojen suojaan.

2.2.1 Perustuslaki

Perustuslain 10 §:n 1 momentin mukaan jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Henkilötietojen suojasta säädetään tarkemmin lailla.

Perustuslain 12 §:n 2 momentissa säädetty julkisuusperiaate korostaa julkisuutta viranomaistoiminnan lähtökohtana. Perustuslain kyseisen momentin mukaan viranomaisen hallussa olevat asiakirjat ja muut tallenteet ovat julkisia, jollei niiden julkisuutta ole välttämättömien syiden vuoksi lailla erikseen rajoitettu. Jokaisella on oikeus saada tieto julkisesta asiakirjasta ja tallenteesta.

2.2.2 Tietosuojalaki

Tietosuojalakiesityksessä ehdotetaan säädettäväksi tietosuojalaki. Esityksessä ehdotetaan, että samalla kumottaisiin henkilötietolaki sekä tietosuojalautakunnasta ja tietosuojavaltuutetusta annettu laki (389/1994). Ehdotettu laki olisi henkilötietojen käsittelyyn sovellettava yleislaki. Tietosuoja-asetusta täydentävänä ja täsmentävänä se ei muodostaisi itsenäistä ja kattavaa sääntelykokonaisuutta, vaan sitä sovellettaisiin rinnakkain asetuksen kanssa. Tietosuojalain sääntelystä voitaisiin erityislainsäädännössä poiketa, jos poikkeaminen olisi mahdollista tietosuoja-asetuksen kansalliselle lainsäätäjälle antaman harkintamarginaalin puitteissa.

Tietosuojalailla laajennettaisiin tietosuoja-asetuksen soveltamisalaa myös sellaiseen käsittelyyn, joka ei kuulu unionin lainsäädännön soveltamisalaan. Ehdotetussa laissa säädettäisiin henkilötietojen käsittelyn oikeusperusteesta ja erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä eräissä tilanteissa, tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettavasta ikärajasta, valvontaviranomaisesta, oikeusturvasta sekä eräistä tietojenkäsittelyn erityistilanteista.

Tietosuojalakiesityksen 6 §:ssä säädettäisiin erityisiä henkilötietoryhmiä koskevasta käsittelystä. Pykälän 1 momentin 2 kohdan mukaan tietosuoja-asetuksen 9 artiklan 1 kohtaa ei sovellettaisi muun muassa tietojen käsittelyyn, josta säädetään laissa tai joka johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä. Pykälän 2 momentissa säädettäisiin asianmukaisista ja erityisistä toimenpiteistä, joita rekisterinpitäjän tai henkilötietojen käsittelijän olisi toteutettava käsitellessään henkilötietoja pykälän 1 momentissa tarkoitetuissa tilanteissa.

Tietosuojalain 7 §:ssä säädettäisiin tietosuoja-asetuksen 10 artiklassa tarkoitettujen rikostuomioihin ja rikkomuksiin liittyvien henkilötietojen käsittelystä. Pykälän 1 momentin 2 kohdan mukaan tietosuoja-asetuksen 10 artiklassa tarkoitettuja henkilötietoja saisi käsitellä muun muassa, jos tietojen käsittelystä säädetään laissa tai tietojen käsittely johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä. Mitä 6 §:n 2 momentissa säädetään toimenpiteistä rekisteröidyn oikeuksien suojaamiseksi, sovellettaisiin myös käsiteltäessä rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja.

Tietosuojalakiesityksessä ehdotetaan lisäksi muutoksia rikoslakiin (39/1889) sekä sakon täytäntöönpanosta annettuun lakiin (672/2002). Rikoslain henkilörekisteririkosta koskeva säännös ehdotetaan korvattavaksi tietosuojarikosta koskevalla rangaistussäännöksellä.

2.2.3 Julkisuuslaki

Julkisuuslailla täsmennetään perustuslain 12 §:n 2 momentissa säädettyä julkisuusperiaatetta. Julkisuuslain 1 §:ssä ilmaistu lähtökohta on, että viranomaisten asiakirjat ovat julkisia, jollei tässä tai muussa laissa erikseen toisin säädetä. Julkisuuslaissa säädetään oikeudesta saada tieto viranomaisten julkisista asiakirjoista, asiakirjojen salassapidosta ja muista tietojen saantia koskevista yleisten ja yksityisten etujen suojaamiseksi välttämättömistä rajoituksista.

Tietosuojalakiehdotuksen 28 §:ään sisältyy henkilötietolakia vastaava viittaussäännös, jonka mukaan oikeudesta saada tieto ja muusta henkilötietojen luovuttamisesta viranomaisen henkilörekisteristä on voimassa, mitä viranomaisten toiminnan julkisuudesta säädetään.

Julkisuuslain tietosuoja-asetuksesta johtuvista mahdollisista muutostarpeista ei ole ollut käytettävissä tietoa hallituksen esitystä valmisteltaessa.

Työ- ja elinkeinoministeriön hallinnonalalla on useita lakeja, joissa säädetään henkilötietojen käsittelystä ja joiden yhdenmukaisuus uuden tietosuojalainsäädännön kanssa on tarpeen tarkistaa. Suuri osa sääntelystä koskee viranomaisten henkilötietojen käsittelyä ja viranomaisten ylläpitämiä lakisääteisiä rekistereitä.

Tässä esityksessä arvioidaan hallinnonalan lainsäädäntöä vain niiden säädösten osalta, joihin on havaittu olevan välttämättömiä muutostarpeita ja joiden osalta arviointia ei ole perusteltua suorittaa muussa yhteydessä. Hallinnonalan lainsäädännön suhdetta tietosuoja-asetukseen on tarkasteltu myös eräiden muiden hankkeiden yhteydessä (hallituksen esitys eduskunnalle julkisten työvoima- ja yrityspalveluiden järjestämistä koskevaksi lainsäädännöksi, HE 62/2018 vp, Työelämän tietosuojalainsäädännön ja yleisen tietosuoja-asetuksen välistä suhdetta selvittävän työryhmän mietintö TEM050:00/2017 ja Siviilipalveluslain muutostarpeita selvittävän työryhmän mietintö, TEM074:00/2017). Tietosuoja-asetuksen sisältämän kansallisen liikkumavaran yksityiskohdat ovat tulkinnanvaraisia, eikä asetuksen soveltamisesta ole vielä käytäntöä. Työ- ja elinkeinoministeriön hallinnonalan henkilötietojen käsittelyä koskevaa lainsäädäntöä tarkistetaan tarvittavilta osin lainsäädäntöä muutoin muutettaessa ja kun sääntelyn muutostarpeista saadaan kansallisia ja EU-tason linjauksia.

Kilpailu- ja kuluttajavirastoa koskevat säännökset ovat Kilpailu- ja kuluttajavirastosta annetussa laissa (661/2012). Lain 1 §:n mukaan kilpailu- ja kuluttajapolitiikan toteuttamista, markkinoiden toimivuuden varmistamista, kilpailulain (948/2011) ja EU:n kilpailusääntöjen täytäntöönpanoa, julkisista hankinnoista ja käyttöoikeussopimuksista annetun lain (1397/2016), jäljempänä hankintalaki, sekä vesi- ja energiahuollon, liikenteen ja postipalvelujen alalla toimivien yksiköiden hankinnoista ja käyttöoikeussopimuksista annetun lain (1398/2016), jäljempänä erityisalojen hankintalaki, noudattamisen valvontaa sekä kuluttajan taloudellisen ja oikeudellisen aseman turvaamista varten on Kilpailu- ja kuluttajavirasto. Lain 2 §:n mukaan Kilpailu- ja kuluttajavirasto muun muassa tekee esityksiä, aloitteita ja huomautuksia kilpailun edistämiseksi ja kilpailua rajoittavien säännösten ja määräysten purkamiseksi, julkisten hankintojen avoimuuden ja syrjimättömyyden edistämiseksi, huolehtii sille kilpailulaissa säädetyistä tehtävistä ja valvoo kilpailulain nojalla tehtyjen päätösten noudattamista, huolehtii sille hankintalaissa sekä erityisalojen hankintalaissa säädetyistä tehtävistä sekä huolehtii muista sille säädetyistä tai määrätyistä tehtävistä.

Kilpailu- ja kuluttajavirastoa koskevassa laissa tai viraston toimintaa ohjaavassa muussa lainsäädännössä ei ole viraston suorittamaa henkilötietojen käsittelyä koskevia erityissäännöksiä eikä siten myöskään tietosuoja-asetuksesta johtuvia muutostarpeita. Viraston tehtävät ovat lakisääteisiä. Virasto käsittelee henkilötietoja pääasiassa lakisääteisten tehtäviensä suorittamiseksi. Henkilötietojen käsittelyn oikeusperusteena on sen lakisääteisten tehtävien osalta tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta.

Kilpailu- ja kuluttajaviraston lakisääteisten tehtävien hoitamiseksi tarpeellinen erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely voitaisiin perustaa tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohtaan ja tietosuojalain 6 §:n 1 momentin 2 kohtaan. Viraston rikostuomioihin, rikkomuksiin tai niihin liittyviin turvaamistoimiin liittyvien henkilötietojen käsittely puolestaan voitaisiin perustaa 10 artiklaan ja tietosuojalain 7 §:n 1 momentin 2 kohtaan. Tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdan mukaan käsittelykiellosta voidaan poiketa, jos käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi. Edellä mainittujen tietosuojalain säännösten nojalla tietojen käsittely, josta säädetään laissa tai joka johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä, on sallittua.

Kilpailu- ja kuluttajaviraston valvontatehtävien tehokkuuden turvaaminen edellyttää, että tietosuoja-asetuksen 15 artiklan mukaisen rekisteröidyn oikeuden tutustua hänestä kerättyihin tietoihin suhde julkisuuslain 24 §:n 1 momentin 15 kohdan nojalla salassa pidettäviin henkilötietoihin ratkaistaan lainsäädännössä yksiselitteisesti. Edellä mainitun julkisuuslain kohdan mukaan asiakirjat, jotka sisältävät tietoja viranomaisen tehtäväksi säädetystä tarkastuksesta tai muusta valvontatoimeen liittyvästä seikasta, jos tiedon antaminen niistä vaarantaisi valvonnan tai sen tarkoituksen toteutumisen tai ilman painavaa syytä olisi omiaan aiheuttamaan vahinkoa asiaan osalliselle, ovat salassa pidettäviä. Rekisteröidyn 15 artiklan mukainen oikeus vaarantaisi Kilpailu- ja kuluttajaviraston lakisääteisen valvonnan tai sen tarkoituksen toteutumisen, jos oikeus kohdistuisi henkilötietoihin, jotka ovat salassa pidettäviä julkisuuslain 24 §:n 1 momentin 15 kohdan nojalla.

Majoitus- ja ravitsemistoiminnasta annettu laki (308/2006), matkapalveluyhdistelmien tarjoajista annettu laki (921/2017), vaarallisten kemikaalien ja räjähteiden käsittelyn turvallisuudesta annettu laki (390/2005), vaatimustenmukaisuuden arviointipalvelujen pätevyyden toteamisesta annettu laki (920/2005), mittauslaitelaki (707/2011), tilintarkastuslaki (1141/2015) ja yrityspalvelujen asiakastietojärjestelmästä annettu laki (293/2017) sisältävät viittaussäännökset henkilötietolakiin. Viittaukset on joko poistettava tarpeettomina tai muutettava vastaamaan tietosuoja-asetusta ja -lakia. Majoitus- ja ravitsemistoiminnasta annetussa laissa on viittaus myös rikoslain henkilörekisteririkosta koskevaan säännökseen, joka on korjattava viittaukseksi tietosuojarikokseen.

Edellä mainittujen lakien henkilötietojen käsittelyn oikeusperusteena on tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta. Lakien henkilötietojen käsittelyä koskevien säännösten voidaan katsoa olevan tietosuoja-asetuksen 6 artiklan liikkumavaran mukaisia ja tietojensaantia ja luovuttamista koskevien säännösten myös 86 artiklan liikkumavaran mukaisia. Rekisterinpitäjät on määritelty laissa. Tilintarkastuslain tilintarkastajan asiakasrekisterin pitämisen ulkoistamista koskeva säännös jättää epäselväksi rekisterinpitäjän vastuun kohdentumisen. Sen kumoaminen on perusteltua ottaen huomioon tietosuoja-asetuksen suoraan sovellettavat säännökset. Lisäksi yrityspalvelujen asiakastietojärjestelmästä annettua lakia on tarpeen täsmentää, jotta rekisterinpitäjän ja henkilötietojen käsittelijän vastuiden kohdentuminen ilmenee laista selkeämmin.

Tilintarkastuslain nojalla käsitellään myös tietosuoja-asetuksen 9 artiklassa tarkoitettuja erityisiin henkilötietoryhmiin kuuluvia ja 10 artiklassa tarkoitettuja rikostuomioita ja rikkomuksia koskevia tietoja. Henkilötietojen käsittely voitaisiin näiltä osin perustaa tilintarkastuslain lisäksi tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohtaan ja 10 artiklaan sekä ehdotetun tietosuojalain 6 §:n 1 momentin 2 kohtaan ja 7 §:n 1 momentin 2 kohtaan. Tilintarkastuslain 8 luvun 6 § ja 9 luvun 1 §:n 2 momentti sisältävät arkaluonteisia henkilötietoja koskevat säännökset. Arkaluonteiset henkilötiedot on määritelty henkilötietolain 11 §:ssä. Säännökset on nykytilan säilyttämiseksi muutettava koskemaan tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuja henkilötietoja ja rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta sekä henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia koskevia henkilötietoja. Rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta ja henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia koskevat henkilötiedot eivät sisälly tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuihin erityisiin henkilötietoryhmiin.

Tilintarkastuslain 6 luvun 9 §:n 6 momentin asetuksenantovaltuuden ei voida sanamuodoltaan katsoa olevan tietosuoja-asetuksen liikkumavaran mukainen siltä osin, kuin se koskee rekisterinpitoa koskevia säännöksiä, joten asetuksenantovaltuutta on tarpeen täsmentää.

Tilintarkastuslaissa säädetään rekisteröidyn tarkastusoikeuden rajoituksesta. Tarkastusoikeutta vastaa tietosuoja-asetuksessa rekisteröidyn 15 artiklan mukainen oikeus saada pääsy tietoihin. Voimassa olevan lain mukainen rajoitus voidaan säilyttää tietosuoja-asetuksen 23 artiklan 1 kohdan g alakohdan liikkumavaran nojalla. Tarkastusoikeuden rajoitusta koskevan säännöksen sanamuoto tulee kuitenkin muuttaa vastaamaan tietosuoja-asetusta ja tietosuojalakia.

Esityksen tavoitteena on tehdä tietosuoja-asetuksesta ja henkilötietojen suojaa koskevan kansallisen lainsäädännön muutoksista johtuvat välttämättömät muutokset eräisiin työ- ja elinkeinoministeriön hallinnonalan henkilötietojen käsittelyä koskeviin lakeihin, joiden osalta muutoksia ei tehdä muussa yhteydessä.

Ehdotetut muutokset ovat pääosin teknisluonteisia ja liittyvät viittauksiin henkilötietolakiin tai rikoslain henkilörekisteririkosta koskevaan säännökseen. Esityksessä ehdotetaan myös rekisterinpitäjän ja henkilötietojen käsittelijän vastuun kohdentumista täsmentävää muutosta yrityspalvelujen asiakastietojärjestelmästä annettuun lakiin. Tilintarkastuslakiin ehdotetaan myös eräitä sisällöllisiä muutoksia tietosuoja-asetuksen vuoksi. Lisäksi esityksessä ehdotetaan muutettavaksi Kilpailu- ja kuluttajavirastosta annettua lakia siten, että laissa säädettäisiin poikkeuksesta tietosuoja-asetuksen sääntelyyn siltä osin kuin se koskee rekisteröidyn oikeutta tutustua hänestä kerättyihin tietoihin.

Tietosuoja-asetus ja osaltaan myös tietosuojalaki aiheuttavat suhteellisen merkittäviä vaikutuksia yhteiskuntaan, viranomaisten toimintaan ja yrityksiin sekä kustannuksia henkilötietoja käsitteleville. Niitä ei kuitenkaan voida pitää tästä esityksestä aiheutuvina vaikutuksina ja kustannuksina eikä niitä sen vuoksi ole tarpeen laajemmin käsitellä tässä yhteydessä. Tietosuoja-asetuksen ja tietosuojalain vaikutuksia on selostettu tietosuojalakiesityksessä. Vaikutukset seuraavat tietosuojalakiesityksessä selostetulla tavalla pääasiassa tietosuoja-asetuksesta.

Rekisteröidyn tietosuoja-asetuksen 15 artiklan mukaisen oikeuden rajoittaminen vaikuttaa rekisteröidyn asemaan. Nykyään henkilötietolain mukaista tarkastusoikeutta Kilpailu- ja kuluttajaviraston kilpailuvastuualueen valvontatehtävien hoitamisen yhteydessä kerättäviin henkilötietoihin ei ole rajoitettu, joten ehdotus muuttaisi nykytilaa. Rajatulla poikkeuksella rekisteröidyn oikeuteen ei arvioida olevan merkittävää vaikutusta rekisteröidyn asemaan ottaen huomioon myös ehdotetut suojatoimet.

Muutoin esityksessä ehdotetut muutokset ovat lähinnä teknisluonteisia täsmennyksiä ja viittaussäännösten muutoksia eikä niillä olisi erityisiä vaikutuksia.

Esitys on valmisteltu työ- ja elinkeinoministeriössä. Esitysluonnos oli kirjallisella lausuntokierroksella 16.4.-28.5.2018. Lausuntoa pyydettiin oikeusministeriöltä, Etelä-Suomen aluehallintovirastolta, Kilpailu- ja kuluttajavirastolta, Tilintarkastusvalvonnalta, tietosuojavaltuutetun toimistolta, Turvallisuus- ja kemikaalivirasto Tukesilta, Kuluttajaliitto – Konsumentförbundet ry:ltä, Suomen matkatoimistoalan liitolta (SMAL) ja Matkailu- ja ravintolapalvelut MaRa ry:ltä.

Lausunnon toimittivat oikeusministeriö, Kilpailu- ja kuluttajavirasto, Patentti- ja rekisterihallitus ja Matkailu- ja ravintolapalvelut MaRa ry. Turvallisuus- ja kemikaalivirasto Tukes ilmoitti, ettei sillä ole lausuttavaa esitysluonnoksesta.

Lausuntopyyntö ja saadut lausunnot on julkaistu työ- ja elinkeinoministeriön internet-sivuilla: (http://tem.fi/hankesivu?tunnus=TEM007:00/2018).

Oikeusministeriö totesi lausunnossaan, että käsittelyn oikeusperustetta tulisi arvioida viranomaisen toiminnan tai tehtävän luonteen perusteella. Oikeusministeriö piti kuitenkin esitysluonnoksessa valittua oikeusperustetta tarkoituksenmukaisena sen sisältämien lakiehdotusten osalta. Tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta soveltuu oikeusministeriön mukaan myös yritysten suorittaman henkilötietojen käsittelyn perusteeksi. Esitysluonnoksen mukaan informatiivisia viittauksia henkilötietolakiin ei ehdotettu korvattavaksi viittauksella tietosuoja-asetukseen ja tietosuojalakiin. Oikeusministeriö totesi lausunnossaan, että perustuslakivaliokunta on aiemmassa käytännössään katsonut, ettei yleissäädöksiin ole tarpeen viitata erityislainsäädännössä, jollei viittaaminen ole tarpeen epäselvyyksien välttämiseksi. Jatkovalmistelussa on katsottu informatiivisuuden vuoksi tarpeelliseksi lisätä viittaus tietosuoja-asetukseen ja tietosuojalakiin silloin, kun säännöksessä viitataan myös julkisuuslakiin.

Oikeusministeriö arvioi Kilpailu- ja kuluttajavirastosta annettuun lakiin ehdotetun rekisteröidyn tarkastusoikeuden rajoituksen olevan tietosuoja-asetuksen 23 artiklan 1 kohdan e ja h alakohdan liikkumavaran mukainen. Oikeusministeriö katsoi, että jatkovalmistelussa olisi syytä tarkentaa tarkastusoikeuden rajoitusta koskevaa pykälää ainakin rekisteröityjen ryhmien tai rekisteröitävien henkilötietojen sekä rekisterinpitäjän osalta.

Tilintarkastuslain osalta oikeusministeriö totesi pitävänsä tärkeänä, että tarkastusoikeuden rajoittamista koskevassa säännöksessä huomioidaan asianmukaiset toimet rekisteröidyn oikeuksien suojaamiseksi esimerkiksi ehdotetulla säännösviittauksella tietosuojalain 34 §:n 2-4 momenttiin.

Oikeusministeriö kiinnitti lausunnossaan huomiota myös tilintarkastuslain eräisiin muihin säännöksiin, jotka eivät sisältyneet lakiehdotuksen luonnokseen. Oikeusministeriö katsoi, että tilintarkastajan asiakasrekisteriä koskevan 4 luvun 9 §:n 2 momentin sanamuotoa olisi hyvä tarkistaa säännöksen selkiyttämiseksi siten, että rekisterinpitäjän ja henkilötietojen käsittelijän vastuut ilmenevät selkeästi. Oikeusministeriön mukaan tilintarkastuslain 6 luvun 9 §:n 6 momentin sisältämä valtioneuvoston asetuksenantovaltuus ei ole rekisterinpidon osalta tietosuoja-asetuksen salliman kansallisen liikkumavaran rajoissa. Oikeusministeriö esitti lisäksi lain 9 luvun 3 §:n 2 momentin 4 kohdan korvaamista informatiivisella viittauksella tietosuoja-asetukseen.

Oikeusministeriö katsoi lausunnossaan, että jatkovalmistelussa olisi syytä arvioida myös yrityspalvelujen asiakastietojärjestelmästä annetun lain 6 ja 9 §:ää. Oikeusministeriön näkemyksen mukaan lain 6 § jättää jossain määrin epäselväksi eri rekisterinpitäjien välisen vastuunjaon erityisesti siltä osin kuin on kyse käytetystä käsitteestä ”tekninen ylläpitäjä”. Oikeusministeriö katsoi, että 6 §:n sanamuotoa voisi olla hyvä selkiyttää käyttämällä tietosuoja-asetuksen mukaista terminologiaa. Oikeusministeriö katsoi, että lain 9 §:n 2 momentti on osin päällekkäinen tietosuoja-asetuksen kanssa, ja piti kyseenalaisena sitä, että tekninen ylläpitäjä voisi poistaa henkilötietoja tilanteessa, jonka tulisi ehkä olla rekisterinpitäjän vastuuseen kuuluva asia.

Oikeusministeriö esitti myös eräitä muita yksityiskohtaisia huomioita lakiehdotuksiin.

Oikeusministeriön esittämät huomiot on pyritty esityksessä ottamaan huomioon. Tilintarkastuslain 9 luvun 3 §:n 2 momentin 4 kohtaa ei kuitenkaan ole katsottu perustelluksi korvata informatiivisella viittauksella.

Patentti- ja rekisterihallituksella ei ollut huomauttamista ehdotuksista.

Kilpailu- ja kuluttajavirasto piti Kilpailu- ja kuluttajavirastosta annettuun lakiin ehdotettua rekisteröidyn oikeuden rajoittamista koskevaa säännöstä ja sen perusteluita kannatettavina. Viraston mukaan säännös on paitsi perusteltu myös välttämätön ja oikeasuhteinen toimenpide tehokkaan kilpailuvalvonnan toteutumisen kannalta. Mikäli rekisteröidyn tarkastusoikeus kohdistuisi henkilötietoihin, jotka ovat salassa pidettäviä julkisuuslain 24 pykälän 1 momentin 15 kohdan nojalla, vaarantaisi se viraston lakisääteisten valvontatehtävien toteutumisen. Virasto katsoi, että lakisääteinen kilpailuvalvonta ja sen tehokas toteutuminen ovat juuri sellaisia yleiseen julkiseen etuun liittyviä tärkeitä tavoitteita, joita tietosuoja-asetuksen 23 artiklan 1 kohdan e ja h alakohdassa tarkoitetaan.

Matkailu- ja ravintolapalvelut MaRa ry. esitti lausunnossaan, että majoitus- ja ravitsemistoiminnasta annetun lain matkustajatietojen säilytysaikaa koskevaa sääntelyä muutettaisiin hallinnollisen taakan ja kustannusten vähentämiseksi ja että 7 §:n perusteluja täsmennettäisiin asiakaspalveluun ja suoramarkkinointiin käytettävien tietojen osalta. Lain soveltamisalaa koskevaan pykälään tulisi lausunnon mukaan lisätä eduskunnan käsiteltävänä oleva tietosuojalaki. Lausunnon johdosta on täsmennetty muutosehdotuksen 7 §:n perusteluja. Matkustajatietojen säilytysaikaa koskevan sääntelyn muuttamista esitetyllä tavalla ei ole ollut mahdollista riittävästi arvioida tässä yhteydessä.

Edellä esitetyn perusteella annetaan eduskunnan hyväksyttäväksi seuraavat lakiehdotukset:

1 luku Kilpailu- ja kuluttajavirastoa koskevat säännökset

7 a §. Rajoitus rekisteröidyn oikeuteen tutustua hänestä kerättyihin tietoihin. Lakiin ehdotetaan lisättäväksi uusi 7 a §, jossa säädettäisiin poikkeus tietosuoja-asetuksen 15 artiklassa säädettyyn rekisteröidyn oikeuteen tutustua hänestä kerättyihin tietoihin. Sen lisäksi, mitä tietosuojalain 34 §:n 1 momentissa säädetään, rekisteröidyllä ei olisi oikeutta tutustua hänestä kerättyihin Kilpailu- ja kuluttajaviraston rekisterissä oleviin tietoihin, joita virasto käsittelee sen hoitaessa kilpailulain, hankintalain tai erityisalojen hankintalain mukaisia valvontatehtäviään, jos tietojen antamatta jättäminen on välttämätöntä julkisuuslain 24 §:n 1 momentin 15 kohdan nojalla valvonnan tai sen tarkoituksen toteutumisen turvaamiseksi.

Kilpailu- ja kuluttajaviraston kilpailuvastuualue käsittelee henkilötietoja hoitaessaan lakisääteisiä valvontatehtäviään. Henkilötietoja käsitellään niin kilpailuvalvonnan, julkisten hankintojen valvonnan, yrityskauppavalvonnan kuin neutraliteettivalvonnankin yhteydessä. Tietosuoja-asetuksen 15 artiklan mukaisen rekisteröidyn oikeuden rajaaminen on tarpeen valvonnan yleisten toteuttamisedellytysten sekä yksittäisten valvontatoimien onnistumisen turvaamiseksi.

Ehdotetun tietosuojalain 34 §:n 1 momentissa säädettäisiin niistä tilanteista, joissa rekisteröidyllä ei ole tietosuoja-asetuksen 15 artiklassa tarkoitettua oikeutta tutustua tietoihin, joita hänestä on kerätty. Pykälän 2—4 momentissa säädettäisiin erityisistä toimenpiteistä, joita tietosuoja-asetuksen 23 artiklan 2 kohdassa edellytetään, kun rekisteröidyn oikeuksia rajoitetaan artiklan 1 kohdan tarkoittamissa tilanteissa. Tietosuojalain 34 §:n 1 momentin 2 kohdan mukaan rekisteröidyllä ei ole tietosuoja-asetuksen 15 artiklassa tarkoitettua oikeutta tutustua tietoihinsa silloin, jos tiedon antamisesta saattaisi aiheutua vakavaa vaaraa jonkun muun oikeuksille. Kohta soveltuu Kilpailu- ja kuluttajaviraston kilpailuvastuualueen valvontatehtäviin muun muassa tilanteessa, jossa rekisteröidyn oikeuden rajoittaminen perustuu tarpeelle suojata ilmiantajan anonymiteetti.

Edelleen ehdotetun tietosuojalain 34 §:n 1 momentin 3 kohdan mukaan rekisteröidyllä ei olisi tietosuoja-asetuksen 15 artiklassa tarkoitettua oikeutta tutustua tietoihinsa silloin, jos rekisterissä olevia henkilötietoja käytetään valvonta- ja tarkastustehtävissä ja tiedon antamatta jättäminen on välttämätöntä Suomen tai EU:n tärkeän taloudellisen tai rahoituksellisen edun turvaamiseksi. Kilpailu- ja kuluttajaviraston lakisääteisten valvontatehtävien ei voida täysin yksiselitteisesti tulkita sisältyvän tietosuojalain 34 §:n 1 momentin 3 kohdan piiriin, minkä vuoksi kansallisen liikkumavaran laajempi käyttö on välttämätöntä. Rekisteröidyn oikeuden rajoittaminen yksinomaan tietosuojalain 34 §:n 1 momentin 2 kohdassa säädetysti ei ole riittävä turvaamaan valvonnan tai sen tarkoituksen täysimääräistä toteutumista.

Kilpailu- ja kuluttajaviraston kilpailuvastuualueen valvontatehtävien tehokkuuden turvaamiseksi on välttämätöntä, että tietosuoja-asetuksen 15 artiklan mukaisen rekisteröidyn oikeuden suhde julkisuuslain 24 §:n 1 momentin 15 kohdan nojalla salassa pidettäviin henkilötietoihin on lainsäädännössä ratkaistu yksiselitteisesti. Edellä mainitun julkisuuslain kohdan mukaan asiakirjat, jotka sisältävät tietoja viranomaisen tehtäväksi säädetystä tarkastuksesta tai muusta valvontatoimeen liittyvästä seikasta, ovat salassa pidettäviä, jos tiedon antaminen niistä vaarantaisi valvonnan tai sen tarkoituksen toteutumisen tai ilman painavaa syytä olisi omiaan aiheuttamaan vahinkoa asiaan osalliselle.

Viraston kilpailuvastuualueen lakisääteisten valvontatehtävien hoitaminen edellyttää tietosuojalain 34 §:ää laajempaa rekisteröidyn oikeuden rajoittamista. Rekisteröidyn tietosuoja-asetuksen 15 artiklassa säädetty oikeus vaarantaisi valvonnan tai sen tarkoituksen toteutumisen, jos rekisteröidyn oikeus kohdistuisi henkilötietoihin, jotka ovat salassa pidettäviä julkisuuslain 24 §:n 1 momentin 15 kohdan nojalla. Esimerkkinä voidaan mainita yllätystarkastuksen valmistelu. Jos tutkinnan kohteena olevan elinkeinonharjoittajan työntekijä, joka on keskeisessä roolissa kilpailulain nojalla kielletyssä toiminnassa, voisi tässä vaiheessa tutkintaa käyttää tietosuoja-asetuksen 15 artiklan mukaista oikeuttaan, julkisuuslain 24 §:n 1 momentin 15 kohdassa ja vakiintuneessa oikeuskäytännössä vahvistettu tutkimusrauha vesittyisi ja tutkinnan onnistuminen vaarantuisi kestämättömällä tavalla. Oikeuden toteuttaminen tässä vaiheessa paljastaisi viraston kiinnostuksen kiellettyä menettelyä kohtaan tutkinnan kohteille tehden viraston jatkotoimet tehottomiksi. Valvonnan tai sen tarkoituksen toteutuminen edellyttää, ettei rekisteröidyn oikeus vaarantaisi julkisuuslain 24 §:n 1 momentin 15 kohdassa turvattuja ja vakiintuneessa oikeuskäytännössä vahvistettuja salassapitoperusteita tutkimusrauhasta, tutkinnallisista syistä ja anonymiteetista.

Julkisuuslain 24 §:n 1 momentin 15 kohta turvaa tarkastus- ja valvontatoiminnan tehokkuutta. Säännöksen tavoitteena on turvata sekä valvonnan yleisiä toteuttamisedellytyksiä että mahdollistaa myös yksittäisten valvontatoimien onnistuminen. Ehdotettu rekisteröidyn oikeuden rajoitus vastaisi julkisuuslain 24 §:n 1 momentin 15 kohdan soveltamisalaa. Rajoitus ei olisi pysyvä, vaan päättyisi, kun perustetta salassapidolle ei julkisuuslain edellä mainitun kohdan nojalla enää olisi. Säännökseen ehdotetaan rajoituksen oikeasuhtaisuuden turvaamiseksi otettavaksi viittaus julkisuuslain 24 §:n 1 momentin 15 kohtaan.

Rajoitus kohdistuisi tyypillisimmin valvontatoimen kohteena olevien tahojen edustajien tai työntekijöiden henkilötietoihin, kuten nimiin, yhteystietoihin ja koulutukseen sekä tietoihin työnantajasta, työtehtävistä, työhistoriasta ja asemasta. Rajaus kattaisi sekä oikeuden saada tietosuoja-asetuksen 15 artiklassa tarkoitetun vahvistuksen että oikeuden saada pääsy henkilötietoihin.

Ehdotettu rajoitus perustuisi tietosuoja-asetuksen 23 artiklan 1 kohdan e ja h alakohtaan. Tietosuoja-asetuksen 23 artiklan 1 kohdan e ja h alakohdan nojalla rekisteröidyn oikeuden soveltamisalaa voidaan rajoittaa, jotta voidaan taata jäsenvaltion yleiseen julkiseen etuun liittyvät tärkeät tavoitteet. Kilpailu- ja kuluttajaviraston kilpailuvastuualueen lakisääteisissä valvontatehtävissä ja EU:n kilpailusääntöjen tehokkaan täytäntöönpanon turvaamisessa on kyse tietosuoja-asetuksen 23 artiklassa tarkoitetusta yleiseen julkiseen etuun liittyvästä tärkeästä tavoitteesta. Jos rekisteröidyn oikeutta ei näissä tilanteissa voitaisi rajoittaa, tulisivat Kilpailu- ja kuluttajaviraston toimintaedellytykset ja mahdollisuudet hoitaa täysimääräisesti ja tehokkaasti lakisääteisiä tehtäviään oleellisesti vaarantumaan.

Tietosuoja-asetuksen 23 artiklan 2 kohdan mukaan rekisteröityjen oikeuksia rajoitettaessa lainsäädäntötoimenpiteiden on sisällettävä tarpeen mukaan erityisiä säännöksiä. Tietosuoja-asetuksen 23 artiklan 2 kohdassa edellytettyinä suojatoimina sovellettaisiin tietosuojalain 34 §:n 2-4 momentissa säädettyjä suojatoimia. Rajoitusta koskevassa säännöksessä määriteltäisiin käsittelyn tarkoitus, rekisterinpitäjä ja rajoituksen soveltamisala. Rajoituksen perusteet ja sisältö annettaisiin tiedoksi rekisteröidylle tietosuoja-asetuksen 13 ja 14 artiklan edellyttämän informoinnin yhteydessä.

1 §. Soveltamisala ja määritelmät. Pykälän 5 momentin viittaus henkilötietolakiin ehdotetaan poistettavaksi. Momenttiin ehdotetaan lisättäväksi informatiivinen viittaus tietosuoja-asetukseen ja tietosuojalakiin.

7 §. Matkustajarekisteri. Pykälän 2 momentin säännöstä, jonka mukaan majoitustoiminnan harjoittaja voi käyttää matkustajatietoja ja matkustajarekisteriä asiakaspalveluun ja suoramarkkinointiin, jollei matkustaja ole käyttänyt henkilötietolain 30 §:ssä tarkoitettua kielto-oikeuttaan, ehdotetaan muutettavaksi siten, että siitä poistetaan viittaus henkilötietolain 30 §:ään. Momenttiin ehdotetaan selvyyden vuoksi lisättäväksi viittaus rekisteröidyn oikeuteen vastustaa henkilötietojen käsittelyä. Säännöksen voidaan katsoa olevan tietosuoja-asetuksen 6 artiklan liikkumavaran mukainen.

Asiakaspalvelua varten tapahtuvan henkilötietojen käsittelyn perustuessa rekisterinpitäjän oikeutettuun etuun on rekisteröidyllä tietosuoja-asetuksen 21 artiklan 1 kohdan nojalla oikeus henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä, kuten profilointia. Rekisterinpitäjä ei saa enää käsitellä henkilötietoja, paitsi jos rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet tai jos se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

Tietosuoja-asetuksen 21 artiklan 2 kohdan mukaan, jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä tällaista markkinointia varten, mukaan lukien profilointia silloin kun se liittyy tällaiseen suoramarkkinointiin. Artiklan 3 kohdan mukaan, jos rekisteröity vastustaa henkilötietojen käsittelyä suoramarkkinointia varten, niitä ei saa enää käsitellä tähän tarkoitukseen.

Saman artiklan 4 kohdan mukaan viimeistään silloin, kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran, 1 ja 2 kohdassa tarkoitettu oikeus on nimenomaisesti saatettava rekisteröidyn tietoon ja esitettävä selkeästi ja muusta tiedotuksesta erillään.

8 §. Matkustajatietojen luovuttaminen poliisille sekä matkustajailmoitusten ja -tietojen säilyttäminen ja hävittäminen. Pykälän 3 momentin mukaan majoitustoiminnan harjoittajan on säilytettävä matkustajailmoitukset ja -tiedot yhden vuoden ajan matkustajailmoituksen allekirjoittamispäivästä, minkä jälkeen ne on hävitettävä. Matkustajarekisterissä olevat matkustajatiedot on säilytettävä yhden vuoden ajan niiden merkitsemisestä, minkä jälkeen ne on hävitettävä. Asiakaspalveluun ja suoramarkkinointiin käytettävien tietojen poistamiseen rekisteristä sovelletaan kuitenkin, mitä henkilötietolain 29 §:ssä säädetään. Mainitussa pykälässä säädetään tiedon korjaamisesta siten, että rekisterinpitäjän on ilman aiheetonta viivytystä oma-aloitteisesti tai rekisteröidyn vaatimuksesta oikaistava, poistettava tai täydennettävä rekisterissä oleva, käsittelyn tarkoituksen kannalta virheellinen, tarpeeton, puutteellinen tai vanhentunut henkilötieto

Säännös, jonka mukaan asiakaspalveluun ja suoramarkkinointiin käytettävien tietojen poistamiseen rekisteristä sovelletaan kuitenkin, mitä henkilötietolain 29 §:ssä säädetään, lisättiin lakiin eduskuntakäsittelyssä (TaVM 1/2006 vp). Koska majoitustoiminnan harjoittajalle saattaa olla tärkeää pitää asiakasrekisteriä, talousvaliokunta täydensi 3 momentin säännöstä siten, että asiakaspalveluun ja suoramarkkinointiin käytettävien tietojen poistamiseen ei sovelleta vuoden määräaikaa, vaan tällaisten tietojen poistamiseen sovelletaan henkilötietolain 29 §:ää.

Henkilötietolain kumoamisen johdosta pykälän 3 momentin viimeisen virkkeen viittaus henkilötietolakiin muutettaisiin viittaukseksi tietosuoja-asetukseen. Tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan mukaan henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (tietojen minimointi). Tietosuoja-asetuksen 25 artiklan 2 kohdassa säädetään rekisterinpitäjän velvollisuudesta toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Rekisteröidyn oikeudesta tietojen poistamiseen säädetään tietosuoja-asetuksen 17 artiklassa.

13 §. Rangaistussäännökset. Pykälän 3 momentin viittaus henkilörekisteririkokseen ehdotetaan muutettavaksi rikoslain muutosehdotusta vastaavasti viittaukseksi tietosuojarikokseen ja viittaus henkilötietolaissa säädettyyn henkilörekisteririkkomukseen poistettavaksi.

16 §. Tietojen luovuttaminen rekisteristä. Pykälässä oleva viittaus henkilötietolain henkilötunnuksen käsittelyä koskevaan 13 §:ään ehdotetaan muutettavaksi viittaukseksi saman sisältöiseen tietosuojalain 29 §:ään.

130 §. Rekisterit. Pykälän 4 momentin sisältämät informatiiviset viittaukset henkilötietolakiin ja julkisuuslakiin ehdotetaan poistettavaksi. Tietosuoja-asetuksen 5 artiklan 1 kohdan c ja d alakohdassa säädetään tietojen minimoinnin ja täsmällisyyden vaatimuksista ja 25 artiklan 2 kohdassa rekisterinpitäjän velvollisuudesta toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Momentin viimeisen virkkeen säännös, jonka mukaan rekisterissä olevat tiedot on tarkastettava ja tarpeettomat tiedot poistettava tarkastuksen yhteydessä, on siten siltä osin, kuin se koskee henkilötietojen käsittelyä, päällekkäinen tietosuoja-asetuksen suoraan sovellettavien säännösten kanssa. Säännöstä ehdotetaan päällekkäisyyden poistamiseksi muutettavaksi siten, että se koskisi muita kuin henkilötietoja. Lisäksi momenttiin ehdotetaan selvyyden vuoksi lisättäväksi informatiivinen säännös, jonka mukaan rekisterinpitäjän velvollisuuksista henkilötietojen käsittelyssä säädetään erikseen.

Muutoin pykälä vastaisi voimassa olevaa lakia.

11 §. Rekisterit. Pykälän 2 momentti, joka sisältää informatiiviset viittaukset henkilötietolakiin ja julkisuuslakiin, ehdotetaan kumottavaksi.

53 §. Rekisterit. Pykälän 2 momentti, joka sisältää informatiiviset viittaukset henkilötietolakiin ja julkisuuslakiin, ehdotetaan kumottavaksi.

4 luku Tilintarkastajaa koskevat muut säännökset

9 §. Asiakasrekisteri. Tilintarkastajan on 9 §:n 1 momentin mukaan pidettävä asiakasrekisteriä. Tilintarkastajan asiakasrekisteriä koskevan pykälän 2 momentin mukaan tilintarkastaja voi ulkoistaa asiakasrekisterin pitämisen toisen tilintarkastajan tehtäväksi. Vastuu asiakasrekisterin asianmukaisuudesta on aina asiakkaan tilintarkastajalla. Momentti ehdotetaan kumottavaksi. Voimassa oleva säännös jättää epäselväksi tietosuoja-asetuksen mukaisen rekisterinpitäjän vastuun kohdentumisen. Rekisterinpitäjän vastuun ulkoistaminen ei tietosuoja-asetuksen nojalla ole mahdollista.

Voimassa olevan pykälän esitöiden (HE 70/2016 vp) mukaan mahdollisuus asiakasrekisterin ulkoistamiseen voi olla tarpeen esimerkiksi silloin, kun tilintarkastusyhteisössä työskentelevä tilintarkastaja hoitaa tilintarkastusyhteisön toimeksiantojen lisäksi tilintarkastuksia, joihin hänet henkilökohtaisesti on valittu tilintarkastajaksi. Esitöiden mukaan ei ole perusteltua edellyttää tilintarkastajalta investointeja asiakasrekisteriin, jos hän voi hoitaa asian tehokkaasti ulkoistamalla sen pitämisen tilintarkastusyhteisölle. Momentin kumoamisesta huolimatta tilintarkastaja voisi edelleen ulkoistaa rekisterinpitoon liittyvät tehtävät. Eri tilanteista ei ole tarkoituksenmukaista säätää yksityiskohtaisesti laissa, vaan tilanteita arvioitaisiin henkilötietojen käsittelyyn liittyvien vastuiden osalta tietosuoja-asetuksen nojalla. Rekisterinpitoon soveltuvat tietosuoja-asetuksen suoraan sovellettavat säännökset mukaan lukien rekisterinpitäjää, rekisterinpitäjän vastuuta, yhteisrekisterinpitoa ja henkilötietojen käsittelijää koskevat säännökset.

Tietosuoja-asetuksen 4 artiklan 7 kohdan mukaan rekisterinpitäjällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.

Tietosuoja-asetuksessa mahdollistetaan myös useamman elimen yhteisrekisterinpitäjyys. Tietosuoja-asetuksen 26 artiklan mukaan, jos vähintään kaksi rekisterinpitäjää määrittää yhdessä käsittelyn tarkoitukset ja keinot, ne ovat yhteisrekisterinpitäjiä. Ne määrittelevät keskinäisellä järjestelyllä läpinäkyvällä tavalla kunkin vastuualueen tässä asetuksessa vahvistettujen velvoitteiden noudattamiseksi, erityisesti rekisteröityjen oikeuksien käytön ja 13 ja 14 artiklan mukaisten tietojen toimittamista koskevien tehtäviensä osalta.

Myös henkilötietojen käsittelyyn liittyvien tehtävien ulkoistaminen henkilötietojen käsittelijälle, joka käsittelee henkilötietoja rekisterinpitäjän lukuun, on mahdollista suoraan tietosuoja-asetuksen nojalla. Tällaisissa tilanteissa on noudatettava tietosuoja-asetuksen 28 artiklaa.

13 §. Epäilyksistä ilmoittaminen. Pykälän 1 momentin mukaan tilintarkastajan on järjestettävä palveluksessaan oleville henkilöille sisäinen menettely, jolla varmistetaan, että kyseiset henkilöt voivat nimettömästi ilmoittaa tilintarkastusta koskevan sääntelyn rikkomisepäilyistään.

Pykälän 2 momentissa oleva viittaus henkilötietolakiin ehdotetaan poistettavaksi.

Voimassa olevan pykälän 4 momentissa säädetään rekisteröidyn tarkastusoikeuden rajoituksesta rikkomisepäilyjä koskevan ilmoitusmenettelyn osalta. Säännöksen mukaan sen lisäksi, mitä henkilötietolaissa säädetään, edellä 1 momentissa tarkoitetun ilmoituksen kohteena olevalla ei ole tarkastusoikeutta 1 ja 2 momentissa tarkoitettuihin tietoihin, jos tietojen antaminen voisi haitata epäiltyjen rikkomisten selvittämistä. Ilmoituksen kohteena olevan oikeuksista säädetään henkilötietolaissa.

Tietosuojalain 34 §:ssä säädettäisiin niistä edellytyksistä, joilla rekisteröidyn oikeutta tutustua hänestä kerättyihin tietoihin voitaisiin rajoittaa. Vastaavista rekisteröidyn tarkastusoikeuden rajoituksista on säädetty henkilötietolain 27 §:ssä.

Tietosuoja-asetuksen 23 artiklan mukaan jäsenvaltiot voivat lainsäädännöllisillä toimenpiteillä rajoittaa muun muassa 15 artiklassa säädettyä rekisteröidyn oikeutta tutustua tietoihin, joita hänestä on kerätty, jos se on välttämätöntä ja oikeasuhtaista artiklan 1 kohdassa mainittujen seikkojen varmistamiseksi. Voimassa olevan lain mukainen rajoitus voidaan säilyttää tietosuoja-asetuksen 23 artiklan 1 kohdan g alakohdan liikkumavaran nojalla. Tietosuoja-asetuksen 23 artiklan 2 kohdassa säädetään niistä asioista, joista tulisi tarpeen mukaan säätää rekisteröidyn oikeuksia rajoitettaessa.

Pykälän 4 momentin ensimmäisen virkkeen sanamuoto ehdotetaan muutettavaksi vastaamaan tietosuoja-asetusta ja tietosuojalakia. Ilmoituksen kohteena olevalla ei sen lisäksi, mitä tietosuojalain 34 §:n 1 momentissa säädetään, olisi tietosuoja-asetuksen 15 artiklassa tarkoitettua rekisteröidyn oikeutta tutustua hänestä kerättyihin 1 ja 2 momentissa tarkoitettuihin tietoihin, jos tietojen antaminen voisi haitata epäiltyjen rikkomisten selvittämistä. Rajoitettaessa rekisteröidyn oikeutta olisi noudatettava, mitä tietosuojalain 34 §:n 2—4 momentissa säädetään, mikä vastaisi tietosuoja-asetuksen 23 artiklan 2 kohtaa.

Pykälän 4 momentin jälkimmäinen virke ehdotetaan poistettavaksi. Rekisteröidyn oikeuksista säädetään tietosuoja-asetuksessa.

Muutokset olisivat pääasiassa teknisluonteisia eikä tarkoituksena ole muuttaa oikeustilaa lukuun ottamatta viittausta rekisteröidyn oikeutta rajoitettaessa sovellettaviin tietosuojalain mukaisiin suojatoimiin, joista ei nykyisin ole säädetty.

6 luku Hyväksyminen ja rekisteröinti

9 §. Tilintarkastajarekisteri. Pykälän 6 momenttia ehdotetaan muutettavaksi siten, että rekisterinpitoa koskevien tarkempien säännösten sijasta valtioneuvoston asetuksella voitaisiin antaa tarkempia säännöksiä rekisteri-ilmoituksista ja rekisterimerkinnöistä. Asetuksenantovaltuuden sanamuoto ei ole rekisterinpitoa koskevien säännösten osalta tietosuoja-asetukseen sisältyvän kansallisen liikkumavaran mukainen. Muutos olisi teknisluonteinen. Siirtymäsäännöksellä säädettäisiin, että kyseisen lainkohdan nojalla osittain annettu tilintarkastuksesta annettu valtioneuvoston asetus (1377/2015) jäisi voimaan myös siltä osin kuin se on annettu muutettavan kohdan nojalla.

8 luku Valvontavaltuudet

6 §. Tietojen saaminen muilta viranomaisilta. Pykälän viimeisen virkkeen arkaluonteisia tietoja koskeva säännös ehdotetaan nykytilan säilyttämiseksi muutettavaksi koskemaan tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuja erityisiin henkilötietoryhmiin kuuluvia henkilötietoja ja rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta sekä henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia koskevia henkilötietoja.

9 luku Tietojen luovuttaminen ja viranomaisyhteistyö

1 §. Oikeus tietojen luovuttamiseen. Pykälän 2 momentin arkaluonteisia tietoja koskeva säännös ehdotetaan nykytilan säilyttämiseksi muutettavaksi koskemaan tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuja erityisiin henkilötietoryhmiin kuuluvia henkilötietoja ja rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta sekä henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia koskevia henkilötietoja.

3 §. Kansainvälinen valvontayhteistyö. Pykälän 2 momentin 4 kohdan viittaus henkilötietolakiin ehdotetaan korvattavaksi viittauksella tietosuoja-asetukseen.

2 §. Lain soveltamisala. Pykälän 2 momentin viittaus henkilötietolakiin ehdotetaan poistettavaksi. Momenttiin ehdotetaan lisättäväksi informatiivinen viittaus tietosuoja-asetukseen ja tietosuojalakiin.

6 §. Asiakastietojärjestelmän tekninen ylläpitäjä ja rekisterinpitäjät. Voimassa olevassa pykälässä säädetään asiakastietojärjestelmän teknisestä ylläpitäjästä ja rekisterinpitäjistä sekä niiden vastuista. Tekniseksi ylläpitäjäksi on määritelty työ- ja elinkeinoministeriö. Pykälää ehdotetaan täsmennettäväksi siten, että siitä ilmenee työ- ja elinkeinoministeriön asema henkilötietojen käsittelijänä. Tietosuoja-asetuksessa ei ole määritelty teknistä ylläpitäjää, ja pykälän 1 momentissa tekniselle ylläpitäjälle säädetyt tehtävät ovat tietosuoja-asetuksen mukaan osittain rekisterinpitäjän vastuulle kuuluvia tehtäviä. Säännöksen sanamuodosta ei siten selkeästi ilmene teknisen ylläpitäjän asema tietosuoja-asetuksessa tarkoitettuna henkilötietojen käsittelijänä.

Työ- ja elinkeinoministeriötä ei ole perusteltua nimetä rekisterinpitäjäksi, koska sen vastuulle kuuluu rekisterinpitäjän tehtävistä vain pieni osa. Tietosuojavaltuutetun toimiston lainsäädäntölausuntoja varten antamassa ohjeessa (16.10.2017) korostetaan, että rekisterinpitäjän vastuun on oltava osa toiminnallista vastuuta. Kun rekisterinpitäjästä säädetään laissa, tulee määrittelyyn suhtautua erityisen tarkkaavaisesti ja varmistua siitä, että vastuu kohdentuu oikealle taholle. Ohjeen mukaan rekisterinpitäjän määrittelyn riskinä on, että rekisterinpitäjä on määritelty vain muodollisesti ja ilman, että toimijan tosiasiallista roolia henkilötietojen käsittelyssä käytännön tasolla on tunnistettu. Ohjeen mukaan rekisterinpitäjäksi tulee osoittaa sellainen taho, joka tosiasiallisesti käyttää rekisterinpitäjälle kuuluvaa määräysvaltaa ja voi toteuttaa rekisterinpitäjälle kuuluvat velvoitteet.

Pykälän 2 momentin sanamuotoa ehdotetaan täsmennettäväksi siten, että rekisterinpitäjän vastuu sekä oikeus luovuttaa tietoja koskisi rekisterinpitäjän tallettamia tietoja.

Rekisterinpitäjän vastuu määräytyy tietosuoja-asetuksen mukaisesti.

Muutos olisi terminologinen eikä sillä olisi sisällöllistä vaikutusta teknisen ylläpitäjän ja lain 4 §:n 1 momentissa tarkoitettujen tahojen voimassa olevan lain mukaiseen vastuunjakoon.

Muutoin pykälä vastaisi voimassa olevaa lakia.

9 §. Tietojen poistaminen. Voimassa olevan pykälän 2 momentin mukaan teknisellä ylläpitäjällä on oikeus poistaa asiakastietoja, jos ne ovat vanhentuneita tai jos poistaminen on tarpeen asiakastietojärjestelmän teknisen toimivuuden varmistamiseksi. Momentti ehdotetaan kumottavaksi. Momentti on osin päällekkäinen tietosuoja-asetuksen 5 artiklan 1 kohdan d alakohdan täsmällisyysvaatimuksen, joka edellyttää käsittelyn tarkoituksiin nähden epätarkkojen ja virheellisten henkilötietojen poistamista viipymättä, kanssa. Tietojen poistamisen tulisi kuulua rekiterinpitäjän vastuulle.

Lait on tarkoitettu tulemaan voimaan mahdollisimman pian.

Lakiehdotukseen 7 sisältyvällä siirtymäsäännöksellä selvennettäisiin, että tilintarkastuksesta annettu valtioneuvoston asetus jäisi voimaan myös siltä osin kuin se on annettu tilintarkastuslain muutettavaksi ehdotetun 6 luvun 9 §:n 6 momentin nojalla. Valtuussäännöksen täsmentäminen on tarkoitettu vain teknisluonteiseksi muutokseksi, joten muutos ei vaikuttaisi asetuksen säännösten voimassaoloon, vaikka asetuksen säännökset on osittain annettu muutettavaksi ehdotetun valtuussäännöksen nojalla.

Perustuslain 10 §:n 1 momentin mukaan jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Saman lainkohdan mukaan henkilötietojen suojasta säädetään tarkemmin lailla.

Perustuslakivaliokunta on tietosuoja-asetukseen liittyen pitänyt tärkeänä, että valtioneuvoston piirissä kartoitetaan myös erityislainsäädännön tarpeellisuuteen ja alaan liittyviä kysymyksiä (PeVL 38/2016 vp).

Perustuslakivaliokunta on pitänyt tärkeänä, että siltä osin kuin EU:n lainsäädäntö edellyttää kansallista sääntelyä tai mahdollistaa sen, tätä kansallista liikkumavaraa käytettäessä otetaan huomioon perus- ja ihmisoikeuksista seuraavat vaatimukset (PeVL 14/2018 vp). Valiokunta on painottanut, että hallituksen esityksessä on erityisesti perusoikeuksien kannalta merkityksellisen sääntelyn osalta syytä tehdä selkoa kansallisen liikkumavaran alasta.

Perustuslakivaliokunta on katsonut (PeVL 14/2018 vp) tietosuoja-asetuksen soveltamisen alkamisen johdosta olevan perusteltua tarkistaa aiempaa kantaansa henkilötietojen suojan kannalta tärkeistä sääntelykohteista. Valiokunnan mielestä tietosuoja-asetuksen yksityiskohtainen sääntely, jota tulkitaan ja sovelletaan EU:n perusoikeuskirjassa turvattujen oikeuksien mukaisesti, muodostaa yleensä riittävän säännöspohjan myös perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Valiokunnan käsityksen mukaan tietosuoja-asetuksen sääntely vastaa asianmukaisesti tulkittuna ja sovellettuna myös Euroopan ihmisoikeussopimuksen mukaan määräytyvää henkilötietojen suojan tasoa. Näin ollen erityislainsäädäntöön ei ole tietosuoja-asetuksen soveltamisalalla enää valtiosääntöisistä syistä välttämätöntä sisällyttää kattavaa ja yksityiskohtaista sääntelyä henkilötietojen käsittelystä. Perustuslakivaliokunnan mielestä henkilötietojen suoja tulee jatkossa turvata ensisijaisesti tietosuoja-asetuksen ja säädettävän kansallisen yleislainsäädännön nojalla.

Perustuslakivaliokunnan mielestä (PeVL 14/2018 vp) lähtökohtaisesti riittävää on, että henkilötietojen suojaa ja käsittelyä koskeva sääntely on yhteensopivaa tietosuoja-asetuksen kanssa. Valiokunnan käsityksen mukaan tietosuoja-asetuksen yksityiskohtainen sääntely mahdollistaa myös viranomaistoiminnan sääntelyn osalta nykyistä kansallista sääntelymallia huomattavasti yleisemmän, henkilötietojen suojaa ja käsittelyn perusteita sääntelevän lakitasoisen sääntelyn. Valiokunta on arvioinut nykyisen henkilötietojen sääntelymallin varsin raskaaksi ja monimutkaiseksi ja viitannut siihen, että valiokunnan käytännön mukaan sääntelyn selkeyteen on syytä kiinnittää erityistä huomiota perusoikeuskytkentäisessä sääntelyssä, joka koskee luonnollisia henkilöitä heidän tavanomaiseen elämäänsä kuuluvissa toiminnoissa (ks. PeVL 31/2017 vp, PeVL 45/2016 vp, s. 3 ja PeVL 41/2006 vp, s. 4/II). Myös sääntelyn selkeyden vuoksi kansallisen erityislainsäädännön säätämiseen tulee jatkossa suhtautua pidättyvästi ja rajata sellaisen säätäminen vain välttämättömään tietosuoja-asetuksen antaman kansallisen liikkumavaran puitteissa.

Perustuslakivaliokunnan mielestä (PeVL 14/2018 vp) on kuitenkin selvää, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksenkin edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Tällä seikalla on erityistä merkitystä arkaluonteisten tietojen käsittelyn kohdalla.

Tietosuoja-asetuksen 23 artiklassa annetaan jäsenvaltioille kansallista liikkumavaraa rekisteröidyn oikeuksien soveltamisalan suhteen. Jäsenvaltion lainsäädännössä voidaan lainsäädäntötoimenpiteillä rajoittaa asetuksen 12—22 artiklassa, 34 artiklassa ja 5 artiklassa säädettyjen velvollisuuksien ja oikeuksien soveltamisalaa, jos rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata jokin 23 artiklassa säädetty oikeushyvä. Yksi peruste rajoitukselle on 23 artiklan 1 kohdan e alakohdan mukaan, että rajoituksella voidaan taata jäsenvaltion yleiseen julkiseen etuun liittyvät tärkeät tavoitteet. Tällainen tavoite on muun muassa jäsenvaltiolle tärkeä taloudellinen tai rahoituksellinen etu. Artiklan 1 kohdan h alakohdassa rajoittamisen mahdollisena perusteena mainitaan valvonta-, tarkastus- tai sääntelytehtävä, joka satunnaisestikin liittyy julkisen vallan käyttöön a—e ja g alakohdassa tarkoitetuissa tapauksissa.

Esityksessä ehdotetaan säännöstä, jolla rajoitettaisiin rekisteröidyn tietosuoja-asetuksen 15 artiklan mukaista oikeutta Kilpailu- ja kuluttajaviraston valvontatehtävien yhteydessä keräämiin henkilötietoihin. Rajoitusta on pidettävä välttämättömänä ja oikeasuhtaisena toimenpiteenä viraston valvontatehtävien hoidon edellytysten turvaamiseksi. Lain tasoisella tarkkarajaisella rajoituksella ei puututtaisi rekisteröidyn oikeuteen enempää kuin on välttämätöntä ja sovellettavaksi tulisivat rekisteröidyn oikeuksien turvaamiseksi tarpeelliset suojatoimet. Rajoitusta voidaan siten pitää suhteellisuusperiaatteen mukaisena. Rajoituksella ei puututtaisi rekisteröidyn henkilötietojen suojan ydinalueeseen. Suojatoimenpiteistä ehdotetaan säädettäväksi viittaamalla tietosuojalain rekisteröidyn oikeuksien rajoittamista koskevaan säännökseen sisältyviin suojatoimenpiteisiin.

Esityksessä ehdotetaan tilintarkastuslain 6 luvun 9 §:n 6 momentin asetuksenantovaltuuden täsmentämistä. Asetuksenantovaltuuden muutos olisi teknisluonteinen. Asetuksenantovaltuuden nojalla voitaisiin antaa tarkempia säännöksiä rekisteri-ilmoituksista ja rekisterimerkinnöistä sekä rekisteriin merkittävistä muista tiedoista kuin henkilötiedoista. Ne eivät koskisi sillä tavalla yksilöiden oikeuksia tai velvollisuuksia, että niistä olisi säädettävä lailla. Asetuksenantovaltuus on tarkkarajaisempi ja täsmällisempi kuin voimassa olevan lain mukainen asetuksenantovaltuus. Asetuksenantovaltuuden katsotaan täyttävän perustuslain 80 §:ssä säädetyt vaatimukset. Muutoin muutokset ovat pääosin täsmennyksiä voimassa olevaan lainsäädäntöön ja teknisluonteisia viittaussäännösten muutoksia eikä niillä siten ole erityistä merkitystä henkilötietojen suojan kannalta.

Edellä mainituilla perusteilla lakiehdotukset voidaan käsitellä tavallisessa lainsäätämisjärjestyksessä.

Lakiehdotukset

1.

Eduskunnan päätöksen mukaisesti

lisätään Kilpailu- ja kuluttajavirastosta annettuun lakiin (661/2012) uusi 7 a § seuraavasti:

1 luku

Kilpailu- ja kuluttajavirastoa koskevat säännökset

7 a §
Rajoitus rekisteröidyn oikeuteen tutustua hänestä kerättyihin tietoihin

Sen lisäksi, mitä tietosuojalain ( / ) 34 §:n 1 momentissa säädetään, rekisteröidyllä ei ole luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 15 artiklassa tarkoitettua oikeutta tutustua hänestä kerättyihin Kilpailu- ja kuluttajaviraston rekisterissä oleviin tietoihin, joita virasto käsittelee sen hoitaessa kilpailulain, hankintalain tai erityisalojen hankintalain mukaisia valvontatehtäviään, jos tietojen antamatta jättäminen on välttämätöntä viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 24 §:n 1 momentin 15 kohdan nojalla valvonnan tai sen tarkoituksen toteutumisen turvaamiseksi.

Rajoitettaessa rekisteröidyn oikeutta 1 momentin nojalla on noudatettava, mitä tietosuojalain 34 §:n 2—4 momentissa säädetään.

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

2.

Eduskunnan päätöksen mukaisesti

muutetaan majoitus- ja ravitsemistoiminnasta annetun lain (308/2006) 1 §:n 5 momentti, 7 §:n 2 momentti, 8 §:n 3 momentti ja 13 §:n 3 momentti,

sellaisena kuin niistä on 13 §:n 3 momentti laissa 1103/2017, seuraavasti:

1 §
Soveltamisala ja määritelmät

---

Henkilötietojen salassapitoon ja luovuttamiseen sovelletaan viranomaisten toiminnan julkisuudesta annettua lakia (621/1999), jollei tässä laissa toisin säädetä. Henkilötietojen käsittelystä säädetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, ja tietosuojalaissa ( / ).

---

7 §
Matkustajarekisteri

---

Majoitustoiminnan harjoittaja voi käyttää matkustajatietoja ja matkustajarekisteriä asiakaspalveluun ja suoramarkkinointiin. Rekisteröidyn oikeudesta vastustaa henkilötietojen käsittelyä säädetään tietosuoja-asetuksessa.

8 §
Matkustajatietojen luovuttaminen poliisille sekä matkustajailmoitusten ja -tietojen säilyttäminen ja hävittäminen

---

Majoitustoiminnan harjoittajan on säilytettävä matkustajailmoitukset ja -tiedot yhden vuoden ajan matkustajailmoituksen allekirjoittamispäivästä, minkä jälkeen ne on hävitettävä. Matkustajarekisterissä olevat matkustajatiedot on säilytettävä yhden vuoden ajan niiden merkitsemisestä, minkä jälkeen ne on hävitettävä. Asiakaspalveluun ja suoramarkkinointiin käytettävien tietojen poistamiseen rekisteristä sovelletaan kuitenkin, mitä tietosuoja-asetuksessa säädetään.

13 §
Rangaistussäännökset

---

Rangaistus tietosuojarikoksesta säädetään rikoslain 38 luvun 9 §:ssä.

---

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

3.

Eduskunnan päätöksen mukaisesti

muutetaan matkapalveluyhdistelmien tarjoajista annetun lain (921/2017) 16 § seuraavasti:

16 §
Tietojen luovuttaminen rekisteristä

Sen estämättä, mitä viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 16 §:n 3 momentissa säädetään, rekisteristä saa luovuttaa henkilötietoja tulosteena tai saattaa ne yleisesti saataville sähköisen tietoverkon kautta tai luovuttaa ne muutoin sähköisessä muodossa. Tieto henkilötunnuksesta saadaan kuitenkin luovuttaa tämän lain nojalla vain, jos tieto annetaan tulosteena tai teknisenä tallenteena ja jos luovutuksensaajalla on oikeus henkilötunnuksen käsittelyyn tietosuojalain ( / ) 29 §:n tai muun lain nojalla.

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

4.

Eduskunnan päätöksen mukaisesti

muutetaan vaarallisten kemikaalien ja räjähteiden käsittelyn turvallisuudesta annetun lain (390/2005) 130 §:n 4 momentti, sellaisena kuin se on laissa 358/2015, seuraavasti:

130 §
Rekisterit

---

Tietojen luovuttamiseen sovelletaan, mitä siitä muualla laissa säädetään. Rekisterissä olevat muut kuin henkilötiedot on tarkastettava ja tarpeettomat tiedot poistettava tarkastuksen yhteydessä. Rekisterinpitäjän velvollisuuksista henkilötietojen käsittelyssä säädetään erikseen.

---

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

5.

Eduskunnan päätöksen mukaisesti säädetään:

1 §

Tällä lailla kumotaan vaatimustenmukaisuuden arviointipalvelujen pätevyyden toteamisesta annetun lain (920/2005) 11 §:n 2 momentti.

2 §

Tämä laki tulee voimaan päivänä kuuta 20 .

---

6.

Eduskunnan päätöksen mukaisesti säädetään:

1 §

Tällä lailla kumotaan mittauslaitelain (707/2011) 53 §:n 2 momentti.

2 §

Tämä laki tulee voimaan päivänä kuuta 20 .

---

7.

Eduskunnan päätöksen mukaisesti

kumotaan tilintarkastuslain (1141/2015) 4 luvun 9 §:n 2 momentti, sellaisena kuin se on laissa 622/2016, sekä

muutetaan 4 luvun 13 §:n 2 ja 4 momentti, 6 luvun 9 §:n 6 momentti, 8 luvun 6 § ja 9 luvun 1 §:n 2 momentti ja 3 §:n 2 momentin 4 kohta,

sellaisina kuin niistä ovat 4 luvun 13 §:n 2 ja 4 momentti, 6 luvun 9 §:n 6 momentti ja 9 luvun 3 §:n 2 momentin 4 kohta laissa 622/2016, seuraavasti:

4 luku

Tilintarkastajaa koskevat muut säännökset

13 §
Epäilyksistä ilmoittaminen

---

Ilmoitusmenettelyn tulee sisältää toimenpiteet, joilla suojataan ilmoituksen tekijää ja turvataan ilmoituksen tekijän ja ilmoituksen kohteena olevan henkilötietojen suoja. Ilmoitusmenettelyn tulee lisäksi sisältää ohjeet, joilla turvataan ilmoituksen tekijän henkilöllisyyden suoja, jollei rikkomuksen selvittämiseksi tai muuten viranomaisen oikeudesta tietojen saamiseen laissa toisin säädetä.

---

Sen lisäksi, mitä tietosuojalain ( / ) 34 §:n 1 momentissa säädetään, 1 momentissa tarkoitetun ilmoituksen kohteena olevalla ei ole luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, 15 artiklassa tarkoitettua rekisteröidyn oikeutta tutustua hänestä kerättyihin 1 ja 2 momentissa tarkoitettuihin tietoihin, jos tietojen antaminen voisi haitata epäiltyjen rikkomisten selvittämistä. Rajoitettaessa rekisteröidyn oikeutta on noudatettava, mitä tietosuojalain 34 §:n 2—4 momentissa säädetään.

---

6 luku

Hyväksyminen ja rekisteröinti

9 §
Tilintarkastajarekisteri

---

Rekisteri-ilmoituksista ja rekisterimerkinnöistä sekä rekisteriin merkittävistä muista tiedoista kuin henkilötiedoista voidaan antaa tarkempia säännöksiä valtioneuvoston asetuksella.

8 luku

Valvontavaltuudet

6 §
Tietojen saaminen muilta viranomaisilta

Tilintarkastusvalvonnalla on oikeus salassapitosäännösten ja muiden tiedonsaantia koskevien rajoitusten estämättä pyynnöstä saada viranomaiselta ja muulta julkista tehtävää hoitavalta tässä laissa säädettyä valvontaa varten välttämättömät tiedot. Tietoja saa hakea teknisen käyttöyhteyden avulla ilman sen suostumusta, jonka etujen suojaamiseksi salassapitovelvollisuudesta on säädetty. Mitä edellä säädetään ei kuitenkaan koske tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuja erityisiin henkilötietoryhmiin kuuluvia henkilötietoja ja rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta sekä henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia koskevia henkilötietoja.

9 luku

Tietojen luovuttaminen ja viranomaisyhteistyö

1 §
Oikeus tietojen luovuttamiseen

---

Mitä edellä 1 momentissa säädetään ei kuitenkaan koske tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuja erityisiin henkilötietoryhmiin kuuluvia henkilötietoja ja rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta sekä henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia koskevia henkilötietoja.

3 §
Kansainvälinen valvontayhteistyö

---

Mitä 1 momentissa säädetään, koskee myös valvonnan kannalta tarpeellisten asiakirjojen toimittamista muun kuin ETA-valtion valvojalle, joka kotimaassaan lain nojalla hoitaa vastaavia tehtäviä, jos:

---

4) tietojen vaihdossa noudatetaan tietosuoja-asetusta.

---

---

Tämä laki tulee voimaan päivänä kuuta 20 .

Tilintarkastuksesta annettu valtioneuvoston asetus (1377/2015) jää voimaan myös siltä osin kuin se on annettu tällä lailla muutetun 6 luvun 9 §:n 6 momentin nojalla.

---

8.

Eduskunnan päätöksen mukaisesti

kumotaan yrityspalvelujen asiakastietojärjestelmästä annetun lain (293/2017) 9 §:n 2 momentti sekä

muutetaan 2 §:n 2 momentti ja 6 § seuraavasti:

2 §
Lain soveltamisala

---

Jollei laissa toisin säädetä, yrityspalvelujen asiakastietojärjestelmään sekä siihen talletettujen tietojen julkisuuteen sovelletaan viranomaisten toiminnan julkisuudesta annettua lakia (621/1999) ja valtion erityisrahoitusyhtiöstä annetun lain (443/1998) 5 ja 6 §:ää. Henkilötietojen käsittelystä säädetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus) ja tietosuojalaissa ( / ).

---

6 §
Asiakastietojärjestelmän tekninen ylläpitäjä ja rekisterinpitäjät

Työ- ja elinkeinoministeriö vastaa teknisenä ylläpitäjänä ja henkilötietojen käsittelijänä asiakastietojärjestelmän yleisestä toiminnasta sekä teknisestä käyttöyhteydestä tietojen tallettamista, yhdistämistä, luovuttamista ja muuta käsittelyä varten. Tekninen ylläpitäjä vastaa tietojärjestelmän käytettävyydestä sekä siihen sisältyvien tietojen eheydestä, suojaamisesta ja säilyttämisestä. Teknisellä ylläpitäjällä ei ole oikeutta määrätä tietojärjestelmään talletetuista tiedoista eikä luovuttaa niitä, ellei laissa toisin säädetä.

Asiakastietojärjestelmään tietoja tallettavat 4 §:n 1 momentissa tarkoitetut tahot toimivat talletetun tiedon rekisterinpitäjinä tallettamiensa tietojen osalta sekä päättävät tallettamiensa tietojen luovuttamisesta asiakastietojärjestelmän kautta. Asiakastietojärjestelmään tietoja tallettanut taho vastaa tietojen oikeellisuudesta ja ajantasaisuudesta.

---

Tämä laki tulee voimaan päivänä 20 .

---

Helsingissä 13 päivänä heinäkuuta 2018

Pääministeri
Juha Sipilä

Työministeri
Jari Lindström