Edilex-palvelut

Kirjaudu sisään

Siirry mietintöön

Puutteelliset hakuehdot

TaVM 15 /2018 vp - HE 98/2018 vp
Talousvaliokunta
Hallituksen esitys eduskunnalle työ- ja elinkeinoministeriön hallinnonalan henkilötietojen käsittelyä koskevan lainsäädännön muuttamiseksi

JOHDANTO

Vireilletulo

Hallituksen esitys eduskunnalle työ- ja elinkeinoministeriön hallinnonalan henkilötietojen käsittelyä koskevan lainsäädännön muuttamiseksi ( HE 98/2018 vp ): Asia on saapunut talousvaliokuntaan mietinnön antamista varten.

Asiantuntijat

Valiokunta on kuullut:

  • erityisasiantuntija Johanna Ylitepsa - työ- ja elinkeinoministeriö
  • erityisasiantuntija Virpi Koivu - oikeusministeriö
  • johtava lakimies Johanna Nyländen - Kilpailu- ja kuluttajavirasto
  • lakimies Kai Massa - Matkailu- ja Ravintolapalvelut MaRa ry

HALLITUKSEN ESITYS

Esityksessä ehdotetaan muutettaviksi majoitus- ja ravitsemistoiminnasta annettua lakia, matkapalveluyhdistelmien tarjoajista annettua lakia, vaarallisten kemikaalien ja räjähteiden käsittelyn turvallisuudesta annettua lakia, vaatimustenmukaisuuden arviointipalvelujen pätevyyden toteamisesta annettua lakia, mittauslaitelakia, tilintarkastuslakia ja yrityspalvelujen asiakastietojärjestelmästä annettua lakia. Mainittuihin lakeihin tehtäisiin Euroopan unionin yleisestä tietosuoja-asetuksesta ja henkilötietojen suojaa koskevan kansallisen lainsäädännön muutoksista johtuvat välttämättömät muutokset. Muutokset ovat pääosin teknisluonteisia ja liittyvät suurelta osin viittauksiin henkilötietojen suojaa koskevaan lainsäädäntöön.

Lisäksi esityksessä ehdotetaan muutettavaksi Kilpailu- ja kuluttajavirastosta annettua lakia siten, että laissa säädettäisiin poikkeuksesta tietosuoja-asetuksen sääntelyyn siltä osin kuin se koskee rekisteröidyn oikeutta tutustua hänestä kerättyihin tietoihin.

Lait on tarkoitettu tulemaan voimaan mahdollisimman pian.

VALIOKUNNAN YLEISPERUSTELUT

Ehdotetun lainsäädännön keskeinen sisältö.

Esityksen tarkoituksena on tehdä Euroopan unionin yleisestä tietosuoja-asetuksesta ja henkilötietojen suojaa koskevan kansallisen lainsäädännön muutoksista johtuvat välttämättömät muutokset eräisiin työ- ja elinkeinoministeriön hallinnonalan lakeihin. Tietosuoja-asetus on kaikilta osiltaan velvoittavaa sääntelyä, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa. Ehdotetut muutokset ovatkin pääosin teknisluonteisia ja liittyvät valtaosin viittauksiin henkilötietolakiin.

Talousvaliokunta puoltaa hallituksen esityksen hyväksymistä vähäisin teknisin muutoksin jäljempänä yksityiskohtaisissa perusteluissa selvitetyllä tavalla.

Liityntä kansalliseen tietosuojalainsäädäntöön.

Ehdotetun lainsäädännön arviointia vaikeuttaa se, ettei vielä ole tiedossa, minkä sisällön kansallinen tietosuojalakimme tulee saamaan. Perustuslakivaliokunnan lausunnon ( PeVL 14/2018 vpHE 9/2018 vp ) valossa on ilmeistä, ettei hallituksen esityksen mukainen tietosuojalainsäädäntö tule voimaan ehdotetussa muodossaan, vaan osin muutettuna. Perustuslakivaliokunnan lausunnon mukaan kansallisen erityislainsäädännön säätämistä tulisi välttää ja varata sellaisen säätäminen vain tilanteisiin, joissa se on yhtäältä sallittua tietosuoja-asetuksen kannalta ja toisaalta välttämätöntä henkilötietojen suojan toteuttamiseksi. Mitä korkeampi riski tietojen käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Teema on tullut esille erityisesti 7. lakiehdotukseen (Tilintarkastuslaki) sisältyvien säännösten arvioinnissa. Perustuslakivaliokunnan lausunnon valossa talousvaliokunta pitää nyt käsillä olevassa hallituksen esityksessä esitettyä sääntelyratkaisua perusteltuna.

Rekisteröidyn oikeudet.

Rekisteröidyllä ei uuden sääntelyn mukaan olisi oikeutta saada häntä koskevia Kilpailu- ja kuluttajaviraston rekisterissä olevia tietoja, joita virasto käsittelee sen hoitaessa valvontatehtäviään, jos tietojen antamatta jättäminen on välttämätöntä viranomaisten toiminnan julkisuudesta annetun lain (julkisuuslaki) 24 §:n 1 momentin 15 kohdan nojalla valvonnan tai sen tarkoituksen toteutumisen turvaamiseksi. Säännös on tarpeen Kilpailu- ja kuluttajaviraston valvontatehtävien tehokkuuden turvaamiseksi sekä tietosuoja-asetuksen 15 artiklan mukaisen rekisteröidyn oikeuden ja julkisuuslain nojalla salassapidon välisen suhteen selventämiseksi. Rekisteröidyn 15 artiklan mukainen oikeus vaarantaisi Kilpailu- ja kuluttajaviraston lakisääteisen valvonnan tai sen tarkoituksen toteutumisen, jos oikeus kohdistuisi henkilötietoihin, jotka ovat salassa pidettäviä julkisuuslain edellä mainitun kohdan nojalla. Vastaava säännös tulee tietosuoja-asetuksen johdosta useisiin muihinkin viranomaisten valtuuksia koskeviin säädöksiin. Talousvaliokunta pitää ehdotettua rekisteröidyn oikeuksien rajoitusta perusteltuna ja oikeasuhtaisena.

Tiedonkulku viranomaisten välillä.

Talousvaliokunta pitää tärkeänä, että lainsäädännössä mahdollistetaan tarkoituksenmukainen yhteisen asiakastiedon hyödyntäminen ja vaihto eri toimijoiden välillä. Tietojärjestelmistä ja niiden käytöstä säädettäessä on huomioitava sääntelykokonaisuuteen liittyvien tahojen roolit ja tarpeet. Tässä yhteydessä tulee varmistaa eri toimijoiden välinen tiedonkulku siten, että asiakasdata on tarkoituksenmukaisella ja turvallisella tavalla kaikkien tietoja tarvitsevien käytössä. Talousvaliokunta katsoo, että ehdotuksen mukainen sääntely mahdollistaa tietosuojaan liittyvän systemaattisen toimintamallin, jolla varmistetaan myös salassa pidettävien tietojen yhdenmukaiset käyttöoikeudet ja valvonta.

Valiokunta pitää ehdotettua sääntelyä tarpeellisena ja tarkoituksenmukaisena, jotta kansallinen lainsäädäntömme olisi yhteensopiva EU-sääntelyn kanssa, ilmaisten kuitenkin huolensa lähialojen säädösten eritahtisen voimaantulon mahdollisesti aiheuttamista epäjatkuvuuskohdista.

VALIOKUNNAN YKSITYISKOHTAISET PERUSTELUT

8. Laki yrityspalvelujen asiakastietojärjestelmästä annetun lain muuttamisesta

2 §. Lain soveltamisala.

Lain 6 §:ään tehtävien, jäljempänä selvitettävien muutosten johdosta lain 2 §:n 2 momenttiin, sen 2 virkkeeseen, tulee sisällyttää lyhytnimikkeen määritelmä tietosuoja-asetukselle seuraavasti:

”Henkilötietojen käsittelystä säädetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, ja tietosuojalaissa ( / ).”

6 §. Asiakastietojärjestelmän tekninen ylläpitäjä ja rekisterinpitäjät.

Talousvaliokunta katsoo tarpeelliseksi muuttaa pykälää siten, että työ- ja elinkeinoministeriö ja asiakastietojärjestelmään tietoja tallettavat tahot määriteltäisiin asiakastietojärjestelmän yhteisrekisterinpitäjiksi.

Tietosuoja-asetuksen 26 artiklan mukaan, jos vähintään kaksi rekisterinpitäjää määrittää yhdessä käsittelyn tarkoitukset ja keinot, ne ovat yhteisrekisterinpitäjiä. Ne määrittelevät keskinäisellä järjestelyllä läpinäkyvällä tavalla kunkin vastuualueen tässä asetuksessa vahvistettujen velvoitteiden noudattamiseksi, erityisesti rekisteröityjen oikeuksien käytön ja 13 ja 14 artiklan mukaisten tietojen toimittamista koskevien tehtäviensä osalta, paitsi jos ja siltä osin kuin rekisterinpitäjiin sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä määritellään rekisterinpitäjien vastuualueet. Artikla mahdollistaa yhteisrekisterinpitäjien vastuiden jakamisen lainsäädännössä.

Talousvaliokunta pitää perusteltuna säilyttää voimassa olevan lain mukainen vastuunjako työ- ja elinkeinoministeriön ja asiakastietojärjestelmään tietoja tallettavien lain 4 §:n 1 momentissa mainittujen tahojen välillä. Voimassa olevan lain mukaan työ- ja elinkeinoministeriö vastaa teknisenä ylläpitäjänä asiakastietojärjestelmän yleisestä toiminnasta sekä teknisestä käyttöyhteydestä tietojen tallettamista, yhdistämistä, luovuttamista ja muuta käsittelyä varten. Tekninen ylläpitäjä vastaa tietojärjestelmän käytettävyydestä sekä siihen sisältyvien tietojen eheydestä, suojaamisesta ja säilyttämisestä. Kyseisen säännöksen esitöiden ( HE 18/2017 vp ) mukaan käytettävyydellä, suojaamisella ja eheydellä olisi sama sisältö kuin viranomaisten toiminnan julkisuudesta annetun lain (621/1999) hyvää tiedonhallintatapaa koskevassa 18 §:ssä. Viranomaisen tulee kyseisen pykälän mukaan hyvän tiedonhallintatavan toteuttamiseksi huolehtia asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen asianmukaisesta saatavuudesta, käytettävyydestä ja suojaamisesta sekä eheydestä ja muista tietojen laatuun vaikuttavista tekijöistä ja tässä tarkoituksessa erityisesti noudattaa pykälässä tarkemmin säädettyjä velvoitteita. Esitöissä on todettu, että 1 momentin nojalla työ- ja elinkeinoministeriön vastuisiin kuuluisi myös asiakastietojärjestelmän kehittäminen mukaan lukien huolehtiminen tietojärjestelmän tietoturvallisuuden yleisestä kehittämisestä, kuten sellaisten menettelytapojen käyttämisestä tiedonvaihdossa, jotka turvaavat tietojen eheyden eli niiden suojan laitonta muuttamista vastaan. Työ- ja elinkeinoministeriön on myös huolehdittava siitä, että järjestelmä on teknisesti ja toiminnallisesti sellainen, että rekisterinpitäjän velvollisuudet voidaan täyttää.

Rekisterinpitäjiksi voimassa olevassa laissa määritellyille lain 4 §:n 1 momentissa mainituille tahoille kuuluvat kaikki ne muut tehtävät, jotka johtuvat henkilötietolaissa (523/1999) rekisterinpitäjälle säädetyistä velvoitteista. Näihin kuuluvat niiden omien rekistereiden osalta yleinen huolenpito tietojenkäsittelyn lainmukaisuudesta ja tietojen laadusta ja tähän liittyvä rekisteritoiminnan ohjaus ja neuvonta. Rekisterinpitäjät vastaavat rekisteriensä tietojen luovuttamistehtävistä, tietojen poistamisesta ja tietojenkäsittelyn lainmukaisuuteen liittyvistä tehtävistä. Rekisterinpitäjien vastuulle kuuluu myös henkilötietolain 24 §:ssä säädetty informointivelvollisuus.

Talousvaliokunta ehdottaa, että lain 6 §:n 1 momentissa säädettäisiin asiakastietojärjestelmän yhteisrekisterinpitäjistä, joiden vastuut määriteltäisiin tietosuoja-asetuksen 26 artiklan liikkumavaran puitteissa lain 6 §:n 2 ja 3 momentissa. Asiakastietojärjestelmän yhteisrekisterinpitäjiksi määriteltäisiin työ- ja elinkeinoministeriö ja lain 4 §:n 1 momentissa mainitut tahot, eli yrityspalveluja tarjoavat viranomaiset, valtion erityisrahoitusyhtiö, Business Finland Oy ja alueiden kehittämisen ja rakennerahastohankkeiden rahoittamisesta annetun lain (8/2014) 2 §:n 13 kohdassa tarkoitetut välittävät toimielimet.

Ministeriön vastuut tulee määritellä lain 6 §:n 2 momentissa siten, että ne pääosin vastaavat ministeriölle voimassa olevassa laissa määriteltyjä vastuita. Voimassa olevan lain 6 §:ssä säädetyt teknisen ylläpitäjän tehtävät liittyvät järjestelmän käytettävyyteen ja tietojen eheydestä, suojaamisesta ja säilyttämisestä vastaamiseen. Asiakastietojärjestelmään talletettavat tiedot ovat pääosin yrityksiä koskevia asiakastietoja, eivät henkilötietoja. Asiakastiedot kuitenkin osittain sisältävät myös henkilötietoja.

Asiakastietojärjestelmään tietoja tallettavien lain 4 §:n 1 momentissa mainittujen tahojen vastuista säädettäisiin lain 6 §:n 3 momentissa. Momentissa tulee mainita, että lain 4 §:n 1 momentissa mainitut tahot vastaisivat muista rekisterinpitäjälle kuuluvista tehtävistä. Lain 4 §:n 1 momentissa mainitut tahot vastaisivat siten edelleen myös rekisteröidyn oikeuksien toteuttamisesta. Samoin niille kuuluisi edelleen myös vastuu henkilötietojen käsittelyn turvallisuudesta omassa toiminnassaan.

Edellä mainituilla perusteilla 6 § ja sen otsikko muutettaisiin seuraavasti:

”Asiakastietojärjestelmän rekisterinpitäjät

Työ- ja elinkeinoministeriö ja asiakastietojärjestelmään tietoja tallettavat 4 §:n 1 momentissa tarkoitetut tahot ovat asiakastietojärjestelmän yhteisrekisterinpitäjiä.

Työ- ja elinkeinoministeriö vastaa asiakastietojärjestelmän yleisestä toiminnasta sekä teknisestä käyttöyhteydestä tietojen tallettamista, yhdistämistä, luovuttamista ja muuta käsittelyä varten. Työ- ja elinkeinoministeriö vastaa tietojärjestelmän käytettävyydestä sekä siihen sisältyvien tietojen eheydestä, suojaamisesta ja säilyttämisestä. Työ- ja elinkeinoministeriö vastaa asiakastietojärjestelmässä suoritettavan henkilötietojen käsittelyn osalta tietosuoja-asetuksen 25 artiklassa tarkoitetusta sisäänrakennetusta ja oletusarvoisesta tietosuojasta, 32 artiklassa tarkoitetusta käsittelyn turvallisuudesta, 35 artiklassa tarkoitetusta tietosuojaa koskevasta vaikutustenarvioinnista ja 36 artiklassa tarkoitetusta ennakkokuulemisesta sekä muista sellaisista tietosuoja-asetuksessa säädetyistä rekisterinpitäjän velvollisuuksista, jotka koskevat tietojärjestelmän tietoturvallisuutta. Työ- ja elinkeinoministeriöllä ei ole oikeutta määrätä tietojärjestelmään talletetuista tiedoista eikä luovuttaa niitä, ellei laissa toisin säädetä.

Asiakastietojärjestelmään tietoja tallettavat 4 §:n 1 momentissa tarkoitetut tahot toimivat talletetun tiedon rekisterinpitäjinä tallettamiensa tietojen osalta, vastaavat muista kuin 2 momentissa tarkoitetuista rekisterinpitäjän velvollisuuksista sekä päättävät tallettamiensa tietojen luovuttamisesta asiakastietojärjestelmän kautta. Asiakastietojärjestelmään tietoja tallettanut taho vastaa tietojen oikeellisuudesta ja ajantasaisuudesta.”

VALIOKUNNAN PÄÄTÖSEHDOTUS

Talousvaliokunnan päätösehdotus:

Eduskunta hyväksyy muuttamattomana hallituksen esitykseen HE 98/2018 vp sisältyvät 1.—7. lakiehdotuksen.

Eduskunta hyväksyy muutettuna hallituksen esitykseen HE 98/2018 vp sisältyvän 8. lakiehdotuksen. (Valiokunnan muutosehdotukset)

Valiokunnan muutosehdotukset Kilpailu- ja kuluttajavirastosta annetun lain muuttamisesta

1.

Laki

Kilpailu- ja kuluttajavirastosta annetun lain muuttamisesta

Eduskunnan päätöksen mukaisesti

lisätään Kilpailu- ja kuluttajavirastosta annettuun lakiin (661/2012) uusi 7 a § seuraavasti:

1 luku

Kilpailu- ja kuluttajavirastoa koskevat säännökset

7 a §

Rajoitus rekisteröidyn oikeuteen tutustua hänestä kerättyihin tietoihin

Sen lisäksi, mitä tietosuojalain ( / ) 34 §:n 1 momentissa säädetään, rekisteröidyllä ei ole luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 15 artiklassa tarkoitettua oikeutta tutustua hänestä kerättyihin Kilpailu- ja kuluttajaviraston rekisterissä oleviin tietoihin, joita virasto käsittelee sen hoitaessa kilpailulain, hankintalain tai erityisalojen hankintalain mukaisia valvontatehtäviään, jos tietojen antamatta jättäminen on välttämätöntä viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 24 §:n 1 momentin 15 kohdan nojalla valvonnan tai sen tarkoituksen toteutumisen turvaamiseksi.

Rajoitettaessa rekisteröidyn oikeutta 1 momentin nojalla on noudatettava, mitä tietosuojalain 34 §:n 2—4 momentissa säädetään.


Tämä laki tulee voimaan päivänä kuuta 20 .


2.

Laki

majoitus- ja ravitsemistoiminnasta annetun lain muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan majoitus- ja ravitsemistoiminnasta annetun lain (308/2006) 1 §:n 5 momentti, 7 §:n 2 momentti, 8 §:n 3 momentti ja 13 §:n 3 momentti,

sellaisena kuin niistä on 13 §:n 3 momentti laissa 1103/2017, seuraavasti:

1 §

Soveltamisala ja määritelmät


Henkilötietojen salassapitoon ja luovuttamiseen sovelletaan viranomaisten toiminnan julkisuudesta annettua lakia (621/1999), jollei tässä laissa toisin säädetä. Henkilötietojen käsittelystä säädetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, ja tietosuojalaissa ( / ).


7 §

Matkustajarekisteri


Majoitustoiminnan harjoittaja voi käyttää matkustajatietoja ja matkustajarekisteriä asiakaspalveluun ja suoramarkkinointiin. Rekisteröidyn oikeudesta vastustaa henkilötietojen käsittelyä säädetään tietosuoja-asetuksessa.

8 §

Matkustajatietojen luovuttaminen poliisille sekä matkustajailmoitusten ja -tietojen säilyttäminen ja hävittäminen


Majoitustoiminnan harjoittajan on säilytettävä matkustajailmoitukset ja -tiedot yhden vuoden ajan matkustajailmoituksen allekirjoittamispäivästä, minkä jälkeen ne on hävitettävä. Matkustajarekisterissä olevat matkustajatiedot on säilytettävä yhden vuoden ajan niiden merkitsemisestä, minkä jälkeen ne on hävitettävä. Asiakaspalveluun ja suoramarkkinointiin käytettävien tietojen poistamiseen rekisteristä sovelletaan kuitenkin, mitä tietosuoja-asetuksessa säädetään.

13 §

Rangaistussäännökset


Rangaistus tietosuojarikoksesta säädetään rikoslain 38 luvun 9 §:ssä.



Tämä laki tulee voimaan päivänä kuuta 20 .


3.

Laki

matkapalveluyhdistelmien tarjoajista annetun lain 16 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan matkapalveluyhdistelmien tarjoajista annetun lain (921/2017) 16 § seuraavasti:

16 §

Tietojen luovuttaminen rekisteristä

Sen estämättä, mitä viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 16 §:n 3 momentissa säädetään, rekisteristä saa luovuttaa henkilötietoja tulosteena tai saattaa ne yleisesti saataville sähköisen tietoverkon kautta tai luovuttaa ne muutoin sähköisessä muodossa. Tieto henkilötunnuksesta saadaan kuitenkin luovuttaa tämän lain nojalla vain, jos tieto annetaan tulosteena tai teknisenä tallenteena ja jos luovutuksensaajalla on oikeus henkilötunnuksen käsittelyyn tietosuojalain ( / ) 29 §:n tai muun lain nojalla.


Tämä laki tulee voimaan päivänä kuuta 20 .


4.

Laki

vaarallisten kemikaalien ja räjähteiden käsittelyn turvallisuudesta annetun lain 130 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan vaarallisten kemikaalien ja räjähteiden käsittelyn turvallisuudesta annetun lain (390/2005) 130 §:n 4 momentti, sellaisena kuin se on laissa 358/2015, seuraavasti:

130 §

Rekisterit


Tietojen luovuttamiseen sovelletaan, mitä siitä muualla laissa säädetään. Rekisterissä olevat muut kuin henkilötiedot on tarkastettava ja tarpeettomat tiedot poistettava tarkastuksen yhteydessä. Rekisterinpitäjän velvollisuuksista henkilötietojen käsittelyssä säädetään erikseen.



Tämä laki tulee voimaan päivänä kuuta 20 .


5.

Laki

vaatimustenmukaisuuden arviointipalvelujen pätevyyden toteamisesta annetun lain 11 §:n 2 momentin kumoamisesta

Eduskunnan päätöksen mukaisesti säädetään:

1 §

Tällä lailla kumotaan vaatimustenmukaisuuden arviointipalvelujen pätevyyden toteamisesta annetun lain (920/2005) 11 §:n 2 momentti.

2 §

Tämä laki tulee voimaan päivänä kuuta 20 .


6.

Laki

mittauslaitelain 53 §:n 2 momentin kumoamisesta

Eduskunnan päätöksen mukaisesti säädetään:

1 §

Tällä lailla kumotaan mittauslaitelain (707/2011) 53 §:n 2 momentti.

2 §

Tämä laki tulee voimaan päivänä kuuta 20 .


7.

Laki

tilintarkastuslain muuttamisesta

Eduskunnan päätöksen mukaisesti

kumotaan tilintarkastuslain (1141/2015) 4 luvun 9 §:n 2 momentti, sellaisena kuin se on laissa 622/2016, sekä

muutetaan 4 luvun 13 §:n 2 ja 4 momentti, 6 luvun 9 §:n 6 momentti, 8 luvun 6 § ja 9 luvun 1 §:n 2 momentti ja 3 §:n 2 momentin 4 kohta,

sellaisina kuin niistä ovat 4 luvun 13 §:n 2 ja 4 momentti, 6 luvun 9 §:n 6 momentti ja 9 luvun 3 §:n 2 momentin 4 kohta laissa 622/2016, seuraavasti:

4 luku

Tilintarkastajaa koskevat muut säännökset

13 §

Epäilyksistä ilmoittaminen


Ilmoitusmenettelyn tulee sisältää toimenpiteet, joilla suojataan ilmoituksen tekijää ja turvataan ilmoituksen tekijän ja ilmoituksen kohteena olevan henkilötietojen suoja. Ilmoitusmenettelyn tulee lisäksi sisältää ohjeet, joilla turvataan ilmoituksen tekijän henkilöllisyyden suoja, jollei rikkomuksen selvittämiseksi tai muuten viranomaisen oikeudesta tietojen saamiseen laissa toisin säädetä.


Sen lisäksi, mitä tietosuojalain ( / ) 34 §:n 1 momentissa säädetään, 1 momentissa tarkoitetun ilmoituksen kohteena olevalla ei ole luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, 15 artiklassa tarkoitettua rekisteröidyn oikeutta tutustua hänestä kerättyihin 1 ja 2 momentissa tarkoitettuihin tietoihin, jos tietojen antaminen voisi haitata epäiltyjen rikkomisten selvittämistä. Rajoitettaessa rekisteröidyn oikeutta on noudatettava, mitä tietosuojalain 34 §:n 2—4 momentissa säädetään.


6 luku

Hyväksyminen ja rekisteröinti

9 §

Tilintarkastajarekisteri


Rekisteri-ilmoituksista ja rekisterimerkinnöistä sekä rekisteriin merkittävistä muista tiedoista kuin henkilötiedoista voidaan antaa tarkempia säännöksiä valtioneuvoston asetuksella.

8 luku

Valvontavaltuudet

6 §

Tietojen saaminen muilta viranomaisilta

Tilintarkastusvalvonnalla on oikeus salassapitosäännösten ja muiden tiedonsaantia koskevien rajoitusten estämättä pyynnöstä saada viranomaiselta ja muulta julkista tehtävää hoitavalta tässä laissa säädettyä valvontaa varten välttämättömät tiedot. Tietoja saa hakea teknisen käyttöyhteyden avulla ilman sen suostumusta, jonka etujen suojaamiseksi salassapitovelvollisuudesta on säädetty. Mitä edellä säädetään ei kuitenkaan koske tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuja erityisiin henkilötietoryhmiin kuuluvia henkilötietoja ja rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta sekä henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia koskevia henkilötietoja.

9 luku

Tietojen luovuttaminen ja viranomaisyhteistyö

1 §

Oikeus tietojen luovuttamiseen


Mitä edellä 1 momentissa säädetään ei kuitenkaan koske tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuja erityisiin henkilötietoryhmiin kuuluvia henkilötietoja ja rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta sekä henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia koskevia henkilötietoja.

3 §

Kansainvälinen valvontayhteistyö


Mitä 1 momentissa säädetään, koskee myös valvonnan kannalta tarpeellisten asiakirjojen toimittamista muun kuin ETA-valtion valvojalle, joka kotimaassaan lain nojalla hoitaa vastaavia tehtäviä, jos:


4) tietojen vaihdossa noudatetaan tietosuoja-asetusta.



Tämä laki tulee voimaan päivänä kuuta 20 .

Tilintarkastuksesta annettu valtioneuvoston asetus (1377/2015) jää voimaan myös siltä osin kuin se on annettu tällä lailla muutetun 6 luvun 9 §:n 6 momentin nojalla.


8.

Laki

yrityspalvelujen asiakastietojärjestelmästä annetun lain muuttamisesta

Eduskunnan päätöksen mukaisesti

kumotaan yrityspalvelujen asiakastietojärjestelmästä annetun lain (293/2017) 9 §:n 2 momentti sekä

muutetaan 2 §:n 2 momentti ja 6 § seuraavasti:

2 §

Lain soveltamisala


Jollei laissa toisin säädetä, yrityspalvelujen asiakastietojärjestelmään sekä siihen talletettujen tietojen julkisuuteen sovelletaan viranomaisten toiminnan julkisuudesta annettua lakia (621/1999) ja valtion erityisrahoitusyhtiöstä annetun lain (443/1998) 5 ja 6 §:ää. Henkilötietojen käsittelystä säädetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, ja tietosuojalaissa ( / ).


6 §

Asiakastietojärjestelmän tekninen ylläpitäjä ja rekisterinpitäjät

Työ- ja elinkeinoministeriö ja asiakastietojärjestelmään tietoja tallettavat 4 §:n 1 momentissa tarkoitetut tahot ovat asiakastietojärjestelmän yhteisrekisterinpitäjiä. (Uusi)

Työ- ja elinkeinoministeriö vastaa teknisenä ylläpitäjänä ja henkilötietojen käsittelijänä asiakastietojärjestelmän yleisestä toiminnasta sekä teknisestä käyttöyhteydestä tietojen tallettamista, yhdistämistä, luovuttamista ja muuta käsittelyä varten. Työ- ja elinkeinoministeriö vastaa tietojärjestelmän käytettävyydestä sekä siihen sisältyvien tietojen eheydestä, suojaamisesta ja säilyttämisestä. Työ- ja elinkeinoministeriö vastaa asiakastietojärjestelmässä suoritettavan henkilötietojen käsittelyn osalta tietosuoja-asetuksen 25 artiklassa tarkoitetusta sisäänrakennetusta ja oletusarvoisesta tietosuojasta, 32 artiklassa tarkoitetusta käsittelyn turvallisuudesta, 35 artiklassa tarkoitetusta tietosuojaa koskevasta vaikutustenarvioinnista ja 36 artiklassa tarkoitetusta ennakkokuulemisesta sekä muista sellaisista tietosuoja-asetuksessa säädetyistä rekisterinpitäjän velvollisuuksista, jotka koskevat tietojärjestelmän tietoturvallisuutta. Työ- ja elinkeinoministeriöllä ei ole oikeutta määrätä tietojärjestelmään talletetuista tiedoista eikä luovuttaa niitä, ellei laissa toisin säädetä.

Asiakastietojärjestelmään tietoja tallettavat 4 §:n 1 momentissa tarkoitetut tahot toimivat talletetun tiedon rekisterinpitäjinä tallettamiensa tietojen osalta, vastaavat muista kuin 2 momentissa tarkoitetuista rekisterinpitäjän velvollisuuksista sekä päättävät tallettamiensa tietojen luovuttamisesta asiakastietojärjestelmän kautta. Asiakastietojärjestelmään tietoja tallettanut taho vastaa tietojen oikeellisuudesta ja ajantasaisuudesta.


Tämä laki tulee voimaan päivänä 20 .


Helsingissä 16.10.2018

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

puheenjohtaja Martti Mölsä /sin

jäsen Harry Harkimo /liik

jäsen Petri Honkonen /kesk

jäsen Hannu Hoskonen /kesk

jäsen Laura Huhtasaari /ps

jäsen Lauri Ihalainen /sd

jäsen Katri Kulmuni /kesk

jäsen Eero Lehti /kok

jäsen Lea Mäkipää /sin

jäsen Johanna Ojala-Niemelä /sd

jäsen Arto Pirttilahti /kesk

jäsen Hanna Sarkkinen /vas

jäsen Ville Skinnari /sd

jäsen Joakim Strand /r

jäsen Antero Vartia /vihr

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos Teija Miller

Lisää muistilistalle

Muuta kansioita

Dokumentti ei ole muistilistallasi. Lisää se valittuun tai uuteen kansioon.

Lisää dokumentti kansioihin tai poista se jo liitetyistä kansioista.

Lisää uusi kansio.

Lisää uusi väliotsikko.