Tietosuojalainsäädännön päivitys ja kansallinen täytäntöönpano sakkaavat
Tomi Voutilainen
Kirjoittaja toimii informaatio-oikeuteen erikoistuneena julkisoikeuden professorina Itä-Suomen yliopistossa.
TIETOSUOJASÄÄNTELYN PÄIVITTÄMINEN
Euroopan unionin yleistä tietosuoja-asetusta (EU) 2016/679 aletaan soveltaa 25.5.2018. Asetus on herättänyt paljon keskustelua ja väärinkäsityksiäkin sääntelyyn tulevista muutoksista. Epätietoisuus on ruokkinut myös markkinatoimijoita myymään asiantuntijapalveluitaan ja tuotteitaan uudistuksen nimissä niin yksityiselle kuin julkiselle sektorille. Epätietoisuutta hyväksi käyttäen yritykset ovat lähestyneet muun muassa kuntia tarjoamalla niille olemassa olevien ohjelmistojen uusia, tietosuoja-asetuksen vaatimukset täyttäviä, versioita maksua vastaan. Näissä tapauksissa olen kuntia kuitenkin kehottanut selvittämään, mihin yritykset ovat alun perin sitoutuneet, kun ne ovat tarjonneet tarjouskilpailuissa ohjelmistoaan kunnalle. Monessa yrityksessä ja myös viranomaisessa nimittäin unohdetaan, että viranomaisten tietojenkäsittelyyn vaikuttaa myös viranomaisten toiminnan julkisuudesta annettu laki (621/1999, julkisuuslaki), jossa on säädetty hyvästä tiedonhallintatavasta. Julkisuuslaki pitää sisällään osana hyvää tiedonhallintatapaa tietoturvallisuudesta huolehtimisen velvollisuuden. Valtionhallintoa koskee vielä erikseen tietoturva-asetus (681/2010). Jos viranomainen on noudattanut julkisuuslain 18 §:ssä ja henkilötietolain 32 §:ssä säädettyjä vaatimuksia ja huomioinut nämä hankinnoissaan, ei ole mitään syytä, että tietosuoja-asetuksen nimissä viranomaisten pitäisi alkaa päivittämään ohjelmistojaan, ellei ohjelmiston toimittaja ole laiminlyönyt sopimukseen perustuvan velvollisuuden huolehtia ohjelmiston ja siihen sisältyvien tietojen asianmukaisesta suojaamisesta. Sen sijaan tietosuoja-asetuksen vuoksi hankintasopimukset on joiltakin osin päivitettävä vastaamaan asetuksen yksityiskohtaisia vaatimuksia.
Peruslähtökohdiltaan henkilötietojen suojaa koskevan sääntelyn vaatimukset eivät muutu tietosuoja-asetuksessa siitä, mitä ne ovat olleet Suomessa jo vuoden 1988 alussa voimaan tulleessa henkilörekisterilaissa (471/1987) ja sittemmin vuoden 1999 puolivälissä henkilötietolailla (523/1999) säädetyissä vaatimuksissa.
Tietosuoja-asetuksen täytäntöönpanon yhteydessä monet markkinatoimijat ovat käyttäneet asiantuntijapalvelujen ja tuotteiden markkinoinnin keihäänkärkenä tietosuoja-asetuksessa säädettyä hallinnollisen sakon uhkaa. Tässäkin asiassa aktiivinen viranomaisviestintä olisi voinut leikata terävimmän kärjen näiltä markkinointipuheilta, jotka ovat aiheuttaneet myös väärinkäsityksiä monien rekisterinpitäjien toiminnassa tietosuoja-asetuksen sisällöstä.
Tietosuoja-asetuksen tuomien muutoksien viestinnässä onkin varmistettava, että muutokset kuvataan selkeästi niin julkisen kuin yksityisen sektorin toimijoille rekisteröityjä unohtamatta. Epätietoisuus lisää väärinkäsitysten riskiä, joka sekin voi olla tietosuojan toteuttamisen kannalta riski. Epätietoisuus lisää myös tarpeettomien investointien tekemistä, jos ei ole selvää, miten nykyinen toimintaympäristö vastaa tietosuoja-asetuksen asettamia vaatimuksia. Jos investointeihin on tarve, tarkoittaa se monesti sitä, ettei organisaatio ole toiminut tähänkään asti voimassa olevien säännösten mukaisesti.
Muutoksista viestimisessä avainasemassa ovat henkilötietojen suojaa koskevan yleissääntelyn valmistelusta vastaava oikeusministeriö ja täytäntöönpanoon keskeisesti osallistuva tietosuojavaltuutetun toimisto. Tässä suhteessa onkin vielä paljon tehtävää. Viranomaisten tulisi keskittyä viestinnässään jatkossa avoimeen, vuorovaikutteiseen ja ymmärrettävään viestintään tietoverkossa maksullisten koulutusten sijaan. Nyt tätä viestintää on tehty muiden kuin asiasta vastuussa olevien viranomaisten toimesta muun muassa nk. VAHTI-työnä ja vapaaehtoistyönä harrastuspohjalta.
Moderniin ja hyvän hallinnon vaatimukset täyttävään sääntelyn täytäntöönpanoon kuuluu aktiivinen viestintä sääntelyn muutoksista niin rekisterinpitäjille, henkilötietojen käsittelijöille kuin rekisteröidyillekin. Tämä on erityisen merkityksellistä silloin, kun sääntelymuutoksilla on perusoikeuskytkentä, kuten tietosuoja-asetuksen sääntelyllä. Luonnollisesti riittävä ja asianmukainen viestintä edellyttää riittävää ja asiansa osaavaa resursointia. Lainsäädännön arviointineuvosto kiinnitti tietosuojalakiehdotusluonnosta koskevassa 8.2.2018 päivätyssä lausunnossaan huomiota siihen, että viranomaisilla tulee olla riittävät resurssit ohjeistuksen antamiseen näin kattavassa uudistuksessa. Neuvoston mukaan ei ole tarkoituksenmukaista, että viranomaisten rooli painottuu seuraamusten käsittelyyn, jos resurssit ohjeistamiseen eivät ole riittäviä.
SUOMALAINEN RASKAAN SÄÄNTELYN TIETOSUOJAMALLI
Suomessa henkilötietojen suojaa koskeva perusoikeussäännös sisältyy yksityiselämän suojaa koskevaan perustuslain 10.1 §:n säännökseen, jonka mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Perustuslakivaliokunta linjasi 1990-luvun lopulla henkilötietojen suojan kannalta tärkeät laintasoiseen sääntelyyn sisällytettävät sääntelykohteet lausunnoissaan PeVL 14/1998 vp ja 25/1998 vp. Perustuslakivaliokunnan linjauksen mukaan henkilötietojen suojan kannalta tärkeitä sääntelykohteita ovat rekisteröinnin tavoite, rekisteröitävien henkilötietojen sisältö, niiden sallitut käyttötarkoitukset, tietojen luovutettavuus, tietojen säilytysaika henkilörekisterissä sekä rekisteröidyn oikeusturva. Lisäksi perustuslakivaliokunta on edellyttänyt sääntelyn kattavuutta ja yksityiskohtaisuutta lain tasolla. Vuonna 2002 sääntelyvaatimuksiin lisättiin myös teknisestä käyttöyhteydestä sääntely (PeVL 12/2002 vp). Nämä vaatimukset ovat johtaneet siihen, että Suomessa henkilötietojen käsittelyä koskevia säännöksiä on 700–800 eri säädöksessä. Esimerkiksi teknisestä käyttöyhteydestä on säädetty yli 200 eri säännöksessä.
Sääntelymalli on johtanut monissa tilanteissa kaksinkertaiseen sääntelyyn, jossa toisessa säännöksessä on säädetty viranomaiselle tai muulle toimijalle tiedonsaantioikeus ja toiseen säännökseen on säädetty viranomaiselle oikeus luovuttaa tietoja niille, joilla on olemassa tiedonsaantioikeus. Perustuslakivaliokunta onkin useaan kertaan kritisoinut tällaista sääntelymallia, joka tosin johtuu osittain perustuslakivaliokunnan sääntelymallia koskevista vaatimuksista ja osittain heikosta lainvalmistelun koordinoinnista ministeriöiden välillä. Valiokunnan mielestä tällainen kaksinkertainen sääntely johtaa raskaaseen sääntelyrakenteeseen ja on omiaan synnyttämään tulkintaongelmia. Tällainen raskas sääntely ei ole kuitenkaan valiokunnan mukaan valtiosääntöoikeudellisesti ongelmallista (PeVL31/2017 vp, PeVL 71/2014 vp). Perustuslakivaliokunta on myös kiinnittänyt huomiota henkilötietojen käsittelyä koskevan sääntelyn epäselvyyteen, raskauteen ja monimutkaisuuteen (PeVL 31/2017 vp, PeVL 46/2016 vp ja PeVL 71/2014 vp).
Yleislainsäädännön tasolla ylimmät laillisuusvalvojat ovat niin ikään kiinnittäneet huomiota tiedonsaantioikeuksia ja henkilötietojen suojaa koskevan sääntelyn epäkohtiin. Laillisuusvalvonnassa tällaista sääntelymallia on pidetty oikeudellisesti vaikeaselkoisena (AOK 441/1/2015, 4.11.2016). Julkisuuslain ja henkilötietolain sääntelyä on myös luonnehdittu luuppimaiseksi (EOA 1473/2016, 18.9.2017).
Viimeaikoina perustuslakivaliokunta onkin tuonut esiin mahdollisuuden arvioida henkilötietojen käsittelyä koskevaa sääntelymallia uudelleen. Perustuslakivaliokunnan käsityksen mukaan estettä ei ole sille, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden sekä täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan joiltain osin täyttää myös asianmukaisesti laaditulla yleisellä Euroopan unionin asetuksella tai kansalliseen oikeuteen sisältyvällä yleislailla (PeVL 1/2018 vp, PeVL 49/2017 vp, PeVL 31/2017 vp, PeVL 5/2017 vp, PeVL 38/2016 vp). Perustuslakivaliokunta ei ole kuitenkaan vielä ottanut kantaa siihen, miltä osin sääntelymallia voitaisiin uudistaa.
Perustuslakivaliokunnan viimeaikaisissa kannanotoissa viestitään, että sääntelymallia koskeva arviointi on mahdollista tehdä vasta, kun yleisen tietosuoja-asetuksen sallimaa kansallista liikkumavaraa käytetään oikeusministeriössä valmisteilla olevassa tietosuojalaissa ja kun sen perustuslain mukaisuutta arvioidaan valiokunnassa (PeVL 49/2017 vp). Perustuslakivaliokunta on todennut muun muassa erään lakiehdotuksen jatkokäsittelyssä, että siinä olisi ollut syytä tarkoin selvittää tietosuoja-asetuksen ja sitä täydentävän kansallisen yleislain mahdollistama tai edellyttämä täydentävän erityissääntelyn tarve (PeVL 49/2017 vp). Perustuslakivaliokunta on myös todennut, että ennen kuin kansallista erityislainsäädäntöä voidaan kehittää, tulisi valtioneuvoston antaa yleislakia koskeva esitys (PeVL 1/2018 vp, PeVL 49/2017 vp). Perustuslakivaliokunta on myös todennut tuoreessa lausunnossaan, että perustuslain 10.1 §:ssä ja EU:n perusoikeuskirjan 8 artiklassa sekä Euroopan ihmisoikeussopimuksen 8 artiklassa perus- ja ihmisoikeutena turvatun henkilötietojen suojan toteuttaminen ei voi enää jatkossa perustua nykyisen sääntelymallin varaan. Sitä vastoin henkilötietojen suojan toteuttaminen tulisi jatkossa ensisijaisesti taata yleisen tietosuoja-asetuksen ja säädettävän kansallisen yleislain nojalla. Tähän liittyen tulisi välttää kansallisen erityislainsäädännön säätämistä sekä varata sellaisen säätäminen vain tilanteisiin, joissa se on yhtäältä sallittua tietosuoja-asetuksen kannalta ja toisaalta välttämätöntä henkilötietojen suojan toteuttamiseksi (PeVL 2/2018 vp).
Perustuslakivaliokunnan lausunnoista onkin muotoutumassa pikku hiljaa viesti lainvalmisteluun. Henkilötietojen suojaa koskeva sääntelymalli on uudistettava. Jotta perustuslakivaliokunta voi arvioida sääntelyyn liittyvää mallia perustuslain 74 §:ssä tarkoitetulla tavalla, tulisi valtioneuvoston valmistella kansallinen yleislaintasoinen lainsäädäntö, jonka perusteella kokonaisarviointi voidaan tehdä perustuslakivaliokunnassa. Muotoutumassa oleva linjaus tarkoittaa, että pyrkimykset sääntelyn sujuvoittamisesta, turhien normien purkamisesta ja hallinnollisen taakan keventämisestä ovat mahdollisia toteuttaa tietojenkäsittelyä ja tiedonhallintaa koskevassa sääntelyssä, kunhan eduskuntaa tuodaan käsiteltäväksi asianmukaisesti ja selkeästi laadittu yleislaki tai yleislait henkilötietojen käsittelyn perusteista siltä osin kuin sille on tarvetta kansallisessa lainsäädännössä tietosuoja-asetuksen lisäksi.
Tällä hetkellä kuitenkin sääntelymallin kehittäminen on varsin sekavaa ja sitä on tehty viimeisen puolen vuoden aikana oikeusministeriön suojissa ilman avointa valmistelua. Epäselvä sääntelyn kehittämistä koskeva tilanne kulminoitui valtiovarainvaliokunnan mietinnössä (VaVM 20/2017 vp), jossa todettiin, että perustuslakivaliokunnan peräänkuuluttamaa kattavaa arviointia erityislaissa olevasta sääntelytarpeesta ei ole mahdollista vielä tehdä. Valiokunnan mukaan riittävät edellytykset syntyvät vasta, kun kansallista yleislakia koskeva esitys on annettu ja EU:n tietosuoja-asetuksesta on saatu auktoritatiivisia tulkintoja. Valiokunta jäi siten odottamaan paitsi kansallista yleislakia henkilötietojen suojasta, mutta myös varsin poikkeuksellisesti ilmaistuina auktoritatiivisia tulkintoja tietosuoja-asetuksesta. Eduskunnassa on siten jääty nyt odottelemaan tietosuoja-asetuksen tulkintoja, joita muotoilevat unionin tuomioistuin sekä tietosuoja-asetuksen säädetty Euroopan tietosuojaneuvosto. Näiltä osin kansallinen lainsäädäntövaltaa käyttävä eduskuntamme on ajautunut tilanteeseen, jossa ei ole selvää, miten Suomeen luotu raskas, monimutkainen ja kaksinkertainen sääntelymalli on purettavissa.
KANSALLINEN TIETOSUOJA-ASETUKSEN TÄYTÄNTÖÖNPANON VALMISTELU
Kansallista henkilötietojen suojaa koskevan lainsäädännön yhteensovittamista on pohdittu oikeusministeriön asettamassa nk. TATTI-työryhmässä, jossa ensivaiheessa valmisteltiin myös kansallisen tietosuojalain luonnosta. Työryhmä julkaisi mietintönsä kesäkuussa 2017 ja se ei ollut yksimielinen. Lakiehdotuksen luonnos sai useilta toimijoilta kriittistä palautetta lausunnoissa, kuten Itä-Suomen yliopistolta.
Tietosuojalakia on nyt jatkovalmisteltu hieman alle puolen vuoden ajan oikeusministeriössä virkatyönä ilman avointa jatkovalmistelua. Tietosuojalain luonnoksesta on kuitenkin saatavissa julkinen 18.1.2018 päivätty versio, joka on toimitettu lainsäädännön arviointineuvostolle. Tältä osin on syytä huomata, että luonnos on vasta jatkovalmistelussa tehdyn virkatyön tulos eikä hallituksen esitys. Siten seuraavassa esitetty arviointi perustuu vain luonnosvaiheessa olevaan asiakirjaan eikä viralliseen esitykseen, vaikka se on ollut toisessa viranomaisessa lausuttavana.
Lainsäädännön arviointineuvosto antoi varsin kriittisen lausuntonsa tietosuojalain luonnoksesta 8.2.2018. Arviointineuvosto katsoi, että luonnoksessa on merkittäviä puutteita. Neuvoston mukaan ilman puutteellisuuksien korjaamista on vakavasti harkittava, voiko hallituksen esitystä antaa eduskunnalla käsiteltäväksi. Neuvoston mukaan luonnoksen pohjalta ei todennäköisesti pysty muodostamaan riittävää ja perusteltua käsitystä esityksestä, eikä sen taloudellisista ja yhteiskunnallisista vaikutuksista. Arviointineuvosto totesi, että luonnos on osin vaikealukuinen. EU:n tietosuoja-asetuksen soveltajakunta on laaja, jolloin lakia soveltavat lähinnä muut kuin asiantuntijat. Neuvoston mukaan tämän vuoksi täytäntöönpanoa koskevan lain tulisi olla erityisen selkeä.
Arviointineuvoston havainto luonnoksen vaikealukuisuudesta on merkityksellinen perusoikeuksien toteuttamisen kannalta katsottuna. Perustuslakivaliokunta on toistuvasti todennut, että sääntelyn selkeyteen on syytä kiinnittää erityistä huomiota perusoikeuskytkentäisessä sääntelyssä, joka koskee luonnollisia henkilöitä heidän tavanomaiseen elämäänsä kuuluvissa toiminnoissa (PeVL 2/2018 vp, PeVL 31/2017 vp, PeVL 45/2016 vp). Tietosuojaa koskeva sääntely kuuluu väistämättä tällaiseen erityistä selkeyttä edellyttävään sääntelyyn.
Tältä osin arviointineuvoston kritiikki on otettava lakiehdotuksen jatkovalmistelussa vakavasti huomioon. Tietosuojalain 18.1.2018 luonnos pitää sisällään sellaisia säädöstekstiluonnosten muotoiluja aivan kuin ne olisivat käännöksiä jonkin muun maan säädöstekstistä. Lisäksi säännöksissä on epäselvyyttä lisääviä sisäisiä ristiinviittauksia. Ongelmaa sääntelyn epäselvyydestä lisää tietosuoja-asetuksen suomenkielinen virallinen versio, joka on monin paikoin vaikealukuinen ja pitää sisällään huonoa suomen kieltä. Lisäksi tietosuoja-asetuksen virallisessa käännöksessä on selkeitä virheiltä vaikuttavia epäloogisuuksia suhteessa esimerkiksi englannin- ja ruotsinkielisiin käännösversioihin. Suomi on yksi Euroopan unionin virallisista kielistä ja sääntelyltä, joka on suoraan sovellettavaa oikeutta Suomessa, tulee edellyttää käännöstyöltä hyvän ja ymmärrettävän kielenkäytön vaatimusta jo perusoikeuksien toteuttamisenkin kannalta katsottuna. Nyt tässä on selkeästi parantamisen varaa.
Useissa ministeriöissä on tehty myös valmistelua kansallisen erityislainsäädännön sovittamisesta tietosuoja-asetuksen kanssa. Osa näistä valmistelluista lakiehdotusluonnoksista on ollut jo lausunnoillakin. Monissa luonnoksissa muutokset ovat varsin pieniä ja niissä pyritään tekemään viittauksia tietosuoja-asetukseen ja kansalliseen tietosuojalakiin. Perustuslakivaliokunta on suhtautunut kriittisesti myös tällaisiin informatiivisiin viittaussäännöksiin (PeVL 49/2017 vp). Ministeriöissä tehty työ jääneekin nyt odottelemaan kevääksi, että kansallinen tietosuojalaki on käsitelty eduskunnassa. Tämä tarkoittaa sitä, että 25.5.2018 Suomessa ei ole täysin sovitettua lainsäädäntöä tietosuoja-asetuksen kanssa.
Koska näyttää siltä, että laaja sääntelyyn kohdistuva päivitystyö ei ole edennyt mallisuoritukseen, onkin syytä vakavasti harkita tietosuoja-asetuksen kansallisen valmistelun ja täytäntöönpanon riippumatonta jälkiarviointia kansallisen lainvalmistelun sekä siihen selkeästi kaivattavan valtioneuvostotasoisen hankejohtamisen kehittämiseksi. Jälkiarvioinnin tulokset voisivat tehostaa muutenkin EU-sääntelyn kansallisia täytäntöönpanotoimia laajemmin ja yleisellä tasolla. Esimerkiksi hankintalainsäädännön uudistaminenkin viivästyi vuonna 2016 täytäntöönpanotoimien hitauden vuoksi.
PARANNUKSIA TIETOSUOJALAKILUONNOKSEEN, MUTTA KEHITETTÄVÄÄKIN LÖYTYY VIELÄ
Tietosuojalain 18.1.2018 luonnos on muuttunut monin osin siitä, mitä se oli kesällä lausuntokierroksella. Lausunnoissa annettu palaute on otettu huomioon lakiehdotuksen jatkovalmistelussa. Tammikuun versiossa ehdotetaan, ettei hallinnollista seuraamusmaksua voisi määrätä valtion viranomaisille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille eikä tasavallan presidentin kanslialle. Säännösehdotus rajaisi viranomaistoiminnan liittyvän henkilötietojen käsittelyn pääosiltaan pois hallinnollisten seuraamusmaksujen piiristä perustelluista syistä, kuten monissa lausuntokierroksella annetuissa lausunnoissa esitettiin. Rajaus koskee nimenomaan viranomaisia eikä suinkaan kaikkea julkisen hallinnon toimintaa. Hyvä näin.
Sääntelyyn jää kuitenkin rakenteellisia ongelmia. Esimerkiksi hallinnollista seuraamusmaksua ei saa määrätä, jos on kulunut yli kymmenen vuotta siitä, kun rikkomus tai laiminlyönti on tapahtunut. Vanhentumisaika on varsin pitkä, kun otetaan huomioon, että rikosoikeudellisessa järjestelmässä henkilötietoihin kohdistuvat rikokset vanhenevat kahdessa vuodessa ehdotettavana olevana tietosuojarikoksena (nykyisin vielä henkilörekisteririkos). Viranomaisissa henkilötietojen käsittelyyn liittyviä rikoksia on ehtinyt vanhentumaan monesti henkilörekisteririkoksina, mutta syytteitä on nostettu tästä huolimatta vielä virkavelvollisuuden rikkomisesta, jossa vanhentumisaika on viisi vuotta. Nyt Suomeen ollaan luomassa järjestelmä, jossa rekisterinpitäjään tai henkilötietojen käsittelijään voidaan kohdistaa hallinnollinen seuraamusmaksu 10 vuoden vanhentumisajalla, kun tietosuojarikos vanhenee kahdessa vuodessa ja virkarikoksenakin viidessä vuodessa. Vanhentumisajoissa onkin havaittavissa jonkinasteista epäsuhtaa, jota tulisi vielä erikseen perustella lakiehdotuksen valmistelussa. Perustuslakivaliokunta on asiallisesti rinnastanut rangaistusluonteisen taloudellisen seuraamuksen rikosoikeudelliseen seuraamukseen (PeVL 28/2014 vp ja PeVL 9/2012 vp). Perustuslakivaliokunta on hallinnollisten seuraamusten yhteydessä todennut, että sääntelyn tulee olla täsmällistä ja hyväksyttävää, ja seuraamuksen tulee olla oikeassa suhteessa tekoon. Lisäksi järjestelmän kokonaisuudessaan tulee täyttää suhteellisuuden vaatimukset (PeVL 23/1997 vp, PeVL 56/2014 vp, PeVL 61/2014 vp).
TIETOSUOJALAUTAKUNTA LAKKAA, MUTTA UUSI ILMEISEN TARPEETON LAUTAKUNTA TULEE TILALLE
Tietosuojasääntelyn päivittämisen yhteydessä tietosuojalautakunta menettää tarpeellisuutensa, joskin sen rooli on jäänyt viimeisen 15 vuoden aikana varsin marginaaliseksi ja näkymättömäksi muutenkin. Tietosuojalautakunnan toiminnasta ei saanut tällä vuosikymmenellä useaan vuoteen tietoja, koska se jätti ratkaisunsa julkaisematta. Ratkaisuista tiedottamatta jättäminen on sekin ongelma julkisuuslain 20 §:n kannalta katsottuna. Sittemmin ratkaisuja on julkaistu jälkikäteen muutamalta vuodelta.
Tietosuojasääntelyn päivittämisen yhteydessä ei näytetä haluavan luopua lautakunnasta, vaan lakiehdotusluonnos sisältää ehdotuksen asiantuntijalautakunnasta, jonka tehtävänä olisi tietosuojavaltuutetun pyynnöstä antaa lausuntoja henkilötietojen käsittelyä koskevan lainsäädännön soveltamiseen liittyvistä merkittävistä kysymyksistä. Luonnoksen perustelujen mukaan ”asiantuntijalautakunta olisi tietosuojavaltuutetun toimistoon kuuluva toimiston sisäinen asiantuntijaelin, joka antaisi lausuntoja tietosuojavaltuutetun pyynnöstä henkilötietojen käsittelyä koskevan lainsäädännön soveltamiseen liittyvistä kysymyksistä”. Lisäksi luonnoksen mukaan asiantuntijalautakunnalla ei olisi muodollista päätösvaltaa.
Lakiehdotuksen mukaan lautakunnan jäseniin sovellettaisi rikosoikeudellista virkavastuuta. Lautakunnan jäsenet toimivat palkkiota vastaan. Lautakunnan nimittäisi kolmeksi vuodeksi kerrallaan valtioneuvosto. Asiantuntijalautakunta voisi kuulla ulkopuolisia asiantuntijoita. Siis lakiehdotusluonnoksen mukaan lautakunnan jäsenet olisivat virkavastuussa lautakunnan antamista lausunnoista, jotka eivät olisi oikeudellisesti sitovia, vaan tietosuojavaltuutettua konsultoivia. Lautakunnalla ei olisi edes muodollista päätösvaltaa, joten virkavastuun kantaminenkin taitaa jäädä lautakunnassa muodolliseksi.
Ehdotus asiantuntijalautakunnasta on vähintäänkin epämääräinen ja herättää kysymyksiä siitä, kenen intressejä tällaisella ehdotuksella lautakunnasta ajetaan. Lautakunnan toiminta olisi täysin riippuvaa siitä, olisiko tietosuojavaltuutetulla asioita, joista hän näkisi tarpeelliseksi pyytää lautakunnalta lausuntoa. Lakiehdotusluonnoksen mukaan lausuttavan asian tulisi olla merkittävä. Lakiehdotusluonnos pitää sisällään mahdollisuuden, että tietosuojavaltuutettu voi käyttää myös ulkopuolisia asiantuntijoita, joten tietosuojavaltuutettu ei jää tehtäviään suorittaessaan asiantuntijalautakunnan varaan, vaikka tietosuojavaltuutetun toimistosta ei löytyisi asiantuntemusta jonkin alan erityiskysymyksiin. Lisäksi on otettava huomioon, että tietosuoja-asetukseen liittyviä merkittäviä tulkintakysymyksiä käsittelee Euroopan tietosuojaneuvosto, jonka kanssa lautakunnan toiminta ei voi olla rinnakkaista. Tämäkin rajaa lautakunnan mahdollisuuksia toimia.
Jos luonnoksessa esitetty ehdotus etenee, Suomessa ei liene toista ilmeisen tarpeetonta lautakuntaa. Lainsäädännössä on säädetty paljon erilaisia lautakuntia. Muualla säädetyt lautakunnat ovat pääosin itsenäisiä viranomaisia, jotka tekevät oikeudellisesti merkityksellisiä ratkaisuja etuihin, oikeuksiin ja velvollisuuksiin liittyen. Muutama lainsäädännössä oleva lautakunta muistuttaa tosin enemmän neuvottelukuntaa, kuten oikeusministeriön yhteydessä toimiva turvallisuusselvitysasioiden arviointikriteerilautakunta. Ehdotettavan lautakunnan tehtävä rajautuisi lausuntojen antamiseen ja ne eivät sitoisi ketään – ei edes tietosuojavaltuutettua, joka voisi pyytää lausuntoja myös muilta asiantuntijoilta.
Lautakunnan perustamisen ehdottaminen edellyttäisi avointa keskustelua sen tarpeellisuudesta sekä siitä, mistä tällainen idea lautakunnan perustamisesta on peräisin ja kenen intressissä. Tietosuojavaltuutetun toimistolla on jo usealla alalla toimivia asiantuntijaverkostoja. Tässä asetelmassakin asiantuntijalautakunta vaikuttaa olevan syntyvä käenpoikanen. Asiantuntijalautakunta lienee vasta idea-asteella, joten sen tarpeellisuutta on syytä pohtia vielä huolellisesti ennen sen sisällyttämistä varsinaiseen hallituksen esitykseen tarkempine perusteluineen.
Tarpeeton sääntely kannattaa pitää myös mielessä erilaisia muita viittaussäännöksiä pohdittaessa tietosuojalakiin. Niitäkin luonnoksessa näytti olevan useita. Kansallisen yleislainsäädännön kehittämistä tulee jatkaa myös 25.5.2018 jälkeen, jotta henkilötietojen suojaa koskevaa erityislainsäädäntöä voidaan purkaa ja sääntelyä selkeyttää yleislainsäädännön tasolla. Tietosuojalaki ei vielä kaikilta osin palvele näitä tavoitteita.