TIETOSUOJAASIAT REKISTERINPIDOSSA Kristian Holmn Maanmittauslaitoksen tietosuojavastaavan sijainen Oikeuspalvelutvastuualue

TIETOSUOJA-ASIAT REKISTERINPIDOSSA Kristian Holmén Maanmittauslaitoksen tietosuojavastaavan sijainen, Oikeuspalvelut-vastuualue Maanmittauslaitoksen ja kuntien yhteinen kiinteistötehtävien koulutuspäivä 12. 9. 2018 1

GDPR? INNOSTUTAAN UUDESTA 7. 9. 2021 2

LAINSÄÄDÄNTÖTAUSTA • Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (”EU: n yleinen tietosuoja-asetus” tai ”GDPR”). • • Oikeusministeriön asettama työryhmä (ns. TATTI-työryhmä) luovutti 21. 6. 2017 mietinnön kansalliseen tietosuojalainsäädäntöön tehtävistä muutoksista. Mietintöön sisältyy ehdotus hallituksen esitykseksi uudeksi tietosuojalaiksi. • • EU: n yleistä tietosuoja-asetusta ryhdyttiin soveltamaan 25. 5. 2018 lukien kaikissa EU: n jäsenvaltioissa. Asetus on suoraan sovellettavaa oikeutta kaikissa EU: n jäsenvaltioissa. Uusi tietosuojalaki täydentää ja täsmentää EU: n yleistä tietosuoja-asetusta. Hallituksen esitys EU: n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi annettiin eduskunnalle 1. 3. 2018. Hallituksen esitys on parhaillaan hallintovaliokunnan ja perustuslakivaliokunnan käsittelyssä (11. 9. 2018). Uuden tietosuojalain voimaantulon ajankohdasta ei ole tietoa. Tällä hetkellä sovelletaan edelleen henkilötietolakia (453/1999) siltä osin kuin se ei ole ristiriidassa tietosuoja-asetuksen kanssa. Tarkoitus on se, että jatkossa henkilötietojen käsittelyyn ja tietosuojaan sovelletaan tietosuoja-asetusta ja tietosuojalakia henkilötietolain asemesta. Henkilötietojen käsittelystä on myös säännöksiä erityislainsäädännössä, kuten esimerkiksi maakaaressa (540/1995) ja kiinteistötietojärjestelmästä ja siitä tuotettavasta tietopalvelusta annetussa laissa (453/2002). 3

EU: N YLEISEN TIETOSUOJA-ASETUKSEN SOVELTAMISALA • EU: n yleistä tietosuoja-asetusta sovelletaan kaikkeen henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa (TSA 2 artikla 1 kohta). • Henkilötiedolla tarkoitetaan kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön (rekisteröity) liittyvät tiedot. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella (TSA 4 artikla 1 kohta). ”Jotta voidaan määrittää, onko luonnollinen henkilö tunnistettavissa, olisi otettava huomioon kaikki keinot, joita joko rekisterinpitäjä tai muu henkilö voi kohtuullisen todennäköisesti käyttää mainitun luonnollisen henkilön tunnistamiseen suoraan tai välillisesti, kuten kyseisen henkilön erottaminen muista. Jotta voidaan varmistaa, voidaanko keinoja kohtuullisen todennäköisesti käyttää luonnollisen henkilön tunnistamiseen, olisi otettava huomioon kaikki objektiiviset tekijät, kuten tunnistamisesta aiheutuvat kulut ja tunnistamiseen tarvittava aika sekä käsittelyajankohtana käytettävissä oleva teknologia ja tekninen kehitys. ” (EU: n yleisen tietosuoja-asetuksen johdanto 4 osan kohta 26)

EU: N YLEISEN TIETOSUOJA-ASETUKSEN SOVELTAMISALA • Perinteisesti on katsottu, että kiinteistötunnus voi olla henkilötieto mutta se ei aina välttämättä ole henkilötieto. Jos esimerkiksi osakeyhtiö omistaa kiinteistön, jolla harjoitetaan liiketoimintaa, eikä kiinteistöön kohdistu muita oikeuksia kuin omistusoikeus, niin on katsottu, että kiinteistötunnus ei ole henkilötieto kyseisessä asiayhteydessä. • Tietosuojalautakunta on ratkaisussaan (Dnro 2/932/2009/1. 2. 2010) katsonut, että ajoneuvojen rekisterinumeroita tulee pitää henkilötietolain (523/1999) tarkoittamina henkilötietoina sillä perusteella, että tieto ajoneuvon omistajasta on sen rekisterinumeron perusteella hankittavissa yhdellä puhelinsoitolla erinäisistä palvelunumeroista ja palvelun hinta oli vain 3, 5 euroa. Ympäristöministeriön raportissa 10/2018 (Henkilötiedot ja paikkatiedot, miten tietosuojalainsäädäntö vaikuttaa paikkatietojen julkaisemiseen ja luovuttamiseen, Päivi Korpisaari) on vastaavan suuntaisesti katsottu, että kiinteistötunnus on sen omistajaa koskeva henkilötieto (ks. esim. ko. raportin s. 46 ja 64). ”Vastaavasti esimerkiksi kiinteistötunnusta voidaan pitää henkilötietona, koska kiinteistön omistaja on helposti puhelimitse tai sähköpostilla selvitettävissä. Myös omakotitalon osoitetta voidaan samalla logiikalla pitää henkilötietona, koska kiinteistötunnus ja kiinteistön omistaja ovat helposti ja suuremmitta kustannuksitta selvitettävissä. ” ”Käytännössä esimerkiksi karttoja ei kuitenkaan ole pidetty henkilötietoina, vaikka niistä ilmenisi osoite tai kiinteistön rekisterinumero, jonka avulla yksittäisen henkilön asuttama rakennus tai omistama kiinteistö voidaan selvittää. Tässä kohden tiedon hyödyllisyys ja tarpeellisuus sekä pitkäaikainen yleinen käyttö ja henkilötiedon luonne epäsuorana henkilötietona (tunnistettavuus vaatii lisätoimia) näyttävät ajaneen henkilötietolainsäädännön kirjaimisellisen tulkinnan ohi. ” 5

HENKILÖTIETOJEN KÄSITTELYN PERUSTEET • Rekisterinpitäjä saa käsitellä henkilötietoja vain tietosuoja-asetuksen 6 artiklassa yksilöidyllä perusteella. Muussa tapauksessa henkilötietojen käsittely on laitonta. • Tietosuoja-asetuksessa säädetään yhteensä kuudesta oikeusperusteesta: rekisteröidyn suostumus, sopimuksen tai sitä edeltävien toimien täytäntöönpano, rekisterinpitäjän lakisääteinen velvoite, rekisteröidyn tai muun henkilön elintärkeiden etujen suojaaminen, yleistä etua koskevan tehtävän hoitaminen tai rekisterinpitäjälle kuuluvan julkisen vallan käyttäminen ja rekisterinpitäjän tai sivullisen oikeutettujen etujen toteuttaminen. • • Henkilötietojen käsittelyn oikeusperuste vaikuttaa muun muassa rekisteröidyn oikeuksien käyttämiseen. Tämän takia on tärkeää tunnistaa relevantti oikeusperuste jo ennen henkilötietojen käsittelyn aloittamista. Tietosuoja-asetuksessa säädetään myös muista henkilötietojen käsittelyn lainmukaisuuden edellytyksistä, kuten muun muassa suostumuksen edellytyksistä ja arkaluonteisten henkilötietojen käsittelyn edellytyksistä (TSA 7 -11 artikla). 6

HENKILÖTIETOJEN KÄSITTELYN PERIAATTEET • Rekisterinpitäjän pitää pystyä osoittamaan, että tietosuoja-asetuksen 5 artiklan mukaisia henkilötietojen käsittelyn periaatteita on noudatettu rekisterinpitäjän toiminnassa (ns. osoitusvelvollisuus eli accountability). • • • Rekisterinpitäjä ei näin ollen voi ulkoistaa osoitusvelvollisuutta kolmannelle osapuolelle, kuten esimerkiksi sellaiselle taholle, joka käsittelee henkilötietoja rekisterinpitäjän lukuun sopimuksen tai muun toimeksiannon perusteella eli ns. henkilötietojen käsittelijälle. EU: n yleisessä tietosuoja-asetuksessa säädetään yhteensä kuudesta periaatekokonaisuudesta: lainmukaisuus, kohtuullisuus ja läpinäkyvyys, käyttötarkoitussidonnaisuus, tietojen minimointi, täsmällisyys, säilytyksen rajoittaminen sekä eheys ja luottamuksellisuus. Osoitusvelvollisuus edellyttää rekisterinpitäjältä konkreettisia ja dokumentoituja toimenpiteitä vaatimustenmukaisuuden osoittamiseksi. • Tämän takia Maanmittauslaitokseen asetettiin Tietosuoja/to-projekti 2017 huolehtimaan siirtymäaikana suoritettavista toimenpiteistä vaatimustenmukaisuuden saavuttamiseksi: tietovirtakuvaukset, tietosuojariskien kartoitukset, sopimusinventaario ja sopimusmuutokset, tietosuojavastaavan ja tietosuojaorganisaation nimeäminen, vuoden 2018 tietotilinpäätöksen valmistelutoimenpiteet, ohjeistukset ja koulutukset henkilöstölle, politiikkojen ja suunnitelmien päivitykset, kuvausten ja selosteiden päivitykset, lokituksen ja tietosuojan varmistaminen järjestelmäkehityksessä, tarvittavien lainsäädäntömuutosten toteuttamiseen osallistuminen. 7

GDPR REKISTERINPITÄJÄN VELVOLLISUUDET JA REKISTERÖIDYN OIKEUDET 7. 9. 2021 8

REKISTERINPITÄJÄN VELVOLLISUUDET • Rekisterinpitäjä on vastuussa siitä, että se toteuttaa tarvittavat tekniset ja organisatoriset toimenpiteet, joilla varmistetaan ja käytännössä myös osoitetaan, että henkilötietojen käsittelyssä noudatetaan tietosuoja-asetuksen vaatimuksia (TSA 24 artikla). • • Toimenpiteet mitoitetaan riskiarvioinnin perusteella, jossa otetaan huomioon muun muassa käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä rekisteröityjen oikeuksiin ja vapauksiin kohdistuvat riskit. Rekisterinpitäjän on myös varmistettava, että henkilötietojen käsittelyyn käytettävä järjestelmä täyttää sisäänrakennetun ja oletusarvoisen tietosuojan vaatimukset (TSA 25 artikla). • Sisäänrakennettu tietosuoja tarkoittaa, että henkilötietojen käsittely on suunniteltava siten, että tiedot suojataan asianmukaisesti ja että tietojen käsittelyssä noudatetaan tietosuoja-asetusta (ns. privacy by design). Oletusarvoinen tietosuoja tarkoittaa, että rekisterinpitäjän on toteutettava tarvittavat toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käyttötarkoituksen kannalta tarpeellisia tietoja ja että tietoja ei saateta rajoittamattoman piirin käyttöön ilman rekisteröidyn myötävaikutusta (ns. privacy by default). 9

REKISTERINPITÄJÄN VELVOLLISUUDET • Joissakin organisaatioissa, kuten muussa viranomaisessa tai julkishallinnon elimessä kuin lainkäyttötehtäviään hoitavassa tuomioistuimessa, on nimitettävä tietosuojavastaava. Tietosuojavastaava on riippumaton ja raportoi suoraan rekisterinpitäjän ylimmälle johdolle (TSA 37 -39 artikla). • Rekisterinpitäjän on lähtökohtaisesti ilmoitettava henkilötietojen tietoturvaloukkauksesta valvontaviranomaiselle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa loukkauksen ilmitulosta (TSA 33 artikla). Tietosuoja-asetuksessa on säädetty valvontaviranomaiselle tehtävän ilmoituksen sisällöstä. • • Henkilötietojen tietoturvaloukkauksella tarkoitetaan tietosuoja-asetuksessa loukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin. Tietoturvaloukkauksia voivat edellä mainitun määritelmän mukaisesti olla esimerkiksi hävinnyt tiedonsiirtäväline (kuten USB-tikku), varastettu tietokone, hakkerointi tietojärjestelmään, haittaohjelmatartunta, kyberhyökkäys verkkopalveluun, tulipalo datakeskuksessa tai tiliotteen postitus väärälle henkilölle. 10

REKISTERINPITÄJÄN VELVOLLISUUDET • Tietosuojavaltuutetun toimiston verkkosivuilta löytyy EU: n tietosuojatyöryhmän laatima taulukko, johon sisältyy esimerkkejä henkilötietojen tietoturvaloukkauksista ja siitä, kenelle niistä on ilmoitettava (https: //tietosuoja. fi/tietoturvaloukkaukset). • Esimerkki tilanteesta, jossa tietoturvaloukkauksesta on lähtökohtaisesti ilmoitettava sekä valvontaviranomaiselle että asianomaisille rekisteröidyille on se, että suuren henkilömäärän henkilötiedot lähetetään erehdyksessä väärälle postituslistalle, jolla on yli tuhat vastaanottajaa (s. 4). Jos taas esimerkiksi rekisterinpitäjän puhelinpalvelukeskuksessa tapahtuu lyhyt, useita minuutteja kestävä sähkökatko, jonka vuoksi asiakkaat eivät voi soittaa rekisterinpitäjälle ja päästä tietoihinsa, tapahtumasta ei tarvitse ilmoittaa valvontaviranomaiselle ja rekisteröidyille (s. 2). • • Rekisterinpitäjän on lähtökohtaisesti ilmoitettava tietoturvaloukkauksesta myös rekisteröidylle, jos tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin henkilön oikeuksille ja vapauksille. Loukkauksesta on ilmoitettava rekisteröidylle ilman aiheetonta viivytystä. Tämä ilmoitus vastaa keskeiseltä sisällöltään valvontaviranomaiselle annettavaa ilmoitusta. Osoitusvelvollisuuden kannalta on tärkeää, että kaikki tietoturvaloukkaukset dokumentoidaan asianmukaisella tavalla. • Kaikki henkilötietojen tietoturvaloukkaukset sekä niiden vaikutukset ja toteutetut korjaavat toimenpiteet on dokumentoitava riippumatta siitä, mitä toimenpiteitä tietoturvaloukkauksesta lopulta seuraa. 11

REKISTERÖIDYN OIKEUDET • Rekisterinpitäjän on suunniteltava toimintansa siten, että se voi pyynnöstä toimittaa rekisteröidylle henkilötietojen käsittelyä koskevat tiedot (TSA 12 artikla). • EU: n yleisessä tietosuoja-asetuksessa on yksityiskohtaisesti kuvattu ne henkilötiedon käsittelyyn liittyvät tiedot, jotka rekisterinpitäjän tulee toimittaa rekisteröidylle henkilötiedot saatuaan (TSA 13 ja 14 artikla). Käytännössä kyse on tietosuojaselosteesta tai sitä vastaavasta dokumentaatiosta. Lisäksi rekisteröidyllä on tietosuoja-asetuksen perusteella oikeus saada pääsy henkilötietoihin, joita hänestä on kerätty (TSA 15 artikla). • Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee tai poistaa rekisteröityä koskevia henkilötietoja tai rajoittaa henkilötietojen käsittelyä (TSA 16 -18 artikla). • • Oikeus vaatia tietojen poistamista ei koske lakisääteisen velvoitteen hoitamiseen tai julkisen vallan käyttämiseen perustuvaa henkilötietojen käsittelyä, kuten esimerkiksi lakisääteisen rekisterin pitämisen yhteydessä tapahtuvaa henkilötietojen käsittelyä. On esiintynyt erilaisia tulkintoja siitä, voiko rekisteröity vaatia henkilötietojen käsittelyn rajoittamista myös silloin, kun käsittely perustuu lakisääteisen velvoitteen hoitamiseen. 12

REKISTERÖIDYN OIKEUDET • Hallituksen esitykseen eduskunnalle laeiksi maa- ja metsätalousministeriön hallinnonalan eräiden henkilötietojen käsittelyä koskevien säännösten muuttamisesta (HE 26/2018 vp) sisältyy ehdotus kiinteistötietojärjestelmästä ja siitä tuotettavasta tietopalvelun annetun lain uudeksi 6 §: n 4 momentiksi, jossa säädettäisiin poikkeuksesta henkilötietojen käsittelyn rajoittamista koskevaan rekisteröityyn oikeuteen kiinteistötietojärjestelmän osalta. ”Kiinteistötietojärjestelmään sisältyvät maanomistusyksiköitä sekä niiden omistusta ja vakuuskäyttöä koskevat tiedot muodostavat yhdessä niin sanotun perusrekisterikokonaisuuden. Jatkuvasti ylläpidetyt ja luotettavat kiinteistö- sekä lainhuuto- ja kiinnitysrekisteri ovat käytännössä ehdoton edellytys luototus- ja vakuusjärjestelmän keskeytymättömälle toiminnalle ja kiinteistöjä koskevien oikeustoimien osapuolten oikeusturvan toteutumiselle. Kiinteistötietojärjestelmään sisältyvät mainitut tiedot muodostavat käytännössä luotonannon perustan, ja siten niiden jatkuva käytettävyys on kriittistä viranomaisten sekä luottolaitosten toiminnalle. Tietosuoja-asetuksen 18 artiklan mukaisen rajoitusoikeuden täysimittainen käyttäminen voisi tästä syystä käytännössä vaarantaa kiinteistöjen vaihdantaan ja vakuuskäyttöön liittyvien yhteiskunnan keskeisten prosessien häiriöttömän jatkumisen. Edellä mainituista syistä poikkeusta 18 artiklan soveltamisesta pidetään tarpeellisena. ” 13

REKISTERÖIDYN OIKEUDET • Rekisterinpitäjä on lähtökohtaisesti velvollinen ilmoittamaan tehdyistä oikaisu-, poisto- tai rajoitustoimenpiteistä jokaiselle, jolle henkilötietoja on luovutettu. Rekisterinpitäjän on myös pyynnöstä ilmoitettava rekisteröidylle, kenelle tietoja on luovutettu (TSA 19 artikla). • Rekisteröidyllä on tietyissä tietosuoja-asetuksessa säännellyissä tilanteissa oikeus saada itseään koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu (TSA 20 artikla). • Kysymyksessä oleva oikeus koskee kuitenkin vain sellaista henkilötietojen käsittelyä, joka perustuu suostumukseen tai sopimukseen, ja joka suoritetaan automaattisesti, eli se ei koske lakisääteisen tehtävän hoitamiseksi suoritettavaa henkilötietojen käsittelyä, kuten esimerkiksi lakisääteisen rekisterin pitämisessä suoritettavaa henkilötietojen käsittelyä. 14

REKISTERÖIDYN OIKEUDET • Rekisteröidyllä on oikeus vastustaa häntä koskevien henkilötietojen käsittelyä suoramarkkinointitarkoituksiin ja eräisiin muihin EU: n yleisessä tietosuoja-asetuksessa mainittuihin tarkoituksiin (TSA 21 artikla). • • Yleinen vastustamisoikeus koskee vain käsittelyä, joka perustuu yleistä etua koskevan tehtävän suorittamiseen, rekisterinpitäjälle kuuluvan julkisen vallan käyttöön tai rekisterinpitäjän tai kolmannen osapuolen oikeutetun edun toteuttamiseen. Yleistä vastustamisoikeutta ei näin ollen sovelleta lakisääteisen tehtävän hoitamiseen perustuvaan henkilötietojen käsittelyyn. Viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 16 §: n 3 momentin perusteella viranomaisen henkilörekisteristä saa luovuttaa tietoja suoramarkkinointia ja mielipide- tai markkinatutkimusta varten vain, jos niin erikseen säädetään tai jos rekisteröity on antanut siihen suostumuksensa. Tämän takia suoramarkkinointia koskeva vastustamisoikeus ei tule kysymykseen viranomaisen henkilörekisterin osalta. Rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai muuta merkittävää vaikutusta (TSA 22 artikla) • Tämä oikeus ei kuitenkaan koske muun muassa lakisääteistä automaattista päätöksentekoa. 15

Minusta tulee isona tietosuojavastaava VALTION EDELLÄKÄVIJÄ 7. 9. 2021 16

TIETOTURVALLISUUS JA VAIKUTUSTENARVIOINTI • Tietosuoja-asetuksessa on omaksuttu riskiperusteinen lähestymistapa arvioitaessa henkilötietojen käsittelyyn liittyviä turvallisuustoimenpiteitä. Tietosuoja-asetuksen perustella rekisterinpitäjän tai henkilötietojen käsittelijän on arvioitava käsittelyyn liittyvät riskit (turvallisuustaso) ja toteutettava tarvittavat toimenpiteet näiden riskien pienentämiseksi (TSA 32 artikla). • • Rekisterinpitäjän on jo ennen henkilötietojen käsittelyn aloittamista määriteltävä henkilötietojen käsittelylle asianmukainen turvallisuustaso ja asetettava teknisiä ja organisatorisia vaatimuksia kysymyksessä olevan turvallisuustason saavuttamiseksi. Tietosuoja-asetus määrittelee toimet turvallisuustason arvioimiseksi sekä ohjeistaa vaatimustenasettelua. Tukena vaatimusten asettamisessa voidaan myös käyttää VAHTItietoturvavaatimuksia. Jos tulevaan henkilötietojen käsittelyyn, esimerkiksi uutta teknologiaa käytettäessä, kohdistuu todennäköisesti rekisteröityjen kannalta korkea riski, on rekisterinpitäjän tietosuoja-asetuksen nojalla tehtävä tietosuojaa koskeva vaikutustenarviointi (TSA 35 artikla) • Asetuksen perusteella vaikutustenarviointi on tehtävä esimerkiksi silloin, kun on tarkoitus ottaa käyttöön automaattista päätöksentekoa, jossa arvioidaan henkilöiden ominaisuuksia kattavasti ja järjestelmällisesti. Vaikutustenarviointi soveltuu myös muihin laajoihin käsittelytoimiin, esimerkiksi suunniteltaessa tietojärjestelmiä tai palveluita, joissa on tarkoitus käsitellä huomattavia määriä henkilötietoja tai jotka voivat vaikuttaa suureen määrään rekisteröityjä 17

VAHINGONKORVAUKSET JA MUUT SANKTIOT • Henkilöllä, jolle on aiheutunut tietosuoja-asetuksen rikkomisen vuoksi vahinkoa, on oikeus saada täysi korvaus vahingosta joko rekisterinpitäjältä tai henkilötietojen käsittelijältä (TSA 82 artikla). Rekisterinpitäjä ja kaikki henkilötietojen käsittelijät ovat yhteisvastuussa käsittelyn lainmukaisuudesta suhteessa rekisteröityyn. • Rekisterinpitäjä ja henkilötietojen käsittelijä voivat joutua maksamaan EU: n yleisessä tietosuoja-asetuksessa tarkoitettuja hallinnollisia sakkoja tietosuoja-asetuksen rikkomisen perusteella (TSA 83 artikla). • • Hallinnollisen sakon määrä voi olla enintään 20 miljoonaa euroa tai 4 % organisaation vuotuisesta liikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. Eduskunnalle 1. 3. 2018 annettuun hallitukseen esitykseen yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi sisältyy ehdotus, jonka perusteella sakkoa ei voida määrätä valtion viranomaisille, valtion liikelaitoksille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille eikä tasavallan presidentin kanslialle (tietosuojalaki 25 § 2 mom. ). Valvontaviranomaisella on käytettävissään myös muita tietosuoja-asetuksessa yksilöityjä keinoja rekisterinpitäjän ohjaamiseen ja lainvastaisen käsittelyn lopettamiseen, kuten esimerkiksi rekisterinpitäjälle annettava huomautus tai varoitus tai määräys saattaa käsittely asetuksen ja lain mukaiseksi annetussa määräajassa. 18

HENKILÖTIETOJEN LUOVUTTAMINEN • Tietosuoja-asetus mahdollistaa julkisuusperiaatteen ja tietosuojan yhteensovittamisen. Tietosuoja-asetuksen 86 artiklan mukaan viranomaiset voivat luovuttaa viranomaisten asiakirjojen sisältämiä henkilötietoja viranomaiseen sovellettavan kansallisen lainsäädännön mukaisesti, jotta voidaan sovittaa yhteen virallisten asiakirjojen julkisuus ja tämän asetuksen mukainen oikeus henkilötietojen suojaan. • • Hallitukseen esitykseen yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi sisältyy ehdotus, jonka mukaan oikeuteen saada tieto ja muuhun henkilötietojen luovuttamiseen viranomaisen henkilörekisteristä sovellettaisiin, mitä viranomaisten toiminnan julkisuudesta säädetään (tietosuojalaki 28 §, ks. vastaavasti henkilötietolaki 8 § 4 momentti). Julkisia henkilötietoja voidaan viranomaisten toiminnan julkisuudesta annetun lain (”julkisuuslaki”) nojalla antaa viranomaisen henkilörekisteristä kahdella pääasiallisella tavalla • • Viranomainen antaa henkilötiedot suullisesti tai nähtäväksi ja jäljennettäväksi viranomaisen tiloissa (julkisuuslaki 16 § 1 momentti) Viranomainen antaa henkilötietoja sisältävän kopion, tulosteen tai sen tiedot sähköisessä muodossa (julkisuuslaki 16 § 3 momentti) 19

HENKILÖTIETOJEN LUOVUTTAMINEN • Viranomainen voi antaa yksittäisiä henkilötietoja suullisesti tai nähtäväksi ja jäljennettäväksi viranomaisen tiloissa • • Viranomainen voi antaa henkilötietoja sisältävän kopion tai tulosteen tai sen tiedot sähköisessä muodossa, jos tiedon pyytäjällä on oikeus tallettaa ja käyttää luovutettavia henkilötietoja • • • Tiedon pyytäjä voi esimerkiksi itse tehdä merkintöjä henkilörekisteriin merkityistä julkisista henkilötiedoista ja muista julkisista tiedoista ilman käyttötarkoituksen tai henkilöllisyyden selvittämistä viranomaiselle Tämän henkilötietojen luovutusta koskevan erityisedellytyksen tarkoituksena ei ole estää tai rajoittaa henkilötietojen julkisuutta vaan estää henkilötietojen julkisuuden käyttämistä lain vastaiseen henkilötietojen käsittelyyn. Sen sijaan henkilötietojen luovutus teknisen käyttöyhteyden avulla, kuten esimerkiksi tietojen luovutus kiinteistötietojärjestelmästä tai kiinteistöjen kauppahintarekisteristä rajapintojen kautta, ei ole mahdollista ilman lain säännöstä tietojen luovutuksesta (ks. esim. KHO 2015: 41) Julkisuuslain rajoitukset henkilötietojen luovuttamiselle kopiona, tulosteena tai sähköisessä muodossa tulevat sovellettaviksi vain siltä osin, kuin muualla laissa ei ole toisin säädetty (lex generalis) 20

HENKILÖTIETOJEN LUOVUTTAMINEN • Edellä mainitun julkisuuslakiin sisältyvän luovutusrajoituksen edellyttämä oikeus tallettaa ja käyttää luovutettavia henkilötietoja määräytyy 25. 5. 2018 lukien tietosuojaasetuksen säännösten mukaan • • Henkilötietojen käsittelyn perusteista eli ns. oikeusperusteista säädetään edellä todetun mukaisesti tietosuoja-asetuksen 6 artiklassa. Lisäksi henkilötietoja voidaan tietosuojaasetuksen 85 artiklan perusteella käsitellä journalistisiin tarkoituksiin, tai akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten. Lisäksi on syytä huomata, että tietosuoja-asetusta ei sovelleta lainkaan henkilötietojen käsittelyyn, jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa. Tiedon pyytäjän on esitettävä selvitys siitä, että hänellä on henkilötietojen suojaa koskevien säännösten mukaan oikeus tallettaa ja käyttää niitä henkilötietoja, joita hän on pyytänyt kopiona, tulosteena tai sähköisessä muodossa (ks. julkisuuslaki 13 § 2 momentti) • Viranomaisen henkilörekisteristä ei kuitenkaan saa luovuttaa henkilötietoja suoramarkkinointia taikka mielipide- tai markkinatutkimusta varten (julkisuuslaki 16 § 3 momentti). Poikkeuksen luovutuskiellosta muodostaa tilanteet, joissa luovutuksesta säädetään erityislaissa tai henkilö on antanut suostumuksen henkilötietojen luovutukseen. 21

Kiitos! EU: n yleinen tietosuoja-asetus verkossa: http: //eur-lex. europa. eu/legal-content/FI/TXT/PDF/? uri=OJ: L: 2016: 119: FULL&from=FI Lisätietoja tietosuojavaltuutetun verkkosivuilta: www. tietosuoja. fi 22