Lausunto luonnoksesta hallituksen esitykseksi seuraamusmaksujen määräämisestä tietosuojalainsäädännön rikkomuksista julkissektorilla

Lausunto luonnoksesta hallituksen esitykseksi seuraamusmaksujen määräämisestä tietosuojalainsäädännön rikkomuksista julkissektorilla

Oikeusministeriölle

Dnro L2025-70

Lausuntopyyntönne: VN/26120/2023-OM-100, 02.10.2025
LAUSUNTO LUONNOKSESTA HALLITUKSEN ESITYKSEKSI HALLINNOLLISTEN SEURAAMUSMAKSUJEN MÄÄRÄÄMISESTÄ TIETOSUOJALAINSÄÄDÄNNÖN RIKKOMUKSISTA JULKISSEKTORILLA

Suomen Asianajajat kiittää mahdollisuudesta lausua luonnoksesta hallituksen esitykseksi seuraamusmaksujen määräämisestä tietosuojalainsäädännön rikkomuksista julkissektorilla.

Yhtenä Suomen Asianajajien sääntömääräisenä tehtävänä on seurata oikeuskehitystä maassa ja lausuntoja antamalla sekä aloitteita tekemällä tarjota kokemuksensa yhteiskunnan käytettäväksi. Suomen Asianajajien oikeuspoliittisen työn lähtökohta on oikeusvaltion turvaaminen. Lausunnoissaan Suomen Asianajajat pyrkii painottamaan oikeusvaltioperiaatteen toteutumiseen, oikeusturvaan sekä oikeuden saavutettavuuteen, perus- ja ihmisoikeuksien sekä asianajajakunnan itsenäisyyden ja riippumattomuuden turvaamiseen liittyviä näkökulmia. Pyydettynä lausuntona Suomen Asianajajat esittää seuraavaa.

Yleistä

Suomen Asianajajat kannattaa hallinnollisen seuraamusmaksun soveltamisalan laajentamista koskemaan myös julkisen sektorin toimijoita.

Suomen Asianajajat on tuonut useaan eri otteeseen esiin huolensa siitä, että julkinen sektori päätettiin jättää seuraamusmaksuriskin ulkopuolelle. Suomen Asianajajat on katsonut, että lakimuutos on tarpeen seuraamusjärjestelmän johdonmukaisuuden, tehokkuuden, oikeudenmukaisuuden ja varoittavuuden varmistamiseksi. Siksi Suomen Asianajajat pitikin erittäin hyvänä sitä, että Petteri Orpon hallituksen ohjelmaan 20.6.2023 kirjattiin maininta hallituksen toteuttamasta tietosuojalainsäädännön kokonaisuudistuksesta, jonka yhteydessä säädetään hallinnolliset seuraamusmaksut tietosuojaloukkauksista koskemaan sekä julkista että yksityistä sektoria yhtäläisesti.

Suomen Asianajajat oli itse asiassa jo tietosuojalakia säädettäessä vuonna 2018 sitä mieltä, että lakiehdotus, jolla jätettiin tietyt viranomaiset ja julkishallinnon elimet hallinnollisten seuraamusmaksujen ulkopuolelle, ei ollut kannatettava, sillä se oli omiaan asettamaan yksityisen ja julkisen sektorin toimijat seuraamusjärjestelmässä eriarvoiseen asemaan. Näin on myös käytännössä tapahtunut. Suomen Asianajajat pysyy siten edelleen kannassa ja toistaa jo aiemmin esittämänsä perustelut ja täydentäen niitä seuraavasti.

Tehokkuus, oikeasuhtaisuus ja varoittavuus

Yleisen tietosuoja-asetuksen 84 artiklassa 1 kohdassa todetaan, että sääntelyn rikkomisesta seuraavien seuraamusten on oltava tehokkaita, oikeasuhtaisia ja varoittavia. Seuraamusmaksujen osalta jäsenvaltioille on kuitenkin annettu liikkumavaraa sen määrittämiseksi, miltä osin julkishallinnon toimijoille voidaan määrätä tietosuoja-asetuksen mukaisia seuraamusmaksuja. Vaikka tietosuojalakia (1050/2018) Suomessa säädettäessä päädyttiin siihen, ettei seuraamusmaksua voida määrätä julkishallinnon toimijoille tietosuojalain 24 §:n 4 momentin mukaisesti, lainsäädäntövaiheessa tunnistettiin kuitenkin tarve arvioida tätä linjausta uudelleen sääntelyn soveltamisen kautta saadun tiedon valossa.

On osoittautunut Suomen Asianajajien uumoilemalla tavalla, että muut tietosuoja-asetuksen mukaiset seuraamukset, kuten huomautus ja käsittelykielto, eivät riitä täyttämään tietosuoja-asetuksen rekisteröityjen oikeussuojaksi edellyttämän tehokkaan, oikeasuhtaisen ja varoittavan seuraamusjärjestelmän vaatimusta. Nykyinen seuraamusvalikoima saattaa myös yksityissektorin eriarvoiseen asemaan julkishallinnon kanssa. Esimerkiksi tietosuojavaltuutetun toimiston lausunnossa 31.1.2025 arviomuistiosta viranomaisia koskevista seuraamuksista tietosuojalainsäädännön rikkomisesta, on tuotu esiin, että ”käytännössä kynnys antaa huomautus viranomaistoimijalle on muodostunut korkeammaksi kuin yksityissektorin toimijoille. Tämä johtuu siitä, että keinovalikoimassa ei julkisen sektorin osalta käytännössä ole huomautusta ankarampaa seuraamusta.”

Edellä mainittu on ongelmallista ei paitsi yhdenvertaisuuden, vaan myös oikeuskäytännön tulkinnan ja ennakoitavuuden näkökulmasta: viranomaistahoihin kohdistuneita päätöksiä tietosuojalainsäädännön rikkomisesta ei välttämättä voida tehdä päätelmiä päätöksen kohteena olevan teon moitittavuudesta siinä tapauksessa, että aivan vastaava teko olisi tapahtunut yksityisellä sektorilla.

Todettakoon myös, että käsittelykielto, joka voi olla jopa seuraamusmaksua ankarampi toimenpide ja teoreettinen lisävaihtoehto seuraamusvalikoimaan, ei viranomaistoiminnassa monessa tapauksissa olisi tarkoituksenmukainen tai muutoin soveltuva toimenpide. Esimerkiksi sote-alalla tai puolustus- tai turvallisuussektorilla käsittelykiellon määrääminen viranmaistaholle voi olla jopa käytännössä mahdotonta.

Toisaalta pelkän huomautuksen vaikutukset ovat julkisella sektorilla yksityissektoria laimeammat. Huomautuksella voi olla erityisesti yksityisellä sektorilla vaikutusta erityisesti mainehaitan muodossa. Mainehaitan vuoksi asiakkaat voivat kääntyä muiden, luotettavammiksi koettujen palveluntarjoajien puoleen tietosuojarikkomusten seurauksena. Julkisen sektorin toimijoiden osalta rekisteröidyillä ei sen sijaan useinkaan ole mahdollista tehdä tällaista valintaa, ja ”vaihtaa palveluntarjoajaa” saati vastustaa usein lakiin tai yleiseen etuun perustuvaa henkilötietojen käsittelyä.

Rikosoikeudellinen virkavastuu ei ”kompensoi” seuraamusmaksua sanktiokeinona

Rikosoikeudellinen virkavastuu puolestaan suhteutuu rinnakkaisena sanktiokeinona erittäin huonosti hallinnolliseen seuraamusmaksuun seuraavista syistä: (i) seuraamusmaksusta päätetään hallinnollisessa prosessissa seuraamusmaksukollegion toimesta, kun taas rikosoikeudellisen vastuun langettamisesta voi päättää yksinomaan tuomioistuin; (ii) rikosoikeudellisen vastuun toteutumiskynnys on näyttövaatimusten vuoksi huomattavasti korkeampi kuin seuraamuskollegion langettaman hallinnollisen seuraamusmaksun ja (iii) rikosoikeudellisen vastuun kohteena on aina yksilö ei organisaatio, mikä voi johtaa yksilön kannalta kohtuuttomaan tilanteeseen.

Mitä viimeksi mainittuun seikkaan tulee, on hyvä muistaa, että vastuu henkilötietojen käsittelyn laillisuudesta on rekisterinpitäjällä tai henkilötietojen käsittelijällä. Kun rekisterinpitäjä tai käsittelijä on viranomainen, ei yksittäinen luonnollinen henkilö voi käytännössä olla tällainen tietosuoja-asetuksessa tarkoitettu rekisterinpitäjä ja tai käsittelijä. Virkavastuuseen tai rikosoikeudelliseen vastuuseen perustuva sanktiointi ei siten yleensä ole mielekäs malli vastuun kohdentumisen näkökulmasta. Seuraamuksen kohdistuessa yksittäiseen virkamieheen tarkoittaa sitä, että seuraamus lankeaa käytännössä toiselle oikeussubjektille kuin tietosuojasääntelyssä tarkoitetulle pääasialliselle vastuusubjektille, eli rekisterinpitäjälle tai henkilötietojen käsittelijälle.

Viranomaisen budjettirahoituksen niukkuus ei voi olla hyväksyttävä peruste jättää julkishallinto seuraamusmaksujen ulkopuolelle

Viranomaisen budjettirahoituksen niukkuus ei sekään ole hyväksyttävä perustelu sille, että kansalaisten henkilötietojen käsittelyä sekä tietojärjestelmiä ei kehitetä tai saateta tietosuojalainsäädännön mukaisiksi. Uhka seuraamusmaksusta loisi julkishallinnon organisaatioille välittömästi hahmottuvan investointien vaihtoehtoiskustannuksen, mikä on ollut tietosuoja-asetuksen sääntelyn taustalähtökohta. Hallinnollisen seuraamusmaksun uhkalla voi olla myös ennaltaehkäisevää vaikutusta.

Ei ole perusteltua jatkaa käytäntöä, jossa julkinen ja yksityinen sektori ovat keskenään eriarvoisessa asemassa

Tietosuojalaki on saattanut yksityisen ja julkisen sektorin toimijat hyvin eriarvoiseen asemaan esimerkiksi sellaisilla aloilla, joissa palveluja tuotetaan sekä julkisella että yksityisellä sektorilla. Esimerkiksi SOTE-alalla käsitellään massoittain arkaluonteisia terveystietoja, joiden suojaaminen on myös tietosuojasääntelyn ytimessä. Siltä osin kuin yksityiset ja julkiset palveluntarjoavat toimivat samoilla markkinoilla terveyden- ja sosiaalihuollon palveluiden tarjoamisessa, ovat yksityisen sektorin toimijat tässä tapauksessa kilpailuasetelmassa eriarvoisessa asemassa. Tämä on seurausta siitä, että rationaalisen markkinatoimijan tulisi laskea mahdollista huomattavaa sakkoa koskeva riskivaraus (mikä tyypillisesti johtaa hinnankorotuspaineisiin), jota vastaavalla julkisen sektorin toimijalla ei ole, vaikka molemmat käyttäisivät samoja potilastietojärjestelmiä.

Lisäksi julkishallinto ulkoistaa paljon tietojenkäsittelypalveluita yksityisen sektorin yrityksille kaikilla toiminta-alueilla. Erityisesti tällaisessa tilanteessa seuraamusjärjestelmän eriytyminen on ilmeinen ja eriarvostava.

Lopuksi

Suomen Asianajajat kiinnittävät huomion myös siihen, että esimerkiksi Ruotsissa on ollut tietosuoja-asetuksen voimaan tulosta alkaen ollut mahdollista määrätä hallinnollisia seuraamusmaksuja julkissektorin toimijoille. Ruotsi on sääntely-ympäristöltään ja oikeuskulttuuriltaan hyvin Suomen kaltainen maa, ja edellä kuvatun seuraamusmaksujärjestelmän toimivuus siellä antaa käytännön tukea vastaavan linjauksen tekemiselle myös Suomessa. Todettakoon myös, että meillä Suomessa on jo käytössä useita menettelyitä, joissa on mahdollista määrätä julkisen sektorin toimijoille seuraamusmaksuja (esim. hankintalain rikkomukset).

Lopuksi toteamme, että mikäli lainvalmistelussa katsottaisiin, ettei seuraamusmaksun määrääminen ole mahdollista kaikkiin julkisen sektorin toimijoihin, Suomen Asianajat kannattavat sen harkitsemista, että soveltamisalaa laajennettaisiin ainakin osittain.

Helsingissä 13. päivänä marraskuuta 2025

SUOMEN ASIANAJAJAT

Niko Jakobsson
Pääsihteeri

LAATI
Asianajaja Johanna Lilja, Helsinki

Suomen Asianajajien lausunnot valmistellaan oikeudellisissa asiantuntijaryhmissä, joiden toiminnassa on mukana noin 150 asianajajaa. Tämä lausunto on valmisteltu teknologia, viestintä ja tietosuoja -asiantuntijaryhmässä.