Henkilötietojen käsittelyyn sovellettava yleislainsäädäntö

EU:n tietosuoja-asetus

Euroopan unionin tietosuojalainsäädäntö uudistui 24. toukokuuta 2016, jolloin tietosuoja-asetus tuli voimaan. Kahden vuoden siirtymäajan jälkeen, 25.5.2018 lukien henkilötietojen käsittelyn tuli olla tietosuoja-asetuksen mukaista.

Tietosuoja-asetus koskee kaikkia sen soveltamisalaan kuuluvia henkilötietoja käsitteleviä luonnollisia henkilöitä tai oikeushenkilöitä, viranomaisia, virastoja tai muita elimiä, niin rekisterinpitäjiä kuin henkilötietojen käsittelijöitä. Asetusta sovelletaan tietyissä, asetuksessa määritellyissä tilanteissa myös EU:n ulkopuolelle sijoittautuneisiin rekisterinpitäjiin ja henkilötietojen käsittelijöihin. Asetusta sovelletaan niin yksityisellä kuin julkisella sektorilla.

Tietosuoja-asetusta sovelletaan automaattiseen henkilötietojen käsittelyyn, kun henkilötiedot muodostavat rekisterin osan. Henkilörekisteri voi olla sähköinen tai manuaalinen. Asetuksessa henkilötiedon käsite on määritelty vastaavalla tavalla kuin aiemmin voimassa olleessa henkilötietolaissa.

Asetuksessa säädetään henkilötietojen käsittelyn edellytyksistä ja käsittelyssä noudatettavista periaatteista. Asetus sallii henkilötietojen käsittelyn, jos sille on käsittelyperuste. Käsittelyperusteena on muun muassa lakisääteinen velvoite, mikä useimmiten on käsittelyperuste lakisääteisen työeläketurvan hoitamisessa. Tietojen käsittely on sallittua muun muassa myös, jos se perustuu asiakas- tai palvelussuhteeseen.

Riittävää on, että säännökset tietojen antamisesta tai saamisesta eri toimijoiden välillä ovat säädettyinä vain toista toimijaa koskevassa erityislainsäädännössä.

Asetusta ei sovelleta

  • yksityisen ammatin- tai elinkeinonharjoittajan pelkästään yritystoimintaa koskeviin tietoihin
  • oikeushenkilöitä, kuten yrityksiä, koskeviin tietoihin
  • luonnollisen henkilön suorittamaan yksinomaan henkilökohtaiseen tai kotitalouttaan koskevaan toimintaan
  • kuolleita henkilöitä koskeviin tietoihin.

Muu yleislainsäädäntö

Tietosuojalaki

Tietosuojalailla täydennetään ja täsmennetään EU:n yleistä tietosuoja-asetusta. Tietosuojalaki on henkilötietojen käsittelyyn sovellettava yleislaki, jota sovelletaan rinnakkain tietosuoja-asetuksen kanssa.

Tietosuojalaissa säädetään tarkemmin:

  • henkilötietojen käsittelyn oikeusperusteesta
  • erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä eräissä tilanteissa
  • tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettavasta ikärajasta
  • valvontaviranomaisesta
  • oikeusturvasta sekä
  • eräistä tietojenkäsittelyn erityistilanteista

Julkisuuslaki

Laki viranomaisten toiminnan julkisuudesta (julkisuuslaki) ja tietosuojalaki ovat tietojen antamisen ja saamisen yleislakeja ja työeläkelainsäädäntö on niihin nähden erityislainsäädäntöä. Julkisuuslain säännöksiä sovelletaan yksityisten alojen eläkelaitoksiin ja Eläketurvakeskukseen vain silloin, kun kysymys on julkisen vallan käyttämisestä.

Julkisen vallan käyttämisellä tarkoitetaan sellaisten päätösten tekemistä, jotka kohdistuvat yksittäisen henkilön tai työnantajan oikeuksiin tai velvollisuuksiin tai vaikuttavat suoraan hänen asemaansa. Julkisuuslakia ei sovelleta esimerkiksi sijoitustoimintaan, sisäiseen hallintoon, tutkimus- ja tilastotoimintaan, suunnitteluun, koulutukseen tai tiedotukseen.

Julkisten alojen eläkelaitokset ovat kokonaan julkisuuslain soveltamisalan piirissä.

Tiedonhallintalaki

Tiedonhallintalaki tuli voimaan 1.1.2020. Tiedonhallintalakia sovelletaan osaksi myös työeläkealan toimijoihin tiedonhallintalain 3 §:n soveltamisalasäännöksen mukaisesti:

  • tiedonhallinnan järjestäminen tiedonhallintayksikössä
  • tietoturvallisuutta koskevat säännökset
  • tietojen luovuttaminen teknisen rajapinnan avulla viranomaisten välillä
  • katseluyhteyden avaaminen viranomaiselle
  • tietoaineistojen luovuttaminen teknisen rajapinnan avulla muille kuin viranomaisille
  • rekisteröinti asiarekisteriin
  • asiarekisteriin rekisteröitävät tiedot
  • tietoaineistojen hallinta palveluja tuotettaessa
  • kuvaus asiakirjajulkisuuden toteuttamiseksi.

Kevaan tiedonhallintalakia sovelletaan kokonaisuudessaan.

Erityislainsäädäntö

Työeläkelainsäädäntö

Työeläkelaeissa on sekä erityissäännöksiä tietojen antamisesta ja saamisesta että viittauksia julkisuuslakiin. Työeläkelainsäädännön tulee olla asetuksen mukaista, ellei asetus mahdollista asetuksesta poikkeamista.

Julkisuuslaki on osittain nostettu erityislain asemaan työeläkelakien säännöksellä, jonka mukaan yksityisten alojen eläkelaitoksiin ja Eläketurvakeskukseen sovelletaan julkisuuslain säännöksiä, jotka koskevat

  • asiakirjasalaisuutta
  • vaitiolovelvollisuutta,
  • hyväksikäyttökieltoa
  • salassapidettäviä asiakirjoja koskevia julkisuuslain 22 – 24 §:ää
  • julkisuuslain rangaistussäännöksiä sisältävää 35 §:ää silloinkin, kun kyse ei ole julkisen vallan käytöstä työeläketurvan hoitamisessa.

Muu erityislainsäädäntö

Myös muussa erityislainsäädännössä on säännöksiä tietojen antamisesta ja saamisesta. Eri viranomaistahoja koskevissa erityislaeissa säädetään niiden oikeudesta saada tietoja mm. työeläkejärjestelmän toimijoilta.

Rikoslaki

Tietosuoja-asetuksen sisältämien hallinnollisten seuraamusmaksujen vuoksi rikosoikeudellinen vastuu tulee kyseeseen vain tilanteissa, joissa lainvastainen henkilötietojen käsittely ei ole asetuksen perusteella hallinnollisten seuraamusmaksujen piirissä.

Lähtökohta on, että henkilö, joka muutoin kuin asetuksen tarkoittamana rekisterinpitäjänä tai henkilötietojen käsittelijänä tahallaan tai törkeästä huolimattomuudesta toimii vastoin tietosuojalainsäädännön säännöksiä ja siten loukkaa rekisteröidyn yksityisyyden suojaa tai aiheuttaa hänelle muuta vahinkoa tai olennaista haittaa, on tuomittava tietosuojarikoksesta sakkoon tai vankeuteen enintään yhdeksi vuodeksi.

Rangaistussäännöstä voidaan soveltaa siis vain tilanteessa, jossa henkilön ei voida katsoa toimineen rekisterinpitäjänä tai henkilötietojen käsittelijänä.

Tarkemmat tiedot

Esimerkki rangaistavasta toiminnasta on uteliaisuudesta tapahtuva henkilötietojen käsittely ilman käsittelyn oikeuttavaa perustetta. Tilanteessa, jossa henkilöllä on käyttöoikeus tiettyihin henkilötietoihin, mutta hän tarkastelee tietoja vain pelkästä uteliaisuudesta, henkilötietojen käsittely on tapahtunut vastoin käyttötarkoitussidonnaisuutta koskevia säännöksiä.

Lisäksi rikoslaissa on säädetty rangaistuksia muun muassa

  • salassapitorikoksesta tai salassapitorikkomuksesta sille, joka paljastaa tiedon tai käyttää sitä hyödyksi
  • virkasalaisuuden rikkomisesta sille, joka paljastaa tiedon tai käyttää sitä hyödyksi virkamiehenä tai julkista valtaa käyttävänä henkilönä, joihin luetaan myös työeläkejärjestelmän palveluksessa olevat
  • tietomurrosta sille, joka tunkeutuu tietojärjestelmään tai ottaa selon tiedoista erikoislaitteella

Teosta ja sen vakavuudesta riippuen rangaistukset vaihtelevat sakkorangaistuksesta kolmen vuoden vankeusrangaistukseen. Ankarin rangaistus, sakko tai enintään kolme vuotta vankeutta, on säädetty törkeästä tietomurrosta eli tietomurrosta, joka on tehty osana järjestäytyneen rikollisryhmän toimintaa tai erityisen suunnitelmallisesti.