Julkisten toimijoiden tietosuojavastuu arvioitava uudelleen

Blogit ja kolumnit
13.06.2022 • Päivi Korpisaari

Viime syksynä Pirkanmaan sairaanhoitopiirin alueella sijaitsevista hylätyistä rakennuksista löytyi salaiseksi tarkoitettuja tietoja kolme kertaa. Tietovuoto kohdistui tuhansiin ihmisiin.

Kyse oli esimerkiksi potilastiedoista diagnooseineen, laboratoriovastauksineen ja tutkimustuloksineen, kuntoutuskeskuksen entisten asukkaiden tiedoista, luottamusmiehen aineistoista sekä toimipisteiden henkilökunnan henkilötiedoista.

Sairaanhoitopiirin tietohallintojohtaja kommentoi asiaa toteamalla, että ”jossakin prosessi oli katkennut”.

Kansalaisella ei kaikkien palveluiden osalta ole mahdollisuutta valita, asioiko hän viranomaisen kanssa vai ei.

Aikaisemmin on esimerkiksi rekisteröity aiheettomia luottotietomerkintöjä oikeusministeriön toimesta ja unohdettu koululaisten hammashuollon tietoja sisältävä salkku paikkaan, josta se on varastettu.

Lisäksi THL:lta on vuotanut henkilötietoja ja laboratoriotuloksia internetiin, ja poliisin ja julkisen sairaanhoidon toiminnassa on havaittu laitonta urkintaa.

Kaikissa näissä esimerkeissä kyse on ollut julkisen sektorin toiminnassa tapahtuneista tietosuojarikkomuksista.

Kansalaisella ei kaikkien palveluiden osalta ole mahdollisuutta valita, asioiko hän viranomaisen kanssa vai ei. Tästä huolimatta Suomessa päädyttiin EU:n tietosuoja-asetuksen implementoinnissa ratkaisuun, jossa tietosuoja-asetuksen rikkomisesta määrättävä hallinnollinen seuraamusmaksu ei sovellu viranomaisiin ja tiettyihin muihin julkiseen sektoriin rinnastuviin toimijoihin.

EU:n tietosuoja-asetuksen rikkomisesta määrättävä hallinnollinen seuraamusmaksu ei sovellu viranomaisiin ja tiettyihin muihin julkiseen sektoriin rinnastuviin toimijoihin.

Viranomaiselle tietosuojarikkomuksesta määrättävää seuraamusmaksua pidettiin oikeusjärjestyksemme kannalta vieraana ja viranomaisten toiminnan budjettisidonnaisuuteen huonosti sopivana. Viranomaisia sitoo hallinnon lainmukaisuusperiaate sekä virkamiesten rikos-, korvaus- ja virkavastuu.

Perustuslakivaliokunta puolestaan piti viranomaisille määrättävää hallinnollista seuraamusmaksua ongelmallisena, sillä se antaisi yhdelle perusoikeudelle muita voimakkaampaa suojaa.

Rekisterinpitäjän vastuu on kuitenkin yksi tietosuoja-asetuksen keskeisimmistä peruslähtökohdista. Monesti tietovuodot, urkinta ja muu lainvastainen käsittely johtuvat rakenteellisista puutteista sekä organisaation ohjeistuksen ja valvonnan laiminlyönneistä.

Vastuun kohdentaminen yksittäiseen virkamieheen on usein mahdotonta, eikä se ole myöskään tehokasta tai oikeasuhteista.

Tietosuoja-asetus saati virkavastuu eivät ole estäneet julkisen sektorin tietosuojarikkomuksia, joista monet ovat kohdistuneet arkaluonteisiin henkilötietoihin.

Viranomaisten seuraamusmaksua puoltaa järjestelmän tehokkaan täytäntöönpanon tarve. Tietosuoja-asetus saati virkavastuu eivät ole estäneet julkisen sektorin tietosuojarikkomuksia, joista monet ovat kohdistuneet arkaluonteisiin henkilötietoihin.

Budjettisidonnaisuus ei ollut ylitsepääsemätön ongelma julkisia hankintoja koskevan seuraamusmaksun osalta. Liikekilpailun kannalta julkinen sektori voi toimia ilman hallinnollisen sakon uhkaa samoilla markkinoilla, joilla yksityinen sektori joutuu siihen varautumaan. Rekisteröidyn näkökulmasta suojan tason vaihtelu toimijoiden välillä näyttäytyy sattumanvaraisena.

Rekisteröidyn näkökulmasta suojan tason vaihtelu toimijoiden välillä näyttäytyy sattumanvaraisena.

Tietosuojalakia koskevassa hallituksen esityksessä katsottiin, että tilannetta pitää seurata ja hallinnollisen seuraamusmaksun käyttöä arvioida tarvittaessa uudelleen.

Nyt kun uuden tietosuojasääntelyn soveltamisesta on neljän vuoden kokemus, olisi syytä selvittää viranomaisten toimintaa erilaisten tietosuojarikkeiden yhteydessä ja arvioida, miten kansalaisille voitaisiin tarjota parempi tietosuoja julkisia palveluita käytettäessä.

Kirjoittaja on viestintäoikeuden professori, Helsingin yliopisto, paivi.korpisaari@helsinki.fi