Arvioita henkilötietotoimikunnan mietinnöstä

Tämä on monessa suhteessa vanhentunut dokumentti, jonka olen säilyttänyt vain historiallisista syistä.

Tiivistelmä

Henkilötietotoimikunnan ehdotus henkilötietolaiksi sisältää lukuisia kohtia, jotka eivät vastaa EU:n direktiiviä henkilötietojen suojasta. Toisaalta se sisältää henkilötunnuksen käytölle asetettavia rajoituksia, joita direktiivi ei edellytä ja joiden tarkoituksenmukaisuus on kyseenalainen.

Johdanto

Henkilötietotoimikunnan mietintö näyttäisi sisältävän asiallisesti melko vähäisiä muutoksia. Vaikka siinä ehdotetaankin kokonaan uutta lakia, henkilötietolakia, joka kumoaisi nykyisen henkilörekisterilain, niin ehdotus uudeksi laiksi on suunnilleen nykyinen henkilörekisterilaki plus nykyinen henkilörekisteriasetus ynnä joukko yksittäisiä muutoksia.

Tältä pohjalta on ymmärrettävää, että julkinen keskustelu aiheesta on käsitellyt lähinnä kiistanalaisia yksityiskohtia kuten ns. positiivisia luottotietoja. Kuitenkin on syytä vakavasti kysyä, vastaako ehdotus kokonaisuutena niitä velvoitteita, joita henkilötietojen suojalle on asetettu.

Mietintöön sisältyvä ehdotus henkilötietolaiksi pyrkii, kuten toimikunnan toimeksiannossakin edellytettiin, toteuttamaan EU:n direktiiviä henkilötietojen suojasta (95/46/EY, "tietosuojadirektiivi"). Erikoista kyllä itse lakiehdotuksessa ei ole viittausta tähän, vaikka direktiivin 32. artikla sitä edellyttäisi.

Kyseinen direktiivi on monelta osin varsin yksityiskohtainen. Vaikka direktiivi ei edellytäkään, että se pantaisiin täytäntöön yhdellä lailla, herää kysymys, onko osa direktiivin määräyksistä tarkoitus jättää huomiotta. Lisäksi osa lakiehdotuksen muotoiluista on sellaisia, että ne ovat ristiriidassa direktiivin kanssa tai vähintäänkin sitä epämääräisempiä.

Toisaalta direktiivi ei edellytä niin tiukkaa henkilötunnuksen käsittelyn säätelyä kuin toimikunta ehdottaa. Direktiivin 8. artiklan 7. kohta velvoittaa jäsenvaltiot vain määrittelemään ehdot sille, miten henkilötunnuksen tapaista tunnistetta saa käsitellä. Tähän siis sisältyy vain velvoite määritellä asia, ei sitä, mikä säätelyn sisältö on. Toimikunnan ehdottama muotoilu lähtee varsin rajoittavasta ajattelusta mutta sisältää niin tulkinnanvaraisia ehtoja, että ehdotus ei vastaa legaliteettiperiaatetta.

Lakiehdotuksen suhde EU:n henkilötietojen suojaa koskevaan direktiiviin

Kansallisen lainsäätäjän harkintavalta direktiivin toteutuksessa on rajoitettu niihin seikkoihin, joissa direktiivi nimenomaisesti antaa sellaisen vapauden. Näin ollen olisi ollut luonnollisempaa, että lainvalmistelun lähtökohdaksi olisi otettu direktiivi sekä systematiikan että sanamuotojen osalta. Tämä merkitsee, että lähtökohdaksi olisi tullut ottaa uuden lain säätäminen eikä vanhan tarkistaminen - myös sisällöllisessä eikä vain lain nimen mielessä.

Mitä lain nimeen tulee, niin yleisesti nimen tulisi olla nimi eikä määritelmä. Näin ollen henkilötietolaki olisi paljon parempi kuin laki yksityisyyden suojasta henkilötietojen käsittelyssä. Jälkimmäinen on epäkäytännöllisen pitkä eikä kuitenkaan sisällä direktiivin otsikointiin sisältyvää toista tärkeää periaatetta, henkilötietojen vapaata liikkuvuutta (EU:n sisällä).

Vanhan kansallisen lainsäädännön ottaminen pohjaksi johtaa siihen, että lakiehdotuksen ja direktiivin vertaaminen toisiinsa ei ole kovinkaan helppoa. Toisin sanoen on hankalaa selvittää, vastaako lakiehdotus direktiivin asettamia velvoitteita. Seuraavassa kiinnitetäänkin huomiota eräisiin esimerkkeihin, joissa näyttäisi olevan ristiriitoja.

Luonnollisestikaan lain ei tarvitse olla direktiivin käännös, ei varsinkaan orjallinen käännös, mutta direktiivin ilmaisuista olennaisesti poikkeavien ilmaisujen käytön pitäisi olla hyvin perusteltua ja direktiivin hengen mukaista.

Lakiehdotuksen 1 §, Lain tarkoitus, sisältää erittäin tulkinnanvaraisen sanan avoimuus. Se on hyvin helppo ymmärtää henkilötietojen ja henkilörekisterien tietosisällön helpoksi saatavuudeksi. Tarkoitus on varmaankin sanoa, että henkilötietojen käsittelyn pitää olla siinä mielessä avointa, että ihmiset tietävät tai voivat tietää omien tietojensa käsittelystä. Ellei tätä voida sanoa yksiselitteisesti, se on parempi jättää sanomatta tarkoituspykälässä, koska itse asia kyllä sisältyy lain muihin pykäliin.

Ehdotuksen 2 §, Soveltamisala, sisältää (4. momentissa) tiedotusvälineissä julkaistua aineistoa koskevan poikkeuksen. Näin täydellistä poikkeusta ei voida pitää direktiivin 9. artiklassa sallittuna. Artiklahan edellyttää, että poikkeukset ovat välttämättömiä yksityisyyden suojan ja ilmaisunvapauden "yhteensovittamisessa". Ei voitane sanoa, että ilmaisunvapaus vaatisi kaikkien sellaisten rekisterien jättämistä kokonaan henkilötietolain soveltamisen ulkopuolelle, jotka sisältävät vain tiedotusvälineissä julkaistua aineistoa sellaisenaan. Eikä liene mitään muutakaan direktiivin artiklaa, johon tällainen poikkeus voitaisiin perustaa.

Myös kyseisen pykälän 3. momentti rajaa lain soveltamisen ulkopuolelle enemmän, kuin direktiivi sallii. Lakiehdotuksen ilmaisu on "yksinomaan henkilökohtaisiin tai niihin verrattaviin tavanomaisiin yksityisiin tarkoituksiin", kun taas direktiivin 3. artiklan vastaava ilmaisu on "by a natural person in the course of purely personal or household activity". Ero on suhteellisen pieni mutta tarpeeton, varsinkin, kun sellainen ilmaisu kuin "tai niihin verrattaviin" mahdollistaa hyvinkin monenlaisia tulkintoja.

Ehdotuksen 3 §:ssä, Määritelmät, oleva henkilötietojen määritelmä on sanonnaltaan tarpeettoman mutkikas ja, ainakin ilmeisimmän tulkinnan mukaan, selvässä ristiriidassa direktiivin (2. artiklan) määritelmän kanssa. Ensinnäkin ehdotus käyttää sanaa merkintöjä, joka näyttäisi edellyttävän, että tieto on eksplisiittisenä datana olemassa, kun taas direktiivin sanamuoto on "any information relating to an identified or identifiable natural person".

Vielä olennaisempaa on, että ehdotuksessa on nykyisen henkilörekisterilain mukaisesti ilmaisu "tiettyä luonnollista yksityistä henkilöä", missä sanalla "yksityistä" ei ole vastinetta direktiivin artikloissa tai perusajattelussa. Olennaista on, että henkilörekisterilain vakiintunut tulkinta ilmeisesti on, että muotoilu sulkee ainakin joiltakin osin suojan ulkopuolelle sellaiset tiedot, jotka koskevat ihmisen toimintaa esimerkiksi julkisessa virassa. Ajateltiinpa näiden tietojen suojan tai julkisuuden tarpeesta mitä tahansa, asia on järjestettävä muilla tavoin kuin ujuttamalla määritelmään attribuutti "yksityistä".

Henkilötietojen luonne on ehdotuksessa määritelty siten, että ne koskevat "henkilön ominaisuuksia tai elinolosuhteita". Ilmeinen tulkinta tälle on se, että esimerkiksi ihmisen toimintaa (tekoja) koskevat tiedot eivät kuulu henkilötietoihin. Tämä tuskin vastaa laille tarkoitettua tulkintaa, joten olisi parempi käyttää direktiiviin sisältyvää muotoilun "any information relating to - -" asiasisältöä sopivalla tavalla suomen kielellä ilmaistuna.

Ehdotuksen 7 §, Käyttötarkoitussidonnaisuus, sisältää kielellisesti omituisen ilmaisun "ei ole yhteensopimaton". Tässä kohdassa on selvästikin käännetty orjallisesti direktiivin kaksoisnegaatio "is not incompatible". Direktiivin 6. artiklassa oleva ilmaisu on kömpelö ja epälooginen, mutta sen tarkoitus (direktiivin kokonaisuuden ja erityisesti esipuheen 28. kohdan valossa) lienee selvä: tietoja saa käyttää vain rekisterille ennen sen perustamista määriteltyihin käyttötarkoituksiin tai niitä olennaisesti vastaaviin tarkoituksiin sekä historiallista, tieteellistä tai tilastollista tarkoitusta varten. Ongelmalliseksi tietysti muodostuisi, miten ilmaisua "olennaisesti vastaaviin" luettaisiin, mutta lakiehdotuksen ilmaisu "ei ole yhteensopimaton" on sellainen, että tulkinnalle ei olisi mitään järkevää lähtökohtaa. Tarkoittaahan kahden asian yhteensopivuus suomen kielessä lähinnä vain sitä, että ne eivät ole keskenään ristiriidassa, ja näin väljää tulkintaa tuskin halutaan.

Ehdotuksen 8 §:ssä, Käsittelyn yleiset edellytykset, on (1. mom:ssa) ensinnäkin se ilmaisutekninen puute, että eri kohtia yhdistävä konnektiivi on implisiittinen. Toisin sanoen siitä ei heti näe, tuleeko edellytysten kaikkien olla voimassa kussakin tapauksessa vai riittääkö, että yksikin niistä on voimassa. Pykälän otsikko tuntuisi viittaavan ensin mainittuun, mutta 7. kohdan lopussa oleva "tai" merkinnee, että tarkoitetaan jälkimmäistä. Olisi paljon selvempää, jos kohtien 1 - 7 kaikkien lopussa olisi "tai".

Sisällön kannalta tulkinnanvaraista on, miten kirjaimellisesti ilmaisu "elintärkeä" on tulkittava tässä (ja eräissä muissa ehdotuksen kohdissa). Se lienee tarkoitettu englannin sanan "vital" vastineeksi, mutta voi kysyä, eikö "vital" tarkoita väljemmin "erittäin tärkeä", kun taas "elintärkeä" tuntuisi sellaiselta, josta jonkun ihmisen henki sananmukaisesti ja välittömästi riippuu.

Kokonaisuutena kyseinen pykälä ei kovinkaan hyvin vastaa direktiivin 7. artiklaa, jota sen aiheensa perusteella tulisi vastata. Esimerkiksi pykälän 7. kohdalla ei näytä olevan vastinetta direktiivissä. Tämä on erityisen tärkeää siksi, että kyseinen kohta näyttäisi olevan sangen väljä, sallien henkilötietojen käsittelyn pelkästään sillä perusteella, että sitä tarvitaan "tietojenkäsittelyä tai muita niihin verrattavia tehtäviä varten".

Lakiehdotuksen 26 §:n, Tietojenkäsittelystä ilmoittaminen rekisteröidylle, mukaan rekisterinpitäjän on henkilötietoja kerätessään huolehdittava siitä, että rekisteröity "voi saada" tiedon rekisterinpitäjästä ja "tarvittaessa" rekisterin tarkoituksesta ym. Tämä ei vastaa direktiivin 10. ja 11. artiklassa olevaa vaatimusta, jonka mukaan rekisterinpitäjän on annettava määrätyt tiedot ("must provide a data subject - - with at least the following information - -"). Direktiivissä määrätty ilmoittamisvelvollisuus on kyllä sangen laaja ja tulee aiheuttamaan paljon vaivaa ja kustannuksia, mutta sitä ei voida kansalliseen lainsäädäntöön sisältyvillä väljennyksillä lieventää. Sen sijaan voidaan pohtia sitä, sisältyykö ilmoittamisvelvollisuuteen se, että on ilmoitettava kullekin rekisteröidyille erikseen vai riittäisikö suurten rekisterien osalta jokin yleisissä tiedotusvälineissä esitettävä informaatio. (Luultavasti vastaus tähänkin olisi kielteinen, koska siihen ei sisältyisi riittävää varmuutta siitä, että kaikki rekisteröidyt saavat tiedon.)

Kuten edellä mainittiin, lakiehdotuksen vertaaminen direktiivin vaatimuksiin on melko työlästä. Edellä esitetty kuitenkin osoittanee, että lakiehdotus olisi käytävä huolellisesti läpi tässä mielessä tai sitten lakiehdotus olisi kirjoitettava kokonaan uudestaan. Seuraavassa esitetään vielä erikseen eräs hyvin tärkeä yksityiskohta, jota voisi pitää jossakin mielessä oireellisena.

"Rekisteröidyn suostumus"

Erittäin olennainen ristiriita lakiehdotuksen ja direktiivin välillä on se, että lakiehdotuksen 8 §:n 1. momentin 1. kohdan mukaan henkilötietojen käsittelyn oikeuttamiseen riittää, että se tapahtuu "rekisteröidyn suostumuksella".

Suostumuksen käsitettä tulkitaan usein varsin väljästi niin, että konkludenttinen (olosuhteista ja asianomaisen käyttäytymisestä pääteltävä) suostuminen tai jopa pelkkä nimenomaisen kiellon puuttuminenkin saattaa riittää. Kyseeseen voivat tulla esimerkiksi jotkin yleiset toimintasäännöt tai sopimusehdot, joita periaatteessa pidetään nähtävillä ja joihin ihmisten katsotaan suostuvan.

Vaikka suostumuskäsitteen tulkinta perusoikeuksiin liittyvien asioiden osalta olisikin suhteellisen tiukka, ei ole perusteltua tässä yhteydessä käyttää kvalifioimatonta sanaa "suostumus". Tätä vielä korostaa se, että direktiivin (7. artiklan) vastaava kohta sisältää ilmaisun "has unambiguously given his consent" ja että direktiivin (2. artiklan h-kohdassa olevan) määritelmän mukaan "consent" tarkoittaa "any freely given specific and informed indication of his wishes by which the data subject signifies his agreement". Tämä edellyttäisi vähintäänkin sentapaista muotoilua kuin "rekisteröidyn nimenomaisesti antaman suostumuksen perusteella", ja lisäksi olisi määritelmissä tähdennettävä, että suostumuksen tulee olla vapaaehtoisesti ja tietoisesti annettu.

Henkilötunnus

Henkilötunnuksen käyttö on tunnetusti erittäin kiistanalainen kysymys. Nykyisen lainsäädännön vallitessa kysymystä on ratkottu tapauksittain tietosuojavaltuutetun suosituksilla ja tietosuojalautakunnan päätöksillä. Tästä legaliteettiperiaatteen vastaisesta tilanteesta joudutaan joka tapauksessa siirtymään direktiivin 8. artiklan 7. kohdan perusteellakin siihen, että asia on yleisillä säädöksillä säännelty.

Ongelmaksi muodostuu paitsi asian kiistanalaisuus myös se, että laissa säädettävien ehtojen tulkinta muodostuisi vaikeaksi. Esimerkiksi lakiehdotuksen 13 §:n säännöstön ehtoa "laissa säädetyn tehtävän suorittamiseksi" voidaan tulkita niin, että mikä hyvänsä lakisääteinen yhteisö saa käsitellä henkilötunnusta minkä tahansa lakisääteisten tehtäviensä hoitamisessa. Näin väljä tulkinta tekisi suojan merkityksettömäksi julkisyhteisöjen toiminnassa. Vastaavasti ehto "rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi" näyttää ainakin ensi lukemalla sellaiselta, että sen perusteella henkilötunnusta voisi käyttää missä vain.

Epäselväksi jää pykäläehdotuksessa myös 1. ja 2. momentin suhde toisiinsa. Onko henkilötietojen käsittelyn täytettävä molempien momenttien ehdot vai ovatko ne vaihtoehtoisia oikeuttamisperusteita? Ensin mainittuun viittaisi se, että 1. momentti näyttäisi esittävän käsittelyn muodollisia ehtoja ja 2. momentti taas luettelevan sen, missä tarkoituksissa käsittely on sallittua. Vaikka luettelo sallituista tarkoituksista on varsin laaja, sen kasuistisuus voi johtaa melkoisiin ongelmiin. Esimerkiksi opetustoiminta ei sisälly luetteloon, joten näyttäisi siltä, että oppilaitoksella ei ole oikeutta kirjata ja käsitellä opiskelijoiden henkilötunnuksia.

Eräs mahdollisuus on se, että henkilötunnuksen käsittelystä säädettäisiin erillisellä lailla, jotta laajemman kokonaisuuden, henkilötietolain, valmistelu ja käsittely ei tarpeettomasti viivästyisi. Toisaalta direktiivin mukaan asiasta on joka tapauksessa säädettävä jotain saman aikarajan puitteissa kuin henkilötietojen suojasta muutenkin.

Näin ollen seuraavassa tarkastellaan lyhyesti, miten henkilötunnuksen käsittelyä olisi tarkasteltava direktiivin pohjalta. Vaikka direktiivi muodollisesti sisältääkin vain velvoitteen säätää henkilötunnuksen käsittelystä jotain, se sisältää myös melko selviä viitteitä ja ehtoja säätelyn sisällölle.

Henkilötunnus on perusolemukseltaan fyysiseen henkilöön liitetty yksikäsitteinen tunnistetieto. Sen tarpeellisuus johtuu pohjimmiltaan siitä, että ihmisen täydellinenkään nimi ei ole sellainen. Tätä ei tietenkään direktiivissä suoranaisesti sanota, mutta 8. artiklan 7. kohta sisältää ajatuksen tunnistamiseen käytettävästä yleisestä numerosta tai muusta tunnisteesta ("a national identification number or any other identifier of general application").

Näin ollen henkilötunnuksen käyttö henkilörekisterissä on luonnollinen tapa ilmaista yksiselitteisesti se, kehen fyysiseen henkilöön kukin tieto viittaa. Esimerkiksi rekisterinpitäjän rekisteröidyille antaman asiakasnumeron käyttö ei palvele tätä tarkoitusta, ellei jossakin ole käyttökelpoisessa muodossa dataa, joka määrittelee asiakasnumeron ja henkilötunnuksen vastaavuuden - jolloin tilanne ei juurikaan poikkea siitä, että henkilötunnusta käytettäisiin suoraan.

Se seikka, että henkilötunnuksen käyttö helpottaa rekisterien yhdistämistä ja muuta käyttöä, tuottaa - etujen lisäksi - ongelmia ja vaaroja. Koko henkilötietojen suojan säätely kuitenkin lähtee siitä, että pyritään vähentämään ja hallitsemaan henkilötietojen käsittelyn ongelmia ja vaaroja säätelemällä itse käsittelyä ja rekisterinpitäjien toimintaa, ei rajoittamalla siinä käytettäviä teknisiä keinoja.

Ennen muuta henkilötunnuksen käyttöä on tarkasteltava virheettömyysvaatimuksen perusteella. Tämä vaatimus, joka sisältyy direktiivin 6. artiklaan ja myös lakiehdotuksen 9 §:ään, kai sisältää vähintäänkin sen, että kaikki mahdollinen tehdään sen estämiseksi, että ihmiset sekoittuisivat toisiinsa rekistereissä. Lisäksi on otettava huomioon periaate tasavertaisuudesta lain edessä: Tilanne, jossa henkilötunnuksen käsittely on olennaisesti rajoitetumpaa kuin nimen, asettaa ihmiset perusteettomasti erilaiseen asemaan sen mukaan, miten tavallinen nimi heillä on tai miten usein he ovat vaihtaneet nimeä.

Mitä tulee lakiehdotuksen 13 §:n 4. mom:ssa olevaan kieltoon merkitä henkilötunnus "tarpeettomasti" asiakirjoihin, niin se ilmeisesti on tarkoitettu pääsääntöisesti kieltämään henkilötunnuksen merkitseminen. Esimerkiksi listassa, joka pannaan julkisesti nähtäville ja jossa on yksilöitä koskevia tietoja, vaikkapa korkeakoulun pääsykokeen tuloksia, ei ilmeisestikään saisi esiintyä henkilötunnuksia, mutta kylläkin nimiä. Tällöin sekoitetaan toisiinsa kysymys sellaisten tietojen julkistamisesta ja kysymys siitä, saako lista olla sellainen, että ihmiset ovat siitä yksikäsitteisesti tunnistettavissa. (Epäselvää on, onko ehdotettu kielto tarkoitettu sovellettavaksi niin, että se sisältäisi myös nykyisen henkilörekisterilain 40 §:ssä olevan kiellon käyttää henkilötunnusta näkyvästi postilähetyksissä. Perusoikeusajattelun kannalta on huomattava, että sellainen kielto vaarantaisi kirjesalaisuuden vähentäessään laillisia keinoja yksilöidä, kenelle fyysiselle henkilölle viesti on tarkoitettu.)

Tältä pohjalta luonnollisin ratkaisu olisi muotoilla henkilötunnuksen käsittelyä koskeva pykälä lyhyesti näin: Henkilötunnusta saa käsitellä silloin, kun rekisteröidyn yksiselitteinen yksilöiminen on välttämätöntä rekisterin tarkoituksen kannalta.

Eri asia on, että Suomessa nykyisin käytetty henkilötunnusjärjestelmä on epätarkoituksenmukainen muun muassa siksi, että siinä tunnus sisältää tiedon syntymäajasta päivän tarkkuudella ja tiedon sukupuolesta. Tätä epäkohtaa ei kuitenkaan voitane pitää niin suurena, että se estäisi edellä mainitun yksinkertaisen käsittelyperiaatteen.


Jukka Korpela
18.8.1997