- FA kannattaa kaikkia tietosuojalakiin ehdotettuja muutoksia ja näkee ne vakuutusalan näkökulmasta perusteltuina ja tarpeellisina. FA ehdottaa joitakin pykälämuutoksia ja toivoo, että valiokunta huomioi ne mietinnössään.
- FA katsoo, että nyt ehdotettu uusi tietosuojalain 4 §:n selventää tämänhetkistä oikeustilaa.
- FA kannattaa ehdotettuja tietosuojalain 6 §:n ja 7 §:n muutoksia, mutta pitää tarpeellisena tarkentaa pykälien suhdetta erityislakeihin, joissa säädetään lakisääteisten vakuutuslajien, kuten työtapaturma- ja ammattitautivakuutuksiin ja lakisääteisiin liikennevakuutuksiin liittyvistä tiedonsaantioikeuksista.
- Laissa tulee todeta selkeämmin vakuutuslaitosten mahdollisuus säilyttää tietoja myös muista laeista tulevien velvollisuuksien täyttämiseksi. Muun muassa kanneajat vaativat pitkiäkin säilytysaikoja, vaikkei säilytysajasta olisi nimenomaisesti säädetty, eikä tietoja voida poistaa esimerkiksi heti kun hakemus on evätty (tai hyväksytty ja hakija päätyy toiseen yhtiöön).
HE 9/2026 vp
Finanssiala ry (FA) kiittää mahdollisuudesta lausua asiassa. FA kannattaa kaikkia tietosuojalakiin ehdotettuja muutoksia ja näkee ne vakuutusalan näkökulmasta perusteltuina ja tarpeellisina. FA ehdottaa joitakin pykälämuutoksia ja toivoo, että valiokunta huomioi ne mietinnössään.
- Tietosuojalain 4 §:n ehdotetuista muutoksista
Nyt lausuttavana olevassa hallituksen esityksessä tietosuojalain 4 §:ää ehdotetaan täsmennettäväksi ja laajennettavaksi siten, että pykälä loisi viranomaisen lisäksi vastaavan käsittelyn oikeusperusteen myös yksityisille tahoille niiden hoitaessa lailla tai lain nojalla annettua julkista hallintotehtävää, jossa on kyse yleistä etua koskevan tehtävän suorittamisesta tai julkisen vallan käyttämisestä.
FA kannattaa ehdotettua muutosta, sillä nykyinen tietosuojalain 4 §:n 1 momentin 2 kohta on tuottanut haasteita finanssialan toimijoille, koska kyseiseen lainkohtaan ovat voineet vedota vain viranomaiset (ks. HE 9/2018, s. 79–80). Julkisen vallan käyttämistä on käsitteenä tulkittu suppeammin kuin julkisen hallintotehtävän hoitamista. Selvyyden vuoksi on todettava, ettei kaikki julkisen hallintotehtävän hoitaminen ole aina julkisen vallan käyttöä (sitä ovat esim. yksilöihin kohdistuvat päätökset, joilla on oikeusvaikutuksia).
FA katsoo, että nyt ehdotettu uusi tietosuojalain 4 §:n selventää tämänhetkistä oikeustilaa. Ehdotetut muutokset ovat tarpeen, jotta tietosuojalain 4 §:n soveltamisalasta ei jää epäselvyyttä ja pykälän nojalla voidaan käsitellä henkilötietoja myös julkisen hallintotehtävän hoitamiseksi. FA toteaa lisäksi, että pykälää koskevat perustelut ovat asianmukaisia.
- Tietosuojalain 6 §:n ja 7 §:n ehdotettavista muutoksista
Tietosuojalain 6 ja 7 §:n vakuutuslaitoksia koskeviin säännöksiin ehdotetaan täsmennyksiä siten, että kyseisissä pykälissä luodaan vakuutuslaitoksille oikeus käsitellä tietosuoja-asetuksen 9 artiklan 1 kohdan ja 10 artiklan tarkoittamia tietoja myös ennen vakuutusten myöntämistä vakuutuslaitosten vastuun arvioimiseksi tai selvittämiseksi. Ehdotetut muutokset ovat tarpeen, sillä voimassa olevien säännösten sanamuotojen tulkinnasta on ollut epäselvyyttä siltä osin, onko tietoja ollut mahdollista käsitellä ennen vakuutussopimusten tekemistä, vaikka kyseinen käsittely on tarpeen vakuutuslaitoksen vastuun arvioimiseksi tai selvittämiseksi.
Ehdotetut muutokset ovat perusteltuja vakuutustoiminnan asianmukaisen harjoittamisen kannalta. Muutos poistaa jokin aika sitten kehittyneen tulkintaepäselvyyden, joka juontaa juurensa vakuutussopimuslain (543/1994) logiikkaan: vakuutussopimuslaki (VSL) tulee sovellettavaksi jo ennen sopimuksen voimaantuloa, ja yhtiön vastuu alkaa jo silloin, kun vakuutushakemus ja terveysselvitys on saatu, vaikka itse sopimus tuleekin voimaan myöhemmin. Yhtiön tulee siis saada ja pystyä käsittelemään myös vakuutuksenhakijan terveystietoja, ja vakuutuksenhakija onkin tässä mielessä aina rinnastettu vakuutettuun. Lisäksi joissain vakuutussopimuslain kohdissa (esim. 22 § ja 37 §) termiä vakuutettu käytetään viittaamaan myös aikaan ennen sopimuksen tekemistä. Korkein hallinto-oikeus on katsonut tuoreessa päätöksessään KHO:2025:86 (annettu 29.12.2025), että vakuutusyhtiö voi käsitellä myös vakuutuksenhakijan terveystietoja voimassa olevan TSL 6 §:n 1 momentin 1 kohdan sanamuodon mukaan. Koska tähän kokonaisuuteen liittyvä tulkintaepäselvyys oli kuitenkin kehittynyt, on ehdotettu tietosuojalain 6 §:n terminologian täydentäminen siten, että se kattaa myös vakuutuksenhakijan ja vakuutettavan1, tarpeellista ja perusteltua.
FA kannattaa TSL 6 §:n ja 7 §:n ehdotettuja muutoksia ja pitää erityisen positiivisena, että lausuntokierroksella esiin nostetut ehdotukset tarkentaa kyseisten pykälien sanamuotoa vakuutuslaitosten vastuun arvioimisen tai selvittämisen kannalta on huomioitu lakiehdotuksessa. Vakuutuslaitoksen vastuun arvioimisessa ja selvittämisessä on kyse eri prosesseista, joten terminologinen muutos sanasta ”ja” sanaan ”tai” on tärkeä. Vastuun arviointia (voidaanko vakuutus myöntää, millä ehdoilla ja millaisella vakuutusmaksulla) tapahtuu vastuunvalintavaiheessa, eli tilanteessa, jossa vakuutussopimusta ollaan solmimassa. Vastuun selvittäminen taas liittyy selkeämmin vaiheeseen, jossa vakuutus on voimassa ja siitä haetaan korvausta. Termistön tällaiselle käytölle löytyy tukea vakuutussopimuslain 22 § ja 24 §:stä.
FA huomauttaa, että tietosuoja-asetuksen virallisessa suomenkielisessä käännöksessä sekä 6 artiklassa, että 9 artiklassa käytetään sanan ”necessary” käännöksenä systemaattisesti jokaisessa kunkin artiklan alakohdassa suomeksi muotoa ”on tarpeen”. Täten nyt kansalliseen tietosuojalakiin ehdotettu terminologinen valinta, jossa käytetään sanaa ”välttämätön” ”on tarpeen” sijaan, ei vastaa tietosuoja-asetuksen käännöksen sanamuotoa. Ehdotettu muutos saattaa luoda kuvan, että käsittelyoikeuden rajaaminen nykytilaan verrattuna olisi lainsäätäjän tarkoitus. FA ehdottaa, että lain terminologia pidettäisiin tältä osin ennallaan.
Vakuutusyhtiöllä on toimintoja, jotka eivät näyttäydy asiakkaille ja esimerkiksi tietosuojaviranomaisille niin itsestään selvästi välttämättöminä kuin vakuutus- ja korvaustoiminta näyttäytyvät. FA katsoo perusteluissa nostetun kiitettävästi esille, että ehdotuksen tarkoituksena ei ole lähtökohtaisesti muuttaa nykytilaa (s. 37) ja täten kaventaa vakuutuslaitosten mahdollisuutta käsitellä tietoja. Tämän seikan saattaminen pykälätasolle olisi kuitenkin toivottavaa, jotta mahdollisessa tulevassa viranomaisten tulkintakäytännössä ei päädyttäisi esityksen tarkoituksen vastaisesti kaventamaan vakuutuslaitosten mahdollisuutta käsitellä niiden toiminnalle tarpeellisia tietoja.
Esityksen TSL:n 6 §:n 3 momentin alkuun on esityksen luonnosversioon verrattuna lisätty lause, jonka mukaan vakuutuslaitoksen on kerättävä 1 momentin 1 kohdassa tarkoitetut tiedot ensi sijassa kohdassa tarkoitetulta henkilöltä itseltään sekä arvioitava tapauskohtaisesti tietojen keräämisen välttämättömyyttä muualta. Esityksen perusteluissa todetaan, ettei tämä vaatimus muuttaisi nykytilaa. FA huomauttaa, että etenkin lakisääteisten vakuutuslajien osalta tämä ei pidä paikkaansa siltä osin, että tietoja pyydettäisiin nykyisin ensisijaisesti henkilöltä itseltään. Lakisääteisissä lajeissa, kuten esimerkiksi työtapaturmavakuutuksissa ja lakisääteisissä liikennevakuutuksissa, terveystietoja pyydetään henkilöltä itseltään vain poikkeuksellisesti. Lakisääteisten vakuutusten osalta terveystietojen tiedonsaantioikeuksista ja tietojen keräämisen menettelyistä on säädetty erikseen siten, että korvausasian yhdenmukaisen käsittelyn ja ratkaisemisen edellyttämiseksi vakuutuslaitos hankkii laissa säädettyjen korvausten myöntämisedellytysten mukaiset terveydentilatiedot suoraan hoitolaitoksilta. Hoitolaitoksille on puolestaan säädetty lakisääteinen velvoite antaa oma-aloitteisesti vakuutuslaitokselle terveydentilatietoja salassapitosäännösten ja muiden tiedon saantia koskevien rajoitusten estämättä (ns. täyskustannusmaksuun liittyvä ilmoitusvelvollisuus).
Täten FA toivoo pykälissä tai valiokuntamietinnössä selvennettävän erityislakien ensisijaisuus suhteessa tietosuojalain 6 §:ään lisäämällä esimerkiksi maininnan ”jollei muualla toisin säädetä” TSL 6 §:n 3 momentin ensimmäisen virkkeen loppuun. Näin taataan, ettei tulevaisuudessa synny tarpeettomia tulkintaongelmia erityislakien alaisten lakisääteisten vakuutuslajien osalta.
Vakuutusyhtiön kuuluu vakuutussopimuslain mukaan perustella korvaus- ja vakuutuspäätöksensä, ja päätöksistä tulee ilmetä, miten henkilön terveydentilaa koskevat tiedot ovat vaikuttaneet ratkaisuun. Säilytysajan pituus ja sen perusteet määräytyvät muusta lainsäädännöstä ja vakuutuksenantajan oikeutetusta edusta, kuten oikeusvaateisiin varautumisesta. Vakuutussektorin näkökulmasta säilytysajoista on kansallisesti säädetty jo esimerkiksi vakuutussopimuslain 74 §:ssä, liikennevakuutuslain 85 §:ssä sekä työtapaturma- ja ammattitautilain 275 §:ssä. Täten FA katsoo nyt ehdotetun lisäyksen ”Tiedot on poistettava välittömästi sen jälkeen, kun tietoja ei tarvita vakuutuslaitoksen vastuun arvioimiseksi tai selvittämiseksi” tietosuojalain 6 §: 3 momenttiin tarpeettomaksi. Mikäli kyseinen kohta pidetään osana tietosuojalain 6 §:n tekstiä, ehdottaa FA lauseen loppuun lisättäväksi selvyyden vuoksi viittauksen ”jollei muualla toisin säädetä”. Muun muassa kanneajat vaativat pitkiäkin säilytysaikoja eikä tietoja voida poistaa esimerkiksi heti, kun hakemus on evätty (tai hyväksytty ja hakija päätyy toiseen yhtiöön). Täten säilytysajan pituus ja sen perusteet määräytyvät muusta lainsäädännöstä ja vakuutuksenantajan oikeutetusta edusta.
Lopuksi
FA pitää esitystä hyvin valmisteltuna ja kiittää oikeusministeriötä siitä, että toimialan erityispiirteet on huomioitu selkeästi osana hallituksen esityksen perusteluita. FA tukee ehdotettuja muutoksia, mutta toivoo valiokunnan huomioivan edellä esitetyt kommentit esityksen yksityiskohdista.
FINANSSIALA RY
Hannu Ijäs
1) Vakuutusta hakeva henkilö ei välttämättä ole aina se, jolle vakuutusta haetaan. Näin on esimerkiksi työnantajan ottamissa ryhmävakuutuksissa tai kun vanhempi hakee vakuutusta lapselleen.
Jäikö kysyttävää?
|Ota yhteyttä aiheen asiantuntijaan
