Luonnos hallituksen esitykseksi tietosuojalainsäädännön kokonaisuudistukseen liittyvistä muutoksista oikeusministeriön hallinnonalan lainsäädäntöön

VN/9885/2025

Finanssiala ry (FA) kiittää mahdollisuudesta lausua asiassa. FA kannattaa pääosin tietosuojalakiin ehdotettuja muutoksia ja näkee ne vakuutusalan näkökulmasta perusteltuina ja tarpeellisina. FA ehdottaa esitykseen joitakin täsmennyksiä ja toivoo, että muutosehdotukset otetaan huomioon jatkovalmistelussa. 

1. Kommenttinne koskien tietosuojalain 4 §:n ehdotettavia muutoksia (henkilötietojen käsittely yleistä etua koskevan tehtävän suorittamiseksi tai julkisen vallan käyttämiseksi) 

FA kannattaa ehdotettua muutosta, sillä nykyinen tietosuojalain 4 §:n 1 momentin 2 kohta on tuottanut haasteita finanssialan toimijoille, koska kyseiseen lainkohtaan ovat voineet vedota vain viranomaiset (ks. HE 9/2018, s. 79–80). Julkisen vallan käyttämistä on käsitteenä tulkittu suppeammin kuin julkisen hallintotehtävän hoitamista. FA ehdottaakin, että mahdollisten tulkintahaasteiden ja ristiriitojen välttämiseksi terminologiaa selvennetään vähintään lain perusteluissa. Selvyyden vuoksi on todettava, ettei kaikki julkisen hallintotehtävän hoitaminen ole aina julkisen vallan käyttöä (sitä ovat esim. yksilöihin kohdistuvat päätökset, joilla on oikeusvaikutuksia). Näin ollen olisi toivottavaa, että 4 §:n 1 momentin 2 kohta toimisi myös käsittelyn oikeusperusteena, kun esim. finanssialan toimijat hoitavat julkisia hallintotehtäviä suunnittelu-, selvitys- ja kehittämistehtäviin liittyen. 

FA korostaa, että toimialalla on tarve säännökselle julkista hallintotehtävää hoitavalle yksityiselle toimijalle henkilötietojen käytön alkuperäisen käsittelyperusteen kanssa yhteensopivaan suunnittelu-, selvitys- ja kehittämistehtävään. Pykälän tulee mahdollistaa nykyistä laajemmin ja monipuolisesti sellaista henkilötietojen käsittelyä julkista hallintotehtävää hoitavien toiminnassa, mihin ei suoraan löydy erityislainsäädännöstä oikeuttavaa pykälää. 

Lisäksi FA haluaa huomauttaa, ettei nyt lausuttavana oleva HE-luonnos ota kantaa seuraavaan tutkimuksen määritelmän eroihin. Tietosuoja-asetuksessa on määritelmä tutkimuksesta (Artikla 5(1)(b)) artikloissa sekä johdantokappaleessa 159.  Asetuksessa todetaan, että ”Tätä asetusta olisi myös sovellettava, jos henkilötietoja käsitellään tieteellisiä tutkimustarkoituksia varten. Henkilötietojen käsittelyä tieteellisiä tutkimustarkoituksia varten olisi tämän asetuksen soveltamista varten tulkittava laajasti niin, että se tarkoittaa myös teknologian kehittämistä ja esittelyä, perustutkimusta, soveltavaa tutkimusta ja yksityisin varoin rahoitettua tutkimusta. ” 

Kansallisen tietosuojalain tutkimusta koskevissa pykälissä (esim. TSL 4.3, TSL 6.1(7)) on sen sijaan määritelmänä tieteellinen tutkimus. Tieteellisellä tutkimuksella on kansallisesti yleinen määritelmä. Kansallinen tutkimuksen määritelmä on hieman rajatumpi kuin mitä tietosuoja-asetuksessa on esitetty. Tämä tuottaa ongelmia ja tulkinnallisuutta rekisterinpitäjän määritellessä käsittelyn oikeusperustaa. Käsittelyn oikeusperusta on yksi laillisuusperiaatteen peruskivistä, joten epävarmuus tässä suhteessa ei ole suotavaa. FA toivoo, että tilannetta selvennetään hallituksen esityksen perusteluosiossa.  

2. Kommenttinne koskien tietosuojalain 6 §:n ehdotettavia muutoksia (erityisiin henkilötietoryhmiin ja rikostuomioihin ja rikoksiin liittyvä käsittely): 

FA kannattaa pääosin HE-luonnoksessa esitettyjä muutoksia ja suhtautuu myönteisesti ehdotettuihin muutoksiin tietosuojalain 6 §:n 1 momentin 1 kohtaan, jonka mukaan vakuutusyhtiö voi nimenomaisesti käsitellä myös vakuutuksenhakijan sekä sen henkilön, jolle vakuutussuojaa haetaan, terveystietoja.  

Ehdotetut muutokset ovat perusteltuja ja tarpeellisia vakuutustoiminnan asianmukaisen harjoittamisen kannalta. Muutos poistaa jokin aika sitten kehittyneen tulkintaepäselvyyden, joka juontaa juurensa vakuutussopimuslain (543/1994) logiikkaan, joka tunnetaan ilmeisen huonosti: vakuutussopimuslaki (VSL) tulee sovellettavaksi jo ennen sopimuksen voimaantuloa, ja yhtiön vastuu alkaa jo silloin, kun vakuutushakemus ja terveysselvitys on saatu, vaikka itse sopimus tuleekin voimaan myöhemmin. Yhtiön tulee siis saada ja pystyä käsittelemään myös vakuutuksenhakijan terveystietoja, ja vakuutuksenhakija onkin tässä mielessä aina rinnastettu vakuutettuun. Lisäksi joissain vakuutussopimuslain kohdissa (esim. 22 § ja 37 §) termiä vakuutettu käytetään viittaamaan myös aikaan ennen sopimuksen tekemistä. Koska tähän kokonaisuuteen liittyvä tulkintaepäselvyys on nyt kuitenkin kehittynyt, on ehdotettu tietosuojalain 6 §:n terminologian täydentäminen siten, että se kattaa myös vakuutuksenhakijan, tarpeellista ja perusteltua. 

FA ehdottaa, että tietosuojalain 6 §:n 1 momentin 1 kohdan lopussa olevaa mainintaa vastuun arvioimisesta ”ja” selvittämisestä muutettaisiin siten, että kohdassa puhuttaisiin vastuun arvioimisesta ”tai” selvittämisestä.   Vastuun arviointia (voidaanko vakuutus myöntää, millä ehdoilla ja millaisella vakuutusmaksulla) tapahtuu vastuunvalintavaiheessa, eli tilanteessa, jossa vakuutussopimusta ollaan solmimassa. Vastuun selvittäminen taas liittyy selkeämmin vaiheeseen, jossa vakuutus on voimassa ja siitä haetaan korvausta. Termistön tällaiselle käytölle löytyy tukea vakuutussopimuslain 22 § ja 24 §:stä.  

FA ehdottaa myös, että tietosuojalain 7 § pidettäisiin tältä osin samansisältöisenä kuin 6 §, joten 7 §:n 1 momentin 2 kohtaan tulisi myös lisätä maininta vastuun arvioimisesta ja liittää se sanalla ”tai” vastuun selvittämistä koskevaan mainintaan, jolloin kohta kuuluisi seuraavasti: 

2) käsittely on välttämätöntä vakuutuslaitoksen käsitellessä vakuutustoiminnassa saatuja tietoja vakuutetusta, korvauksenhakijasta, vakuutuksenhakijasta sekä siitä henkilöstä, jolle vakuutussuojaa haetaan vakuutuslaitoksen vastuun arvioimiseksi tai selvittämiseksi;  

Mikäli FA:n ehdotus ”ja”- sanan korvaamiseksi sanalla ”tai” hyväksytään, tämä on selvyyden vuoksi hyvä korjata ehdotetun lakitekstin lisäksi myös esityksen perusteluihin. 

Esitysluonnoksen uusi 6 §:n 3 momentti sisältää velvoitteita (vakuutuslaitoksen velvollisuus informoida terveydentilatietojen käytöstä vakuutus- ja korvauspäätöksissä ja poistaa käytetyt tiedot välittömästi sen jälkeen, kun tietoja ei enää tarvita), joista on jo säädetty vastaavalla tarkkuudella tietosuoja-asetuksessa (tietojen minimointi- ja informointivelvollisuus). Tietosuoja-asetuksessa säädetään, että henkilötietoja on käsiteltävä rekisteröidyn kannalta läpinäkyvästi ja käsittelystä on ilmoitettava rekisteröidylle. Vakuutusyhtiön kuuluu lisäksi myös vakuutussopimuslain mukaan perustella korvaus- ja vakuutuspäätöksensä, ja päätöksistä ilmenee, miten henkilön terveydentilaa koskevat tiedot ovat vaikuttaneet ratkaisuun. Edelleen vakuutussektorin näkökulmasta säilytysajoista on kansallisesti säädetty jo esimerkiksi vakuutussopimuslain 74 §:ssä, liikennevakuutuslain 85 §:ssä sekä työtapaturma- ja ammattitautilain 275 §:ssä. Täten FA katsoo nyt ehdotetun lisäyksen tietosuojalain 6 §: 3 momenttiin tarpeettomaksi. Kansallinen lisäsääntely aiheuttaisi rekisterinpitäjille epävarmuutta sen suhteen, miten lain ja tietosuoja-asetuksen velvoitteet eroavat toisistaan. Perustuslakivaliokunta on lausuntokäytännössään painottanut, että myös arkaluonteisten henkilötietojen käsittelyä koskevan sääntelyn kohdalla on syytä pyrkiä selkeään ja ymmärrettävään lainsäädäntöön (PeVL 14/2018 vp, s. 6). 

Esitysluonnoksessa käytettävästä termistä ”välttämätön” 

Ehdotuksessa on muutettu tietosuojalain 6 ja 7 §:ssä käytetty termi ”on tarpeen” termiksi ”välttämätön”. Lausuttavana olevan HE-luonnoksen sivulla 31 sanotaan:  

”Pykälän 1 momentin 2 kohtaa ehdotetaan muutettavaksi siten, että lainkohdan muotoilu vastaisi tietosuoja-asetuksen käytettyjä sanamuotoja. Lainkohta perustuu tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohtaan, jonka mukaan 9 artiklan 1 kohdan kieltoa ei sovelleta, mikäli käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla. – – – Pykälän 1 momentin 2 kohtaa ehdotetaan täsmennettäväksi siten, että kohdan mukaan tietosuoja-asetuksen 9 artiklan 1 kohdan käsittelykieltoa ei sovelleta, jos käsittelystä on säädetty laissa tai jos käsittely on välttämätöntä välittömästi rekisterinpitäjälle laissa säädetyn tärkeää yleistä etua koskevan tehtävän suorittamiseksi.”  

FA huomauttaa, että tietosuoja-asetuksen virallisessa käännöksessä sekä 6 artiklassa, että 9 artiklassa käytetään sanan ”necessary” käännöksenä systemaattisesti jokaisessa kunkin artiklan alakohdassa suomeksi muotoa ”on tarpeen”. Täten nyt kansalliseen tietosuojalakiin ehdotettu terminologinen valinta, jossa käytetään sanaa ”välttämätön” ”on tarpeen” sijaan, ei vastaa tietosuoja-asetuksen käännöksen sanamuotoa. Esityksen perusteluista ei käy ilmi, että vakuutusyhtiön oikeutta terveys- ja rikostietojen käsittelyyn olisi tarkoitus nykyisestään kaventaa, mutta ehdotettu muutos saattaa kuitenkin luoda kuvan, että käsittelyoikeuden rajaaminen nykytilaan verrattuna olisi lainsäätäjän tarkoitus. FA ehdottaa, että lain terminologia pidettäisiin tältä osin ennallaan.  

Vakuutusyhtiöllä on toimintoja, jotka eivät näyttäydy asiakkaille ja esimerkiksi tietosuojaviranomaisille niin itsestään selvästi kuten vakuutus- ja korvaustoiminta näyttäytyvät. Yhtiön tulee esimerkiksi vastata riskienhallintavelvoitteistaan, arvioida vastuuvelkaansa, järjestää jälleenvakuutus sekä laskea vakuutusmaksu riskivastaavasti. Nämäkin toiminnot edellyttävät terveydentilatietojen käsittelyä vakuutusyhtiössä. Tietojen käsittely voi olla keskeistä yhtiön lakisääteisten velvollisuuksien täyttämiselle, vaikka se ei kenties näyttäydy tietosuojalakia tulkitseville viranomaisille ”välttämättömänä”. Esimerkiksi terveydenhuollon toimijoille osoitettavien tietopyyntöjen liiallinen rajaaminen voi johtaa siihen, ettei vakuutusyhtiö voi jatkossa saada jälleenvakuutusturvaa korvaussummaltaan suuriin vakuutuksiin, eikä voi siten enää myöntää suuria vakuutuksia niitä haluaville. 

Se, miten laajasti vakuutuslaitos voi terveydentilatietoja käyttää, määräytyy jo nyt tietosuoja-asetuksen minimointi- ja käyttötarkoitusperiaatteiden perusteella.  Lisäksi tietosuojalain 6 § perustuu tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohtaan, jossa myös käytetään termiä ”on tarpeen”. Vakuutussopimuslain 22 §:n mukaan vakuutuksenottajan ja vakuutetun tulee ennen vakuutuksen myöntämistä antaa oikeat ja täydelliset vastaukset vakuutuksenantajan esittämiin kysymyksiin, joilla voi olla merkitystä vakuutuksenantajan vastuun arvioimisen kannalta. Vakuutussopimuslain 69 §:n mukaan korvauksen hakijan on annettava vakuutuksenantajalle sellaiset asiakirjat ja tiedot, jotka ovat tarpeen vakuutuksenantajan vastuun selvittämiseksi ja joita häneltä kohtuudella voidaan vaatia ottaen myös huomioon vakuutuksenantajan mahdollisuudet hankkia selvitys. Erityislainsäädännössä on siis säädetty, että vakuutuksenottajan ja vakuutetun tulee antaa vakuutuslaitokselle muun muassa terveydentilastaan tietoja, joilla voi olla merkitystä vastuun arvioimiseksi tai selvittämiseksi.  Termin ”välttämätön” käyttäminen tietosuojalaissa aiheuttaisi helposti tulkintaristiriidan, ja olisi sääntelyteknisesti epäonnistunut muutos verrattuna nykyiseen termiin ”on tarpeen”. Nykyinen termi on paremmin linjassa vakuutussopimuslain sääntelyn ja tietosuoja-asetuksen virallisen suomenkielisen version kanssa. 

Esitysluonnoksessa termin ”välttämätön” käyttämistä perustellaan useaan otteeseen perustuslakivaliokunnan lausuntokäytännöllä. FA:n käsityksen mukaan perustuslakivaliokunnan lausunnoista on johdettavissa ainoastaan vaatimus siitä, että lakitekstissä tulee täsmentää arkaluonteisten henkilötietojen käytön välttämättömät tarkoitukset, kuten nykyisessä laissa on jo määritelty (terveydentilatietoja saa käyttää vakuutusyhtiön ”vastuun selvittämiseksi”). Kyseinen sanamuoto rajoittaa jo sellaisenaan terveydentilatietojen käyttämistä esim. markkinointitarkoituksiin. 

Jos lain sanamuotoa ei voida jättää tältä osin ennalleen, FA ehdottaa lisäämään hallituksen esityksen perusteluihin selkeän maininnan siitä, että terminologian muutoksella ei ole tarkoitus rajata käsittelyoikeutta nykytilaan verrattuna. Lainsäädäntötyössä tulee huomioida, että vakuutusyhtiön toiminta on toimiluvanvaraista, valvottua ja raskaasti säädeltyä, mikä tuo turvaa yksilölle, jonka tietoja vakuutusyhtiö käsittelee. Lisäksi laissa säädetty vakuutussalaisuus turvaa osaltaan yksilön oikeuksia terveydentilatietojen käsittelyyn liittyen.   

3. Kommenttinne koskien tietosuojalain 7 §:n ehdotettavia muutoksia (rikostuomioihin ja rikoksiin liittyvä käsittely): 

FA viittaa edellä antamiinsa perusteluihin TSL 6 §:n koskien myös sen osalta, tuleeko esityksessä käyttää sanaa ”välttämätön” vai ”on tarpeen” sekä lainsäädännössä käytettävän rinnastuskonjunktion osalta (ja vai tai) uudessa TSL 7 §:ssä. FA ehdottaa, että tietosuojalain 7 § pidettäisiin näiltä osin samansisältöisenä kuin 6 §. 

Nyt käsiteltävänä oleva HE-luonnos ottaa esitetyissä muutoksissa kantaa vain vakuutussektorin tarpeisiin. FA haluaa nostaa esille, että kansallisessa tietosuojalaissa on tunnistettu tarve selventää, soveltuuko pelkästään epäilyyn rikollisesta toiminnasta ja sitä koskevien tietojen käsittelyyn tietosuojalain 7 §. Esimerkiksi pankkien näkökulmasta muulitilejä koskevan tietojenvaihdon ja IBANin luovuttamisen osalta on epäselvää, soveltuuko niiden käsittelyyn tietosuoja-asetuksen 10 artiklassa ja tietosuojalain 7 §:ssä tarkoitettua rikostuomioihin ja rikkomuksiin rinnastuvaa käsittelyä. Muulitilitiedon jakamisessa ei ole kyse suoraan ”rikostiedon” jakamisesta, vaan mahdollisten väärinkäytösepäilyjen estämiseen liittyvän tiedon nopeasta jakamisesta pankkien välillä. Tietojenvaihdon olisi tarkoitus olla ehkäisevä väline ennen rahanpesuilmoituksen tekoa. Tilannetta voisi selventää muutoksilla tietosuojalain lisäksi tekemällä selkeämmät säännökset tietojen käsittelystä luottolaitoslakiin ja rahanpesulakiin, joiden osalta FA on ollut yhteydessä valtiovarainministeriöön.   

4. Kommenttinne sertifiointielimien akkreditointia koskevista muutosehdotuksista: 

Ei lausuttavaa. 

5. Yleiset kommentit 

FA pitää esitystä tarpeellisena ja ehdottamiensa täsmennysten jälkeen toimivana kokonaisuutena. Esitys parantaa vakuutustoiminnan oikeudellista selkeyttä ja mahdollistaa tehokkaan sekä asiakaslähtöisen liiketoiminnan harjoittamisen henkilötietojen asianmukaisen suojan vaarantumatta. 

FA toivoo, että esitetyt muutosehdotukset otetaan huomioon jatkovalmistelussa. 

FINANSSIALA RY 

Hannu Ijäs