Mitä ”tarvittaessa” -termi oikeudellisesti meille ihan tavallisille tien tallaajille missäkin tilanteessa tarkoittaa?
”Ihmettelen, mihin minua koskevia henkilö- ja terveystietoja milloinkin jaellaan.. Onko yksityiset tietoni turvassa ja onko hoitoni edes laillista?” (Kuvituskuva: clip art).
—
Ks. ajantasainen (9.8.2019/906) Laki julkisen hallinnon tiedonhallinnasta
24 § Tietoaineistojen luovuttaminen teknisen rajapinnan avulla muille kuin viranomaisille
Viranomainen voi luovuttaa teknisten rajapintojen avulla tietoja muulle kuin toiselle viranomaiselle, jos tiedot saavalla toimijalla on erikseen laissa säädetty tiedonsaantioikeus ja oikeus käsitellä näitä tietoja. Tekninen rajapinta voidaan avata 22 §:ssä säädettyjen edellytysten täyttyessä siten kuin mainitussa pykälässä säädetään. Tiedot luovuttavan viranomaisen on tarvittaessa varmistettava, että tietoja saava toimija noudattaa tietojen käsittelyssä tässä laissa säädettyjä velvollisuuksia.
Tiedon antamisesta muussa sähköisessä muodossa ja yleisölle katseluyhteytenä toteutettuna tietopalveluna säädetään erikseen.
—
Mitä ”tarvittaessa” -termi oikeudellisesti meille ihan tavallisille tien tallaajille missäkin tilanteessa tarkoittaa? Ja tietävätkö lainsäätäjät sitä edes itse? Miten meille on Suomen lakiin ja lainkäyttöön pesiytynyt tällainen epämääräinen ”tarvittaessa” -termi?
On hyvin epäselvää, kenen tarpeesta milloinkin on kyse? Eivät esim. voimassa olevaa ajantasaista lakia Finlexistä katsovat henkilöt voi mennä aina lukemaan pitkiä lainvalmistelun tekstejä, jotta he tietäisivät kenen tarpeesta kussakin lakipykälässä on kyse. Miksi sitä ei voida suoraan sanoa ko. lakipykälässä? Asetusten tasolle tai muihin määräyksiin ja ohjeisiin asiaa ei voida piilottaa; ja siellä se jää aina perustuslaillisten yksilön oikeuksien kanssa toiseksi, jos asiassa syntyy epäselvyyttä tai riitaa.
Esimerkkinä tästä ”tarvittaessa” -termistä edellä oleva Laki julkisen hallinnon tiedonhallinnasta 24 §:ssä: Tiedot luovuttavan viranomaisen on tarvittaessa varmistettava, että tietoja saava toimija noudattaa tietojen käsittelyssä tässä laissa säädettyjä velvollisuuksia.
Tämän em. Laki julkisen hallinnon tiedonhallinnasta 24 §:n kohdalla ”tietoja saavasta toimijasta” tulee tietoja luovuttavan viranomaisen – ei vaan tarvittaessa, vaan ihan joka yksittäisessä tapauksessa etukäteen – varmistua siitä, että ”tietoja saava toimija” noudattaa tietojen käsittelyssä tässä laissa säädettyjä velvollisuuksia, mutta että ko. toimija noudattaa muitakin laissa säädettyjä tietoja saavaa toimijaa koskevia velvollisuuksiaan (huom. yksityiset terveyden- ja sairaudenhoidon hoitolaitokset ja -yksiköt; lasten, nuorten ja vanhusten kotihoitoyksiköt ym.)
Julkista valtaa käyttävän viranomaisen tulee varmistua siitä, että ”tietoja saava toimija” noudattaa voimassa olevia ko. toimijaa koskevia lakeja ja tästä tulee varmistua ennen tietojen luovutusta etukäteen – ei vain ”tarvittaessa”.
—
Ks. myös KHO:n lausunto valtiovarainministeriölle H 453/18
—
Tiedustelen teiltä, kuka tai mikä taho Suomessa valvoo tuomioistuinten omaa lainkäyttötoimintaa 1.6.2023 lähtien kun Yhdenvertaisuuslaki 18 § muuttuu?
Yhdenvertaisuusvaltuutettuko ei voi vakavissa syrjintätapauksissa (ja esittelijöiden ja tuomareiden osoittauduttua esteellisiksi) puuttua tuomioistuinten lainkäyttötoimintaan (vrt. Yhdenvertaisuuslaki 18 §)?
Ks. KHO:2019:155.
Ovatko 1.6.2023 lähtien vain EU-oikeus ja EIT toimivaltaisia puuttumaan eu-jäsenmaiden omaan lainkäyttötoimintaan havaittuaan eu-kansalaiseen kohdistuvaa vakavaa syrjintää, esim. Eu:n yleisen tietosuoja-asetuksen rikkomisessa?
Mikä ”virka ja värkki” silloin on itsenäisesti ja muista tahoista riippumattomasti toimivalla yhdenvertaisuusvaltuutetulla?
—
Ks. ASETUKSET EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS (EU) 2016/679,
annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (ETA:n kannalta merkityksellinen teksti):
Tässä alla
VIII LUKU
Oikeussuojakeinot, vastuu ja seuraamukset (s. 80 – ):
77 artikla
Oikeus tehdä valitus valvontaviranomaiselle
1. Jokaisella rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, erityisesti siinä jäsenvaltiossa, jossa hänen vakinainen asuinpaikkansa tai työpaikkansa on taikka jossa väitetty rikkominen on tapahtunut, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan tätä asetusta, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai oikeussuojakeinoja.
2. Valvontaviranomaisen, jolle valitus on jätetty, on ilmoitettava valituksen tekijälle valituksen etenemisestä ja ratkaisusta, mukaan lukien 78 artiklan mukaisten oikeussuojakeinojen mahdollisuudesta.
—
78 artikla
Oikeus tehokkaisiin oikeussuojakeinoihin valvontaviranomaista vastaan
1. Jokaisella luonnollisella henkilöllä tai oikeushenkilöllä on oikeus tehokkaisiin oikeussuojakeinoihin itseään koskevaa valvontaviranomaisen oikeudellisesti sitovaa päätöstä vastaan, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai muita kuin oikeudellisia oikeussuojakeinoja.
2. Jokaisella rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos 55 ja 56 artiklan nojalla toimivaltainen valvontaviranomainen ei ole käsitellyt valitusta tai ilmoittanut rekisteröidylle kolmen kuukauden kuluessa 77 artiklan nojalla tehdyn valituksen etenemisestä tai ratkaisusta, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksen hakukeinoja tai muita kuin oikeudellisia oikeussuojakeinoja.
3. Kanne valvontaviranomaista vastaan on nostettava sen jäsenvaltion tuomioistuimissa, johon valvontaviranomainen on sijoittautunut.
4. Jos kanne on nostettu sellaista valvontaviranomaisen päätöstä vastaan, jota edelsi tietosuojaneuvoston yhdenmukaisuusmekanismin puitteissa antama lausunto tai päätös, valvontaviranomaisen on toimitettava kyseinen lausunto tai päätös tuomioistuimelle.
—
”Vahingonkorvausten vaatiminen tietosuoja-asetuksen rikkomisesta”
https://tietosuoja.fi/vahingonkorvausten-vaatiminen
Ilmoita asiaton viesti
—
Ks. alla 28.12.2020 annettu KHO:2020:159 -vuosikirjapäätös
– – ”Yhdenvertaisuus- ja tasa-arvolautakunnasta annetun lain 1 §:n mukaan oikeusministeriön yhteydessä on itsenäinen ja riippumaton yhdenvertaisuus- ja tasa-arvolautakunta, joka käsittelee ja ratkaisee yhdenvertaisuuslain ja naisten ja miesten välisestä tasa-arvosta annetun lain mukaan sille kuuluvat asiat.
Lautakunnan itsenäisyydellä viitataan hallituksen esityksen (HE 19/2014 vp s. 99) mukaan siihen, että lautakunta on toiminnassaan itsenäinen, vaikka se toimiikin ministeriön yhteydessä. Tämä määrittää lautakunnan aseman suhteessa hallitusvaltaan sekä periaatteellisesti että toiminnallisesti selkeästi erilliseksi ja siitä riippumattomaksi.
Lautakunnan riippumattomuudella puolestaan tarkoitetaan edellä mainitun lain esitöiden mukaan sitä, että lautakunnan tulee olla tuomioistuimen ja muun lainkäyttöelimen tavoin ratkaisutoiminnassaan riippumaton muiden tahojen, kuten viranomaisten tai eri intressiryhmien, samoin kuin ratkaistavana olevan asian osapuolten vaikutuksesta (HE 19/2014 vp s. 99). Lautakunta ei siis ole vireille tulleita asioita käsitellessään sen paremmin hakijan kuin vastaajan vastapuoli tai muutoinkaan asianosainen asiassa. Lain mukaan lautakunta rinnastuu tuomioistuimeen siltä osin kuin kysymys on lautakunnan ratkaisutoiminnasta.
Yhdenvertaisuus- ja tasa-arvolautakunta ei voi ottaa asioita tutkittavaksi omasta aloitteestaan, vaan lainkäyttöasiat tulevat vireille lautakunnassa oikeusturvaa hakevien itsensä tai yhdenvertaisuusvaltuutetun toimesta. Lautakunta ei voi viran puolesta liittää menettelyn vastaajiksi muita henkilöitä kuin niitä, jotka osapuoli, joka on saattanut asian lautakunnan käsiteltäväksi hakemuksella, on nimenomaan nimennyt. Lautakunnalla on sille tehtyjen hakemusten ratkaisupakko.
Yhdenvertaisuuslain 20 §:n 3 momentin ja 21 §:n 2 momentin nojalla käytävän menettelyn tarkoituksena on ratkaisun antaminen oikeudellisesti sitovaa tuomiovaltaa käyttäen. Lautakunnalla ei ole tämän ratkaisutoiminnan ohella muuta intressiä tai tarkoitusta, mikä ilmenee myös siitä, ettei lautakunnalla ole yhdenvertaisuuden edistämistehtävää, kuten esimerkiksi yhdenvertaisuusvaltuutetulla. Lautakunnan tehtävänä on yksinomaan oikeusturvan antaminen soveltamalla oikeussääntöjä sen ratkaistavaksi tuoduissa yksittäisissä syrjintäasioissa. Lautakunta voi asettaa kieltopäätöstensä tehosteeksi uhkasakon, jolle ei lainsäädännössä ole asetettu määrällisiä rajoitteita.
Yhdenvertaisuus- ja tasa-arvolautakunnasta annetun lain 9 §:n mukaan jäsenten esteellisyydestä on voimassa, mitä tuomarin esteellisyydestä säädetään oikeudenkäymiskaaren 13 luvussa. Lisäksi lautakunnan puheenjohtaja, jäsenet ja varajäsenet sekä esittelijät ovat antaneet tuomarin vakuutuksen.
Yhdenvertaisuus- ja tasa-arvolautakunnasta annetun lain 2 §:n mukaan lautakunnan 13 jäsenestä vähintään seitsemän tulee olla lainoppineita. Lain 3 §:n mukaan lautakunnan puheenjohtajalla tulee olla tuomareiden nimittämisestä annetun lain 11 §:n 1 momentissa tarkoitettu kelpoisuus tuomarin virkaan. Lainoppineilta jäseniltä ja heidän varajäseniltään vaaditaan lisäksi oikeustieteen ylempi korkeakoulututkinto tai oikeustieteellinen jatkotutkinto. Lain 5 §:n mukaan lautakunnan pääsihteeriltä ja esittelijältä vaaditaan muu oikeustieteen ylempi korkeakoulututkinto kuin kansainvälisen ja vertailevan oikeustieteen maisterin tutkinto. Lain 6 §:n mukaan lautakunta toimii jaostoittain. Jaoston puheenjohtajana toimii joko lautakunnan puheenjohtaja tai varapuheenjohtaja. Jaostossa on neljä muuta jäsentä, joista kahden on oltava lainoppineita. Jaoston kokoonpanossa on siis aina vähintään kolme lainoppinutta eli enemmistö. Lain 6 §:n mukaan periaatteellisesti merkittävät asiat ratkaistaan lautakunnan täysistunnossa.
Yhdenvertaisuus- ja tasa-arvolautakunnasta annetun lain 12 §:n mukaan menettelyyn lautakunnassa sovelletaan hallintolakia, jollei lautakunnasta annetussa laissa, yhdenvertaisuuslaissa tai tasa-arvolaissa menettelystä toisin säädetä. Yhdenvertaisuus- ja tasa-arvolautakunnasta annetun lain 8 §:n mukaan äänestykseen lautakunnassa sovelletaan, mitä hallintolainkäyttölaissa säädetään äänestämisestä. Lainkäyttötoiminnassaan yhdenvertaisuus- ja tasa-arvolautakunta on velvollinen noudattamaan Euroopan ihmisoikeussopimuksen 6 artiklan mukaisia oikeudenmukaisen oikeudenkäynnin periaatteita.
Edellä lautakunnan asemasta ja menettelystä esitetty osoittaa, että lainsäätäjä on selvästi tarkoittanut yhdenvertaisuus- ja tasa-arvolautakunnan itsenäiseksi ja riippumattomaksi lainkäyttöelimeksi, jonka tehtävänä on sille tehtyjen hakemusten ratkaisu oikeudellisesti sitovalla ja velvoittavalla tavalla. Lautakunta katsoo, että se on perustuslain 21 §:n 1 momentissa tarkoitettu tuomioistuin tai muu riippumaton lainkäyttöelin, jossa jokaisella on oikeus saada oikeuksiaan ja velvollisuuksiaan koskeva päätös käsiteltäväksi. Lautakunta ei itsenäisenä ja riippumattomana tuomioistuimeen rinnastuvana lainkäyttöelimenä ole sellaisessa asemassa, että siihen voitaisiin soveltaa hallintolainkäyttölain 74 §:n mukaista velvollisuutta korvata muutoksenhakijan oikeudenkäyntikuluja.
Kuten oikeuskirjallisuudessakin on todettu, viranomaisen virhettä ei merkitse vielä se, että sen päätös kumotaan tai sitä muutetaan esimerkiksi toisenlaisen laintulkinnan perusteella. Näin ollen valituksenalainen päätös ei sisällä sellaista lainvastaisuutta tai virhettä, joka voisi toimia perusteena velvoittaa lautakunta korvaamaan muutoksenhakijan oikeudenkäyntikulut hallintolainkäyttölain 74 §:n perusteella.” – –
https://www.kho.fi/fi/index/paatokset/vuosikirjapaatokset/1608623507302.html
Ilmoita asiaton viesti
—
Ks. Alma Talentin 22.5.2023 tiedote
– – ”Apulaistietosuojavaltuutettu toteaa, että Ilmatieteen laitos ei ollut määritellyt tai soveltanut lainmukaista henkilötietojen siirtoperustetta reCAPTCHA ja Google Analytics -palveluiden käytössä. Se ei myöskään ollut keskeyttänyt tiedonsiirtoja viipymättä EU-tuomioistuimen Schrems II-ratkaisun (C-311/18) jälkeen, vaikka sillä ei ollut tietojen siirtämiselle enää pätevää siirtoperustetta. EU-tuomioistuimen ratkaisussa kumottiin EU:n ja Yhdysvaltojen välinen Privacy Shield -järjestely, jonka perusteella tietoja voitiin aiemmin siirtää.
Apulaistietosuojavaltuutettu muistuttaa, että EU- ja ETA-alueen ulkopuolelle tehtävien tiedonsiirtojen perusteena ei voida käyttää esimerkiksi rekisteröidyltä evästeiden käyttöön hankittavaa suostumusta.” – –
https://www.almatalent.fi/juridiikan-ja-talouden-uutiset/tietosuojavastaavan-toimisto-julkaisi-ohjausta-toisiolaissa-saadetysta-viranomaisten-selvitysvelvollisuudesta-2/?utm_source=Juridiikan+ja+talouden+uutiskirje&utm_medium=email&utm_campaign=Juridiikan+ja+talouden+uutiskirje
—
27.4.2023
Dnro 7684/171/22
”Apulaistietosuojavaltuutetun päätös henkilötietojen siirtoa kolmansiin maihin koskevassa asiassa”
– – ”Tiedonsiirtoja koskeva vaikutustenarviointi
Yleisen tietosuoja-asetuksen 35 artikla edellyttää, että rekisterinpitäjä tekee ennen käsittelytoimenpiteisiin ryhtymistä arvioinnin suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle silloin, kun käsittely todennäköisesti aiheuttaa luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin.
Tietosuojaa koskevan vaikutustenarvioinnin avulla on tarkoitus kuvata henkilötietojen käsittelyä, arvioida sen tarpeellisuutta ja oikeasuhteisuutta sekä tukea luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvien henkilötietojen käsittelystä aiheutuvien riskien hallintaa arvioimalla riskit ja määrittelemällä toimenpiteet, joilla niihin puututaan. Tietosuojaa koskeva vaikutustenarviointi on osoitusvelvollisuuden kannalta tärkeä työkalu, koska se auttaa rekisterinpitäjiä paitsi noudattamaan yleisen tietosuoja-asetuksen vaatimuksia, myös osoittamaan, että asetuksen noudattaminen on varmistettu asianmukaisin toimenpitein. Tietosuojaa koskeva vaikutustenarviointi on toisin sanoen menettely, jolla parannetaan vaatimusten noudattamista ja osoitetaan niiden noudattaminen.8
Nyt arvioitavassa asiassa rekisterinpitäjä on todennut tietosuojavaltuutetun toimistolle antamassaan selvityksessä, ettei se ole tehnyt vaikutustenarviointia henkilötietojen käsittelyyn liittyvien tiedonsiirtojen osalta. Apulaistietosuojavaltuutettu toteaa, että rekisterinpitäjän olisi tullut noudattaa henkilötietojen käsittelyssä rekisterinpitäjältä edellytettyä riskiperusteista lähestymistapaa ja huomioida, että menettelyyn liittyy yleisen tietosuoja-asetuksen 35 artiklan 1 kohdassa tarkoitettu todennäköinen korkea riski ja että 7 Google Analytics Opt-out Browser Add-on. 8 Ks. tietosuojatyöryhmän ohje WP 248: Ohjeet tietosuojaa koskevasta vaikutustenarvioinnista ja keinoista selvittää ”liittyykö käsittelyyn todennäköisesti” asetuksessa (EU) 2016/679 tarkoitettu ”korkea riski”, annettu 4.4.2017, s. 4. erityisesti yhdysvaltalaisviranomaisen pääsymahdollisuus seurantateknologioiden kautta kerättyihin henkilötietoihin muodostaa korkean riskin luonnollisen henkilön oikeuksien ja vapauksien kannalta.
Täsmennettäköön edellä todettuun, että vaikutustenarviointi tulee laatia myös tilanteessa, jossa henkilötietojen käsittelyyn ei alun perin ole liittynyt todennäköistä korkeaa riskiä, mutta tällainen riski on sittemmin aktualisoitunut.
Rekisterinpitäjän olisi edellä todetusti tullut laatia tiedonsiirtoja koskeva vaikutustenarviointi, jossa rekisterinpitäjä olisi arvioinut esimerkiksi kansainvälisiin henkilötietojen siirtoihin liittyviä suojatoimiaan. Rekisterinpitäjä on nyt tarkasteltavassa asiassa laiminlyönyt tämän keskeisen velvollisuutensa, ja rekisterinpitäjälle annetaan tämän menettelyn osalta huomautus.
https://tietosuoja.fi/documents/6927448/146469002/P%C3%A4%C3%A4t%C3%B6s+7684.171.22.pdf/d3a0bf99-efbd-dd00-3029-ed119848e3f3/P%C3%A4%C3%A4t%C3%B6s+7684.171.22.pdf?t=1684738902647
Ilmoita asiaton viesti
—
Ks. edellä viitattu Schrems II-ratkaisu (C-311/18):
UNIONIN TUOMIOISTUIMEN TUOMIO (suuri jaosto)
16 päivänä heinäkuuta 2020 (*)
Ennakkoratkaisupyyntö – Yksilöiden suojelu henkilötietojen käsittelyssä – Euroopan unionin perusoikeuskirja – 7, 8 ja 47 artikla – Asetus (EU) 2016/679 – 2 artiklan 2 kohta – Soveltamisala – Henkilötietojen siirto kolmanteen maahan kaupallisissa tarkoituksissa – 45 artikla – Tietosuojan riittävyyttä koskeva komission päätös – 46 artikla – Siirrot asianmukaisia suojatoimia soveltaen – 58 artikla – Valvontaviranomaisten toimivaltuudet – Kolmannen maan viranomaisten toteuttama siirrettyjen tietojen käsittely kansallista turvallisuutta varten – Kolmannen maan tietosuojan riittävyyden arviointi – Päätös 2010/87/EU – Tietosuojaa koskevat vakiolausekkeet henkilötietojen kolmanteen maahan siirtoa varten – Rekisterinpitäjän tarjoamat asianmukaiset suojatoimet – Pätevyys – Täytäntöönpanopäätös (EU) 2016/1250 – EU:n ja Yhdysvaltojen välisen Privacy Shield ‑järjestelyn tarjoaman tietosuojan tason riittävyys – Pätevyys – Luonnollisen henkilön, jonka tiedot on siirretty Euroopan unionista Yhdysvaltoihin, tekemä kantelu” – –
– – ”Asetuksen 2016/679 46 artiklan 1 kohtaa ja 2 kohdan c alakohtaa on tulkittava siten, että näissä säännöksissä vaadituilla asianmukaisilla suojatoimenpiteillä, täytäntöönpanokelpoisilla oikeuksilla ja tehokkailla oikeussuojakeinoilla on varmistettava, että henkilöiden, joiden henkilötietoja siirretään kolmanteen maahan tietosuojaa koskevien vakiolausekkeiden perusteella, saavat sellaisen suojan tason, joka pääosiltaan vastaa tasoa, joka taataan Euroopan unionissa tämän asetuksen, luettuna Euroopan unionin perusoikeuskirjan valossa, nojalla.
Tätä varten tällaisen siirron yhteydessä varmistetun suojan tason arvioinnissa on muun muassa otettava huomioon yhtäältä unioniin sijoittautuneen rekisterinpitäjän tai sen henkilötietojen käsittelijän ja asianomaiseen kolmanteen maahan sijoittautuneen siirron vastaanottajan välillä sovitut sopimusmääräykset ja toisaalta, siltä osin kuin kyse on tämän kolmannen maan viranomaisten mahdollisesta pääsystä näin siirrettyihin henkilötietoihin, tämän maan oikeusjärjestelmään liittyvät merkitykselliset tekijät, erityisesti mainitun asetuksen 45 artiklan 2 kohdassa mainitut tekijät.” – –
https://curia.europa.eu/juris/document/document.jsf;jsessionid=A986266B401BCD337FC33357EF29C17C?text=&docid=228677&pageIndex=0&doclang=FI&mode=lst&dir=&occ=first&part=1&cid=13744428
Ilmoita asiaton viesti
Ks. edellä viitattu
ASETUKSET
EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS (EU) 2016/679,
annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus)
(ETA:n kannalta merkityksellinen teksti)
https://eur-lex.europa.eu/legal-content/FI/TXT/PDF/?uri=CELEX:32016R0679
Ilmoita asiaton viesti
”35 artikla GDPR. Tietosuojaa koskeva vaikutustenarviointi”
https://gdpr-text.com/fi/read/article-35/
Ilmoita asiaton viesti