Henkilötietojen siirrot ja luovutukset kolmanteen maahan

Tietosuojalain 28 §:n mukaan oikeuteen saada tieto ja muuhun henkilötietojen luovuttamiseen viran-omaisen henkilörekisteristä sovelletaan, mitä viranomaisten toiminnan julkisuudesta säädetään. Hen-kilötietoja sisältävien asiakirjojen luovuttamista koskeva sääntely perustuu 86 artiklassa säädettyyn kansalliseen liikkumavaraan, jota on käytetty julkisuuslaissa.³⁵⁵ Lisäksi erityislainsäädännössä sää-detään erilaisista perusteista luovuttaa viranomaisen asiakirjoja.

Julkisuuslain 16.3 §:n mukaan viranomaisen henkilörekisteristä saa antaa henkilötietoja sisältävän kopion tai tulosteen tai sen tiedot sähköisessä muodossa, jollei laissa ole toisin erikseen säädetty, jos

354 Ks. eduskunnan apulaisoikeusasiamiehen ratkaisu 6.6.2017, Dnro 5352/15.

355 Ks. EU:n yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän (TATTI) mietintö. Mietintöjä ja lausuntoja 35/2017, s. 36–37.

luovutuksensaajalla on henkilötietojen suojaa koskevien säännösten mukaan oikeus tallettaa ja käyt-tää sellaisia henkilötietoja. Säännöstä on tulkittu siten, että sen tarkoituksena on eskäyt-tää henkilötietojen luovuttaminen massamuotoisesti viranomaisen henkilörekisteristä. Massamuotoista luovuttamista ei ole erikseen määritelty, mutta sillä voidaan tarkoittaa koko henkilörekisterin tai suurehkoa määrää rekisteröityjä koskevien henkilötietojen luovuttamista. Julkisuuslain 16.3 §:ää ei siten sovelleta sil-loin, kun tietoja luovutetaan yksittäistapauksissa viranomaisen henkilörekisteristä.³⁵⁶ Julkisuuslain 16.3 §:n tarkoituksena on estää se, että henkilötietojen julkisuus johtaisi henkilötietojen suojaa kos-kevien säännösten vastaiseen tietojenkäsittelyyn.³⁵⁷ Tästä syystä se ei tule sovellettavaksi missä ta-hansa tilanteessa, jossa viranomainen antaa henkilötietoja sisältävän asiakirjan sivulliselle.

Esimerkiksi tilanteessa, jossa viranomainen lähettää tai muuten luovuttaa asiakirjan, joka sisältää henkilötietoja, kuten tietopyynnön ulkomaan viranomaiselle, kyse ei ole julkisuuslain 16.3 §:ssä tar-koitetusta henkilötietojen antamisesta viranomaisen henkilörekisteristä.

Ulkomaalaisrekisteri on julkisuuslain 16.3 §:ssä tarkoitettu viranomaisen henkilörekisteri. Julkisuus-lain 16.3 § on kuitenkin toissijainen suhteessa muussa laissa oleviin viranomaisten henkilörekisterien tietojen luovutusta koskeviin säännöksiin.³⁵⁸ Ulkomaalaisrekisterilain 10 §:ssä säädetään nimenomai-sesti tietojen luovuttamisesta rekisteristäulkomaan viranomaiselle. Pykälä sisältää säännökset ulko-maalaisrekisteriin talletettujen tietojensäännönmukaisesta luovuttamisesta muille viranomaisille.³⁵⁹ Yksittäisluovutukset näin ollen jäävät ulkomaalaisrekisterilain 10 §:n soveltamisalan ulkopuolelle.

Ulkomaalaisrekisterilain 10.2 §:n säädetään siitä, että 1 momentissa tarkoitettuja tietoja voidaan luo-vuttaa myös konekielisessä muodossa tai teknisen käyttöyhteyden avulla. Säännöksen tarkoituksena oli varmistaa, että vältytään samojen tietojen moninkertaiselta tallettamiselta eri rekistereihin.³⁶⁰ Li-säksi ulkomaalaisrekisterilain 10.2 §:n toisen virkkeen mukaan ennen tietojen luovuttamisen teknisen

356 Voutilainen 2019, s. 565; Mäenpää 2016, s. 203–206. Ks. myös EOA/1473/2016, s. 15–16.

357 HE 30/1998 vp, s. 74.

358 Mts., s. 73.

359 HE 206/1997 vp, s. 15–16.

360 Mts., s. 18.

käyttöyhteyden avulla on tietoja pyytävän esitettävä selvitys tietojen suojaamisesta henkilötietolain 32 §:n 1 momentissa tarkoitetulla tavalla.

Sääntelyä on tältä osin tarkistettava vastaamaan voimassa olevaa lainsäädäntöä.³⁶¹ Siinä on otettava huomioon erityisesti tiedonhallintalaissa tietojen luovuttamiselle vahvistetut edellytykset. Viran-omainen voi luovuttaa teknisten rajapintojen avulla tietoja muulle kuin toiselle viranomaiselle – mu-kaan lukien ulkomaan viranomaiselle – tiedonhallintalain 24 §:ssä säädetyin edellytyksin. Tiedonhal-lintalain 24.1 §:n mukaan viranomainen voi luovuttaa teknisten rajapintojen avulla tietoja muulle kuin toiselle viranomaiselle, jos tiedot saavalla toimijalla on erikseen laissa säädetty tiedonsaantioikeus ja oikeus käsitellä näitä tietoja. Teknisen rajapinnan avaamisen edellytyksistä säädetään tiedonhallinta-lain 22 §:ssä. Teknisen rajapinnan avaamisen yleisiin edellytyksiin kuuluu, että tiedonhallintatiedonhallinta-lain 4 luvussa vahvistetut tietoturvallisuusvaatimukset toteutetaan. Lisäedellytyksenä on, että teknisesti var-mistetaan luovutettavien tietojen tapauskohtainen tarpeellisuus tai välttämättömyys tietoja saavan ta-hon tehtävien hoitamiseksi, jos luovutettavat tiedot ovat henkilötietoja tai salassa pidettäviä tietoja.

Tietosuoja-asetuksen 44 artiklan mukaan sellaisten henkilötietojen siirto, joita käsitellään tai joita on tarkoitus käsitellä kolmanteen maahan siirtämisen jälkeen, toteutetaan vain, jos rekisterinpitäjä ja henkilötietojen käsittelijä noudattavat tietosuoja-asetuksen V luvussa vahvistettuja edellytyksiä, ja ellei tämän asetuksen muista säännöksistä muuta johdu. Kolmansia maita ovat kaikki muut paitsi EU:n jäsenvaltiot ja Euroopan talousalueen jäsenvaltiot.³⁶² Tietosuoja-asetuksen 86 artiklan voidaan katsoa pitävän sisällään säännöksen, jonka perusteella tietosuoja-asetuksessa vahvistettuja henkilö-tietojen siirtoja koskevia sääntöjä ei kyseisessä artiklassa säädetyin edellytyksin tarvitse noudattaa.

Sen mukaan viranomaiset taikka julkis- tai yksityisoikeudelliset yhteisöt yleisen edun vuoksi toteu-tetun tehtävän suorittamiseksivoivat luovuttaaviranomaisten tai yhteisöjen hallussa olevien virallis-ten asiakirjojen sisältämiä henkilötietoja viranomaiseen tai yhteisöön sovellettavan unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti.³⁶³ Tietosuoja-asetuksen johdanto-osan 154 kohdassa täs-mennetään, että asetusta sovellettaessa voidaan ottaa huomioon virallisten asiakirjojen julkisuusperi-aate, ja että virallisten asiakirjojen julkisuutta voidaan pitää yleisenä etuna. Huomionarvoista tässä

361 Ehdotettu laki henkilötietojen käsittelystä maahanmuuttohallinnossa (HE 18/2019 vp) korvaa ulkomaalaisrekisteristä annetun lain.

362 Korpisaari – Pitkänen – Warma-Lehtinen 2018, s. 395.

363 Ks. tietosuoja-asetuksen 86 artiklan tulkinnasta mts., s. 584–591.

yhteydessä on myös se, että virallisten asiakirjojen julkisuus ja salassapito määräytyvät pääsääntöi-sesti jäsenvaltioiden kansallisen lainsäädännön mukaan.

Henkilötietoja sisältävä julkinen viranomaisen asiakirja voidaan antaa ulkomaan viranomaiselle jul-kisuuslain 9.1 §:n nojalla. Julkisuuslaissa ja muualla lainsäädännössä säädetään yksityisyyden suo-jaamiseen liittyvistä salassapitovelvoitteista, joilla varmistetaan tietosuojan säilyminen. Näitä yksi-tyisyyden suojaamisen tarkoituksessa salassa pidettäviksi säädettyjä henkilötietoja voidaan sisällyttää ulkomaan viranomaiselle annettavaan asiakirjaan ainoastaan, jos jokin salassa pidettävien tietojen antamisen edellytyksistä täyttyy. Niissä tilanteissa, joissa kansallisessa lainsäädännössä viranomaisen hallussa olevien asiakirjojen sisältämien henkilötietojen luovuttamisen edellytyksenä on, että luovu-tuksensaajan oikeudesta tallettaa ja käyttää henkilötietoja tai oikeudesta käsitellä henkilötietoja sää-detään henkilötietojen suojaa koskevassa lainsäädännössä, tietosuoja-asetuksen V luvussa vahviste-tut henkilötietojen siirtoja koskevat säännöt tulevat sovellettaviksi. Laajamittaiset tai säännönmukai-set henkilötietojen luovutuksäännönmukai-set viranomaisen henkilörekisteristä edellyttävät näin ollen, että tieto-suoja-asetuksen V luvussa vahvistettuja henkilötietojen siirtojen edellytyksiä noudatetaan.³⁶⁴ Tieto-suoja-asetuksen 86 artiklassa vahvistetun säännöksen nojalla henkilötietoja sisältävän tietopyynnön tai muun asiakirjan lähettäminen tai muu luovuttaminen kolmannen maan viranomaiselle ei sen si-jaan merkitse henkilötietojen siirtoa kolmanteen maahan tietosuoja-asetuksen V luvussa tarkoitetulla tavalla.

Henkilötietoja voidaan siirtää kolmanteen maahan tai kansainväliselle järjestölle ensinnäkin, jos ko-missio on tehnyt tietosuoja-asetuksen 45 artiklan mukaisen päätöksen, jonka mukaan kolmas maa tai kolmannen maan alue tai yksi tai useampi tietty sektori tai kansainvälinen järjestö varmistaa riittävän tietosuojan tason. Jollei tällaista päätöstä ole tehty, rekisterinpitäjä tai henkilötietojen käsittelijä voi siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle vain, jos kyseinen rekisterin-pitäjä tai henkilötietojen käsittelijä on toteuttanut tietosuoja-asetuksen 46 artiklassa tarkoitetut

asian-364 Ks. henkilötietojen siirtoedellytyksistä Voutilainen 2019, s. 184–191 sekä Korpisaari – Pitkänen – Warma-Lehtinen 2018, s. 392–421 ja Ustaran, Eduardo, International Data Transfers. Teoksessa Ustaran, Eduardo (Executive Editor):

European Data Protection. Law and Practice. An IAPP Publication 2018, s. 215–231.

mukaiset suojatoimet, ja jos rekisteröityjen saatavilla on täytäntöönpanokelpoisia oikeuksia ja tehok-kaita oikeussuojakeinoja. Asianmukainen suojatoimi voi olla esimerkiksi tietosuoja-asetuksen 46 ar-tiklan 2 kohdan a alakohdassa tarkoitettu viranomaisten tai julkisten elinten välinen oikeudellisesti sitova ja täytäntöönpanokelpoinen väline. Jos komissio ei ole tehnyt tietosuojan tason riittävyyttä koskevaa päätöstä eikä ole toteutettu asianmukaisia suojatoimia, henkilötietojen siirrot tai siirtojen sarjat kolmanteen maahan tai kansainväliselle järjestölle voidaan suorittaa tietosuoja-asetuksen 49 artiklassa säädettyjen poikkeusperusteiden nojalla.

Tietosuoja-asetuksen 49 artiklan 1 kohdan mukaan henkilötietoja voidaan siirtää, jos jokin seuraa-vista edellytyksistä täyttyy: 1) rekisteröity on antanut nimenomaisen suostumuksensa ehdotettuun siirtoon sen jälkeen, kun hänelle on ilmoitettu, että tällaiset siirrot voivat aiheuttaa rekisteröidylle riskejä tietosuojan tason riittävyyttä koskevan päätöksen ja asianmukaisten suojatoimien puuttumisen vuoksi; 2) siirto on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöönpane-miseksi tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttatäytäntöönpane-miseksi rekisteröidyn pyyn-nöstä; 3) siirto on tarpeen rekisterinpitäjän ja toisen luonnollisen henkilön tai oikeushenkilön välisen, rekisteröidyn edun mukaisen sopimuksen tekemiseksi tai täytäntöönpanemiseksi; 4) siirto on tarpeen tärkeää yleistä etua koskevien syiden vuoksi; 5) siirto on tarpeen oikeusvaateen laatimiseksi, esittä-miseksi tai puolustaesittä-miseksi; 6) siirto on tarpeen rekisteröidyn tai muiden henkilöiden elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan; tai 7) siirto tehdään rekisteristä, jonka tarkoituksena on unionin oikeuden tai jäsenvaltion lainsäädännön mukaan tietojen antaminen yleisölle ja joka on yleisesti yleisön tai kenen tahansa sellaisen henkilön käytettävissä, joka voi esittää tiedonsaannille perustellun syyn, mutta ainoastaan siltä osin kuin rekis-terin käytön edellytykset, joista säädetään unionin oikeudessa tai jäsenvaltion lainsäädännössä, täyt-tyvät kussakin yksittäisessä tapauksessa.³⁶⁵

On huomattava, että eräiden poikkeusperusteiden soveltamista on rajoitettu. Esimerkiksi rekiste-röidyn suostumuksen nojalla henkilötietoja ei voida siirtää, jos siirto liittyy toimiin, joita viranomaiset

365 Ks. poikkeusperusteista Asetuksen (EU) 2016/679 49 artiklan mukaisia poikkeuksia koskeva suuntaviivat 2/2018.

Annettu 25.5.2018.

suorittavat osana julkisen vallan käyttöä.³⁶⁶ Rajoituksen taustalla vaikuttaa se, että rekisteröidyn ja viranomaisen välillä on selkeä epäsuhta. Tämän vuoksi on epätodennäköistä, että suostumus on an-nettu vapaaehtoisesti kaikissa kyseiseen tilanteeseen liittyvissä olosuhteissa.³⁶⁷ Koska ulkomaalais-asian käsittelyyn maahanmuuttoviranomaisessa liittyy julkisen vallan käyttöä, henkilötietojen siirto kolmanteen maahan ja kansainväliselle järjestölleei voi perustua rekisteröidyn antamaan suostumuk-seen.

Tietosuoja-asetuksen 49 artiklan 1 kohdan d alakohdan mukaan henkilötietoja voidaan siirtää kol-manteen maahan tai kansainväliselle järjestölle, jos siirto on tarpeentärkeää yleistä etua koskevien syiden vuoksi. Poikkeusta sovelletaan esimerkiksi, kun on kyse kansainvälisestä tiedonvaihdosta kil-pailuviranomaisten, vero- tai tullihallintojen, finanssivalvonnasta vastaavien viranomaisten tai sosi-aaliturvasta tai julkisesta terveydenhuollosta vastaavien yksikköjen välillä.³⁶⁸ Tämän poikkeuksen soveltamisen edellytyksenä on, että yleinen etu tunnistetaan unionin oikeudessa tai sen jäsenvaltion lainsäädännössä, jota rekisterinpitäjään sovelletaan.³⁶⁹ Yleistä etua ei ole tietosuoja-asetuksessa mää-ritelty. Euroopan tietosuojaneuvosto on edeltäjänsä tietosuojatyöryhmän tavoin korostanut, että hen-kilötietojen siirto mainitulla perusteella voidaan toteuttaa, jos EU:n lainsäädännöstä tai rekisterinpi-täjään sovellettavasta jäsenvaltion lainsäädännöstä voidaan päätellä, että tällaiset siirrot ovat sallittua tärkeää yleistä etua koskevia tarkoituksia varten.³⁷⁰

366 GDPR 49(3) artikla.

367 GDPR johdanto-osan 43 kohta ja WP259 rev.01, s. 6–8.

368 GDPR johdanto-osan 112 kohta.

369 GDPR 49(4) artikla.

370 Asetuksen (EU) 2016/679 49 artiklan mukaisia poikkeuksia koskevat suuntaviivat 2/2018, s. 10–11.

4. Selvittäminen eri asiaryhmissä