Kun tietosuoja-asetus julkaistiin EU:n virallisessa lehdessä, tehtäväkseni tuli työeläkealan juristiryhmän vetäminen. Tästä alkoi parin vuoden mittainen työrupeama, jonka kliimaksi piti olla tänään.

Ryhmämme tehtäväksi oli annettu miettiä tietosuoja-asetuksen vaikutuksia työeläkelakeihin sekä valmistella Eläketurvakeskuksen suositukset asetuksen soveltamisesta. Tietosuojavaltuutettu Reijo Aarnion tämän viikkoisen Hesarin vieraskynäkirjoituksen (HS 23.5.) innoittamana aloin miettiä omaa tietosuojamatkaani.

Työryhmässä aloitimme työmme kahdella kysymyksellä: mikä on työeläketoimijoiden asema asetusta sovellettaessa ja missä määrin työeläkelalla tarvitaan kansallista erityislainsäädäntöä tietosuoja-asetuksen mahdollistaman kansallisen liikkumavaran puitteissa.

Tietosuoja-asetuksessa on käytetty useita käsitteitä, joiden piiriin kuulumisella on vaikutusta siihen, miten asetusta sovelletaan lakisääteistä tehtävää hoitavaan työeläkealan rekisterinpitäjään. Tietosuoja-asetuksen mahdollistama kansallinen liikkumavara tai muuten poikkeus asetuksen soveltamisesta on mahdollista muun muassa silloin, kun kysymyksessä on lakisääteinen velvoite, julkisen vallan käyttö, yleinen etu tai toiminta sosiaaliturvan alalla.

Kysymys on kuitenkin lakisääteisestä toiminnasta

Kiistatta on selvää, että kaikki työeläketoimijat, toimintamuodosta riippumatta, hoitavat lakisääteisiä tehtäviä ja myös käyttävät julkista valtaa. Sen verran hybridi järjestelmämme ja sen toimijat kuitenkin ovat, että tuntui haastavalta miettiä, miten rekisteröidyn oikeudet soveltuvat työeläketoimijoihin.

Lopulta työryhmässä löysimme selkeitä rajauksia mm. siitä, mitkä rekisteröidyn oikeuksista eivät tulisi sovellettavaksi työeläkealalla. Tuskin kukaan rekisteröity edes haluaisi, että hänen eläkeoikeutensa unohdettaisiin. Sen verran säänneltyä tämä toimintamme on, että yksittäisellä rekisteröidyllä ei myöskään ole oikeutta siirtää tietoja työeläkejärjestelmästä toiseen järjestelmään.

Toisaalta suurin osa asetuksen mukaisista rekisteröidyn oikeuksista tulee työeläkejärjestelmässäkin sovellettavaksi: rekisteröityä täytyy informoida ja hänellä on oikeus tarkistaa tietonsa. Rekisterinpitäjinä työeläketoimijat ovat periaatteessa täysin samojen velvoitteiden piirissä kuin kaikki muutkin rekisterinpitäjät.

Liikkumavara hyödynnettiin, mutta ei rönsyilty työeläkelaeissa

Tietosuoja-asetuksen lukeminen ja erityisesti sen tulkitseminen oli alkuun erittäin haastavaa, koska muita lähteitä ei ollut kuin itse asetus. Toki nopeasti selvisi, että useat asetuksen tietosuojaperiaatteet lopulta ovat samoja kuin aiemmin. Mutta kyllä tässä on mietittävää riittänyt.

Työmme alkutaipaleella olimme työeläkejärjestelmässä sitä mieltä, että joutuisimme hyödyntämään useassa kohden tietosuoja-asetuksen mahdollistamaa kansallista liikkumavaraa. Oppia ikä kaikki myös tässä ja lopulta sosiaali- ja terveysministeriön antamassa hallituksen esityksessä työeläkelakeihin on ehdotettu ainoastaan kaksi rajoitusta rekisteröidyn oikeuksiin.

Rekisteröityjän etua on ajateltu

Hallituksen esityksessä on ehdotettu, että rekisteröidyllä ei olisi oikeutta vaatia eläkelaitosta rajoittamaan henkilötietojen käsittelyä silloin, kun se hoitaa työeläkelakien mukaista tehtävää, jos rekisteröidyn vaatimus käsittelyn rajoittamisesta on ilmeisen perusteeton. Säännös on siis mietitty rekisteröidyn suojaksi.

Jos rekisteröidyllä olisi rajoittamaton oikeus rajoittaa tietojen käsittelyä, voisi tämä voi merkitä eläkepäätöksen viivästymistä ja johtaa siihen, että eläkkeenhakija jää ilman toimeentuloa.

Tietosuoja-asetus kieltää sen, että rekisteröity joutuisi sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin. Työeläketoimijat, kuten varmasti monet muutkin tahot, kuitenkin automatisoivat prosessejaan ja päätöksiin, jotta toiminta tehostuisi ja hakijat saisivat päätöksensä mahdollisimman nopeasti. Olikin erittäin tärkeää käyttää kansallista liikkumavaraa siten, että työeläkelait mahdollistaisivat jatkossakin automaattiset päätökset työeläkealla.

Tässä kohden on pakko siirtyä hiukan sivupolulle ja miettiä automatisoinnin mahdollisuuksia ja rajoja.

Siirryn aiheesta hiukan sivupolulle. Aloin mietiskellä automatisoinnin mahdollisuuksia ja tietosuojan asettamia rajoja. Eläketurvakeskus julkaisi jokin aika sitten tutkimuksen siitä, kuinka tekoäly tunnistaa työkyvyttömyyseläkeläisen kaksi vuotta ennen eläkettä.

Lukiessani uutista näin mielessäni robotin, mikä tunnistaisi tekoälyn avulla ihan oikeassa elämässä mahdolliset työkyvyttömyyden uhan alla olevat henkilöt siten, että se profiloisi kaikki yrityksen työntekijät tietyin kriteerein. Tässä kohden tietosuoja-asetus asettaa kuitenkin rajat, koska pääsääntöisesti automatisoidut päätökset ja profilointi eivät saa perustua erityisiin henkilötietoryhmiin kuuluviin tietoihin (arkaluotoiset tiedot), kuten terveystietoihin.

Näistäkin ehkä olisi mahdollista säätää kansallisesti poikkeavasti (paino sanalla ehkä), mutta tällainen sääntely vaatisi tiukkaa rajausta, kattavia perusteluita ja asetuksen mukaisia suojatoimia.

Tietosuoja-asetuksen mukaiset sanktiot mietityttävät

Väittäisin, että jos muuta et tiedä uudesta tietosuoja-asetuksesta, niin sen mahdollistamista, massiivisistakin sakoista todennäköisesti olet kuullut. Tietosuoja-asetuksen mukaan jäsenvaltio voi kuitenkin kansallisesti säätää siitä, että voidaanko viranomaisille tai julkishallinnon elimille määrätä hallinnollisia sakkoja ja missä määrin.

Työeläkevakuuttajia ja Eläketurvakeskusta pidettäneen tietosuoja-asetuksessa tarkoitettuina julkishallinnon eliminä siltä osin kuin ne hoitavat julkista hallintotehtävää (mm. vakuuttaminen, eläkkeiden ratkaiseminen ja maksaminen).

Hallituksen esityksessä tietosuojalaiksi on lähdetty siitä, että hallinnollista seuraamusmaksua ei voida määrätä valtion viranomaisille, valtion liikelaitoksille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille eikä tasavallan presidentin kanslialle.

Ehdotetun lain mukaan rajaus ei näin ollen koskisi niitä yksityisiä tahoja, jotka hoitavat julkisia hallintotehtäviä. Toisin sanoen työeläketoimijat Kevaa lukuun ottamatta olisivat seuraamusmaksun piirissä. Tämä tarkoittaa, että työeläkevakuuttajien osalta sakkojen määrä voisi nousta korkeaksi riippuen siitä, miten liikevaihto määriteltäisiin.

Finanssivalvonnan määräysten mukaan laskettu liikevaihto nousee työeläkeyhtiössä helposti useisiin miljardeihin euroihin, joten liikevaihtoon sidottu sakon enimmäismäärä olisi useimmissa tapauksissa reilusti yli sata miljoonaa euroa.

Sen verran hyvin ja vastuullisesti ovat kuitenkin työeläketoimijat hoitaneet tietosuoja-asiat, että totuuden nimissä en usko, että maksimisakkoja koskaan täytyy meidän kohdalla miettiä.

Miksi kliimaksi jäi saavuttamatta?

Olemme siis kaksi vuotta puurtaneet tulevan lainsäädännön ja Eläketurvakeskuksen suositusten parissa ja kaikki olisi meidän puolelta valmista. Mutta valitettavasti kansallinen lainsäädäntö ei ole valmista nyt, kun tietosuoja-asetus tulee sovellettavaksi.

Yhtenä syynä lienee se, että tietosuojalaki sai pyyhkeitä perustuslakivaliokunnalta. Sen mukaan tietosuojalakia on muutettava muun muassa siten, ettei tietosuojavaltuutettu voi valvoa oikeuskanslerin ja eduskunnan oikeusasiamiehen toimintaa. Valiokunnan mukaan tietosuojavaltuutettu ei myöskään voi yksin päättää jopa kymmenien miljoonien eurojen suuruisten seuraamusmaksujen määräämisestä. Näin ollen myöskin työeläkelakin muutokset ovat edelleen eduskunnan käsittelyssä.

Tämä kaikki tarkoittaa, että Eläketurvakeskuksen tietosuojaa koskevat suositukset odottavat myös julkaisuaan siihen saakka, kunnes myös edellä mainitut lait tulevat sovellettavaksi. Työeläkevakuuttajat pääsevät kuitenkin lukemaan esijulkaistuja suosituksia kirjautuneina käyttäjinä Työeläkelakipalvelussa.

Tietosuojamatkani ei siis ole ohi vielä pitkään aikaan. Ei edes sitten, kun kansalliset lait saadaan voimaan. Kysymyksiä ja mietittävää riittää. Ja uusia aina ilmaantuu sitä mukaa kuin saamme soveltamiskäytäntöjä ja tietosuojaviranomaisten ohjeistusta.

Kuten Aarniokin Hesarin kirjoituksessa toteaa, tietosuoja-asetuksen tulkintojen harmonisoimisen varmistamiseksi perustetaan tietosuojaneuvosto. Näitä tulkintoja odotellessa.