Professori synkkänä – Trafi-sotku seurausta ennätyksellisen sekavasta lainsäädännöstä: "Suomi epäonnistunut aivan täysin"

Trafin kaltaisia tietoturvaongelmia tullee lisää, ellei tietosuojalakeihin tehdä täysremonttia, sanoo it-oikeuteen perehtynyt professori Tomi Voutilainen.

tietosuoja
Tomi Voutilainen
Tomi VoutilainenNella Nuora / Yle

Suomella on kyseenalainen Euroopan ennätys – tietosuojasta säädetään peräti 700–800 laissa.

Kyse on tärkeistä asioista: viranomaistoiminnan läpinäkyvyydestä eli julkisuusperiaatteesta, avoimen datan käytöstä, ja toisaalta tietoturvasta digimaailmassa, jossa tiedon jakaminen lisääntyy jatkuvasti.

Suomen valtava säädösmäärä on kuitenkin riski tärkeiden tavoitteiden toteutumiselle, arvioi julkisoikeuden professori Tomi Voutilainen Itä-Suomen yliopistosta.

– Suomi on epäonnistunut tietosuojasääntelyn täytäntöönpanossa, voi sanoa, että aivan täysin. Meillä on Euroopan ennätys tietosuojan sääntelyn määrän osalta, noin 700–800 lakia joissa on henkilötietojen suojaa koskevia säännöksiä, Voutilainen harmittelee.

Lakien yhteensovittaminen on ammattilaisellekin vaativaa. Trafin tietosuojaongelmat ovatkin Voutilaisen mukaan seurausta tästä.

–Kyllä. Siellä on sotkettu asiakirjan julkisuuden toteuttaminen ja tietopalvelujen toteuttaminen. Tietosuojan sääntelyä ei otettu riittävästi huomioon. Säädöksiin ei yhden käden sormet tahdo riittää.

Riski oikeusturvalle

Lainsäädäntöä piti tietosuoja-asetuksen yhteydessä keventää, näin perustuslakivaliokuntakin on toivonut. Näin ei käynyt, Voutilaisen mukaan kahden vuoden aikana sääntely on mennyt yhä sotkuisemmaksi.

Voutilaisen mukaan monimutkainen lainsäädäntö on jo riski lakia soveltavien virkamiesten oikeusturvan kannalta.

–Mitä sekavampaa lainsäädäntö on, sen vaikeampaa sen tulkinta on. Puhumattakaan, ymmärtävätkö kansalaiset omia oikeuksiaan, Voutilainen harmittelee.

Kansalaisten tulisi olla valppaana muun muassa sen suhteen, että viranomaistoiminnassakin kerättyjä henkilötietoja voidaan pyrkiä käyttämään ”kauppatavarana”.

–Tästä näkökulmasta tilanne vaikuttaa varsin synkältä ja tästä pitäisi käydä laajempaa yhteiskunnallista keskustelua: mihin kaikkiin tarkoituksiin hallinnon asiakkaita voidaan käyttää erityisesti, kun tavoitteena ovat muut kuin yleisen edun mukaiset tarkoitukset.

Leila Kostiainen: Vakava harkinta ettei lakia annetaisi

Hallitusta ja eduskuntaa varoitettiin lainsäädännön vaikeaselkoisuudesta jo helmikuussa, ennen kuin EU:n GDPR-tietosuoja- asetus tuli toukokuussa voimaan.

Lainsäädännön arviointineuvosto antoi helmikuussa viisikohtaisen puutelistan tärkeimmistä muutostarpeista.

Siinä se puuttui samaan asiaan. Neuvosto kuvaili hallituksen lakiesitysluonnosta niin vaikealukuiseksi, että se kehotti hallitusta vakavasti harkitsemaan, voiko esitystä antaa ilman isoja korjauksia.

– Euroopan unionin tietosuoja-asetus on erittäin monimutkainen ja vaikeaselkoinen. Tämä täytäntöönpanolaki joka sen jälkeen on Suomessa tehty, ei auttanut selkeyttä lainkaan joten tämä on erittäin vaikea lain soveltajille, sanoo arviointineuvoston puheenjohtaja Leila Kostiainen.

Neuvoston edellyttämiä korjauksia ei Kostiaisen mukaan tehty. Syynä viime tinka.

– Ministeriön aikataulutus oli tehty niin että oli noin kaksi viikkoa aikaa korjata puutteita. Puutteet olivat niin suuret, ja koska laki oli hyvin epäselvä, ja kieli vaikeaselkosta, ei puutteita ole voitu korjata, Kostianen kertoo.

Neuvosto painottaa, että henkilörekistereihin liittyviä lakeja soveltavat muutkin kuin asiantuntijat. Heidän pitäisi ne myös ymmärtää.

Esimerkiksi taloyhtiön hallituksessa niitä tarvitaan, samoin vapaaehtoistyönä urheilujoukkuetta huoltavat. Henkilörekisteri voi syntyä siitäkin, että vanhemmat pitävät kirjaa lapsensa koulun myyjäisten leivontavuoroista.

Kostiainen osasi odottaa että tietoturvaa liittyviä ongelmia olisi ensimmäiseksi syntynyt näille ryhmille. Toisin kävi.

Yllättikö että Trafin kaltainen tapaus tuli?

–Kyllä ja ei. Ei hämmästyttänyt että ongelmia tuli, mutta hämmästytti että ne tulivat valtionvirastosta, Kostiainen pohtii.

Ratkaisu vaatisi täysremontin, jota ei uskalleta tehdä

Ratkaisu olisi Tomi Voutilaisen ja Kostiaisen mukaan tietosuojasäädösten täysremontti. Yhtä lakia kerrallaan viilaamalla kokonaisuus ei muutu.

Voutilainen huomauttaa, että sopiva hetki tosin menetettiin, kun asiaan ei tartuttu tietosuojauudistuksen yhteydessä.

–Tähän oli mahdollisuus kun tietosuojalainsäädännön uudistus tuli, mutta tätä mahdollisuutta ei osattu käyttää, Voutilainen sanoo.

Seuraava hallitus ei välttämättä halua taakakseen koko vaalikauden kestävää tietosuojahanketta. Seurauksena voi Voutialaisen mukaan tulla uusia "trafeja".

–Trafin kaltaisia tapauksia voi tulla, jos nyt ei luoda selkeitä säännöksiä siitä, miten henkilötietojen suoja, julkisuusperiaate ja erilaiset tavoitteet tiedon avoimuudesta yhteensovitetaan, Voutilainen sanoo.