Ajankohtaista/6.3.2024
Tietosuojaa korkeimmasta hallinto-oikeudesta: Viranomaisen selvitysvelvollisuus vs. itsekriminointisuoja
Erkko Korhonen
Korkein hallinto-oikeus antoi viime syyskuussa vuosikirjapäätöksen koskien erityisesti tietosuojavaltuutetun selvitysvelvollisuutta hallinnollisen seuraamusmaksun määräämisessä. Korkein hallinto-oikeus päätyi asiassa lopulta kumoamaan sekä tietosuojavaltuutetun antamat huomautukset ja määräyksen että seuraamuskollegion määräämän seuraamusmaksun. Miten korkein hallinto-oikeus perusteli ratkaisunsa ja voidaanko sillä nähdä olevan myös laajempia vaikutuksia viranomaiskäytäntöihin tietosuoja-asioissa tulevaisuudessa?
Mistä päätöksessä oli kyse?
Tiivistäen asiassa oli kyse siitä, oliko A Oy kerännyt työhönoton yhteydessä käyttämällään lomakkeella henkilötietoja (mukaan lukien arkaluonteisia henkilötietoja) tietosuoja-asetuksen ja työelämän tietosuojalain vastaisesti ja minkälaista selvitystä väitetystä rikkomuksesta oli hankittu ja olisi tullut hankkia.
Asian selvittämiseksi tietosuojavaltuutettu esitti asiassa A Oy:lle kaksi selvityspyyntöä, joista ensimmäiseen vastatessaan A Oy totesi edellä kuvatun lomakkeen olleen yhtiön käytössä alkuvuoteen 2020 saakka, sillä yhtiö ei ollut huomannut, että yleistä tietosuoja-asetusta oli sovellettu henkilötietojen käsittelyyn 25.5.2018 alkaen. Vastauksessaan toiseen selvityspyyntöön A Oy kuitenkin kiisti käyttäneensä lomaketta yleisen tietosuoja-asetuksen voimaantulon jälkeen ja poikkesi täten omasta aiemmassa selvityksessään antamasta tiedosta.
Kiistämisestä huolimatta tietosuojavaltuutettu kuitenkin katsoi annettujen selvitysten perusteella lomakkeen olleen A Oy:n käytössä ainakin alkuvuoteen 2020 saakka, ja yhtiön täten keränneen työnhakijoilta tarpeettomia henkilötietoja sekä laiminlyöneen tietosuoja-asetuksen 5 artiklan mukaisen osoitusvelvollisuuden. Tietosuojavaltuutettu määräsi yhtiön poistamaan kaikki tarpeettomat henkilötiedot ja antoi huomautuksia puutteellisesta dokumentoinnista. Lisäksi seuraamuskollegio määräsi yhtiölle 12 500 euron suuruisen hallinnollisen seuraamusmaksun.
A Oy valitti päätöksestä hallinto-oikeuteen, joka kumosi tietosuojavaltuutetun antamat huomautukset ja määräyksen sekä seuraamuskollegion seuraamusmaksua koskevan päätöksen. Apulaistietosuojavaltuutettu valitti hallinto-oikeuden päätöksestä korkeimpaan hallinto-oikeuteen, joka kuitenkin lopulta hylkäsi valituksen, eikä muuttanut hallinto-oikeuden päätöstä.
Arviointi korkeimmassa hallinto-oikeudessa
Hallintolain mukaan viranomaisen on huolehdittava asian riittävästä ja asianmukaisesta selvittämisestä hankkimalla asian ratkaisemiseksi tarpeelliset tiedot sekä selvitykset. Siten KHO:n arvioinnissa oli kyse ennen kaikkea siitä, oliko tietosuojavaltuutettu esittänyt asiassa sellaista selvitystä, joka osoitti Yritys A Oy:n toimineen yleisen tietosuoja-asetuksen määräysten vastaisesti oikeuttaen hallinnollisen seuraamusmaksun määräämisen.
Arvioinnin lähtökohdaksi KHO asetti hallinnollisten seuraamusmaksujen rinnastumisen rangaistusluonteisiin seuraamuksiin, mikä on myös perustuslakivaliokunnan näkemys. Kun siis arvioidaan oikeudenkäynnin menettelyllisiä oikeusturvatakeita, ovat rangaistusluonteiset hallinnolliset seuraamukset verrannollisia rikosasioihin eivätkä ne voi perustua puhtaasti käännettyyn todistustaakkaan taikka ankaraan objektiiviseen vastuuseen. Tämä asetelma luo viranomaiselle korostuneen selvitysvastuun asian tutkinnassa, jolloin arvioinnin on myös perustuttava syyttömyysolettamaan.
Viranomaisen ensisijaisen velvollisuuden perustuessa syyttömyysolettamaan, KHO totesi, ettei asianosainen myöskään ole velvollinen esittämään asiassa itselleen kielteistä selvitystä. Kun asianosainen rekisterinpitäjä on kiistänyt toimineensa tietosuojasääntelyn vastaisesti, eikä kiistämistä voida pitää ilmeisen perusteettomana, tulisi tietosuojavaltuutetun käyttää täydentäviä tutkintavaltuuksiaan ja, esimerkiksi tarkastuksen avulla, hankkia lisäselvitystä henkilötietojen käsittelyn lainvastaisuudesta rekisterinpitäjän toiminnassa.
Tietosuojavaltuutetun tai seuraamuskollegion päätöksistä ei käynyt ilmi kantelukirjelmän sisältöä tai sitä, miten kirjelmään liitetty lomake on yhdistetty A Oy:öön, vaan näkemys yhteydestä lomakkeen ja A Oy:n välillä on perustunut A Oy:n itse antamaan selvitykseen, jonka A Oy on myöhemmin kiistänyt. Täten korkein hallinto-oikeus katsoi, ettei tietosuojavaltuutetun asiassa antama selvitys ollut riittävä. Kun A Oy:n ei tietosuoja-asetuksen mukaisesta osoitusvelvollisuudesta huolimatta voida katsoa olevan velvollinen antamaan itselleen kielteistä selvitystä, ei seuraamuskollegiolla ollut perustetta määrätä yhtiölle hallinnollista seuraamusmaksua.
Lisäksi KHO toi ratkaisussaan esiin myös muita hallintoprosessuaalisia puutteita:
i) Tietosuojavaltuutetun päätöksen varsinainen ratkaisuosa ja sen perustelut eivät käyneet tietosuojavaltuutetun päätöksestä hallintolain 44 §:ssä edellytetyllä tavalla selvästi ilmi. Koska hallintoprosessissa päätöksen perustelut eivät voi olla erikseen muutoksenhaun kohteena, joutui KHO erikseen tulkitsemaan päätöstä sen selvittämiseksi, mikä osa päätöksestä on voinut olla ylipäänsä muutoksenhaun piirissä.
ii) Tietosuojavaltuutettu ei ollut riittävästi yksilöinyt puutteita osoitusvelvollisuuden noudattamisessa ja siten asiassa oli jäänyt epäselväksi, mihin huomautuksen antaminen siitä, että yhtiö ei ole kyennyt osoittamaan noudattaneensa tietosuojalainsäädäntöä, on perustunut. Päätöstä ei ole tältä osin ole perusteltu hallintolain 45 §:n 1 mukaisesti.
Miten päätös vaikuttaa tietosuoja-asioiden käsittelyyn tulevaisuudessa?
Tietosuoja-asetus sisältää niin sanotun osoitusvelvollisuuden: rekisterinpitäjä on velvollinen osoittamaan, että se on noudattanut tietosuoja-asetuksen periaatteita, mukaan lukien koskien velvollisuutta käsitellä henkilötietoja lainmukaisesti. Jossain määrin tämä on herättänyt kysymyksen siitä, noudatetaanko tietosuoja-asioissa ns. käännettyä todistustaakkaa eli että rekisterinpitäjän tulisi osoittaa noudattaneensa tietosuoja-asetusta sen sijaan että tietosuojaviranomainen osoittaisi tietosuoja-asetusta rikotun.
KHO:n ottama kanta on selvä: tietosuoja-asetuksen mukainen osoitusvelvollisuus ei kumoa viranomaisen selvitysvelvollisuutta. Vaikka näkemystä ei voida pitää täysin yllättävänä luo se silti mielenkiintoisen asetelman viranomaisen tutkintaprosessiin ja herättää kysymyksiä siitä, milloin ja miten rekisterinpitäjä voi jättää antamatta itselleen haitallista selvitystä ja missä määrin selvityksen antamatta jättäminen voisi johtaa osoitusvelvollisuuden (tietosuoja-asetus art 5) tai yhteistyövelvoitteen (art 31) laiminlyöntiin?
Tietosuoja-asetuksen nojalla rekisterinpitäjän on pyynnöstä tehtävä yhteistyötä valvontaviranomaisen kanssa sen valvontaviranomaisen tehtävien suorittamiseksi (artikla 31). Lisäksi tietosuojaviranomaisella on toimivalta määr ätä rekisterinpitäjä (tarvittaessa uhkasakon uhalla) antamaan kaikki viranomaisen tehtävien suorittamiseksi tarvittavat tiedot (artikla 58). Myös tietosuojavaltuutetun ratkaisukäytännössä on nähtävissä, että tietosuojavaltuutetun selvityspyyntöihin vastaamatta jättäminen tai muutoin puutteellinen yhteistyö viranomaisen kanssa, muodostuu myös osaltaan raskauttavaksi tekijäksi varsinaista seuraamusta määritettäessä.
Rekisterinpitäjä ei voi siis jättää viranomaisen tutkintaa täysin huomiotta, vaikka se ei myöskään ole velvollinen toimittamaan tälle itseään raskauttavaa aineistoa. Tällöin joudutaan rekisterinpitäjän kannalta haastavaan tilanteeseen: tulisiko antaa selvitystä vai ei? Ohjeena voitaneen antaa, että jatkossakin on rekisterinpitäjien hyvä yhteistyötä viranomaisen kanssa tehdä, mutta asian luonteesta riippuen harkintaa on syytä käyttää siinä, missä vaiheessa prosessia ja millä yksityiskohtaisuustasolla tietoa antaa.
Lisäksi on syytä huomioida, että mahdollisten tietosuojarikkomusten tullessa vireille tietosuojavaltuutetun toimistossa ei tutkintaa aloitettaessa useimmiten tiedetä, päätyykö asia seuraamusmaksun määräämiseen, vai onko esimerkiksi huomautus, varoitus tai muu vastaava seuraamusmaksua lievempi seuraamus riittävä. Jos osoitusvelvollisuudesta poikkeaminen on mahdollista ainoastaan seuraamusmaksupäätöksissä niiden rikosoikeudellisiin rangaistuksiin rinnastuvan luonteen takia, tulisi rekisterinpitäjän kuitenkin muiden mahdollisten seuraamusten yhteydessä antaa riittävä selvitys toiminnastaan. Tällöin rekisterinpitäjän ainoaksi vaihtoehdoksi jääkin aiempien selvitystensä kiistäminen prosessin myöhemmässä vaiheessa, jos se on yhä mahdollista.
KHO nimenomaisesti totesi, että tietosuojavaltuutetulla olisi ollut käytettävissään myös muita toimivaltuuksia riittävän selvityksen saamiseksi, kuten tarkastusten suorittaminen. Siten todennäköisesti KHO:n päätös tulee ainakin lisäämään tarkastusten ja muiden lisäselvityksen hankkimisessa hyödynnettävien keinojen määrää osana tietosuojavaltuutetun tutkintaprosessia. Viranomaisen hankkiman selvityksen tulee olla entistä kattavampaa ja täsmällisempää, jotta hallinnollinen seuraamusmaksun määräämisessä toteutunut prosessi kestää myös hallintotuomioistuinten kriittisen tarkastelun. Seurauksena voikin olla yhä raskaampi ja ajallisesti pidempi prosessi, joka kuormittaa tietosuojavaltuutetun toimiston lisäksi myös rekisterinpitäjiä. Toisaalta tarkempi prosessi voi lisätä annettujen ratkaisujen oikeusvarmuutta niiden perustuessa laajempaan selvitystyöhön.
Ajoittain on esitetty kritiikkiä sen suhteen, että hallintotuomioistuimet ratkaisuissaan olettavat viranomaisten tuntevan lainsäädännön (sekä substanssikysymysten ja hallintoprosessin osalta) ja kallistuvat siten helposti viranomaisen näkökannan puolelle. On siten positiivista huomata, että tietosuoja-asioissa valitusprosessi toimii ja että hallintotuomioistuimet ottavat kriittisesti kantaa hallintoprosessuaalisiin puutteisiin viranomaisen päätöksenteossa.
Oman lisämausteensa seuraamusmaksutapauksiin tuovat tuoreet EU-tuomioistuimen ratkaisut (C-683/21 ja C-807/21). EUT:n mukaan hallinnollinen seuraamusmaksu voidaan määrätä vain, jos rikkominen on ollut tahallista tai tuottamuksellista. Vaikka tuottamuksen kynnys ei ole kovin korkealla (EUT: ”rekisterinpitäjä ei voinut olla tietämättä, että sen menettely on luonteeltaan sääntöjenvastaista”), tulee tietosuojaviranomaisen tämä arvioida ja osoittaa.
Jos edellä esitetty herättää kysymyksiä tai haluat lisätietoja asiasta, asiantuntijamme keskustelevat mielellään kanssasi.
Erkko neuvoo asiakkaitamme teknologiaan liittyvissä transaktioissa ja järjestelyissä sekä ICT-projekteihin, ulkoistukseen ja pilvipalveluihin liittyvissä kysymyksissä. Erkon toimenkuvaan kuuluu myös datatalouteen liittyvät kysymykset sekä yleisesti kaikki tietoturvaan ja tietosuojaan liittyvät kokonaisuudet, erityisesti tietosuoja-asetukseen ja sähköisen viestinnän tietosuojaan liittyvät kysymykset.
Erkko vastaa Boreniuksen Technology & Data -tiimistä yhdessä Samuli Simojoen kanssa.