1. Suomen perustuslaki

Vuonna 1995 tuli voimaan perusoikeussäännöksiä koskeva hallitusmuodon uudis­tus (969/1995), jota perusteltiin aiemmin voimassa olleen perusoikeusjärjes­telmän vanhentuneisuudella verrattuna kansainvälisiin ihmisoikeussopi­muksiin ja toisen maail­mansodan jälkeiseen eurooppalaiseen valtiosääntökehi­tykseen. Euroopan yhdentymiskehitys lisäsi myös tarvetta uudistaa kansallista perusoikeussäännöstöä. Toisaalta kansallisen identiteetin kannalta pidettiin tärkeänä, että suomalaisen yhteiskunnan perustavanlaatuiset arvot kirjataan näky­viin perustuslakiin. Suomen silloisen hallitusmuodon 8 §:n 1 momentissa tämä huomioitiin, ja 1.8.1995 alkaen oikeus yksityiselämän suojaan määriteltiin perusoikeudeksi. Säännöksen mukaan henkilötietojen suojasta on säädettävä tarkemmin lailla. Yksityiselämän suoja perusoikeutena merkitsee siis myös yksilön itsemääräämisoikeutta. Yksilön itsemääräämisoikeus on muiden perusoikeuksien olemassaolon edellytys länsimaisessa demokratiassa.

Perusoikeudet sisältyvät nyt 1.3.2000 voimaan tulleen Suomen perustuslain (731/1999, PL) 2 lukuun. Yksityiselämän suojasta perusoikeutena sekä siitä, että henki­lötietojen käsittelystä tulee säätää lain tasoisesti, on säännökset perustuslain 10 §:ssä. Uusi perustuslaki ei muuttanut aiemmin hallitusmuodossa säädettyjä ­perusoikeuksia eikä siis myöskään yksityiselämän suojan ja sitä turvaavien muiden perusoikeuksien (mm. oikeus ihmisarvoiseen kohteluun, yksilön itsemääräämis­oikeus, ­oikeus kunniaan, yhdenvertaisuus ja syrjintäkielto) perusteita ja sisältöä. Perusoikeussäännöksillä on pyritty siihen, että niitä sovellettaisiin tavallisten lakien ohella suoraan tuomioistuimissa ja muissa viranomaisissa sekä siihen, että yksityiset ihmiset voisivat vedota oikeuksiensa tueksi välittömästi perusoikeussäännöksiin (PL 106 §). Perusoikeussäännöksillä on myös haluttu luoda yksityisille ihmisille aiempaa paremmat edellytykset vaikuttaa itseään koskeviin asioihin. Julkisen vallan on perustuslain 22 §:n mukaan turvattava perusoikeuksien ja ihmisoikeuksien toteutuminen. Vaikka käsitettä ”yksityisyys” ei sinänsä ole lainsäädännössä määritelty, voidaan sen oikeudellista sisältöä kuvata edellä esitetyn lisäksi seuraavasti: jokaisella on

• oikeus järjestää yksityiselämänsä ilman perusteetonta ulkopuolisten puut­tumista
• oikeus tietää itseään koskevien tietojen käsittelystä ja käsittelyn tarkoituksesta '
• oikeus tulla arvioiduksi oikeiden ja tarpeellisten tietojen perusteella
• oikeus vaikuttaa ja päättää itseään koskevien tietojen käsittelystä, ellei tätä ole lainsäädännöllä rajoitettu
• oikeus viestinnän luottamuksellisuuteen mm. potilas–lääkäri-suhteessa.

Oikeuskirjallisuudessa (Saarenpää, 1999) mukaan yksityisyyden voidaan katsoa merkitsevän ainakin seuraavia kahdeksaa itsemääräämisoikeuteemme kuuluvaa seikkaa:

1. oikeus olla fyysisesti yksin kotirauhan piirissä ja erilaisen valvonnan ulottumattomissa
2. oikeus olla ihmissuhteissa, elämäntavoissa ja harrastuksissa yksin kotirauhan piirissä erilaisen valvonnan ja tiedonvälityksen ulottumattomissa eli sosiaalinen yksityisyys
3. oikeus pysyä tuntemattomana yhteiskunnassa eli oikeus anonymiteettiin
4. oikeus pidättyä julkisuudesta eli oikeus mediayksityisyyteen
5. oikeus päättää itseään koskevan informaation tarkastamisesta, tallentamisesta, käytöstä ja luovuttamisesta eli oikeus tietosuojaan
6. oikeus tulla arvioiduksi oikeassa valossa eli oikeus kunniaan
7. oikeus omaan nimeen, kuvaan ja hahmoon eli tiedollinen omistusoikeus
8. oikeus potilasyksityisyyteen.

Yksityisyyden suojassa henkilötietojen käsittelyssä ei ole kyse ensisijaisesti tiedon konkreettisesta suojaamisesta, vaan suojelukohteena esimerkiksi terveydenhuollossa ovat luottamuksellinen hoitosuhde ja potilaan itsemääräämisoikeus sekä potilaan minäkuva ja sosiaaliset suhteet. Suojelun kohteena on aina ihminen eli ei konkreettisesti tieto sinänsä. Sivullisia potilaan tietoihin nähden ovat kaikki ne terveydenhuollon toimintayksikössäkin työskentelevät, jotka eivät osallistu kyseisen potilaan hoitoon tai siihen liittyviin tehtäviin. Perustuslakivaliokunnan perusoikeusuudistusta koskevan mietinnön (PeVM 25/1994 s. 5) mukaan yleiset vaatimukset yksityiselämän rajoittamiselle ovat seuraavat:

• rajoitukset ovat laintasoisia, tarkkarajaisia, riittävän täsmällisesti määriteltyjä, tarkoitusperiltään hyväksyttäviä ja oikeasuhteisia rajoitusperusteeseen nähden.
• oikeusturvajärjestelyt ovat riittäviä.
• rajoitukset ovat sopusoinnussa Suomen kansainvälisten ihmisoikeusvel­voit­teiden kanssa.

Perustuslakivaliokunta on lausunnossaan (PeVL 14/1998 vp.) todennut mm., että henkilötietojen suojaa koskevan perusoikeussäännöksen kannalta tärkeitä sääntelyn kohteita ovat ainakin

• rekisteröinnin tavoite
• rekisteröitävien henkilötietojen sisältö
• tietojen sallitut käyttötarkoitukset
• tietojen luovutettavuus
• tietojen säilytysaika
• rekisteröidyn oikeusturva

samoin kuin näiden seikkojen sääntelemisen kattavuus ja yksityiskohtaisuus lain tasolla.

Edellä mainitut seikat henkilötietojen käsittelystä tulee ottaa huomioon lakeja valmisteltaessa, säädettäessä ja tulkittaessa. Myös Euroopan ihmisoikeussopimuksen valvontaviranomaiset ovat kiinnittäneet toiminnassaan huomiota rajoituksia merkitsevien säännösten laatuun. Normia ei voida pitää ihmisoikeussopi­muksen edellyttämänä lakina, ellei sitä ole muotoiltu tietyn ennustettavuuden takaavalla täsmällisyydellä.

2. EU:n yleinen tietosuoja-asetus, tietosuojalaki ja erityislait

Euroopan unionin tietosuojalainsäädäntö uudistui, kun Euroopan parlamentin ja neuvoston asetus yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (EU 2016/679, EU:n yleinen tietosuoja-asetus) astui voimaan 24.5.2016. Sitä alettiin soveltaa kansallisesti 25.5.2018. EU:n tietosuoja-asetus on suoraan sovellettavaa oikeutta. Se pätee yleisesti, on kaikilta osiltaan velvoittava ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa, ellei kansallisesti ole säädetty asetuksen sallimista poikkeamista (kansallinen liikkumavara).

Asetuksen taustalla vaikuttavat kansainväliset ihmisoikeussopimukset ja EU:n perusoikeuskirja. Perusoikeuskirjan yksityisyyden suojaa koskevan 7 artiklan mukaan jokaisella on oikeus siihen, että hänen yksityis- ja perhe-elämäänsä, kotiaan ja viestejään kunnioitetaan. Perusoikeusasiakirjan 8 artiklan mukaan jokaisella on oikeus henkilötietojensa suojaan. EU:n tietosuoja-asetuksen mukaan tietojen käsittelyn on oltava asianmukaista ja sen on tapahduttava tiettyä tarkoitusta varten. Käsittelyn on tapahduttava asianomaisen henkilön suostumuksella tai laissa säädetyllä perusteella. Asetus sisältää säännökset muun muassa henkilötietojen käsittelyä koskevista periaatteista (5 art), käsittelyn lainmukaisuudesta (6 art) ja arkaluonteisten tietojen käsittelystä (9 art). Jokaisella on oikeus tutustua niihin tietoihin, joita hänestä on kerätty ja vaatia niiden oikaisua.

Tietosuojalaki – yleinen kansallinen tietosuojasäännöstö

Tietosuojalailla (astui voimaan 1.1.2019) täydennetään ja täsmennetään Euroopan unionin yleistä tietosuoja-asetusta. Tietosuojalailla kumottiin henkilötietolaki sekä laki tietosuojalautakunnasta ja tietosuojavaltuutetusta. Tietosuojalaki on henkilötietojen käsittelyyn sovellettava yleislaki. EU:n yleistä tietosuoja-asetusta täydentävänä ja täsmentävänä kansallinen tietosuojalaki ei muodosta itsenäistä ja kattavaa sääntelykokonaisuutta, vaan sitä sovelletaan rinnakkain EU:n yleisen tietosuoja-asetuksen kanssa. Tietosuojalain sääntelystä voidaan kansallisessa erityislainsäädännössä poiketa, jos poikkeaminen on mahdollista EU:n yleisen tietosuoja-asetuksen kansalliselle lainsäätäjälle antaman harkintamarginaalin puitteissa.

Tietosuojalaissa säädetään henkilötietojen käsittelyn oikeusperusteesta ja erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä eräissä tilanteissa, tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettavasta ikärajasta (13 vuotta), valvontaviranomaisesta, oikeusturvasta sekä eräistä tietojenkäsittelyn erityistilanteista. Kuten edellä on jo todettu EU:n yleinen tietosuoja-asetus on asetuksena siinä mielessä poikkeuksellinen, että se jättää eräissä asioissa jäsenvaltioille direktiivinomaista kansallista liikkumavaraa. Kansallisen liikkumavaran käyttäminen on monelta osin jätetty kansallisen lainsäätäjän harkintaan. Tietosuojalaissa liikkumavara käytetään tilanteissa, joissa henkilötietolain (523/1999) kumoamisesta seurasi tarve kansalliseen sääntelyyn, esimerkiksi henkilötietojen käsittelyn oikeusperusteen säilyttämiseksi eräissä tilanteissa tai tieteellisen tutkimuksen edellytysten säilyttämiseksi mahdollisimman pitkälle entisen kaltaisina. Kansallista liikkumavaraa on mahdollista käyttää myös myöhemmin esimerkiksi säädettäessä kansallista erityislainsäädäntöä.

Erityislainsäädäntö

Suomessa on lisäksi voimassa runsaasti henkilötietojen käsittelyä koskevaa erityislainsäädäntöä. Erityislainsäädäntö jakautuu säädöksiin, jotka käsittelevät yhteiskunnan toiminnan kannalta merkityksellisiä henkilörekistereitä sekä säädöksiin, joissa säädetään tiettyyn toimialaan liittyvästä henkilötietojen käsittelystä (esimerkiksi työelämän tietosuojalaki, luottotietolaki).

Lisätietoja tietosuojalainsäädännöstä saat tietosuojavaltuutetun toimiston kotisivulta: https://tietosuoja.fi/lainsaadanto

Lisäksi tietosuojalainsäädäntöä on koottu kattavasti kirjaan Uusi tietosuojalainsäädäntö