HE 12/2020

13luku Työ- ja elinkeinotoimiston asiakastietojärjestelmä

1 §.Työ- ja elinkeinotoimiston asiakastietojärjestelmä . Pykälän 1 momentissa täsmennettäisiin asiakastietojärjestelmän käyttötarkoituskuvauksia, jotta ne vastaisivat tosiasiallisia asiakastietojärjestelmän käyttötarkoituksia. Yleisen tietosuoja-asetuksen 5 artiklassa säädetään henkilötietojen käsittelyä koskevista periaatteista. Rekisterinpitäjä vastaa, että 5 artiklassa säädettyjä periaatteita on noudatettu. Sen on myös pystyttävä osoittamaan, että niitä on noudatettu. Asetuksen 5 artiklan 1 kohdan a alakohdan mukaan henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (lainmukaisuuden, kohtuullisuuden ja läpinäkyvyyden periaate). Asetuksen 5 artiklan l kohdan b alakohdassa tarkoitettu käyttötarkoitussidonnaisuuden periaate puolestaan tarkoittaa, että henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Näihin periaatteisiin liittyy yleisen tietosuoja-asetuksen 6 artiklan sääntely henkilötietojen käsittelyn edellytyksistä.

Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdassa säädetään edellytyksistä, joiden vallitessa henkilötietojen käsittely on lainmukaista. Oikeusministeriön asettama yleisen tietosuoja-asetuksen edellyttämien kansallisten lainsäädäntötoimenpiteiden tarvetta selvittänyt työryhmä on lähtenyt siitä, että viranomaisten henkilötietojen käsittelyn tulisi ensi sijassa perustua asetuksen 6 artiklan 1 kohdan c alakohtaan eli rekisterinpitäjän lakisääteiseen velvoitteeseen. Tämä tarkoittaa, että viranomaisen tehtävä ja toimivaltuudet tulee kuvata lainsäädännössä niin, että henkilötietojen käsittelyn oikeusperusta ja tarkoitus voidaan siitä johtaa toiminnan tavoite huomioon ottaen (EU:n yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän (TATTI) loppumietintö, Oikeusministeriön mietintöjä ja lausuntoja 8/2018, s. 33).

Yleisen tietosuoja-asetuksen 6 artiklan 3 kohdan mukaan henkilötietojen käsittelyn perustasta on säädettävä joko unionin oikeudessa tai rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä, jos käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi tai jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Kyseinen 3 kohta sisältää velvoitteen säätää kansallisessa lainsäädännössä käsittelyn perustasta ja käsittelyn tarkoituksesta.

Voimassa olevan pykälän 1 momentissa säädetään, että TE-toimiston asiakastietojärjestelmää ylläpidetään julkisen työvoima- ja yrityspalvelun järjestämistä varten. Asiakastietojärjestelmää käytetään nykyisin kuitenkin myös muun muassa työttömyysturva- ja vuorotteluvapaajärjestelmien toimeenpanoon liittyviin tehtäviin, ammatillisesta koulutuksesta annetussa laissa tarkoitettuun työvoimakoulutukseen liittyviin viranomaistehtäviin, kuntouttavasta työtoiminnasta annetussa laissa säädettyihin tehtäviin ja eräisiin kotoutumisen edistämisestä annetussa laissa säädettyihin tehtäviin. Työ- ja elinkeinoministeriö käyttää asiakastietojärjestelmää sosiaalisista yrityksistä annetussa laissa säädettyjen tehtävien hoitamiseen. Sosiaalisista yrityksistä annetun lain 6 §:n mukaan sosiaalisten yritysten rekisteri on julkisesta työvoima- ja yrityspalvelusta annetun lain 13 luvun 1 §:n 1 momentissa tarkoitettu TE-toimiston asiakastietojärjestelmän työnantajarekisteri. Ehdotetussa 1 momentissa täsmennettäisiin, mihin lakeihin asiakastietojärjestelmän käyttötarkoitukset perustuvat. Henkilötietojen käsittely perustuu yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan mukaisesti rekisterinpitäjän lakisääteiseen tehtävään.

Voimassa olevan 1 §:n 2 momentin mukaan tietojen luovuttamiseen TE-toimiston asiakastietojärjestelmästä ja siihen talletettujen tietojen julkisuuteen sovelletaan, mitä viranomaisten toiminnan julkisuudesta annetussa laissa säädetään. Esityksessä ehdotetaan tämän säännöksen siirtämistä uuteen 7 §:ään, jossa säädettäisiin tietojen luovuttamisesta asiakastietojärjestelmästä.

Ehdotetussa 2 momentissa säädettäisiin asiakastietojärjestelmän rakenteesta. Voimassa olevan pykälän 1 momentin mukaan asiakastietojärjestelmä muodostuu henkilöasiakasrekisteristä, työnantajarekisteristä ja palveluntuottajarekisteristä. Ehdotetussa 2 momentissa täsmennettäisiin, että asiakastietojärjestelmään kuuluu myös monialaisen yhteispalvelun asiakasrekisteri, joka on TE-toimiston asiakastietojärjestelmän henkilöasiakasrekisterin osarekisteri. Monialaisen yhteispalvelun asiakasrekisteriä (TYPPI-rekisteri) käytetään työllistymistä edistävästä monialaisesta yhteispalvelusta annetussa laissa TE-toimistolle, kunnalle ja Kansaneläkelaitokselle säädettyjen tehtävien toteuttamiseen. Voimassa olevassa työllistymistä edistävästä monialaisesta yhteispalvelusta annetun lain 9 §:ssä säädetään siitä, että monialaisen yhteispalvelun asiakasrekisteri on julkisesta työvoima- ja yrityspalvelusta annetun lain 13 luvun 1 §:ssä tarkoitetun TE-toimiston asiakastietojärjestelmän henkilöasiakasrekisterin osarekisteri. Selvyyden vuoksi myös julkisesta työvoima- ja yrityspalvelusta annetun lain 13 luvun 1 §:ssä olisi perusteltua säätää siitä, että monialaisen yhteispalvelun asiakasrekisteri on TE-toimiston henkilöasiakasrekisterin osarekisteri.

Työllistymistä edistävästä monialaisesta yhteispalvelusta annetun lain perustelujen ( HE 183/2014 vp ) mukaan TYPPI-rekisteriin sovelletaan julkisesta työvoima- ja yrityspalvelusta annetun lain 13 luvun säännöksiä rekisterinpitäjästä, tietojen tallettamisesta, poistamisesta ja arkistoinnista sekä käyttöoikeuden myöntämisestä, mutta voimassa olevaan lakiin ei ole otettu säännöstä julkisesta työvoima- ja yrityspalvelusta annetun lain 13 luvun soveltamisesta. Selkeyden vuoksi ehdotetussa 2 momentissa täsmennettäisiin, että julkisesta työvoima- ja yrityspalvelusta annetun lain 13 luvun säännöksiä sovellettaisiin monialaisen yhteispalvelun asiakasrekisteriin vain, ellei työllistymistä edistävästä monialaisesta yhteispalvelusta annetussa laissa toisin säädetä. Tämä tarkoittaisi, että TYPPI-rekisteriin sovellettaisiin ehdotettuja 13 luvun säännöksiä rekisterinpitäjistä, tietojen poistamisesta ja arkistoinnista, rekisteröidyn oikeudesta tietojen käsittelyn rajoittamiseen, 4 a §:n käyttöoikeuksista, 5 a §:n käyttöoikeuden muuttamisesta ja poistamisesta sekä tietojen luovuttamisesta asiakastietojärjestelmästä. Työllistymistä edistävästä monialaisesta yhteispalvelusta annetussa laissa säädettäisiin toisin asiakasrekisterin käyttötarkoituksesta, tietojen tallettamisesta, rekisterikohtaisista tiedoista ja käyttöoikeuksien myöntämisestä.

Pykälän 3 momentissa olisi informatiivinen viittaus siihen, että henkilötietojen käsittelystä säädetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus) ja tietosuojalaissa (1050/2018) . Yleinen tietosuoja-asetus on annettu 27.4.2016 ja julkaistu Euroopan unionin virallisessa lehdessä 4.5.2016 (EUVL L 119). Yleinen tietosuoja-asetus on suoraan sovellettavaa lainsäädäntöä ja tietosuojalakia yleislakina sovelletaan henkilötietojen käsittelyyn. Viittaus edellä mainittuihin säädöksiin otettaisiin ehdotettuun 3 momenttiin selvyyden vuoksi ja sen korostamiseksi, että käsiteltäessä henkilötietoja TE-toimiston asiakastietojärjestelmässä on sen lisäksi, mitä tässä laissa säädetään, otettava huomioon myös yleisen tietosuoja-asetuksen ja tietosuojalain säännökset. Voimassa olevassa 1 §:n 2 momentissa oleva viittaus kumottuun henkilötietolakiin poistettaisiin.

Pykälän 4 momentissa viitattaisiin yrityspalvelujen asiakastietojärjestelmästä annettuun lakiin. Nykyisen 1 §:n 1 momentissa oleva viittaus päivitettäisiin koskemaan voimassa olevaa yrityspalvelujen asiakastietojärjestelmästä annettua lakia (293/2017) .

2 §.Rekisterinpitäjät . Pykälää ehdotetaan muutettavaksi siten, että sen otsikko muutetaan monikkoon ja rekisterinpitäjät määritellään tosiasiallista tilannetta vastaavasti yleisen tietosuoja-asetuksen edellyttämällä tavalla. Yleisessä tietosuoja-asetuksessa säädetään rekisterinpitäjän velvollisuuksista ja vastuista. Asetuksessa mahdollistetaan useamman tahon yhteisrekisterinpitäjyys, kunhan lainsäädännössä tai rekisterinpitäjien keskinäisellä järjestelyllä määritellään rekisterinpitäjien vastuualueet. Pykälään tehtäisiin muutokset, jotka johtuvat työ- ja elinkeinoministeriön ja KEHA-keskuksen tehtävänjaossa tapahtuneista muutoksista. Lisäksi rekisterinpitäjien välistä tehtävänjakoa täsmennettäisiin ja lisättäisiin säännös TE-hallinnon asiakaspalvelukeskuksen roolista henkilötietojen käsittelijänä.

Yleisessä tietosuoja-asetuksessa rekisterinpitäjällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti.

Jos vähintään kaksi rekisterinpitäjää määrittää yhdessä käsittelyn tarkoitukset ja keinot, ne ovat yleisen tietosuoja-asetuksen 26 artiklan mukaan yhteisrekisterinpitäjiä. Yhteisrekisterinpitäjien vastuualueet voidaan määritellä yhteisrekisterinpitäjien keskinäisellä järjestelyllä tai osittain tai kokonaan jäsenvaltion lainsäädännössä. Järjestelystä tai lainsäädännöstä on käytävä asianmukaisesti ilmi yhteisten rekisterinpitäjien todelliset roolit ja suhteet rekisteröityihin nähden. Rekisteröity voi käyttää yleisen tietosuoja-asetuksen mukaisia oikeuksia suhteessa kuhunkin rekisterinpitäjään ja kutakin rekisterinpitäjää vastaan riippumatta yhteisrekisterinpitäjien vastuunjaosta.

Nykyisessä 2 §:ssä säädetään työ- ja elinkeinoministeriön ja TE-toimistojen kesken jaetuista rekisterinpitäjän tehtävistä. Rekisterinpitoon liittyvät tehtävät on kuitenkin jo aiemmin siirretty työ- ja elinkeinoministeriöstä KEHA-keskukselle. Koska työ- ja elinkeinoministeriö ei enää käytännössä toteuta TE-toimiston asiakastietojärjestelmään liittyviä toimia eikä sillä ole tosiasiallista roolia asiakastietojen käsittelyssä, sitä ei voida enää määritellä rekisterinpitäjäksi. Työ- ja elinkeinoministeriön tehtäviin kuuluu perustuslain nojalla toimialansa hallinnon asianmukaisesta toiminnasta vastaaminen ja ministeriölle kuuluu elinkeino-, liikenne- ja ympäristökeskuksista annetun lain mukaan ELY-keskusten ja KEHA-keskuksen yleishallinnollinen ohjaaminen. Rekisterinpitäjän määrittely ei muuta tätä työ- ja elinkeinoministeriön roolia.

Pykälän 1 momentissa ehdotetaan säädettäväksi, että KEHA-keskus ja TE-toimistot ovat työ- ja elinkeinotoimiston asiakastietojärjestelmän yhteisrekisterinpitäjiä. Momentissa todettaisiin selvyyden vuoksi myös, että TE-hallinnon asiakaspalvelukeskus on yleisessä tietosuoja-asetuksessa tarkoitettu henkilötietojen käsittelijä. Yleisessä tietosuoja-asetuksessa henkilötietojen käsittelijällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. TE-hallinnon asiakaspalvelukeskus hoitaa useita TE-toimistolle kuuluvia julkiseen työvoima- ja yrityspalveluun liittyviä tehtäviä, kuten antaa neuvontaa, ohjausta ja tietoa TE-toimiston tarjoamista palveluista, ja vastaanottaa henkilöasiakkaiden ilmoituksia muun muassa työnhakuun liittyvistä muutoksista. Erona TE-toimiston tarjoamiin palveluihin on se, että kaikki palvelu annetaan puhelinpalveluna ja sähköpostitse tai muiden sähköisten kanavien kautta. Näin ollen on perusteltua katsoa, että TE-hallinnon asiakaspalvelukeskus käsittelee TE-toimiston asiakkaiden henkilötietoja rekisterinpitäjän (TE-toimiston) puolesta.

Pykälän 2 momentissa lueteltaisiin ne yleisessä tietosuoja-asetuksessa säädetyt rekisterinpitäjän tehtävät, joista KEHA-keskus vastaisi. Niitä olisivat:

- 25 artiklassa tarkoitettu sisäänrakennettu ja oletusarvoinen tietosuoja;

- 32 artiklassa tarkoitettu käsittelyn turvallisuus;

- 35 artiklassa tarkoitettu tietosuojaa koskeva vaikutustenarviointi ja 36 artiklassa tarkoitettu ennakkokuuleminen;

- 12 artiklan 1 ja 2 kohdassa tarkoitetut rekisterinpitäjän velvollisuudet;

- muut sellaiset yleisessä tietosuoja-asetuksessa säädetyt rekisterinpitäjän velvollisuudet, jotka koskevat käytettävän tietojärjestelmän tietoturvallisuutta.

Pykälän 3 momentissa säädettäisiin TE-toimistojen rekisterinpitäjän tehtävistä. Ehdotetun säännöksen mukaan TE-toimistot vastaisivat muista kuin 2 momentin mukaisista yleisessä tietosuoja-asetuksessa tarkoitetuista rekisterinpitäjän velvollisuuksista. TE-toimistot ovat asiakastietojärjestelmän pääasiallisia käyttäjiä ja tiedontuottajia. Näin ollen on perusteltua, että ne vastaisivat yleisessä tietosuoja-asetuksessa säädetyistä muista kuin tietojärjestelmään suoraan liittyvistä rekisterinpitäjän tehtävistä. Pykälän 3 momentissa säädettäisiin myös TE-toimistojen keskinäisestä vastuunjaosta. Sen perusteena olisi rekisteröidyn asiakkuus. Voimassa olevassa 2 §:ssä on säädetty työ- ja elinkeinoministeriön mahdollisuudesta määrätä toisin TE-toimistojen rekisterinpitäjän tehtävistä. Yleisen tietosuoja-asetuksen 26 artiklan mukaan yhteisrekisterinpitäjien tulee määrittää keskinäisellä järjestelyllä kunkin vastuualue tietosuoja-asetuksessa vahvistettujen velvoitteiden noudattamiseksi. Koska esityksen mukaan työ- ja elinkeinoministeriö ei enää toimisi rekisterinpitäjänä, se olisi suhteessa ehdotettuihin rekisterinpitäjiin ulkopuolinen taho. Esityksessä ei tästä syystä ehdoteta työ- ja elinkeinoministeriölle mahdollisuutta määrätä TE-toimistojen rekisterinpitäjän tehtävistä toisin.

Yleisessä tietosuoja-asetuksessa säädettyjä rekisterinpitäjän tehtäviä, joista TE-toimistot vastaisivat, olisivat esimerkiksi 28 artiklan 1 kohdassa säädetty velvollisuus käyttää vain sellaisia henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi niin, että asetuksen vaatimukset täyttyvät. Myös rekisteröidyn oikeuksien toteuttamiseen liittyvät rekisterinpitäjän tehtävät, lukuun ottamatta 2 momentissa KEHA-keskukselle ehdotettuja tehtäviä, kuuluisivat TE-toimistoille.

Yleisen tietosuoja-asetuksen 26 artiklan 3 kohdan mukaan rekisteröity voi käyttää asetuksen mukaisia oikeuksiaan suhteessa kuhunkin rekisterinpitäjään ja kutakin rekisterinpitäjää vastaan riippumatta yhteisrekisterinpitäjien keskinäisestä vastuunjaosta. Tällä tarkoitetaan sitä, että rekisteröity saa asian vireille riippumatta siitä, mille rekisterinpitäjistä hän pyyntönsä esittää. Rekisteröidyn oikeuksien toteuttaminen edellyttää, että jollekin rekisterinpitäjistä esitetty pyyntö tai tiedustelu välitetään tarvittaessa sille rekisterinpitäjälle, joka rekisterinpitäjien keskinäisen vastuualuejaon mukaan vastaa asiasta. Jos rekisteröity esimerkiksi esittäisi KEHA-keskukselle vaatimuksen tietojensa oikaisemisesta, virasto voisi hallintolain (434/2003) mukaisesti siirtää asian sille TE-toimistolle, jonka asiakkaana rekisteröity on.

3 § . Rekisterikohtaiset tiedot . Pykälän sääntelyä täsmennettäisiin, jotta se olisi paremmin yhteensopivaa yleisen tietosuoja-asetuksen kanssa. Vastaavasti kuin nykyisin, pykälän 1—3 momentissa säädettäisiin asiakastietojärjestelmän eri rekisterien tietosisällöistä.

Yleisen tietosuoja-asetuksen 5 artiklassa ilmaistu tietojen minimoinnin periaate tarkoittaa, että käsiteltävien henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. Yleisen tietosuoja-asetuksen 6 artiklan 3 kohdassa sallitaan kansallisessa lainsäädännössä erityisiä säännöksiä, joilla mukautetaan asetuksen sääntöjen soveltamista. Tällaiset erityiset säännökset voivat koskea muun muassa käsiteltävien tietojen tyyppiä ja asianomaisia rekisteröityjä. Kansallinen lainsäädäntö rekisterien tietosisällöstä ja rekisteröidyistä on näin ollen yleisen tietosuoja-asetuksen näkökulmasta mahdollista. Tietosisältö on määriteltävä tietojen minimoinnin periaatteen mukaisesti.

Pykälän 1 momentissa säädettäisiin nykyiseen tapaan asiakastietojärjestelmän henkilöasiakasrekisterin tietosisällöstä. Tiedot voisivat koskea henkilöasiakasta, eli julkisesta työvoima- ja yrityspalvelusta annetun lain mukaisia palveluita, tukia tai korvauksia hakevaa tai saavaa yksityistä henkilöä.

Pykälän 1 momentin 1—9 kohdassa luetellaan nykyisin, mitä tietoja henkilöasiakkaasta voidaan tallettaa. Kohdat vastaisivat muutoin nykytilaa, mutta 1, 2, 5, 7 ja 8 kohtaan ehdotetaan tehtäväksi täsmennyksiä.

Momentin 1 kohdassa säädetään nykyisin tunnistetietojen, mukaan lukien henkilötunnuksen, tallettamisesta. Nykyisen 1 kohdan perustelujen mukaan tunnistetiedoilla tarkoitettaisiin henkilön nimeä, henkilötunnusta ja osoite- sekä muita yhteystietoja. Kohtaa täsmennettäisiin siten, että siinä todettaisiin suoraan talletettavat tunnistetiedot, eli nimi ja henkilötunnus. Lisäksi kohdassa mainittaisiin yhteystiedot. Tiedot ovat tarpeen palvelujen järjestämiseksi henkilölle ja yhteydenpitoa varten. Henkilötunnuksen käsittely on tietosuojalain 29 §:n nojalla sallittu muun muassa, jos käsittelystä säädetään laissa. Ehdotettu 1 kohta täyttäisi tämän edellytyksen.

Momentin 2 kohtaan tehtäisiin kielellinen tarkennus. Momentin 5 kohtaa täsmennettäisiin siten, että henkilöasiakasrekisteriin voitaisiin tallettaa työtarjousten lisäksi myös tiedot koulutustarjouksista. Ehdotus vastaisi nykyistä käytäntöä.

Momentin 7 kohdassa säädetään nykyisin julkisen työvoima- ja yrityspalvelun tarjoamisen edellyttämien terveydentila- ja muiden tietojen tallettamisesta. Ehdotetussa 7 kohdassa asiaa täsmennettäisiin siten, että henkilöasiakkaasta voitaisiin tallettaa sellaiset terveydentilaa ja työ- ja toimintakykyä koskevat tiedot, joilla on vaikutusta henkilön työllistymiseen ja jotka ovat välttämättömiä palvelujen tarjoamiseksi hänelle. Kohta vastaisi työllistymistä edistävästä monialaisesta yhteispalvelusta annetun lain 9 §:n 2 momentin 5 kohtaa. Henkilöasiakasrekisteriin merkittäisiin vain sellaiset henkilöasiakkaan terveydentilaa ja työ- ja toimintakykyä koskevat tiedot, joilla olisi vaikutusta työllistymiseen ja jotka olisivat välttämättömiä julkisten rekrytointipalvelujen ja osaamisen kehittämispalvelujen tarjoamiseksi. Esimerkiksi työnvälityksen kannalta voi olla tarpeen merkitä henkilön terveydentilaan liittyvä rajoite, joka estää työskentelyn tietyissä tehtävissä. Lähtökohtana on, että rekisteriin merkityt terveydentilaa ja työkykyä koskevat tiedot perustuvat terveydenhuollon ammattihenkilön tekemään arvioon. Työkykyä koskeva tieto voisi perustua myös esimerkiksi kuntoutuspalvelun tuottajalta saatuun palautteeseen.

Yleisen tietosuoja-asetuksen 9 artiklan 1 kohdassa kielletään erityisten henkilötietojen käsittely. Tällaisia tietoja ovat muun muassa terveystiedot sekä rotu ja etninen alkuperä. Poikkeuksista käsittelykieltoon säädetään artiklan 2 kohdassa.

Erityisiä henkilötietoja saa 9 artiklan 2 kohdan b alakohdan mukaan käsitellä muun muassa, jos käsittely on tarpeen rekisterinpitäjän velvoitteiden noudattamiseksi työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla, siltä osin kuin se sallitaan jäsenvaltion lainsäädännössä, jossa säädetään rekisteröidyn perusoikeuksia ja etuja koskevista asianmukaisista suojatoimista. Tämän kohdan antamaa kansallista liikkumavaraa on käytetty tietosuojalain 6 §:n 1 momentin 3 ja 5 kohdassa.

Yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan h alakohdan mukaan erityisten henkilötietojen käsittely on sallittua muun muassa myös, jos käsittely on tarpeen ennalta ehkäiseviä tarkoituksia varten, työntekijän työkyvyn arvioimiseksi, lääketieteellisiä diagnooseja varten, terveys- tai sosiaalihuollollisen hoidon tai käsittelyn suorittamiseksi taikka terveys- tai sosiaalihuollon palvelujen ja järjestelmien hallintoa varten jäsenvaltion lainsäädännön perusteella tai terveydenhuollon ammattilaisen kanssa tehdyn sopimuksen mukaisesti ja noudattaen 3 kohdassa esitettyjä edellytyksiä ja suojatoimia. Kyseisen 3 kohdan mukaan henkilötietoja voidaan käsitellä muun muassa, jos tietoja käsittelee tai niiden käsittelystä vastaa ammattilainen, jolla on lakisääteinen salassapitovelvollisuus jäsenvaltion lainsäädännön perusteella tai kansallisten toimivaltaisten elinten vahvistamien sääntöjen perusteella, taikka toinen henkilö, jota niin ikään sitoo lakisääteinen salassapitovelvollisuus jäsenvaltion lainsäädännön tai kansallisten toimivaltaisten elinten vahvistamien sääntöjen perusteella.

Ehdotetun 7 kohdan säännöksen osalta tiedon käsittelyperusteita olisivat 9.2 artiklan b ja h alakohta. On tulkinnanvaraista, kumpi näistä käsittelyperusteista tulisi kyseeseen. Ehdotetun sääntelyn katsotaan kuitenkin täyttävän molempia näitä käsittelyperusteita koskevat vaatimukset. Käsittelystä säädettäisiin laissa. Lainsäädännössä olisi myös säännökset rekisteröidyn perusoikeuksia ja etuja koskevista suojatoimista, kuten b alakohdassa edellytetään. Suojatoimiksi katsottavaa sääntelyä sisältyisi paitsi tietosuojalakiin, tiedonhallintalakiin, rikoslakiin, julkisuuslakiin ja muihin hallinnon yleislakeihin, myös ehdotettuun lakiin. Ehdotetussa laissa suojatoimiksi olisi katsottavissa ainakin säännökset käyttöoikeuden myöntämisestä, poistamisesta ja säilytysajoista. Tietoja käsittelevään henkilöön sovellettaisiin julkisuuslakia, joten häntä sitoisi lakisääteinen salassapitovelvollisuus, kuten h alakohdassa edellytetään.

Momentin 8 kohtaa täsmennettäisiin selvyyden vuoksi siten, että henkilöasiakasrekisteriin voitaisiin tallettaa työttömyysturvaan liittyvien selvitysten ja työvoimapoliittisten lausuntojen lisäksi myös vuorotteluvapaaseen liittyvät vastaavat selvitykset ja lausunnot. TE-toimiston asiakastietojärjestelmää käytetään myös vuorotteluvapaalaissa säädettyjen tehtävien hoitamiseen, joten ehdotus vastaisi voimassa olevaa käytäntöä.

Pykälän 2 momentin johdantokappaleessa täsmennettäisiin nykyiseen nähden, että rekisterin tiedot voivat koskea julkisia työvoima- ja yrityspalveluja hakevaa tai saavaa työnantajaa. Työnantaja voi olla myös luonnollinen henkilö, joten rekisteriin talletettavat tiedot voivat koskea myös luonnollista henkilöä. Rekisterin tietosisältöä koskeviin 1—6 kohtaan ei ehdoteta muutoksia lukuun ottamatta nykyisen 2 kohdan virheellisen kirjoitusasun korjaamista ja kielellistä tarkennusta. Momentin 7 kohtaa täsmennettäisiin kielellisesti.

Pykälän 3 momentissa säädettäisiin nykyiseen tapaan asiakastietojärjestelmän palveluntuottajarekisterin tietosisällöstä. Pykälän 3 momentissa on nykyisin 7 kohtaa. Näistä 1—3 ja 6 kohtaan tehtäisiin kielellisiä tarkistuksia.

Pykälän 4 momenttiin tehtäisiin ainoastaan kielellisiä tarkistuksia. Asiakastietojärjestelmästä erillään pidettävät asiakirjat voivat olla paitsi paperimuotoisia, myös sähköisessä muodossa.

4 § . Tietojen tallettaminen, poistaminen ja arkistointi . Pykälän 1 momentista poistettaisiin säännös, jonka mukaan tietojen tallettamisesta järjestelmään on kerrottava henkilöasiakkaalle. Yleisen tietosuoja-asetuksen 13 artiklassa säädetään rekisterinpitäjän velvollisuudesta toimittaa rekisteröidylle tietoja hänen henkilötietojensa käsittelystä silloin kun tietoja kerätään rekisteröidyltä. Yleisen tietosuoja-asetuksen 14 artiklassa säädetään rekisterinpitäjän velvollisuudesta toimittaa rekisteröidylle tietoja hänen henkilötietojensa käsittelystä silloin kun tiedot saadaan jostain muualta. Pykälän 1 momentin säännös siitä, että tietojen tallettamisesta on kerrottava henkilöasiakkaalle, on päällekkäinen näiden asetuksen säännösten kanssa, joten se on poistettava.

Lisäksi 1 momenttia muutettaisiin siten, että siihen lisättäisiin säännös tahoista, joiden on talletettava asiakastietoja järjestelmään. Laissa ei nykyisin ole säännöstä siitä, millä tahoilla on oikeus tai velvollisuus tallettaa tietoja TE-toimiston asiakastietojärjestelmään. Säännös ehdotetaan otettavaksi lakiin asian selventämiseksi. TE-toimistolla, TE-hallinnon asiakaspalvelukeskuksella ja KEHA-keskuksella olisi velvollisuus tallettaa asiakastiedot tietojärjestelmään. Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan d alakohdassa säädetyn täsmällisyysperiaatteen mukaan henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä. Yleisen tietosuoja-asetuksen 5 artiklan 2 kohdan mukaan rekisterinpitäjä vastaa siitä, että 1 kohtaa on noudatettu.

Pykälän 2 momentissa säädettäisiin siitä, ettei rekisteröidyllä ole yleisen tietosuoja-asetuksen 18 artiklassa säädettyä oikeutta henkilöasiakasrekisterissä olevien tietojen käsittelyn rajoittamiseen.

Yleisen tietosuoja-asetuksen 18 artiklassa säädetään rekisteröidyn oikeudesta käsittelyn rajoittamiseen. Artiklan 1 kohdan mukaan rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos yksi artiklassa luetelluista tilanteista on kyseessä. Esimerkiksi 1 kohdan a alakohdan perusteella käsittelyä olisi rajoitettava, jos rekisteröity kiistää henkilötietojen paikkansapitävyyden. Tällaisessa tilanteessa käsittelyä olisi rajoitettava ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden. Jos käsittelyä päätetään rajoittaa 1 kohdan perusteella, henkilötietoja saa artiklan 2 kohdan mukaan säilyttämistä lukuun ottamatta käsitellä ainoastaan rekisteröidyn suostumuksella taikka oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi tahi toisen luonnollisen henkilön tai oikeushenkilön oikeuksien suojaamiseksi tai tärkeää unionin tai jäsenvaltion yleistä etua koskevista syistä. Tätä rekisteröidyn oikeutta voidaan 23 artiklan nojalla rajoittaa rajoittamisen edellytysten täyttyessä.

Yleisen tietosuoja-asetuksen 23 artiklan 1 kohdassa annetaan jäsenvaltioille mahdollisuus lainsäädännöllä rajoittaa muun muassa 18 artiklassa säädettyjen velvollisuuksien ja oikeuksien soveltamisalaa, jos kyseisessä rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja -vapauksia ja rajoitus on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata esimerkiksi jäsenvaltion yleiseen julkiseen etuun liittyvät tärkeät tavoitteet, erityisesti jäsenvaltiolle tärkeä taloudellinen tai rahoituksellinen etu, mukaan lukien rahaan, talousarvioon ja verotukseen liittyvät asiat sekä kansanterveys ja sosiaaliturva. Artiklan 2 kohdassa säädetään asioista, joita koskevia säännöksiä tällaisen lainsäädännön on tarpeen mukaan sisällettävä. Kansallisessa lainsäädännössä olisi 2 kohdan mukaan säädettävä käsittelytarkoituksesta, henkilötietoryhmistä, rajoitusten soveltamisalasta, suojatoimista, joilla estetään väärinkäyttö tai lainvastainen päästy tietoihin tai niiden siirtäminen, rekisterinpitäjien määrittämisestä ja tietojen säilytysajoista.

Julkiseen työvoimapalveluun, työttömyysturvaan tai vuorotteluvapaaseen liittyvän tehtävän hoitaminen ei voi sen tavoitteet huomioon ottaen olla riippuvainen rekisteröidyn päätöksestä rajoittaa tietojensa käsittelyä. Asiakastietojärjestelmän ylläpidon sekä työttömyysturvan ja vuorottelukorvauksen maksamisen kannalta ei ole mahdollista, että henkilö voisi rajoittaa tietojensa käsittelyä esimerkiksi rekisterinpitäjän tietojenkäsittelyn oikeusperusteen selvittämisen taikka tietojen tai niiden käsittelyn virheellisyyttä koskevan väitteen käsittelyn ajan. Tämä voisi vaarantaa etuusasian käsittelyn ja tietojen oikeellisuuden. Ylläpidettävien tietojen tulee olla paikkansa pitäviä ja täydellisiä, eivätkä ne voi olla riippuvaisia henkilötietojen suojaa koskevien väitteiden käsittelystä ennen kuin päätös edellä tarkoitetun väitteen johdosta on tehty. Jos henkilön tietoja ei voitaisi käsitellä, hänelle ei voitaisi myöskään järjestää palveluita eikä maksaa etuuksia. Näin ollen ehdotetaan säädettäväksi, ettei rekisteröidyllä ole yleisen tietosuoja-asetuksen 18 artiklassa tarkoitettua oikeutta henkilöasiakasrekisterissä olevien tietojen käsittelyn rajoittamiseen. Muita yleisessä tietosuoja-asetuksessa säädettyjä oikeuksia, joita asetuksen nojalla sovelletaan käsittelyyn, joka on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi, ei rajoitettaisi.

Yleisen tietosuoja-asetuksen 23 artiklan 1 kohdassa säädetyt edellytykset rekisteröidyn oikeuden rajoittamiselle täyttyvät, koska rajoitus on välttämätön ja oikeasuhtainen, jotta työllisyyden edistämiseen, työttömyysturvaan ja vuorotteluvapaaseen liittyvät jäsenvaltion tavoitteet voidaan täyttää. Rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja vapauksia, sillä käsittelystä säädetään laissa, ja rekisteröidyllä on oikeus hakea muutosta päätöksiin. Myös muut hyvän hallinnon takeet on lainsäädännössä turvattu. Lisäksi asetuksen 23 artiklan 2 kohdassa säädetyt edellytykset rajoitukselle täyttyvät. Käsittelytarkoituksesta säädettäisiin 13 luvun ehdotetussa 1 §:ssä, käsiteltävistä henkilötietoryhmistä ehdotetussa 3 §:ssä ja rajoituksen soveltamisalaksi olisi ehdotetussa 4 §:ssä määritelty henkilöasiakasrekisterin tiedot. Suojatoimista säädettäisiin puolestaan ehdotetussa 4 a, 5 ja 5 a §:ssä. Lisäksi julkisuuslain sisältämä salassapitoa ja tietosuojalain sisältämä vaitiolovelvollisuutta ja sen sanktiointia koskeva sääntely sekä tiedonhallintalain tietoturvallisuuden varmistamista koskeva sääntely, samoin kuin hallinnon yleislakien soveltaminen, on katsottava suojatoimiksi, joilla estetään väärinkäyttö ja lainvastainen pääsy tietoihin tai niiden siirtäminen. Rekisterinpitäjät määriteltäisiin 13 luvun 2 §:ssä ja säilytysajat 4 §:ssä. Rekisteröity saisi tiedon rajoituksesta lainsäädännöstä. Velvollisuus antaa rekisteröidylle tietoja käsittelystä perustuu lisäksi yleisen tietosuoja-asetuksen 13 ja 14 artiklaan.

Pykälän 3 momentissa säädettäisiin työ- ja elinkeinotoimiston asiakastietojärjestelmään talletettujen tietojen säilytysajoista. Momentissa ehdotetaan asiakastietojen säilytysaikojen yhtenäistämistä ja kokonaissäilytysajan lyhentämistä. Lisäksi täsmennettäisiin, minkä tahon tehtävänä tietojen poistaminen olisi. Momenttiin tehtäisiin myös kielellisiä tarkistuksia.

Yleisen tietosuoja-asetuksen 5 artiklassa säädetyn säilytyksen rajoittamisperiaatteen mukaan henkilötiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten. Yleisen tietosuoja-asetuksen 6 artiklan 3 kohdan mukaan kansallinen lainsäädäntö voi sisältää erityisiä säännöksiä, joilla mukautetaan asetuksen sääntöjen soveltamista. Tällaiset erityiset säännökset voivat koskea muun muassa säilytysaikoja.

Voimassaolevan 13 luvun 4 §:n 2 momentin mukaan henkilöasiakasta koskevat 3 §:n 1 momentin 2, 4 ja 5 kohdassa tarkoitetut tiedot poistetaan tietojärjestelmästä kahden vuoden kuluttua tietoa koskevan merkinnän tekemisestä. Kaikki asiakasta tai palveluntuottajaa koskevat tiedot poistetaan, kun asiakkuuden tai sopimussuhteen päättymisestä on kulunut viisi vuotta. Tietoa ei kuitenkaan poisteta, jos se on tarpeen säännöksiin perustuvan tehtävän hoitamiseksi tai vireillä olevan asian johdosta. Momentissa ehdotetaan säilytysaikojen yhtenäistämistä ja kokonaissäilytysajan lyhentämistä nykyisestä viidestä vuodesta neljään vuoteen.

Ehdotetun muutoksen perusteena on 13 luvun 3 §:n 1 momentin 2 kohdan tarkoittaman tietosisällön muutos. Nykyisin TE-toimiston asiakastietojärjestelmässä asiakkaan on mahdollista hoitaa laajasti omaan asiointiinsa liittyviä asioita sähköistä asiointipalvelua hyödyntäen. Käytännössä henkilöasiakkaan tallettamat asiointitiedot kertyvät 13 luvun 3 §:n 1 momentin 2 kohdan tarkoittamaan tietosisältöön. Kyseinen tietosisältö on laajentunut aiempaan käyttötarkoitukseen nähden ja voi sisältää asiakkaan ilmoittamana myös sellaisia tietoja, joiden säilyttämisaika on voimassa olevan lainsäädännön mukaan viisi vuotta asiakkuuden päättymisestä. Näin ollen kyseisen tietosisällön säilytysajan tulisi olla yhteneväinen muun tietosisällön kanssa. Asiakastiedon eheyden kannalta olisi olennaista, että asiakastiedoista ei tehtäisi osittaisia poistoja ennen lopullista säilyttämisajan päättymistä. Asiakkaan prosessien turvaamiseksi keskeiset tiedot tulisi olla saatavilla yhtenäisessä muodossa ja poistot tulisi tehdä kokonaisuutena säädetyn ajan puitteissa. Työ- ja elinkeinohallinnon palveluiden turvaamiseksi olisi olennaisen tärkeää, ettei asiakastiedoista poistettaisi tietoja ennen kuin asiakkuuden jälkeiset mahdolliset prosessit olisi ratkaistu ja saatu päätökseen. Koska asiakkaan tiedot jatkossa ehdotetaan säilytettävän kokonaisuutena nykyään tehtävien jaksotettujen poistojen sijaan, voidaan yleisen tietosuoja-asetuksen mukaista rekisteröidyn oikeutta säilytyksen rajoittamiseen toteuttaa kokonaissäilytysajan lyhentämisen kautta viidestä vuodesta neljään vuoteen asiakkuuden päättymisestä, mitä voidaan pitää asiakkaan prosesseihin kohdistuvien toimien kannalta pääsääntöisesti riittävänä.

Ehdotettuun 3 momenttiin sisältyisi myös nykyisen pykälän 2 momentin säännöstä vastaava säännös siitä, ettei asiakastietojärjestelmässä olevaa tietoa tarvitse kuitenkaan poistaa, jos se on tarpeen säännöksiin perustuvan tehtävän hoitamiseksi tai vireillä olevan asian johdosta. Esimerkiksi ESR-rahoituksella järjestettyä palvelua koskevaa tietoa ja muita tähän liittyviä asiakkaan tietoja ei poistettaisi, koska säännökset edellyttävät tietojen säilyttämistä 10 vuoden ajan rahoituspäätöksessä vahvistetusta hankkeen päättymispäivästä (valtioneuvoston asetus rakennerahastoista osarahoitettavien kustannusten tukikelpoisuudesta (358/2014) , 30 §). Myös EGR-rahoituksella järjestetyn palvelun tositteet ja tiedot on säilytettävä kolme vuotta sen jälkeen, kun EGR:ltä saadun rahoitustuen tilit on päätetty (Euroopan globalisaatiorahastosta (2014—2020) ja asetuksen (EY) N:o 1927/2006 kumoamisesta annetun Euroopan parlamentin ja neuvoston asetus (EU) N:o 1309/2013, 21 artikla 5 kohta). Käytännössä EGR-hankkeen aineisto on säilytettävä keskimäärin seitsemän vuoden ajan, joten neljän vuoden määräaika ei olisi riittävä tietojen poistamiseen TE-toimiston asiakastietojärjestelmästä. Asiakkaan tietoja ei tarvitsisi poistaa myöskään, jos vireillä on esimerkiksi työttömyysturvaan tai julkiseen työvoima- ja yrityspalveluun liittyvä keskeneräinen muutoksenhakuprosessi.

Voimassa olevassa 4 §:ssä ei ole säädetty, minkä tahon tehtävänä on poistaa tiedot asiakastietojärjestelmästä. Ehdotetun 3 momentin mukaan KEHA-keskuksen tehtävänä olisi poistaa asiakastiedot, koska teknisesti asiakastietojärjestelmää ylläpitävänä KEHA-keskus on ainoa taho, joka voi sen käytännössä tehdä.

Pykälän 4 momentissa olisi informatiivinen viittaus siihen, että tietojen arkistoinnista säädetään arkistolaissa (831/1994) . Vastaava säännös on nykyisen pykälän 3 momentissa.

4 a § . Käyttöoikeudet . Pykälä olisi uusi. Ehdotetun pykälän 1 momentissa säädettäisiin TE-toimiston asiakastietojärjestelmän käytön edellyttävän henkilökohtaista käyttöoikeutta. Nykyisin asiasta ei säädetä, vaikka käyttö edellyttääkin käyttöoikeutta. Käyttöoikeudet ovat yksi keino turvata järjestelmän tietoturvallisuus. Ehdotettu 1 momentin säännös liittyisi tiedonhallintalain 16 ja 17 §:ään, joissa säädetään tietojärjestelmien käyttöoikeuksien hallinnasta ja lokitietojen keräämisestä. Ehdotetussa momentissa säädettäisiin lisäksi, että asiakastietojärjestelmän osalta kyseisistä tehtävistä vastaisi KEHA-keskus.

Tiedonhallintalain 16 §:ssä säädetään velvollisuudesta määritellä tietojärjestelmän käyttöoikeudet ja pitää ne ajan tasalla. Yleislain sääntelyä sovelletaan myös TE-toimiston asiakastietojärjestelmään ja käyttöoikeuksien myöntämiseen. Käyttöoikeuden määrittelyä koskee myös suoraan sovellettavan yleisen tietosuoja-asetuksen periaate tietojen minimoinnista. Pykälässä KEHA-keskukselle ehdotetut tehtävät liittyisivät sille 2 §:ssä ehdotettuihin rekisterinpitäjän tehtäviin. Käyttöoikeuksien myöntämisellä ja lokitietojen keräämisellä on läheinen yhteys järjestelmän tietoturvallisuuden takaamiseen, joten on perusteltua, että järjestelmän tietoturvallisuudesta vastaava rekisterinpitäjä vastaa niihin liittyvistä tehtävistä.

Pykälän 2 momentissa säädettäisiin käyttöoikeuden määrittelemistä koskevasta vaatimuksesta. Ehdotetun säännöksen mukaan käyttöoikeus olisi rajattava sisällöltään, laajuudeltaan, valtuuksiltaan ja kestoltaan siihen, mikä on henkilön tehtävien hoitamisen kannalta välttämätöntä. Sisällöllä viitattaisiin niihin tietosisältöihin, joihin pääsyn käyttöoikeus mahdollistaisi, laajuudella niihin rekisteröityihin, joita koskevien tietojen käsittelyn käyttöoikeus mahdollistaisi, ja valtuuksilla niihin käsittelytoimiin, jotka käsittelyoikeus mahdollistaisi, eli olisiko henkilöllä ainoastaan tietojen katseluoikeus vai voisiko hän myös tallettaa tietoja. Kestolla viitattaisiin käyttöoikeuden voimassaoloaikaan. Säännös konkretisoisi yleisessä tietosuoja-asetuksessa tarkoitettua tietojen minimoinnin periaatetta ja turvaisi osaltaan myös käyttötarkoitussidonnaisuuden toteutumista. Käyttöoikeuden määrittelyn lähtökohtana olisi aina henkilön tehtävä ja tehtävään liittyvät muualla lainsäädännössä säädetyt tiedonsaantioikeudet.

Pykälän 3 momenttiin otettavaksi ehdotetun säännöksen tarkoitus olisi täydentää käyttöoikeussääntelyä. Käyttöoikeuksien räätälöinti täydellisesti kaikkia mahdollisia tilanteita varten on käytännössä mahdotonta. Tästä syystä olisi tarpeen säätää myös käyttöoikeuden saanutta henkilöä koskevasta käytön rajoituksesta. Ehdotetun säännöksen mukaan henkilö, jolle on myönnetty käyttöoikeus, saisi käsitellä vain niitä asiakastietojärjestelmään talletettuja tietoja ja vain siten kuin hänen tehtäviensä hoitamiseksi on välttämätöntä. Säännös jakaisi vastuuta tietojen minimoinnin periaatteen mukaisesta henkilötietojen käsittelystä myös tietoja käsittelevälle henkilölle itselleen.

Pykälän ehdotettu sääntely edistäisi osaltaan yleisen tietosuoja-asetuksen 5 artiklassa säädetyn eheyden ja luottamuksellisuuden periaatteen toteutumista. Tämä periaate tarkoittaa, että henkilötietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia. Käyttöoikeudet ja niiden perusteella suoritettava käytönvalvonta ovat myös yleisessä tietosuoja-asetuksessa tarkoitettuja suojatoimia.

5 § . Käyttöoikeuden myöntäminen . Pykälän otsikko muutettaisiin, sillä pykälässä säädettäisiin nykyisestä poiketen vain käyttöoikeuden myöntämisestä. Salassa pidettävien henkilötietojen luovuttamista koskeva säännös siirrettäisiin uuteen 7 §:ään, jossa säädettäisiin tietojen luovuttamisesta asiakastietojärjestelmästä. Pykälässä ehdotetaan säädettäväksi käyttöoikeuden myöntävästä tahosta, käyttöoikeuden myöntämismenettelystä ja käyttöoikeuden myöntämisedellytyksistä. Tässä laissa ei kuitenkaan säädetä tyhjentävästi henkilötietoja käsittelevien tahojen velvollisuuksista, koska niistä säädetään yleisessä tietosuoja-asetuksessa.

Ehdotetun 1 momentin mukaan käyttöoikeuden TE-toimiston asiakastietojärjestelmään myöntäisi KEHA-keskus TE-toimiston, TE-hallinnon asiakaspalvelukeskuksen, ELY-keskuksen tai työ- ja elinkeinoministeriön hakemuksesta. Käyttöoikeuden myöntävästä tahosta ei ole nykyisin säädetty, mutta sitä pidetään perusteltuna selkeyden vuoksi. Käytännössä käyttöoikeuden myöntää nykyisin kukin viranomaistaho palveluksessaan oleville henkilöille ja ilmoittaa Valtion tieto- ja viestintätekniikkakeskus Valtorille tarvittavista käyttöoikeuksista. Valtori toimii teknisenä käyttöyhteyden avaajana sen ja KEHA-keskuksen välisen palvelusopimuksen perusteella. Ehdotuksen mukaan KEHA-keskus päättäisi käyttöoikeuden myöntämisestä, mutta nykyistä vastaavasti käyttöoikeutta hakeva viranomainen vastaisi käyttöoikeuden myöntämiseen liittyvästä harkinnasta hakemusta tehdessään. Käyttöoikeutta hakeva taho vastaisi siitä, että käyttöoikeutta haetaan vain sellaiselle henkilölle, jonka tehtävien suorittamiseksi asiakastietojärjestelmän käyttö on välttämätöntä, ja vain siinä laajuudessa kuin asiakastietojärjestelmän käyttö on välttämätöntä. KEHA-keskus rekisterinpitäjänä vastaisi yleisen tietosuoja-asetuksen nojalla siitä, että vain sellaiset KEHA-keskuksen palveluksessa olevat henkilöt, jotka tarvitsevat asiakastietojärjestelmän tietoja työtehtäviensä hoitamiseksi, saavat pääsyn tietoihin vain siinä laajuudessa kuin se on työtehtävien hoitamisen kannalta välttämätöntä.

TE-toimiston asiakaspalvelutietojärjestelmä on valtakunnallisesti yksi yhtenäinen järjestelmä, joka on käytössä kaikissa TE-toimistoissa. Tietojärjestelmää käytetään myös TE-hallinnon asiakaspalvelukeskuksessa, ELY-keskuksissa, KEHA-keskuksessa ja työ- ja elinkeinoministeriössä. ELY-keskusten ja työ- ja elinkeinoministeriön virkamiehillä on pääsääntöisesti vain katseluoikeudet tietojärjestelmään. Tietoja asiakastietojärjestelmään tallettavat pääsääntöisesti TE-toimiston, TE-hallinnon asiakaspalvelukeskuksen ja KEHA-keskuksen palveluksessa olevat virkamiehet. Käyttöoikeus tietojärjestelmään on vain niillä virkamiehillä, joiden virkatehtävien hoitaminen sitä edellyttää. Ehdotetun 1 momentin mukaan nykyistä vastaavasti TE-toimiston, TE-hallinnon asiakaspalvelukeskuksen, ELY-keskuksen, KEHA-keskuksen tai työ- ja elinkeinoministeriön virkamies, jolle on myönnetty käyttöoikeus TE-toimiston asiakastietojärjestelmään, voisi salassapitosäännösten estämättä hakea ja käyttää asiakastietojärjestelmään talletettuja tietoja riippumatta siitä, mikä TE-toimisto on merkinnyt tiedot tietojärjestelmään. Säännös ei kuitenkaan oikeuttaisi vapaaseen tietojen hakemiseen tai käyttämiseen, vaan siihen tulisi aina olla laista johtuva peruste. Työ- ja elinkeinoviranomaisella olisi ehdotetun 1 momentin nojalla oikeus hakea ja käyttää tietoja asiakastietojärjestelmästä, jos se on tarpeen asiakaspalvelun järjestämiseksi, vireillä olevan asian selvittämiseksi tai ratkaisemiseksi taikka valvonta-, seuranta-, kehittämis-, tilastointi-, ennakointi- tai ohjaustehtävän suorittamiseksi. Voimassa olevaa säännöstä on täsmennetty siten, että tehtävä voi liittyä myös tilastointiin tai ennakointiin.

Pykälän 2 momentissa säädettäisiin, kenelle käyttöoikeus voitaisiin myöntää. Käyttöoikeus voitaisiin myöntää sellaiselle TE-toimiston, TE-hallinnon asiakaspalvelukeskuksen, ELY-keskuksen, KEHA-keskuksen tai työ- ja elinkeinoministeriön virkamiehelle, joka hoitaa julkisesta työvoima- ja yrityspalvelusta annetussa laissa säädettyjä tehtäviä, kotoutumisen edistämisestä annetussa laissa (1386/2010) säädettyjä julkiseen työvoima- ja yrityspalveluun liittyviä tehtäviä, ammatillisesta koulutuksesta annetussa laissa (537/2017) tarkoitettuun työvoimakoulutukseen liittyviä tehtäviä, sosiaalisista yrityksistä annetussa laissa (1351/2003) säädettyjä tehtäviä taikka työttömyysturvalaissa (1290/2002) tai vuorotteluvapaalaissa (1305/2002) säädettyjä tehtäviä tai näihin palveluihin, tukiin tai asiakasprosesseihin taikka työttömyysturva- ja vuorotteluvapaajärjestelmiin liittyviä tilastointi-, valvonta-, seuranta-, kehittämis-, ennakointi- tai ohjaustehtäviä. Käyttöoikeus voitaisiin myöntää myös sillä perusteella, että henkilö hoitaa 2 §:ssä tarkoitettuja rekisterinpitäjän tehtäviä, 4 a §:n 1 momentissa, 5 §:ssä tai 5 a §:ssä tarkoitettuja käyttöoikeuksien hallintaan ja lokitietojen keräämiseen liittyviä tehtäviä. TE-toimiston, ELY-keskuksen, KEHA-keskuksen ja työ- ja elinkeinoministeriön tehtävät ovat keskenään erilaisia, eivätkä kaikki perusteet siksi tule välttämättä kyseeseen kaikkien mainittujen viranomaisten virkamiehelle.

Pykälän 3 momentin perusteella käyttöoikeus voitaisiin myöntää sellaiselle henkilölle, joka on työ- ja elinkeinoministeriön, ELY-keskuksen tai KEHA-keskuksen toimeksiannosta erillistä arviointia, tarkastusta tai selvitystä tekevän tahon palveluksessa tai KEHA-keskuksen toimeksiannosta asiakastietojärjestelmän kehittämis- tai ylläpitotehtäviä tekevän tahon palveluksessa ja joka hoitaa kyseistä tehtävää.

Käyttöoikeuden myöntäminen edellyttäisi, että käyttöoikeuden saajalla on laissa säädetty oikeus salassapitosäännösten estämättä saada salassa pidettäviä tietoja. Jos salassapidon syrjäyttävästä tiedonsaantioikeudesta ei ole säädetty, käyttöoikeus voitaisiin myöntää ainoastaan siten rajattuna, ettei se mahdollistaisi salassa pidettävien tietojen katselua tai muuta käsittelyä.

Julkisesta työvoima- ja yrityspalvelusta annetun lain 12 luvun 6 §:n 1 momentin mukaan TE-toimistolla, TE-hallinnon asiakaspalvelukeskuksella, ELY-keskuksella ja KEHA-keskuksella on oikeus saada salassapitosäännösten ja muiden tiedon saantia koskevien rajoitusten estämättä maksutta julkisen työvoima- ja yrityspalvelun toimeenpanossa välttämättömät tiedot muulta valtion viranomaiselta, kunnan viranomaiselta, Kansaneläkelaitokselta, työttömyyskassalta, Eläketurvakeskukselta, Työttömyysvakuutusrahastolta, julkisten työvoima- ja yrityspalvelujen palveluntuottajalta sekä 4 luvun 5 §:ssä tarkoitetun työkokeilun järjestäjältä. Lisäksi työttömyysturvatehtäviin liittyvästä TE-toimiston tiedonsaantioikeudesta säädetään työttömyysturvalain 13 luvun 1 §:n 1 momentissa, kotoutumisen edistämisestä annetun lain 2, 5 ja 6 luvuissa tarkoitettuihin tehtäviin liittyvästä työ- ja elinkeinoministeriön, ELY-keskuksen, KEHA-keskuksen ja TE-toimiston tiedonsaantioikeudesta kotoutumisen edistämisestä annetun lain 87 §:ssä ja työvoimakoulutukseen liittyvästä TE-toimiston, TE-hallinnon asiakaspalvelukeskuksen, ELY-keskuksen ja KEHA-keskuksen tiedonsaantioikeudesta ammatillisesta koulutuksesta annetun lain 109 §:ssä. Vuorotteluvapaalain 21 §:n mukaan TE-toimiston tiedonsaantioikeuteen sovelletaan työttömyysturvalakia.

Julkisuuslain 26 §:n 3 momentissa säädetään salassa pidettävän tiedon antamisesta toimeksiantotilanteissa. Säännöksen mukaan viranomainen voi antaa salassa pidettävästä asiakirjasta tiedon toimeksiannostaan tai muuten lukuunsa suoritettavaa tehtävää varten, jos se on välttämätöntä tehtävän suorittamiseksi. Salassa pidettäviä tietoja voi kuitenkin luovuttaa mainittuja tehtäviä varten myös silloin, kun salassa pidettävien tietojen poistaminen niiden suuren määrän tai muun niihin verrattavan syyn vuoksi ei ilmeisesti ole tarkoituksenmukaista. Viranomaisen on ennakolta varmistuttava siitä, että tietojen salassapidosta ja suojaamisesta huolehditaan asianmukaisesti.

5 a §.Käyttöoikeuden muuttaminen ja poistaminen . Pykälä olisi uusi. Pykälän 1 momentissa säädettäisiin KEHA-keskuksen velvollisuudesta poistaa TE-toimiston asiakastietojärjestelmään myönnetty käyttöoikeus. KEHA-keskuksen olisi poistettava käyttöoikeus ensinnäkin, jos kävisi ilmi, etteivät käyttöoikeuden myöntämiselle 5 §:ssä säädetyt edellytykset enää täyty. Tällainen tilanne voisi syntyä esimerkiksi, jos henkilö, jolle käyttöoikeus on myönnetty, olisi siirtynyt muihin tehtäviin. KEHA-keskuksen olisi poistettava käyttöoikeus myös, jos käyttöoikeutta olisi käytetty 4 a §:n 3 momentin, yleisen tietosuoja-asetuksen tai tietosuojalain vastaisesti. Lisäksi KEHA-keskuksen olisi poistettava käyttöoikeus, jos poistaminen olisi välttämätöntä muusta henkilötietojen suojaan tai asiakastietojärjestelmän tietoturvaan liittyvästä painavasta syystä. Tämä kolmas peruste olisi avoin ja mahdollistaisi väärinkäytöksiin puuttumisen.

Pykälän 2 momentissa säädettäisiin KEHA-keskuksen velvollisuudesta muuttaa käyttöoikeutta, jos käy ilmi, että haettu tai jo myönnetty käyttöoikeus ei vastaa sitä tarkoitusta, johon sitä on haettu tai johon se on aiemmin myönnetty. Momentti mahdollistaisi sen, että käyttöoikeuden poistamisen tai käyttöoikeushakemuksen hylkäämisen sijaan KEHA-keskus voisi muuttaa käyttöoikeutta. KEHA-keskus voisi muuttaa käyttöoikeuden sisältöä, laajuutta, valtuuksia tai kestoa. Näillä tarkoitetaan vastaavaa kuin 4 a §:n 2 momentin kohdalla on edellä esitetty.

Pykälän 3 momentissa säädettäisiin TE-toimiston, TE-hallinnon asiakaspalvelukeskuksen, ELY-keskuksen ja työ- ja elinkeinoministeriön velvollisuudesta ilmoittaa viipymättä KEHA-keskukselle seikoista, jotka voisivat olla syy käyttöoikeuden poistamiseen tai muuttamiseen. Säännöksellä korostettaisiin sitä, että käyttöoikeutta hakeneilla tahoilla on vastuu käyttöoikeuksien pitämisestä ajan tasalla ja väärinkäytöksiin puuttumisesta. Niillä on paremmat mahdollisuudet kuin KEHA-keskuksella havaita käyttöoikeuksien tarpeessa tapahtuneet muutokset tai käyttöoikeuksien väärinkäyttö. Säännös ei kuitenkaan rajoittaisi KEHA-keskuksen toimivaltaa oma-aloitteisesti muuttaa tai poistaa käyttöoikeus, jos 1 tai 2 momentissa säädetyt edellytykset täyttyvät. Koska esityksessä ei ehdotettaisi siirtymäsäännöstä tällä hetkellä voimassa olevista käyttöoikeuksista, KEHA-keskuksen on ehdotetun lain voimaan tultua tarkistettava, ovatko tiedot käyttöoikeuksista ajan tasalla ja ovatko ne sisällöltään, laajuudeltaan, valtuuksiltaan ja kestoltaan sellaisia, että ne täyttävät 13 luvussa säädetyt edellytykset. Käytännössä tämä tarkoittaisi sitä, että kunkin viranomaistahon tai muun ulkopuolisen tahon olisi ilmoitettava KEHA-keskukselle, kenellä käyttöoikeus on ja mihin se perustuu. Jos KEHA-keskus toteaisi, että käyttöoikeudelle ei ole lainmukaista perustetta, käyttöoikeus olisi poistettava.

6 §.Suostumus tietojen luovuttamiseen työnantajalle . Pykälän 1 ja 3 momenttiin tehtäisiin kielellisiä tarkistuksia. Pykälän 1 momentin muutoksilla korostettaisiin työnhakijan suostumuksen aitoutta. Nykyisen sanamuodon mukaan työnhakijalta on pyydettävä kirjallinen suostumus tietojen luovuttamiseen työnantajalle. Pyytämiseen velvoittamisen sijaan oleellista on säätää, että tiedot voidaan luovuttaa ainoastaan työnhakijan kirjallisella suostumuksella.

Pykälän 3 momentin sanamuotoa ’nimenomainen kirjallinen suostumus’ muutettaisiin selkeämpään ja julkisesta työvoima- ja yrityspalvelusta annettua lakia koskevassa soveltamisohjeessakin ohjeistettuun muotoon, ’yksilöity kirjallinen suostumus’. Tästä sanamuodosta käy nykyistä paremmin ilmi sen ero 1 momentissa tarkoitettuun suostumukseen. Terveydentilaa koskevien tietojen luovuttaminen työnantajalle edellyttäisi edelleen, että työnhakija antaa erikseen luvan kutakin luovutusta varten. Kirjallinen suostumus viittaa siihen, että suullinen suostumus ei ole riittävä. Esimerkiksi sähköisesti annettu suostumus olisi tässä edellytetyllä tavalla kirjallinen.

Yleisen tietosuoja-asetuksen 6 artiklan 3 kohdan mukaan kansallinen lainsäädäntö voi sisältää erityisiä säännöksiä, joilla mukautetaan asetuksen sääntöjen soveltamista. Tällaiset erityiset säännökset voivat koskea muun muassa yhteisöjä joille ja tarkoituksia joihin henkilötietoja voidaan luovuttaa. Perusvaatimuksena tällaiselle lainsäädännölle on, että sen on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhtainen sillä tavoiteltuun oikeutettuun päämäärään nähden.

7 §.Tietojen luovuttaminen asiakastietojärjestelmästä . Pykälä olisi uusi. Pykälässä säädettäisiin tietojen luovuttamisesta asiakastietojärjestelmästä.

Pykälän 1 momentti vastaisi voimassa olevan 13 luvun 1 §:n 2 momentin ensimmäistä virkettä. Tietojen luovuttamiseen TE-toimiston asiakastietojärjestelmästä ja siihen talletettujen tietojen julkisuuteen sovellettaisiin, mitä viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) säädetään.

Pykälän ehdotettu 2 momentti olisi uusi. Perustuslain 68 §:n mukaan kukin ministeriö vastaa toimialallaan valtioneuvostolle kuuluvien asioiden valmistelusta ja hallinnon asianmukaisesta toiminnasta. Valtioneuvoston ohjesäännön (262/2003) 11 §:n mukaan kukin ministeriö käsittelee muun muassa oman toimialansa hallintoasiat. Ohjesäännön 21 §:n mukaan työ- ja elinkeinoministeriön toimialaan kuuluvat muun muassa työllisyys, työttömyys ja julkinen työvoimapalvelu sekä maahanmuuttajien kotouttaminen. Työ- ja elinkeinoministeriöstä annetun valtioneuvoston asetuksen (1024/2007) 1 §:n mukaan työ- ja elinkeinoministeriön tehtäviin kuuluu muun muassa julkisen työvoima- ja yrityspalvelun suunnittelu ja toimeenpano, työ- ja elinkeinopolitiikan strategia, ohjaus ja toimeenpano, maahanmuuttajien kotouttaminen ja kotoutumisen edistämisestä annetun lain toimeenpano sekä työ-, elinkeino- ja innovaatiopolitiikan ennakointi ja tutkimus. Työ- ja elinkeinoministeriön työjärjestyksestä annetussa työ- ja elinkeinoministeriön asetuksessa (1012/2017) säädetään yksityiskohtaisesti ministeriön tehtävistä. Toimialan ylimpänä viranomaisena työ- ja elinkeinoministeriö ratkaisee myös kanteluasioita. Käytännössä ministeriössä käytetään TE-toimiston asiakastietojärjestelmää muun muassa työnvälitystilaston laatimiseen, määrärahaseurantaan, ESR- ja EGR-hankkeiden seurantaan ja valvontaan, sosiaalisten yritysten rekisterin hoitamiseen, kanteluasioiden selvittämiseen sekä tietokanta- ja tilastoajoihin, joita käytetään analyysityössä, ennakoinnissa, suunnittelu- ja kehittämistehtävissä sekä vaikutusarviointien tekemiseen lainsäädännön valmistelutyössä. Koska työ- ja elinkeinoministeriö ei enää olisi rekisterinpitäjä, tulisi ministeriön tiedonsaanti turvata säätämällä KEHA-keskuksen velvollisuudesta luovuttaa asiakastietojärjestelmästä sen tarvitsemat tiedot, jotta ministeriö voisi hoitaa sille laissa ja asetuksissa säädetyt tehtävät. Tiedot työnvälitystilaston laatimista varten tulisi luovuttaa oma-aloitteisesti.

Elinkeino-, liikenne- ja ympäristökeskuksista annetun lain (897/2009) mukaan ELY-keskukset hoitavat niille säädettyjä tehtäviä muun muassa toimialoilla, jotka koskevat työmarkkinoiden toimivuutta, työvoiman saatavuutta ja työllisyyttä, koulutusta ja osaamista sekä maahanmuuttoa ja kotouttamista. ELY-keskusten tehtävänä on myös ohjata ja valvoa TE-toimistoja. ELY-keskuksissa TE-toimiston asiakastietojärjestelmää käytetään esimerkiksi määrärahojen käytön seurannassa, tilastoinnissa ja tilastojen seurantaan analysointi- ja ennakointityössä, ESR- ja EGR-hankkeiden hallinnoinnissa, julkisten työvoima- ja yrityspalvelujen hankinnoissa ja niiden seurannassa, takaisinperintä-asioissa, TE-palvelujen suunnitteluun, toteutukseen ja seurantaan liittyvissä asioissa, TE-toimistojen toiminnan valvonnassa sekä kanteluasioiden ratkaisemisessa. Esityksessä ehdotetaan, että KEHA-keskuksen olisi luovutettava asiakastietojärjestelmästä ELY-keskukselle sen tarvitsemat tiedot, jotta se voisi hoitaa sille laissa ja asetuksessa säädetyt tehtävät.

KEHA-keskuksen olisi luovutettava tiedot sekä työ- ja elinkeinoministeriölle että ELY-keskukselle maksutta. Työnvälitystilaston laatimista varten tiedot olisi luovutettava työ- ja elinkeinoministeriölle oma-aloitteisesti.

Pykälän 3 momentissa säädettäisiin julkisuuslain 28 §:ssä tarkoitetun luvan myöntämisestä. Nykyisin vastaava säännös sisältyy 13 luvun 5 §:n 3 momenttiin. Julkisuuslain 28 §:ssä säädetään viranomaisen mahdollisuudesta antaa lupa tiedon saamiseen salassa pidettävästä asiakirjastaan tieteellistä tutkimusta, tilastointia taikka viranomaisen suunnittelu- tai selvitystyötä varten. Nykyisen 5 §:n 3 momentin mukaan työ- ja elinkeinoministeriö päättää julkisuuslain 28 §:ssä tarkoitetun luvan antamisesta työ- ja elinkeinotoimiston asiakastietojärjestelmään sisältyvien salassa pidettävien tietojen luovuttamiseen tilastointia, tieteellistä tutkimusta taikka viranomaisten suunnittelu- ja selvitystyötä varten. Koska ministeriö ei ehdotetun pykälän mukaan enää olisi rekisterinpitäjä, ehdotetaan säädettäväksi, että luvan myöntäisi KEHA-keskus. Näin ollen TE-toimistot eivät voisi myöntää julkisuuslain 28 §:ssä tarkoitettua lupaa asiakastietojärjestelmään sisältyviin tietoihin, kuten eivät nykyisinkään. Työnvälitystilaston rekisterinpitäjänä työ- ja elinkeinoministeriö myöntäisi jatkossakin tutkimusluvan, jos tutkimuspyyntö kohdistuu nimenomaan työnvälitystilastoon.

Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdassa säädetään käyttötarkoitussidonnaisuuden periaatteesta, jonka mukaan henkilötietoja ei saa käsitellä myöhemmin alkuperäisten käsittelytarkoitusten kanssa yhteensopimattomalla tavalla. Kohdassa säädetään myös tätä koskevasta poikkeuksesta. Yleisen edun mukainen arkistointi taikka tieteellinen tai historiallinen tutkimus tai tilastointi ei kohdan mukaan ole yhteensopimattomia alkuperäisen käyttötarkoituksen kanssa.

Ehdotettu 4 momentti olisi uusi. Esityksen mukaan KEHA-keskus voisi luovuttaa tiedot asiakastietojärjestelmästä työ- ja elinkeinoministeriölle ja ELY-keskuksille teknisen käyttöyhteyden avulla. Tämä vastaisi nykyistä käytäntöä. Selvyyden vuoksi asiasta säädettäisiin laissa.