Uusi kansallinen tietosuojalaki tarkentaa henkilötietojen käsittelyyn liittyviä velvoitteita
11.12.2018
Tietosuoja-asetuksen ohella tulee huomioida uuden tietosuojalain velvoitteet henkilötietojen käsittelylle.
Uusi kansallinen tietosuojalaki on vahvistettu, ja se tulee voimaan 1.1.2019. Tietosuojalaki täydentää Euroopan unionin yleistä tietosuoja-asetusta (General Data Protection Regulation), jonka soveltaminen alkoi toukokuussa 2018. Uuden tietosuojalain myötä vanha henkilötietolaki kumotaan.
Keskeiset henkilötietojen käsittelyä koskevat säännökset tietosuoja-asetuksessa
Keskeiset henkilötietojen käsittelyä koskevat velvoitteet tulevat sellaisenaan tietosuoja-asetuksesta, ja kaikkien henkilötietoja käsittelevien tahojen on tullut noudattaa asetusta 25.5.2018 alkaen. Jäsenvaltioilla on kuitenkin oikeus antaa täydentävää tietosuojalainsäädäntöä, siltä osin kuin tietosuoja-asetuksessa on tiettyihin asiakokonaisuuksiin liittyen jätetty kansallista liikkumavaraa. Kansallisella tietosuojalailla täydennetään ja täsmennetään tietosuoja-asetusta. Laki ei muodosta itsenäistä lakia, vaan sitä sovelletaan rinnakkain tietosuoja-asetuksen kanssa.
Tietosuojalaissa säännellään tietyistä henkilötietojen käsittelyyn liittyvistä erityistilanteista, kuten henkilötunnuksen ja arkaluonteisten tietojen käsittelystä sekä henkilötietojen käsittelystä esimerkiksi tieteelliseen tutkimukseen, tilastointiin, arkistointiin ja sananvapauden käyttämiseen liittyen. Lisäksi tietosuojalaissa säännellään mm. hallinnollisten seuraamusmaksujen määräämistä, tietosuojaviranomaisen toimivallasta ja lapsille tarjottavien tietoyhteiskunnan palveluiden ikärajasta. Lisäksi uuden lain mukaan kaikilla henkilötietojen käsittelyyn osallistuvilla on suoraan lain nojalla vaitiolovelvollisuus henkilötietojen käsittelyyn liittyvistä asioista.
Uusi tietosuojalaki täydentää tietosuoja-asetuksen ohella myös muuta henkilötietojen käsittelyyn liittyvää lainsäädäntöä, kuten esimerkiksi työntekijöiden tietojen käsittelyä koskevaa työelämän tietosuojalakia sekä julkisuus- ja luottotietolakia. Suomessa on varsin runsaasti henkilötietojen käsittelyä koskevaa erityislainsäädäntöä, jopa useita satoja säännöksiä. Tietosuoja-asetuksen johdosta Suomen lainsäädäntöön tehtiin laajoja muutoksia, jotta kansalliset lait olisivat yhdenmukaisia EU-sääntelyn kanssa. Tämä uudistamistyö jatkuu edelleen, joten omaan toimialaan liittyvän lainsäädännön mahdollisia muutoksia on hyvä seurata.
Keskeiset uuden tietosuojalain tuomat muutokset
Toimivaltainen valvontaviranomainen
Tietosuojalainsäädännön valvontaviranomaisena toimii Suomessa edelleen tietosuojavaltuutettu. Tietosuojalaissa säännellään tietosuojaviranomaisen toimivallasta, tehtävistä ja valtuuksista. Tietosuojavaltuutetun toimiston yhteydessä toimii asiantuntijalautakunta, joka antaa tietosuojavaltuutetun pyynnöstä lausuntoja. Vanha tietosuojalautakunta lakkautetaan uuden lain myötä.
Jokaisella on oikeus tehdä ilmoitus tietosuojavaltuutetulle, jos katsoo henkilötietojensa käsittelyn olleen lainvastaista. Tietosuojavaltuutettu voi myös oma-aloitteisesti lähteä tutkimaan henkilötietojen käsittelyn lainmukaisuutta. Tietosuojavaltuutetulla on laajat tiedonsaantioikeudet.
Hallinnollisten seuraamusmaksujen määrääminen
Tietosuoja-asetuksen rikkomisesta voidaan määrätä erilaisia seuraamuksia, kuten hallinnollisia sakkoja. Uudessa tietosuojalaissa säännellään menettelystä, jolla seuraamuksia määrätään ja miten niihin voi hakea muutosta. Hallinnolliset seuraamusmaksut määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen muodostama kolmijäseninen seuraamuskollegio. Seuraamusmaksua ei voida määrätä valtion tai kuntien viranomaisille, eikä tietyille muille julkisille instansseille. Seuraamusmaksua ei saa määrätä, jos rikkomuksesta tai laiminlyönnistä on kulunut yli kymmenen vuotta. Seuraamusmaksun määräämisestä voi valittaa hallinto-oikeuteen.
Henkilötunnuksen käsittely
Henkilötunnusten käsittelyä koskevat säännökset säilyvät pitkälti ennallaan verrattuna vanhaan henkilötietolakiin. Henkilötunnuksen käsittely on sallittua rekisteröidyn suostumuksella, tai jos käsittelystä säädetään lailla. Lisäksi henkilötunnusta saa edelleen käsitellä tietyissä erityistilanteissa kuten luotonannossa, saatavan perimisessä, vakuutus-, luottolaitos-, vuokraus- ja lainaustoiminnassa, luottotietotoiminnassa, terveydenhuollossa, sosiaalihuollon tai sosiaaliturvaan liittyvien asioiden yhteydessä sekä virka-, työsuhteita koskevissa asioissa.
Henkilötunnuksen käsittelyssä on lisäksi huomioitava tietosuoja-asetuksen yleiset vaatimukset henkilötietojen käsittelylle. Lisäksi henkilötunnusta ei saa tarpeettomasti merkitä tulostettuihin tai laadittuihin asiakirjoihin.
Tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettava ikäraja
Tietoyhteiskunnan palvelujen, kuten sosiaalisen median, ikäraja on herättänyt paljon keskustelua. Jäsenvaltioilla on oikeus määrittää ikäraja tietoyhteiskunnan palveluille. Uudessa tietosuojalaissa ikärajaksi on säädetty 13 vuotta, joka on pääsääntöisesti linjassa muiden Pohjoismaiden kanssa.
Mikäli henkilö on nuorempi kuin 13-vuotias, henkilötietojen käsittely tietoyhteiskunnan palveluiden tarjoamiseksi on lainmukaista vain, jos lapsen vanhempi on antanut suostumuksen tai valtuutuksen. Yli 13-vuotiaalle palveluita voi tarjota ilman vanhemman suostumusta. Ikäraja voi vaihdella eri jäsenvaltioissa 13-16 ikävuoden välillä. Kansalliset erot tulee ottaa huomioon, jos tietoyhteiskunnan palveluiden tarjonta ulottuu muihin EU-maihin.
Henkilötietojen käsittelyn käytännöt viimeistään nyt kuntoon
Kansallinen tietosuojalainsäädäntö lähinnä täsmentää tietosuoja-asetusta, eikä tuo yritysten näkökulmasta merkittäviä muutoksia. Uuden lain myötä viranomaisen toimivalta valvoa tietosuoja-asetusta on kuitenkin saatettu ajan tasalle. Suurin mielenkiinto kiinnittyykin nyt tietosuojavaltuutetun toimivaltaan ja siihen, millä tavalla tietosuojavaltuutettu ja muut eurooppalaiset tietosuojaviranomaiset alkavat valvoa asetuksen noudattamista. Muutamissa maissa valvontaviranomainen on jo antanut viranomaispäätöksiä tietosuoja-asetukseen liittyen. Oman organisaation käytännöt on viimeistään nyt syytä laittaa uuden sääntelyn edellyttämälle tasolle.
Uuteen tietosuojalakiin voit tutustua Valtioneuvoston sivulla >>