Tietosuoja uudistuu

18.9.2017

Sähkömaailman vieraskynästä 9/2017, STUL ry:n lakimies Roger Lehtonen.

EU:ssa on vuonna 2016 hyväksytty tietosuojauudistus, jonka tärkein osa on EU:n tietosuoja-asetus. Asetus tulee suoraan sovellettavaksi siirtymäajan jälkeen 25.5.2018.

Tietosuoja-asetus harmonisoi tietosuojasääntelyn EU:ssa tasapuolisilla säännöksillä, jotka koskevat sekä EU:ssa että sen ulkopuolella toimivia rekisterinpitäjiä.

Jokainen yritys on nykyisinkin rekisterinpitäjä

Tietosuojalla tarkoitetaan yksityisyyden suojaamista henkilötietoja käsiteltäessä. Keskeisin voimassa oleva henkilötietojen käsittelyä sääntelevä laki on henkilötietolaki. ’

Henkilötiedolla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja (esim. nimi, henkilötunnus, kuva, biometrinen tieto). Tunnistettavissa olevana pidetään henkilöä, joka voidaan tunnistaa tunnistetietojen, kuten nimen, sijaintitiedon, verkkotunnistetietojen tai henkilölle tunnusomaisen fyysisen, taloudellisen, kulttuurisen tai sosiaalisen tekijän perusteella.

Henkilötietojen käsittelyllä tarkoitetaan kaikkia toiminto, joita kohdistetaan henkilötietoihin joko automaattista tietojenkäsittelyä hyödyntäen tai manuaalisesti. Käsittelyä ovat esimerkiksi henkilötietojen kerääminen, tallentaminen, säilyttäminen, haku, käyttö, luovuttaminen, levittäminen ja poistaminen. Rekisterinpitäjällä tarkoitetaan luonnollista tai oikeushenkilöä, viranomaista tai muuta elintä, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.

Rekisterinpitäjällä on henkilötietolain perusteella velvollisuus laatia ja pitää yleisesti saatavilla rekisteriselostetta, jossa kuvataan henkilötietojen käsittely tiiviisti esitetyssä, avoimessa ja helposti ymmärrettävässä muodossa. Käytännössä jokainen yritys on nykyisenkin henkilötietolain lain nojalla rekisterinpitäjä.

Tietosuoja-asetusta tullaan soveltamaan yhteiskunnan eri sektoreilla ja se koskee kaikenlaista henkilötietojen käsittelyä. Käytännössä kaikki yritykset käsittelevät henkilötietoja ja ovat siten velvollisia noudattamaan asetuksen säännöksiä.

Rekisterinpitäjille tulee uusia hallinnollisia tehtäviä

Tietosuoja-asetus tuo rekisterinpitäjille uusia hallinnollisia tehtäviä ja teknisten vaatimusten toteuttaminen voi myös aiheuttaa kustannuksia. Uudistuksen keskeisimpiä tavoitteita on myös turvata palveluja hyödyntävien yksityishenkilöiden oikeudet.

Tietosuoja-asetuksen vaatimusten täytäntöönpanoa ohjaa tuntuva sakko, jonka valvontaviranomainen voi määrätä rekisterinpitäjälle vaatimusten laiminlyönnistä. Sakon enimmäismäärä on 20 miljoonaa euroa tai 4 % yrityksen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta.

Asetuksessa on jäsenvaltioiden lainsäätäjille säännöksiä täsmentävää ja täydentävää liikkumavaraa. Oikeusministeriö on asettanut työryhmän, jonka tehtävänä on valmistella lainsäädäntöehdotus liikkumavaran käytöstä. Ryhmän toimikausi päättyy 16.2.2018.

Työryhmä antoi mietintönsä 21.6.2017. Se ehdottaa, et säädetään uusi yleislaki, tietosuojalaki, jolla täsmennetään ja täydennetään EU:n tietosuoja-asetusta. Valvontaviranomaisen osalta ehdotetaan tietosuojavaltuutetun toimiston laajentamista tietosuojavirastoksi. Tietosuojalaki tulisi voimaan 25.5.2018.

Yritysten kannattaa aloittaa asetuksen voimaantuloon valmistautuminen heti. Asetuksen voimaantuloa edeltävää siirtymäaikaa on runsaat puoli vuotta, joka on lyhyt mahdollisten puutteiden tunnistamiseksi ja korjaamiseksi operatiivisten toimien ohella. Lisätietoja osoitteesta www.tietosuoja.fi.

Roger Lehtonen