Hallitus esittää uuden tietosuojalain säätämistä
4.3.2018 | OikeusuutisetTietosuojalaki täydentäisi EU:n tietosuoja-asetusta
Ehdotettu tietosuojalaki ei muodostaisi
itsenäistä ja kattavaa sääntelykokonaisuutta, vaan sitä sovellettaisiin
rinnakkain EU:n tietosuoja-asetuksen kanssa. Tietosuoja-asetus koskee
lähtökohtaisesti kaikenlaista henkilötietojen käsittelyä. Se sisältää
säännökset rekisteröidyn oikeuksista sekä rekisterinpitäjän ja
henkilötietojen käsittelijän velvollisuuksista.
EU:n
tietosuoja-asetus tulee sellaisenaan sovellettavaksi jäsenvaltioissa,
mutta se jättää kuitenkin mahdollisuuden säätää tietyissä kysymyksissä
poikkeuksia ja täsmennyksiä. Niistä säädettäisiin uudella
tietosuojalailla. Tietosuojalailla säädettäisiin myös muun muassa
valvontaviranomaisesta sekä eräistä henkilötietojen käsittelyyn
liittyvistä erityistilanteista, kuten sananvapauden ja henkilötietojen
suojan yhteensovittamisesta.
EU:n tietosuoja-asetuksen
soveltaminen alkaa jäsenvaltioissa 25.5.2018. Uusi tietosuojalaki tulisi
esityksen mukaan voimaan samaan aikaan. Samalla kumottaisiin nykyinen
henkilötietolaki sekä laki tietosuojalautakunnasta ja
tietosuojavaltuutetusta.
Lapsen ikäraja tietoyhteiskunnan palveluissa 13 vuotta
Esityksen
mukaan tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle
edellyttäisi, että lapsi on vähintään 13-vuotias. Tätä nuoremmalla
lapsella olisi oltava vanhempien suostumus esimerkiksi sosiaalisen
median ja muiden henkilötietojen antamista edellyttävien palvelujen
käyttämiseen. Rekisterinpitäjän vastuulla olisi tarkistaa, että
suostumus on olemassa.
Suomessa lapsen ikäraja olisi alempi kuin
yleisessä tietosuoja-asetuksessa säädetty 16 vuotta. Tietosuojalain
valmistelun yhteydessä saaduissa lausunnoissa korostettiin internetin
merkitystä nuorille ja puollettiin alemman ikärajan säätämistä.
Tietosuojavaltuutettu jatkaisi valvontaviranomaisena
Yleisen
tietosuoja-asetuksen mukaiset viranomaistehtävät keskitettäisiin
tietosuojavaltuutetulle. Kasvavien asiamäärien vuoksi
tietosuojavaltuutetun toimistoon perustettaisiin yksi tai useampi
apulaistietosuojavaltuutetun virka.
Lisäksi toimistoon
perustettaisiin viisijäseninen asiantuntijalautakunta. Se antaisi
tietosuojavaltuutetun pyynnöstä lausuntoja lainsäädännön soveltamiseen
liittyvistä asioista. Tietosuojalautakunta lakkautettaisiin. Uudistuksen
tultua voimaan lautakunta ei enää myönnä lupia henkilötietojen
käsittelyyn, vaan käsittely perustuu tietosuoja-asetukseen,
tietosuojalakiin tai erityislainsäädäntöön.
Valvontaviranomaisen
organisointi on tarkoitus toteuttaa niin, että se pystyy tehokkaasti
suoriutumaan tehtävistään. Tietosuojavaltuutetun toimistolle varataan
uudistuksen täytäntöönpanoon lisäresursseja. Henkilöstön lisäystarve on
16 henkilötyövuotta.
Tietosuojavaltuutettu voisi asettaa
yritykselle, yhteisölle tai viranomaiselle uhkasakon tietojen
luovuttamista koskevan määräyksensä tehosteeksi.
Säännösten
rikkomisesta tietosuojavaltuutettu voisi määrätä hallinnollisen
seuraamusmaksun. Sen määrä voisi olla lievemmissä rikkomuksissa enintään
10 miljoonaa euroa tai 2 % yrityksen kokonaisliikevaihdosta ja
vakavammissa rikkomuksissa enintään 20 miljoonaa euroa tai 4 % yrityksen
kokonaisliikevaihdosta. Seuraamusmaksu perustuu tietosuoja-asetukseen.
Käytettävissä olisi myös lievempiä keinoja, kuten huomautus.
Kansallisen
liikkumavaran perusteella tietosuojalaissa esitetään säädettäväksi,
että hallinnollista seuraamusmaksua ei sovellettaisi julkisella
sektorilla tapahtuvaan henkilötietojen käsittelyyn. Perusteena on se,
että viranomaisia sitoo hallinnon lainmukaisuusvaatimus, virkavastuu ja
vahingonkorvausvastuu. Julkisen sektorin jättämistä seuraamusmaksun
ulkopuolelle arvioidaan myöhemmin uudelleen kertyneen oikeuskäytännön ja
kokemusten valossa.
Esityksen mukaan rikoslaissa säädettäisiin
rangaistavaksi sellainen menettely, jossa esimerkiksi rekisterinpitäjän
palveluksessa oleva henkilö oikeudettomasti urkkii henkilötietoja
vastoin niiden käyttötarkoitusta. Tällöin olisi kyse
tietosuojarikoksesta, josta tuomittaisiin sakkoa tai vankeutta enintään
yksi vuotta. Rikoslaista poistettaisiin nykyinen henkilörekisteririkos.
Sananvapauden, tutkimuksen ja arkistoinnin turvaamiseksi poikkeuksia
Henkilötietojen
käsittelyedellytyksiin säädettäisiin esityksen mukaan poikkeuksia tai
vapautuksia, kun on kyse sananvapauden turvaamisesta esimerkiksi
journalismissa. Myös tieteellisessä ja historiallisessa tutkimuksessa,
tilastoinnissa ja arkistoinnissa voitaisiin poiketa eräistä
tietosuoja-asetuksesta seuraavista velvoitteista, jos poikkeaminen on
tarpeellista esimerkiksi tutkimuksen tavoitteiden kannalta.
Poikkeukset
merkitsisivät muun muassa sitä, että rekisteröidyllä ei näissä
tapauksissa olisi esimerkiksi oikeutta tarkastaa itseään koskevia
tietoja. Poikkeusten tavoitteena olisi säilyttää nykyisenkaltainen
sääntely.
Myös terveyttä, seksuaalista käyttäytymistä ja
suuntautumista, uskontoa sekä poliittisia näkemyksiä koskevien tietojen
käsittely olisi mahdollista jatkossakin tutkimusta ja tilastointia
varten.
EU:n tietosuoja-asetuksen vaikutukset
Henkilötietojen
käsittelyn perusperiaatteet ja rekisteröidyn oikeudet säilyvät
tietosuoja-asetuksessa pääosin nykyisellään. Henkilöllä on jatkossakin
oikeus esimerkiksi tarkastaa itseään koskevat tiedot.
Asetuksella
luodaan myös uusia oikeuksia. Rekisteröity voi saada itseään koskevia
tietoja sähköisesti ja hän voi nykyistä helpommin siirtää antamansa
henkilötiedot järjestelmästä toiseen.
Rekisterinpitäjän on
oikaistava virheelliset tiedot ja poistettava esimerkiksi tarpeeton tai
vanhentunut henkilötieto. Korjauksiin on ryhdyttävä ilman aiheetonta
viivytystä, normaalitapauksissa viimeistään kuukauden kuluessa oikaisu-
tai poistopyynnön vastaanottamisesta.
Tietosuojavastaavan
nimittäminen on tietyissä tapauksissa pakollista rekisterinpitäjille.
Yrityksen on nimitettävä tietosuojavastaava, jos yrityksen toiminta
edellyttää rekisteröityjen säännöllistä ja systemaattista valvontaa tai
yritys käsittelee laajoja määriä arkaluonteisia henkilötietoja.
Julkishallinnossa tietosuojavastaava on nimitettävä lähes aina.
Niin
sanotun yhden luukun periaatteen mukaisesti yrityksen tarvitsee asioida
vain yhden tietosuojaviranomaisen kanssa, vaikka yritys toimisi useassa
jäsenvaltiossa.
Henkilötietoja koskevasta
tietoturvaloukkauksesta rekisterinpitäjän on ilmoitettava
tietosuojavaltuutetulle viimeistään 72 tunnin kuluessa loukkauksen
ilmitulosta. Myös rekisteröidylle on ilmoitettava
tietoturvaloukkauksesta ilman aiheetonta viivytystä.
Tietosuoja-asetus ei estä esimerkiksi biopankkitoimintaa, palkkatilastointia tai sukututkimusta.
Tietosuojaa
koskeva kokonaisuusuudistus on tarpeen, koska henkilötietoja kerätään
yhä enemmän teknologisen kehityksen ja globalisoitumisen myötä.
Korkeatasoisella tietosuojalla voidaan myös parantaa luottamusta
verkossa tarjottaviin palveluihin ja hyödyntää digitaalitalouden antamia
mahdollisuuksia.
Hallituksen esitystä tietosuojalaiksi on
täydennetty lainsäädännön arviointineuvoston helmikuussa antaman
lausunnon johdosta mm. lisäämällä esitykseen kuvaus EU:n
tietosuoja-asetuksen keskisestä sisällöstä sekä arviointi asetuksen
yritysvaikutuksista.