rss Kotimaiset oikeudelliset tietolähteet

4.3.2018 8.56

Hallitus esittää uuden tietosuojalain säätämistä

Tietosuojalaki täydentäisi EU:n tietosuoja-asetusta

Ehdotettu tietosuojalaki ei muodostaisi itsenäistä ja kattavaa sääntelykokonaisuutta, vaan sitä sovellettaisiin rinnakkain EU:n tietosuoja-asetuksen kanssa. Tietosuoja-asetus koskee lähtökohtaisesti kaikenlaista henkilötietojen käsittelyä. Se sisältää säännökset rekisteröidyn oikeuksista sekä rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuuksista.

EU:n tietosuoja-asetus tulee sellaisenaan sovellettavaksi jäsenvaltioissa, mutta se jättää kuitenkin mahdollisuuden säätää tietyissä kysymyksissä poikkeuksia ja täsmennyksiä. Niistä säädettäisiin uudella tietosuojalailla. Tietosuojalailla säädettäisiin myös muun muassa valvontaviranomaisesta sekä eräistä henkilötietojen käsittelyyn liittyvistä erityistilanteista, kuten sananvapauden ja henkilötietojen suojan yhteensovittamisesta.

EU:n tietosuoja-asetuksen soveltaminen alkaa jäsenvaltioissa 25.5.2018. Uusi tietosuojalaki tulisi esityksen mukaan voimaan samaan aikaan. Samalla kumottaisiin nykyinen henkilötietolaki sekä laki tietosuojalautakunnasta ja tietosuojavaltuutetusta.

Lapsen ikäraja tietoyhteiskunnan palveluissa 13 vuotta

Esityksen mukaan tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle edellyttäisi, että lapsi on vähintään 13-vuotias. Tätä nuoremmalla lapsella olisi oltava vanhempien suostumus esimerkiksi sosiaalisen median ja muiden henkilötietojen antamista edellyttävien palvelujen käyttämiseen. Rekisterinpitäjän vastuulla olisi tarkistaa, että suostumus on olemassa.

Suomessa lapsen ikäraja olisi alempi kuin yleisessä tietosuoja-asetuksessa säädetty 16 vuotta. Tietosuojalain valmistelun yhteydessä saaduissa lausunnoissa korostettiin internetin merkitystä nuorille ja puollettiin alemman ikärajan säätämistä.

Tietosuojavaltuutettu jatkaisi valvontaviranomaisena

Yleisen tietosuoja-asetuksen mukaiset viranomaistehtävät keskitettäisiin tietosuojavaltuutetulle. Kasvavien asiamäärien vuoksi tietosuojavaltuutetun toimistoon perustettaisiin yksi tai useampi apulaistietosuojavaltuutetun virka.

Lisäksi toimistoon perustettaisiin viisijäseninen asiantuntijalautakunta. Se antaisi tietosuojavaltuutetun pyynnöstä lausuntoja lainsäädännön soveltamiseen liittyvistä asioista. Tietosuojalautakunta lakkautettaisiin. Uudistuksen tultua voimaan lautakunta ei enää myönnä lupia henkilötietojen käsittelyyn, vaan käsittely perustuu tietosuoja-asetukseen, tietosuojalakiin tai erityislainsäädäntöön. 

Valvontaviranomaisen organisointi on tarkoitus toteuttaa niin, että se pystyy tehokkaasti suoriutumaan tehtävistään. Tietosuojavaltuutetun toimistolle varataan uudistuksen täytäntöönpanoon lisäresursseja. Henkilöstön lisäystarve on 16 henkilötyövuotta.

Tietosuojavaltuutettu voisi asettaa yritykselle, yhteisölle tai viranomaiselle uhkasakon tietojen luovuttamista koskevan määräyksensä tehosteeksi.

Säännösten rikkomisesta tietosuojavaltuutettu voisi määrätä hallinnollisen seuraamusmaksun. Sen määrä voisi olla lievemmissä rikkomuksissa enintään 10 miljoonaa euroa tai 2 % yrityksen kokonaisliikevaihdosta ja vakavammissa rikkomuksissa enintään 20 miljoonaa euroa tai 4 % yrityksen kokonaisliikevaihdosta. Seuraamusmaksu perustuu tietosuoja-asetukseen. Käytettävissä olisi myös lievempiä keinoja, kuten huomautus.

Kansallisen liikkumavaran perusteella tietosuojalaissa esitetään säädettäväksi, että hallinnollista seuraamusmaksua ei sovellettaisi julkisella sektorilla tapahtuvaan henkilötietojen käsittelyyn. Perusteena on se, että viranomaisia sitoo hallinnon lainmukaisuusvaatimus, virkavastuu ja vahingonkorvausvastuu. Julkisen sektorin jättämistä seuraamusmaksun ulkopuolelle arvioidaan myöhemmin uudelleen kertyneen oikeuskäytännön ja kokemusten valossa.

Esityksen mukaan rikoslaissa säädettäisiin rangaistavaksi sellainen menettely, jossa esimerkiksi rekisterinpitäjän palveluksessa oleva henkilö oikeudettomasti urkkii henkilötietoja vastoin niiden käyttötarkoitusta. Tällöin olisi kyse tietosuojarikoksesta, josta tuomittaisiin sakkoa tai vankeutta enintään yksi vuotta. Rikoslaista poistettaisiin nykyinen henkilörekisteririkos.

Sananvapauden, tutkimuksen ja arkistoinnin turvaamiseksi poikkeuksia

Henkilötietojen käsittelyedellytyksiin säädettäisiin esityksen mukaan poikkeuksia tai vapautuksia, kun on kyse sananvapauden turvaamisesta esimerkiksi journalismissa. Myös tieteellisessä ja historiallisessa tutkimuksessa, tilastoinnissa ja arkistoinnissa voitaisiin poiketa eräistä tietosuoja-asetuksesta seuraavista velvoitteista, jos poikkeaminen on tarpeellista esimerkiksi tutkimuksen tavoitteiden kannalta.

Poikkeukset merkitsisivät muun muassa sitä, että rekisteröidyllä ei näissä tapauksissa olisi esimerkiksi oikeutta tarkastaa itseään koskevia tietoja. Poikkeusten tavoitteena olisi säilyttää nykyisenkaltainen sääntely.

Myös terveyttä, seksuaalista käyttäytymistä ja suuntautumista, uskontoa sekä poliittisia näkemyksiä koskevien tietojen käsittely olisi mahdollista jatkossakin tutkimusta ja tilastointia varten.

EU:n tietosuoja-asetuksen vaikutukset

Henkilötietojen käsittelyn perusperiaatteet ja rekisteröidyn oikeudet säilyvät tietosuoja-asetuksessa pääosin nykyisellään. Henkilöllä on jatkossakin oikeus esimerkiksi tarkastaa itseään koskevat tiedot.

Asetuksella luodaan myös uusia oikeuksia. Rekisteröity voi saada itseään koskevia tietoja sähköisesti ja hän voi nykyistä helpommin siirtää antamansa henkilötiedot järjestelmästä toiseen.

Rekisterinpitäjän on oikaistava virheelliset tiedot ja poistettava esimerkiksi tarpeeton tai vanhentunut henkilötieto. Korjauksiin on ryhdyttävä ilman aiheetonta viivytystä, normaalitapauksissa viimeistään kuukauden kuluessa oikaisu- tai poistopyynnön vastaanottamisesta.

Tietosuojavastaavan nimittäminen on tietyissä tapauksissa pakollista rekisterinpitäjille. Yrityksen on nimitettävä tietosuojavastaava, jos yrityksen toiminta edellyttää rekisteröityjen säännöllistä ja systemaattista valvontaa tai yritys käsittelee laajoja määriä arkaluonteisia henkilötietoja. Julkishallinnossa tietosuojavastaava on nimitettävä lähes aina.

Niin sanotun yhden luukun periaatteen mukaisesti yrityksen tarvitsee asioida vain yhden tietosuojaviranomaisen kanssa, vaikka yritys toimisi useassa jäsenvaltiossa.

Henkilötietoja koskevasta tietoturvaloukkauksesta rekisterinpitäjän on ilmoitettava tietosuojavaltuutetulle viimeistään 72 tunnin kuluessa loukkauksen ilmitulosta. Myös rekisteröidylle on ilmoitettava tietoturvaloukkauksesta ilman aiheetonta viivytystä.

Tietosuoja-asetus ei estä esimerkiksi biopankkitoimintaa, palkkatilastointia tai sukututkimusta.

Tietosuojaa koskeva kokonaisuusuudistus on tarpeen, koska henkilötietoja kerätään yhä enemmän teknologisen kehityksen ja globalisoitumisen myötä. Korkeatasoisella tietosuojalla voidaan myös parantaa luottamusta verkossa tarjottaviin palveluihin ja hyödyntää digitaalitalouden antamia mahdollisuuksia.

Hallituksen esitystä tietosuojalaiksi on täydennetty lainsäädännön arviointineuvoston helmikuussa antaman lausunnon johdosta mm. lisäämällä esitykseen kuvaus EU:n tietosuoja-asetuksen keskisestä sisällöstä sekä arviointi asetuksen yritysvaikutuksista.

Tietosuojalaki täydentäisi EU:n tietosuoja-asetusta


Palaa otsikoihin




Unohditko tunnukset? Tiedustele: info@asianajajaliitto.fi tai (09) 6866 120


Tämä sivusto käyttää evästeitä sivuston käyttöä koskevien tietojen keräämiseksi. Kun käytät tätä sivustoa, hyväksyt evästeiden käytön.
Sulje

Evästekäytännöt

Tätä sivustoa käyttämällä hyväksyt, että voimme asettaa evästeitä tietokoneellesi tai mobiililaitteeseesi.

1. Mitä evästeet ovat?

Evästeet ovat pieniä datatiedostoja, jotka siirtyvät tietokoneellesi, kun otat yhteyden johonkin verkkosivustoon. Evästeet tallentuvat selaimen käyttämien tiedostojen yhteyteen.

Lisätietoa evästeistä saat sivulta www.aboutcookies.org.

2. Miksi evästeitä käytetään?

Evästeet tunnistavat tietokoneesi, kun tulet sivustolle uudelleen. Ne muistavat myös sivustolla aikaisemmin tekemäsi valinnat ja parantavat siten sivuston käyttökokemusta. Evästeiden avulla pystyy esimerkiksi tunnistamaan käyttäjän laitteet sekä mukauttamaan mahdollisia mainoksia sivuilla sekä mahdollisissa muissa palveluissa.

3. Mitä evästeitä käytetään?

Jotkin evästeet ovat sivustomme teknisen toiminnan ja käytön vuoksi välttämättömiä. Nämä evästeet eivät kerää käyttäjästä tietoa, jota voitaisiin hyödyntää markkinoinnissa tai muistamaan käyttäjän valitsemia sivustoja.

Suorituskykyä mittaavat evästeemme keräävät tietoa siitä, miten käyttäjät käyttävät verkkosivujamme (esim. eniten käytetyt sivut, mahdolliset virheviestit). Nämä evästeet eivät kerää käyttäjistä tunnistettavia tietoja, vaan ne ovat anonyymejä ja niitä käytetään ainoastaan parantamaan nettisivujen toimivuutta.

Sivuilla olevat kolmansien osapuolten liitännäispalvelut (esim. mainokset, YouTube-videot, Google-tilastointi tai Facebook-liitännäiset) saattavat tallentaa käyttäjän tunnistamiseen käytettävää tietoa, mihin emme valitettavasti voi vaikuttaa. Jos haluat estää niitä seuraamasta liikkumistasi verkossa, voit kytkeä ns. kolmannen osapuolen evästeet pois käytöstä selaimesi asetuksista. Ohjeet löydät selaimesi ohjesivuilta.

Sivuillamme saattaa olla myös painikkeita, jotka helpottavat sisällön jakamista eri verkkoviestintäympäristöihin ja sosiaaliseen mediaan. Jos käytät näitä painikkeita, valitsemaltasi palvelulta voidaan asettaa eväste päätelaitteellesi. Nämä evästeet eivät ole hallinnassamme. Lisätietoja kolmannen osapuolen evästeiden käytöstä saat kyseisen osapuolen verkkosivulta.

4. Evästeiden hallinta ja estäminen

Jos et halua vastaanottaa evästeitä, voit muuttaa Internet-selaimesi asetuksia niin, että saat ilmoituksen aina kun evästeitä ollaan lähettämässä tietokoneellesi. Vaihtoehtoisesti voit estää evästeiden käytön kokonaan. Evästeiden käyttöä voi rajoittaa tai sen voi estää Internet-selaimen kautta (katso tarkemmat tiedot selaimen ohjeista).

Jos estät evästeiden tallennuksen tai poistat ne käytöstä, jotkin verkkosivujemme toiminnoista eivät välttämättä toimi oikein.

Sulje