Tulostusversio

1/2012

Uusi tietosuojalainsäädäntö: Sääntely muuttuu

Teksti: Eija Warma ja Otto Markkanen

Komission ehdotus EU:n tietosuoja-asetukseksi keventää byrokratiaa mutta lisää rekisterinpitäjien vastuuta.

Euroopan komissio julkaisi tammikuussa ehdotuksen EU:n tietosuojasäännösten kattavaksi ja kokonaisvaltaiseksi uudistamiseksi. Komission mukaan uudistuksella pyritään vahvistamaan erityisesti yksityisyydensuojaa verkkoympäristössä sekä antamaan lisäpotkua Euroopan digitaalitaloudelle.

Ehdotuksen keskeinen ja eniten kiinnostusta herättänyt osa on ehdotus uudeksi tietosuoja-asetukseksi, jonka on määrä korvata voimassa oleva, yli 15 vuotta vanha tietosuojadirektiivi (95/46/EY). Asetuksella pyritään harmonisoimaan EU:n 27 jäsenvaltion tietosuojasääntelyä.

Ilmoitusvelvollisuus tietoturvaloukkauksista

Asetusehdotus yhtäältä täydentää ja päivittää nykyistä sääntelyä ja toisaalta sisältää myös kokonaan uusia säännöksiä.

Eräs sen merkittävimmistä uusista säännöksistä on rekisterinpitäjälle asetettava velvollisuus ilmoittaa vakavista tietoturvaloukkauksista kansalliselle tietosuojaviranomaiselle. Ilmoitus olisi asetuksen mukaan tehtävä - mahdollisuuksien mukaan - vuorokauden kuluessa tietoturvaloukkauksen havaitsemisesta.

Lisäksi tietoturvaloukkauksista on ilmoitettava kohtuullisessa ajassa niille henkilöille, joiden tiedot ovat olleet tietoturvaloukkauksen, kuten tietovuodon, kohteina.

Erityisesti Suomen voimassaolevaan henkilötietolakiin uudistus toisi merkittävän muutoksen, sillä nykyiset säännökset eivät sisällä lainkaan yleistä ilmoitusvelvollisuutta tietoturvaloukkauksissa tai tietovuodoissa.

Rangaistukset kovenevat

Myös henkilötietojen sääntelyä koskevien velvoitteiden noudattamatta jättäminen voi tulevaisuudessa käydä nykyistä kalliimmaksi.

Ehdotetussa asetuksessa kansallisille tietosuojaviranomaisille säädetään oikeus määrätä sakkoja organisaatioille, jotka rikkovat EU:n tietosuojasääntöjä, kuten velvollisuutta ilmoittaa tietoturvaloukkauksista. Nämä sakot voivat olla enimmillään jopa miljoona euroa.

Yritystoiminnassa asetusehdotuksen mukaan sanktiot voivat nousta jopa kahteen prosenttiin yrityksen maailmanlaajuisesta vuotuisesta liikevaihdosta.

Rekisteröidylle oikeus tulla unohdetuksi

Asetusehdotuksen mukaan rekisteröidyllä eli henkilöllä, jonka henkilötietoja käsitellään, on "oikeus tulla unohdetuksi". Näin ollen hän voi pyytää rekisterinpitäjää, esimerkiksi internetpalveluntarjoajaa, poistamaan sellaiset itseään koskevat henkilötiedot, jotka eivät ole tarpeen palveluntarjoajan toiminnan ja henkilötietojen käsittelyn tarkoituksen kannalta.

Jos rekisterinpitäjä on luovuttanut tietojensa poistamista pyytäneen henkilön tietoja eteenpäin muille tahoille, sen on pyrittävä ilmoittamaan poistopyynnöstä niille.

Asetusehdotuksessa jää kuitenkin epäselväksi, missä määrin oikeus tulla unohdetuksi on tarkoitettu uudeksi, rekisteröidyn oikeuksia nykyisestä lisääväksi tai vahvistavaksi säännökseksi. Jo voimassa olevan tietosuojadirektiivin mukaan rekisteröidyllä on oikeus vaatia rekisterinpitäjää poistamaan käsittelyn kannalta tarpeettomat henkilötiedot, ja jos rekisterinpitäjä on luovuttanut näitä tietoja muille tahoille, sen on pyrittävä ilmoittamaan poistosta niille.

Viranomaisasioinnista yksinkertaisempaa

Komission ehdotus vähentää tietosuojabyrokratiaa.

Ehdotuksen mukaan rekisterinpitäjän erilaisista ilmoitusvelvollisuuksista luovutaan. Tätä perustellaan jäsenmaiden tietosuojasääntelyn välisten erojen tasoittamisella ja rekisterinpitäjien hallinnollisen taakan keventämisellä.

Useammassa EU-maassa toimivien yritysten ja organisaatioiden toimintaa helpotetaan myös siten, että jatkossa ne voisivat asioida yksinomaan päätoimipaikkansa kansallisen tietosuojaviranomaisen kanssa. Tämän maan tietosuojaviranomainen olisi toimivaltainen valvomaan yrityksen toimintaa koko EU:n alueella.

Vastaavasti rekisteröidyllä olisi asetusehdotuksen mukaan oikeus asioida oman maansa tietosuojaviranomaisten kanssa riippumatta siitä, missä EU-maassa hänen henkilötietojaan käsitellään.

Rekisterinpitäjille lisää vastuuta

Samalla kun ehdotus vähentää viranomaisasiointiin liittyviä velvoitteita, se toisaalta sälyttää rekisterinpitäjille entistä enemmän vastuuta.

Uudet säännökset edellyttävät rekisterinpitäjältä muun muassa kykyä pyydettäessä osoittaa, että se noudattaa tietosuojasäännöksiä ja on toteuttanut riittävät tietoturvamekanismit käsittelemiensä henkilötietojen suojaamiseksi.

Organisaatioiden itsenäistä sisäistä valvontaa, säännösten noudattamista sekä tietosuojan johtamista halutaan tehostaa myös säätämällä uudesta tietosuojavastaavan tehtävästä. Asetusehdotuksen mukaan tietosuojavastaava huolehtisi ohjeiden laatimisesta sekä niiden ja tietosuojasäännösten noudattamisen valvonnasta.

Tietosuojavastaava pitäisi olla kaikissa yli 250 henkilöä työllistävissä yrityksissä ja viranomaisissa sekä lisäksi organisaatioissa, jotka toiminnassaan säännöllisesti ja systemaattisesti käsittelevät henkilötietoja rekisteröityjen monitoroimiseksi. Rekisteröityjen monitorointia ei määritellä ehdotuksessa tarkemmin.

Rajat ylittävä tietojenkäsittely helpottuu

Asetusehdotuksessa halutaan edistää monikansallisten yritysten maailmanlaajuista tietojenkäsittelyä. Tätä tavoitellaan erityisesti helpottamalla konserniyritysten sisäisten henkilötietojen siirtosäännösten (binding corporate rules) käyttöönottoa.

Yritykset itse laativat ehdotukset binding corporate rules -sääntöjensä sisällöksi, jonka jälkeen ne hyväksyttävät säännöt tietosuojaviranomaisilla. Tähän saakka hyväksymisprosessi on koettu erittäin työlääksi ja hitaaksi, minkä johdosta yritykset eivät ole suuressa määrin niitä ottaneet käyttöön.

Rajat ylittävässä henkilötietojen käsittelyssä käytetään yleisesti myös komission laatimia ja hyväksymiä mallisopimuslausekkeita. Asetusehdotus ei estä niiden käyttöä vaan ne säilyvät edelleen yhtenä keinona turvata tietosuojan riittävä taso kansainvälisissä henkilötietojen siirroissa. 

---

[KIRJOITTAJAT]

Kirjoittajat työskentelevät Asianajotoimisto Castrén & Snellman Oy:ssä. Asianajaja, LL.M. Eija Warma on erikoistunut yksityisyydensuojaan ja henkilötietojen käsittelyyn liittyviin kysymyksiin. OTM Otto Markkanen on erikoistunut teknologiaan ja tietosuojaan liittyviin kysymyksiin.

---

Komission ehdotus on jo ennättänyt herättää arvostelua. Ehdotetun sääntelyn on muun muassa sanottu toteutuessaan asettavan tarpeettoman suurta taakkaa niin rekisterinpitäjille kuin informaation käsittelijöille, kuten pilvipalveluiden tarjoajille, tuomatta kuitenkaan merkittäviä hyötyjä henkilötietojen käsittelyn kohteena oleville ihmisille.

Asetusehdotuksen lisäksi komissio on antanut myös ehdotuksen uudeksi henkilötietodirektiiviksi. Siinä luodaan pelisäännöt henkilötietojen suojaamiseksi tilanteissa, joissa niitä käsitellään rikosten ehkäisemistä, selvittämistä, tutkintaa ja syytteeseenpanoa sekä tähän liittyviä oikeustoimia varten.

Komission ehdotus etenee seuraavaksi keskusteluun Euroopan parlamentissa ja EU:n jäsenvaltioiden ministerineuvostossa. Uusien säädösten on määrä tulla voimaan kahden vuoden kuluttua hyväksymisestä.

Lue myös

Uusi tietosuojalainsäädäntö: Tunnetko ehdotuksen? »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi
Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.