Tulostusversio

3/2012

Uusi tietosuojalainsäädäntö, osa 1: Tarkennuksia nykyisiin pykäliin

Teksti: Markus Salminen

Tietosuoja on viime vuosikymmeninä liikkunut lainsäädännön reuna-alueilta perusoikeuksien ytimeen. EU:n komission ehdotus yleiseksi tietosuoja-asetukseksi jatkaa tätä kehityskulkua.

Eurooppalainen tietosuojalainsäädäntö on toteutettu tähän saakka direktiivien kautta. Henkilötietodirektiivissä asetettiin jäsenvaltioille minimivaatimuksia, jotka kansallisten lainsäädäntöjen tulisi täyttää. Suomessa nämä vaatimukset tuotiin henkilötietolakiin.

Euroopan komission ehdotus yleiseksi tietosuoja-asetukseksi poikkeaa tästä lähestymistavasta, koska toteutuessaan asetus on jäsenmaissa suoraan sovellettavaa oikeutta. Nykyiset jäsenvaltioiden kansalliset ja toisistaan merkittävästikin poikkeavat lainsäädännöt siis lakkaavat niiltä osin kun asetuksessa asiasta säädetään.

Asetuksen todennäköisin voimaantuloaika on näillä näkymin vuoden 2013 loppupuolella.

Velvoitteet määritellään laajemmin

Asetusehdotus määrittelee sekä rekisterinpitäjien että toimeksiannosta henkilötietoja käsittelevien velvoitteita henkilötietolakia tarkemmin. Velvollisuudet ovat suurelta osin nykyisiä velvoitteita vastaavia, mutta niitä on kirjattu yksityiskohtaisemmin ja laajemmin omiksi säännöksikseen. Erityisesti toimeksiannosta henkilötietoja käsittelevien velvoitteet on ilmaistu selkeämmin kuin nykyisessä henkilötietolain järjestelmässä. Myös rekisterinpitäjän ja toimeksisaajan yhteiset rekisteripidon velvollisuudet ovat selkeämmin esillä.

Alihankkijoiden käytön hyväksyntä on kirjoitettu asetukseen uudella tavalla. Nykyisinkin rekisterinpitäjä voi sopia alihankkijoiden käytöstä tai kieltää niiden käytön kokonaan. Asetuksen mukaan toimeksiannosta tietoja käsittelevän on kuitenkin aina hyväksytettävä alihankkija rekisterinpitäjällä.

Uusia määritelmiä ja tiukempaa suostumustulkintaa

Myös useat uudet määritelmät ovat löytäneet tiensä asetukseen ja selkeyttävät siten osaltaan sääntelyä. Nykyisin arkaluonteisiksi katsottavia tietoja on nähty tarpeelliseksi määritellä erikseen. Näitä ovat esimerkiksi terveystiedot, geneettiset tiedot ja biometriset tiedot.

Merkittävä määritelmän tarkennus koskee henkilötietojen käsittelyn kannalta hyvin olennaista suostumuksen käsitettä, jota rekisterinpitäjät ovat tulkinneet varsin monipuolisesti. Euroopan tietosuojaviranomaisten työryhmä on antanut kannanoton suostumuksen määritelmästä, mutta rekisterinpitäjät ovat kokeneet sen noudattamisen osin hankalaksi eivätkä ole seuranneet sitä kovinkaan kirjaimellisesti.

Komission ehdotuksessa suostumus on määritelty sisällöltään hyvin samankaltaiseksi kuin tietosuojaviranomaisten kannanotossa. Suostumuksesta tulee siten entistä tiukemmin tulkiten vapaaehtoinen, tietoinen ja nimenomainen tahdonilmaisu. Todistustaakka suostumuksen antamisesta on edelleen rekisterinpitäjällä.

Suostumusvaatimus laajenee myös uusiin asiayhteyksiin, sillä se vaaditaan jatkossa myös profilointiin ja alle 13-vuotiaan henkilötietojen käsittelyyn.

Käyttötarkoituksen muutos

Käyttötarkoitussidonnaisuus säilyy edelleen yhtenä tietosuojalainsäädännön kantavista periaatteista. Asetusehdotuksessa käyttötarkoituksen muutoksesta on säännelty erikseen. Tällä voi olla käytännön merkitystä arvioitaessa henkilötietojen jatkokäsittelyn mahdollisuutta tapauksissa, joissa tiedon uusi käyttötarkoitus on ristiriidassa alkuperäisen käyttötarkoituksen kanssa.

Lainmukaisuus kyettävä osoittamaan

Rekisterinpitäjällä on nykyisinkin velvollisuus varmistua toiminnan lainmukaisuudesta asianmukaisin toimin. Asetusehdotuksessa kuitenkin säädetään tarkemmin lainmukaisuuden osoittamisesta tarkastuksin sekä riski- ja vaikuttavuusarvioinneista.

Rekisterinpitäjän on toteutettava riittävät mekanismit, riskiarviot ja toimenpiteet, joilla varmistetaan, että henkilötietojen käsittelyn jokainen vaihe tehdään lain mukaisella tavalla. Tietosuojan auditointien tulee olla riippumattomien sisäisten tai ulkoisten tarkastajien suorittamia.

Tarkastusoikeuden toteutus tarkentuu

Rekisteritietojen tarkastusoikeuteen liittyvistä velvoitteista ehdotetaan nykyistä tarkempaa sääntelyä. Jos rekisteröity tekee tietojen tarkastuspyynnön sähköisesti, hänelle täytyy myös vastata sähköisesti, ellei rekisteröity toisin pyydä. Asetus yksilöi myös tarkastusoikeuden sisältöä. Rekisteröidylle on esimerkiksi toimitettava kaikki henkilötietojen alkuperästä käytettävissä olevat tiedot sekä kuvattava tallennettujen tietojen merkitystä mahdollisen profiloinnin osalta. 

---

[KIRJOITTAJA]

Lex-Dialog Oy:n tietosuoja-asiantuntija Markus Salminen on erikoistunut kuluttajaliiketoiminnan tietosuojan kehittämiseen. Hänellä on aihealueen juridisen (OTM) ja kaupallisen (KTM) osaamisen lisäksi yli 15 vuoden käytännön kokemus liiketoiminnan ja tietojärjestelmien kehittämishankkeista.

---

Tunnetko tietosuoja-asetusehdotuksen?

Artikkeleissa tarkastellaan, millaisia vaikutuksia mahdollisesti vuoden sisällä hyväksyttävällä EU tietosuoja-asetusehdotuksella voisi olla suomalaiseen henkilötietojen käsittelyyn.

Asetusehdotuksen sisältö on luokiteltu suuripiirteisesti kolmeen artikkeliin:

Osa 1: Nykyisen oikeustilan selkiyttäminen (vain netissä)

Osa 2: Nykyisten säädösten täydentäminen ja laajentaminen (vain netissä)

Osa 3: Kokonaan uutta sääntelyä

Lue myös

Uusi tietosuojalainsäädäntö: Tunnetko ehdotuksen? »
Uusi tietosuojalainsäädäntö, osa 2: Nykylinjaa täydentäen »
Uusi tietosuojalainsäädäntö, osa 3: Varaudu uutuuksiin jo nyt »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi
Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.