Uusi tietosuojalaki voimaan vuoden 2019 alusta

5.12.2018 |

Lailla täydennetään EU:n yleistä tietosuoja-asetusta.

Tietosuojalaki ei
muodosta itsenäistä ja kattavaa sääntelykokonaisuutta, vaan sitä
sovelletaan rinnakkain EU:n tietosuoja-asetuksen kanssa, jonka
soveltaminen alkoi toukokuussa 2018. EU:n tietosuoja-asetus koskee
lähtökohtaisesti kaikenlaista henkilötietojen käsittelyä. Se sisältää
säännökset rekisteröidyn oikeuksista sekä rekisterinpitäjän ja
henkilötietojen käsittelijän velvollisuuksista.

Uudella
tietosuojalailla säädetään tietyissä kysymyksissä poikkeuksia ja
täsmennyksiä EU:n tietosuoja-asetukseen. Tietosuojalailla säädetään myös
valvontaviranomaisesta sekä eräistä henkilötietojen käsittelyyn
liittyvistä erityistilanteista, kuten sananvapauden ja henkilötietojen
suojan yhteensovittamisesta.

Lain voimaan tullessa kumotaan nykyinen henkilötietolaki sekä laki tietosuojalautakunnasta ja tietosuojavaltuutetusta.

Lapsen ikäraja tietoyhteiskunnan palveluissa 13 vuotta

Tietoyhteiskunnan
palvelujen tarjoaminen suoraan lapselle edellyttää jatkossa, että lapsi
on vähintään 13-vuotias. Tätä nuoremmalla lapsella on oltava vanhempien
suostumus esimerkiksi sosiaalisen median ja muiden henkilötietojen
antamista edellyttävien palvelujen käyttämiseen. Rekisterinpitäjän
vastuulla on tarkistaa, että suostumus on olemassa. Suomessa lapsen
ikäraja on alempi kuin yleisessä tietosuoja-asetuksessa säädetty 16
vuotta.

Tietosuojavaltuutettu jatkaa valvontaviranomaisena

Yleisen
tietosuoja-asetuksen mukaiset viranomaistehtävät keskitetään
tietosuojavaltuutetulle. Kasvavien asiamäärien vuoksi
tietosuojavaltuutetun toimistoon perustetaan kaksi
apulaistietosuojavaltuutetun virkaa.

Lisäksi toimistoon
perustetaan viisijäseninen asiantuntijalautakunta. Se antaa
tietosuojavaltuutetun pyynnöstä lausuntoja lainsäädännön soveltamiseen
liittyvistä asioista. Nykyinen tietosuojalautakunta lakkautetaan eikä se
siten enää myönnä lupia henkilötietojen käsittelyyn, vaan käsittely
perustuu tietosuoja-asetukseen, tietosuojalakiin tai
erityislainsäädäntöön. 

Tietosuojavaltuutetun toimistolle on varattu uudistuksen täytäntöönpanoon merkittävästi lisäresursseja.

Tietosuojavaltuutettu
voi asettaa yritykselle, yhteisölle tai viranomaiselle uhkasakon
tietojen luovuttamista koskevan määräyksensä tehosteeksi.

Tietosuojavaltuutetun
ja apulaistietosuojavaltuutettujen yhdessä muodostama kolmijäseninen
seuraamuskollegio voi määrätä säännösten rikkomisesta hallinnollisen
seuraamusmaksun. Sen määrä voi olla lievemmissä rikkomuksissa enintään
10 miljoonaa euroa tai 2 % yrityksen kokonaisliikevaihdosta ja
vakavammissa rikkomuksissa enintään 20 miljoonaa euroa tai 4 % yrityksen
kokonaisliikevaihdosta.

Seuraamusmaksu perustuu tietosuoja-asetukseen. Käytettävissä on myös lievempiä keinoja, kuten huomautus. 

Eduskunta
liitti vastaukseensa lausuman, jossa edellytetään, että hallitus
selvittää, tulisiko tietosuojan valvontaviranomaisen organisaatiota
kehittää virastomuotoiseksi, ja tarvittaessa valmistelee asiasta
lainsäädännön muutokset.

Kansallisen liikkumavaran perusteella
tietosuojalaissa säädetään, että hallinnollista seuraamusmaksua ei
sovelleta julkisella sektorilla tapahtuvaan henkilötietojen käsittelyyn.
Perusteena on se, että viranomaisia sitoo hallinnon
lainmukaisuusvaatimus, virkavastuu ja vahingonkorvausvastuu.
Perustuslakivaliokunta tuki tätä ratkaisua lausunnossaan.

Rikoslaissa
säädetään rangaistavaksi sellainen menettely, jossa esimerkiksi
rekisterinpitäjän palveluksessa oleva henkilö oikeudettomasti urkkii
henkilötietoja vastoin niiden käyttötarkoitusta. Tällöin on kyse
tietosuojarikoksesta, josta tuomitaan sakkoa tai vankeutta enintään yksi
vuotta. Rikoslaista poistetaan nykyinen henkilörekisteririkos.

Sananvapauden, tutkimuksen ja arkistoinnin turvaamiseksi poikkeuksia

Henkilötietojen
käsittelyedellytyksiin säädetään poikkeuksia tai vapautuksia, kun on
kyse sananvapauden turvaamisesta esimerkiksi journalismissa. Myös
tieteellisessä ja historiallisessa tutkimuksessa, tilastoinnissa ja
arkistoinnissa voidaan poiketa eräistä tietosuoja-asetuksesta
seuraavista velvoitteista, jos poikkeaminen on tarpeellista esimerkiksi
tutkimuksen tavoitteiden kannalta.

Poikkeukset merkitsevät muun
muassa sitä, että rekisteröidyllä ei näissä tapauksissa ole esimerkiksi
oikeutta tarkastaa itseään koskevia tietoja. Poikkeusten tavoitteena on
säilyttää nykyisenkaltainen sääntely. Poikkeaminen rekisteröidyn
oikeuksista edellyttää muun ohella, että henkilötietojen käsittelijä
laatii tietosuojaa koskevan vaikutustenarvioinnin tai sitoutuu
noudattamaan erityisiä käytännesääntöjä.

Myös terveyttä,
seksuaalista käyttäytymistä ja suuntautumista, uskontoa sekä poliittisia
näkemyksiä koskevien tietojen käsittely on mahdollista jatkossakin
tutkimusta ja tilastointia varten.

Uusi tietosuojalaki voimaan vuoden 2019 alusta