Uutiset 16.01.2019
Henkilötietojen käsittelyä koskeva uusi kansallinen tietosuojalaki tuli voimaan 1.1.2019. Se ei ole itsenäinen kokonaisuus, vaan se täydentää EU:n yleistä tietosuoja-asetusta.
EU:n tietosuoja-asetuksen soveltaminen alkoi toukokuussa 2018. GDPR-ilmoituksia saapui sähköpostiin eri tahoilta ja toiset jopa ilmoittivat, että posteja ei jatkossa tule, ellei erikseen anna tähän lupaa. Näin tiukka tulkinta ei kuitenkaan ole tarpeen. Henkilötietojen kohteena olevaa tahoa on syytä informoida siitä, miten ja mihin käyttötarkoituksiin tietoja käytetään.
EU:n tietosuoja-asetus sisältää säännökset rekisteröidyn oikeuksista sekä rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuuksista.
Tietosuojalailla säädetään myös valvontaviranomaisesta sekä henkilötietojen käsittelyyn liittyvistä erityistilanteista. Näiltä ovat esimerkiksi sananvapauden ja henkilötietojen suojan yhteensovittaminen.
Sähköisten palvelujen tarjoaminen suoraan lapselle edellyttää, että lapsi on vähintään 13-vuotias. Vanhemmat voivat kuitenkin antaa suostumuksen tätä nuoremmallekin lapselle esimerkiksi sosiaalisen median ja muiden henkilötietojen antamista edellyttävien palvelujen käyttämiseen. Rekisterinpitäjän on tarkistettava, että suostumus on annettu. Suomessa lapsen ikäraja on siis alempi kuin yleisessä tietosuoja-asetuksessa, jossa raja on 16 vuotta.
Yleisen tietosuoja-asetuksen mukaiset viranomaistehtävät on annettu tietosuojavaltuutetulle. Juttumäärät kasvavat ja tietosuojavaltuutetun toimistoon perustetaan toiminnan tueksi kaksi apulaistietosuojavaltuutetun virkaa.
Toimistoon perustetaan myös viisijäseninen asiantuntijalautakunta. Se antaa tietosuojavaltuutetun pyynnöstä lausuntoja lainsäädännön soveltamiseen liittyvistä asioista. Nykyinen tietosuojalautakunta lakkautetaan.
Tietosuojavaltuutetulla on käytössään myös uhkasakon asettamismahdollisuus, jos esim. pyydettyjä tietoja ei suostuta antamaan.
Säännösten rikkomisesta voidaan määrätä hallinnollinen seuraamusmaksu. Tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama kolmijäseninen seuraamuskollegio käsittelee näitä tapauksia. Seuraamusmaksu voi olla lievemmissä rikkomuksissa enintään 10 miljoonaa euroa tai 2 % yrityksen kokonaisliikevaihdosta ja vakavammissa rikkomuksissa enintään 20 miljoonaa euroa tai 4 % yrityksen kokonaisliikevaihdosta. Maksimirangaistukset ovat siis todella merkittäviä. Todennäköisesti maksimimääriin ei mennä ja lievemmät keinot ovat riittäviä. Ensin pyritään ohjaamaan ja opastamaan tai annetaan huomautus.
Julkinen sektori on jätetty seuraamusmaksun ulkopuolelle. Tätä voi myös kritisoida, vaikka viranomaisilla onkin joka tapauksessa sekä virkavastuu, että vahingonkorvausvastuu. Rikkomustapauksissa tilanteeseen puuttuminen on huomattavasti vaikeampaa, kun rikkomusmaksu ei ole käytettävissä.
Eräistä tietosuoja-asetuksen velvoitteista on mahdollista poiketa, kun kyse on tutkimus, tilastointi tai arkistointitarkoituksesta. Tällöin rekisteröidyllä ei ole mahdollista tarkastella itseään koskevia tietoja. Henkilötietojen käsittelijän on kuitenkin tehtävä vaikutusarviointi, tai vaihtoehtoisesti sitoutua noudattamaan käytännesääntöjä. Poikkeuksia tai vapautuksia on säädetty myös tilanteissa, joissa on kyse sananvapauden turvaamisesta esimerkiksi journalismissa.
On myös tilanteita, joissa rekisteröidyllä ei ole oikeutta tutustua hänestä kerättyihin tietoihin. Näitä ovat tilanteet, joissa tiedon antaminen saattaisi vahingoittaa esim. kansallista turvallisuutta tai haitata rikosten ehkäisemistä tai selvittämistä. Poikkeus on myös tilanne, jossa tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle.
Jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan lainsäädäntöä, rekisteröidyllä on oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi.
Kansallinen laki siis tarkentaa yleisen tietosuoja-asetuksen määräyksiä ja luo kansalliset valvontajärjestelmät.
Johtaja, kuluttaja- ja tuotepolitiikka