Yleinen tietosuojaasetus

Transkriptio

1 Yleinen tietosuojaasetus Yleinen tietosuoja-asetus rakentuu vanhoille tietosuojaperiaatteille ja lisää sääntelyä EU:n komissio, parlamentti ja neuvosto saavuttivat yhteisymmärryksen EU:n yleisen tietosuojaasetuksen (jäljempänä "tietosuoja-asetus") sisällöstä 15. joulukuuta 2015 kuukausia kestäneiden kolmenvälisten neuvottelujen jälkeen. Yhteensä lähes neljä vuotta kestänyt eurooppalaisen tietosuojasääntelyn uudistushanke on nyt viimeistelyvaiheessa. Tietosuoja-asetus päivittää nykyistä ja Suomessa henkilötietolakiin perustuvaa tietosuojasääntelyä merkittävällä tavalla. Vaikka tietosuoja-asetus rakentuu henkilötietolaista tuttujen yleisten periaatteiden varaan, se lisää sääntelyn määrää merkittävästi. Henkilötietoja käsittelevien vastuu kasvaa, yksilöiden oikeuksia vahvistetaan ja kansallisille tietosuojaviranomaisille annetaan entistä suuremmat täytäntöönpano-oikeudet. Samalla tietosuoja-asetus harmonisoi tietosuojasääntelyä Euroopassa ja soveltuu myös EU:n ulkopuolisiin organisaatioihin, jotka esimerkiksi tarjoavat palveluita EU:ssa oleville kuluttajille. Lainsäädäntöprosessi ei ole vielä päättynyt, vaan EU:n toimielinten tulee seuraavaksi hyväksyä tietosuoja-asetus. Tämän jälkeen asetus on tarkoitus julkaista EU:n virallisessa lehdessä kesään 2016 mennessä. Tietosuoja-asetus astuu voimaan kahden vuoden ja kahdenkymmenen päivän siirtymäajan kuluttua asetustekstin julkaisupäivästä. Tietosuoja-asetuksen pääsisältöä on kuvattu jäljempänä. Olemme laatineet tietosuoja-asetuksesta myös laajemman oppaan, joka on saatavilla verkkosivuiltamme. Bird & Bird avustaa asiakkaitaan kansallisissa ja kansainvälisissä tietosuojakysymyksissä. Palveluihimme kuuluvat muun muassa tietosuoja-asetuksen ja muun tietosuojasääntelyn vaikutusten arviointiin liittyvät projektit sekä yritysten sisäisten tietosuojakäytäntöjen laatiminen ja arviointi.

2 Sisällysluettelo (klikkaa otsikkoa siirtyäksesi siihen) 1. Alueellinen soveltamisala laajenee 2. Henkilötiedon käsite on edelleen laaja 3. Pseudonyymit ovat uusi henkilötiedon ryhmä 4. Suostumus, oikeutettu intressi ja muut henkilötietojen käsittelyn oikeuttavat perusteet 5. Voivatko lapset antaa suostumuksen? 6. Todistustaakan siirtyminen, tietosuojan vaikutusten arviointi ja tietosuojavastaavat 7. Informointivelvoitteet laajenevat 8. Yksilön oikeuksia lujitetaan 9. Rekisterinpitäjät ja henkilötietojen käsittelijät 10. Vahingonkorvaus ja seuraamukset 11. Yhden luukun periaate 12. Viranomaisvelvoitteet 13. Ilmoitus tietoturvaloukkauksesta 14. Tiedonsiirrot 15. Erityistapauksia 16. Henkilötietojen käsittelyä poliisi- ja rikosoikeudellisen yhteistyön alalla koskevan direktiivin implementoiminen

3 1. Alueellinen soveltamisala laajenee Tietosuoja-asetus soveltuu henkilötietojen käsittelyyn, joka toteutetaan unioniin sijoittautuneiden organisaatioiden toimesta. Samalla se kuitenkin myös laajentaa eurooppalaisen tietosuojasääntelyn alueellista soveltamisalaa. Asetus soveltuu aina, kun EU:n alueella olevien rekisteröityjen henkilöiden tietoja käsitellään (1) tavaroiden tai palveluiden tarjoamiseen tai (2) kyseisten rekisteröityjen käyttäytymisen seurantaan EU:ssa. Asetusta sovelletaan siis silloinkin, kun henkilötietoja käsittelevä organisaatio ei toimi EU:n alueella mutta edellä mainitut kriteerit täyttyvät. Soveltamisalaa arvioitaessa kiinnitetään huomiota esimerkiksi henkilötietoja käsittelevän organisaation toimintoihin, jotka liittyvät EU:n jäsenvaltioiden valuutan käyttämisen, mahdollisuuteen tehdä tilauksia EU:ssa sekä EU-käyttäjiä tai -asiakkaita koskeviin viittauksiin. EU:ssa olevien rekisteröityjen jäljittäminen internetissä profiilien luomiseksi tai mieltymysten ja käyttäytymisen analysoimiseksi tai ennustamiseksi kuuluu myös asetuksen soveltamisalaan. Jos tietosuoja-asetus soveltuu tällaiseen EU:n ulkopuoliseen toimijaan, sen on nimitettävä itselleen edustaja EU:ssa. 2. Henkilötiedon käsite on edelleen laaja Tietosuoja-asetus soveltuu sellaisten tietojen (henkilötietojen) käsittelyyn, joiden avulla luonnollinen henkilö on suoraan tai epäsuorasti tunnistettavissa kenen tahansa toimesta. Soveltumista arvioitaessa tulee kiinnittää huomio niihin keinoihin, jotka ovat kohtuullisesti toteutettavissa henkilön tunnistamiseksi. Asetus korostaa, että esimerkiksi internetin käyttäjän yksilöiviä tietoja voidaan pitää henkilötietoina. Tällaisiin tietoihin voivat kuulua laitetunnisteet, evästeet ja IP-osoitteet. Euroopan Unionin tuomioistuimen odotetaan ottavan kantaa tietosuojasääntelyn soveltumiseen esimerkiksi IP-osoitteisiin vuoden 2016 aikana Saksan korkeimman oikeuden 17. joulukuuta 2014 esittämän ennakkoratkaisupyynnön (asia C-582/14) johdosta. Nykyiseen henkilötietolakiin sisältyvä arkaluonteisen henkilötiedon käsite sisältyy myös tietosuojaasetukseen. Sitä on laajennettu kattamaan geneettiset ja biometriset tiedot. Henkilötietolain tavoin myös tietosuoja-asetus asettaa tiukemmat edellytykset arkaluonteisten henkilötietojen käsittelylle. Arkaluonteisia henkilötietoja voidaan käsitellä esimerkiksi rekisteröidyn nimenomaisella suostumuksella. 3. Pseudonyymit ovat uusi henkilötiedon ryhmä Tietosuoja-asetus tuo 'pseudonymisoinnin' käsitteen tietosuojasääntelyyn. Asetuksen mukaan 'pseudonyymien' (eli peitenimien) käyttäminen on yksityisyyttä suojaava tekniikka, jolla tiedon yhdistämisen tiettyyn henkilöön mahdollistava informaatio pidetään erillään ja suojattuna siten, ettei sitä voida yhdistää kyseiseen henkilöön.

4 Tästä huolimatta pseudonyymit ovat yksi henkilötiedon muoto, jonka käsittelyyn tietosuoja-asetus lähtökohtaisesti soveltuu. Pseudonyymien käyttäminen on kuitenkin suositeltavaa, sillä se voi vaikuttaa tietojenkäsittelyn lainmukaisuuden arviointiin ja esimerkiksi tietoturvavelvoitteiden täyttämiseen. 4. Suostumus, oikeutettu intressi ja muut henkilötietojen käsittelyn oikeuttavat perusteet Henkilötietolain tavoin tietosuoja-asetus säätää erikseen perusteista, joiden nojalla henkilötietoja voi käsitellä. Nämä perusteet muistuttavat nykyistä sääntelyä. Yksi henkilötietojen käsittelyn oikeuttavista perusteista on rekisteröidyn antama suostumus. Tietosuoja-asetus mukailee nykyistä henkilötietolakia suostumuksen määritelmän osalta, ja selventää nykyisen sääntelyn perusteella muodostunutta käytäntöä. Suostumuksen täytyy olla yksiselitteinen, tietoinen ja aktiivinen. Arkaluonteisten henkilötietojen käsittelyyn annetun suostumuksen täytyy olla nimenomainen toisin kuin muun tyyppisten henkilötietojen käsittelyyn annetun suostumuksen. Suostumus voidaan antaa valitsemalla tietyt tekniset asetukset tai muulla suostumuksen selkeästi ilmaisevalla menettelyllä. Vaitiolo tai passiivisuus ei tarkoita suostumusta. Suostumus tulee antaa vapaaehtoisesti, ja se tulee voida myös peruuttaa. Tietosuoja-asetuksen mukaan suostumuksen ei tulisi olla edellytys sopimuksen solmimiselle tai palvelun tarjoamiselle, ellei se tosiasiassa ole tarpeellista kyseisen palvelun toimittamiseksi. Organisaatioiden tulee myös hankkia erilliset suostumukset erillisille käsittelytoiminnoille, mikä voi tarkoittaa suostumuksen tiedustelumekanismien uudelleen arviointia. Asetuksen oletuksena on, että pakotetut tai yleisluontoiset suostumusmekanismit eivät ole päteviä. Henkilötietojen käsittelylle on tietosuoja-asetuksessa muitakin perusteita kuin suostumus. Tällaisiin perusteisiin kuuluvat muun muassa sopimusperusteinen tietojenkäsittely ja jäsenvaltion tai EU:n laissa säädetyn velvollisuuden noudattaminen. Toisin kuin nykyinen henkilötietolaki, tietosuoja-asetus sallii henkilötietojen käsittelyn myös silloin, kun se on tarpeen rekisterinpitäjän (tai muun organisaation) oikeutettujen intressien toteuttamiseksi, elleivät yksilöiden henkilötietoihin liittyvät edut syrjäytä näitä intressejä. Henkilötietolaki ei säädä oikeutetusta intressistä itsenäisenä henkilötietojen käsittelyn oikeuttavana perusteena, ja siten tietosuoja-asetuksen myötä tiettyjä tietojenkäsittelytoimintoja ja palveluita voidaan pitää laillisina ilman tietosuojalautakunnan erikseen antamaa lupaa. Oikeutettuihin intresseihin lukeutuvat muun muassa henkilötietojen käsittely petoksen estämiseksi, suoramarkkinointia varten ja tietoturvan toteuttamiseksi. Henkilötietojen jakaminen (sekä työntekijän että asiakkaan) konsernin sisällä voi myös olla oikeutettu intressi. Viranomaiset eivät kuitenkaan voisi tietosuoja-asetuksen mukaan perustaa henkilötietojen käsittelyä oikeutetun intressin käsitteeseen.

5 5. Voivatko lapset antaa suostumuksen? Alle 13-vuotiaat lapset eivät voi antaa suostumusta online-palveluiden (esimerkiksi sähköpostin tai Facebook-tilin hankkimisen) edellyttämään henkilötietojen käsittelyyn. 16-vuotiaat ja sitä vanhemmat lapset voivat antaa suostumuksen. Elleivät jäsenvaltiot säädä alemmasta ikärajasta, alle 16-vuotiaden puolesta suostumuksen voivat antaa lapsen vanhemmat. Tietosuoja-asetuksessa ei säädetä erikseen lapsia koskevien tietojen offline-käsittelyyn liittyvästä vanhempien antamasta suostumuksesta. Tällaiseen suostumukseen sovellettaisiin kansallisia säännöksiä.

6 6. Todistustaakan siirtyminen, tietosuojan vaikutusten arviointi ja tietosuojavastaavat Tietosuoja-asetus siirtää todistustaakkaa henkilötietojen käsittelyn lainmukaisuudesta entistä selkeämmin tietoja käsitteleville organisaatioille. Ei riitä, että organisaatiot ovat vastuussa sääntöjen noudattamisesta. Niiden tulee myös pystyä osoittamaan asetuksen tietosuojaperiaatteiden ja -velvoitteiden noudattaminen aktiivisin toimenpitein. Sekä rekisterinpitäjät että toimeksiannosta henkilötietoja käsittelevät voisivat osoittaa noudattavansa asetuksen velvoitteita esimerkiksi ottamalla käyttöön hyväksytyt käytännesäännöt. Vaikka tietosuoja-asetus poistaa nykyisiä viranomaisvelvoitteita ja esimerkiksi velvoitteen ilmoittaa henkilötietojen käsittelystä tietosuojavaltuutetulle, se edellyttää henkilötietoja käsitteleviltä aktiivista arviointia niiden toiminnan lainmukaisuudesta ja siihen liittyvistä vaikutuksista yksityisyyden suojalle. Yksilöiden oikeuksille riskejä aiheuttava tietojenkäsittely ja esimerkiksi uudenlaisen teknologian käyttäminen (kuten henkilöiden valvonta, systemaattiset ja laajat henkilöiden arvioinnit kuten profilointi tai arkaluontoisten tietoryhmien käsittely) edellyttää henkilötietoja käsitteleviä rekisterinpitäjiä arvioimaan tietojenkäsittelyn riskit ja mahdollisuudet riskien pienentämiseksi. Rekisterinpitäjä voi riskejä havaitessaan joutua hankkimaan toimivaltaisen viranomaisen mielipiteen tietojenkäsittelystä. Rekisterinpitäjän ja henkilötietojen käsittelijän on tietosuoja-asetuksessa erikseen mainituissa tilanteissa nimitettävä tietosuojavastaava. Tietosuojavastaava tulee nimittää esimerkiksi viranomaisen käsitellessä henkilötietoja ja muissa yksityisyyden suojalle riskejä aiheuttavissa tilanteissa kuten käsiteltäessä arkaluonteisia henkilötietoja. Konserni voi nimittää sille yhteisen tietosuojavastaavan. 7. Informointivelvoitteet laajenevat Tietosuoja-asetuksen mukaan henkilötietoja käsittelevien on informoitava rekisteröityjä kattavasti henkilötietojen käsittelystä. Tietosuoja-asetus yhdistää lukuisia EU:n jäsenvaltioissa sovellettuja tiedottamiseen liittyviä velvoitteita, mikä laajentaa merkittävästi nykyisen henkilötietolakiin perustuvan informointivelvoitteen sisältöä. Henkilötietoja käsittelevien tulee antaa tietojenkäsittelyä koskevat tiedot ytimekkäällä, läpinäkyvällä, ymmärrettävällä ja helposti saatavissa olevalla tavalla. EU:n komissio voi myös erikseen päättää informoinnissa käytettävien kuvakkeiden hyödyntämisestä. 8. Yksilön oikeuksia lujitetaan Tietosuoja-asetus sisältää sekä nykyisessä henkilötietolaissa rekisteröidylle taatut oikeudet että uusia oikeuksia. Henkilötietolain tavoin myös tietosuoja-asetus sisältää rekisteröidyn oikeuden tarkastaa hänestä käsitellyt henkilötiedot ja saada virheelliset tiedot korjatuiksi. Rekisterinpitäjiä suojataan jossain määrin tiedonsaantipyyntöjen ollessa kohtuuttomia tai laajoja.

7 Asetus säätää rekisteröidylle myös oikeuden tulla unohdetuksi eli saada häntä koskevat tiedot poistetuiksi. Henkilötietoja kolmansille luovuttaneiden rekisterinpitäjien tulee toteuttaa kohtuulliset toimenpiteet ilmoittaakseen muille rekisteröidyn pyynnöstä saada tämän tiedot poistetuiksi. Oikeus tulla unohdetuksi muistuttaa henkilötietolakiin sisältyvää rekisterinpitäjän velvoitetta poistaa tarpeettomat tiedot, eikä se ole ehdoton. Yksilön vastustuksesta huolimatta rekisterinpitäjät voivat käsitellä henkilötietoja, jotka ovat tarpeellisia jotain lainmukaista käsittelytarkoitusta varten. Rekisteröidyille annetaan myös oikeudet vastustaa henkilötietojen käsittelyä. Tämäkään oikeus ei ole ehdoton, ja rekisterinpitäjän intressit voivat olla yksilön intressejä painavampia ja oikeuttaa henkilötietojen käsittelyn. Tietyissä tilanteissa ja esimerkiksi käsiteltäessä henkilötietoja suoramarkkinointiin tai tähän liittyvään profilointiin henkilöllä on kuitenkin oikeus kieltää tietojenkäsittely. Rekisterinpitäjien mahdollisuutta käyttää kokonaan automatisoituja päätöksentekojärjestelmiä on rajoitettu, jos päätöksellä on olennainen merkitys rekisteröityyn. Rekisteröidyllä on oikeus vastustaa tällaista tietojenkäsittelyä, ellei käsittely ole tarpeellista sopimuksen solmimiseksi tai toteuttamiseksi. Rekisteröidyllä on oikeus vaatia, että tietojen käsittelyyn osallistuu ihminen. Rekisteröidyllä on myös oikeus valittaa päätöksestä. Arkaluonteisten tietojen käsittelyyn johtavien automaattisten päätöksentekojärjestelmien käyttöä on rajoitettu. Tietosuoja-asetus sisältää myös rekisteröidyn oikeuden saada itseään koskevat tiedot siirretyiksi järjestelmästä toiseen ja toiselle rekisterinpitäjälle. Jos rekisteröity on esimerkiksi luovuttanut henkilötietojaan palveluntarjoajalle, hänellä on mahdollisuus saada tiedot siirretyiksi toiselle palveluntarjoajalle, jos siirto on teknisesti toteutettavissa. Asetus edellyttää arvioimaan, miten tämä oikeus on toteutettavissa yhdessä tietosuoja-asetuksen sisäänrakennetun ja oletusarvoisen tietosuojan vaatimusten kanssa, jotka edellyttävät tietosuojan huomioimista jo järjestelmiä suunniteltaessa. 9. Rekisterinpitäjät ja henkilötietojen käsittelijät

8 Tietosuoja-asetus mukailee henkilötietolain periaatetta, jonka mukaan rekisterinpitäjät ovat vastuussa käsittelijöiden toiminnasta. Toimeksiannosta henkilötietoja käsittelevien vastuuta on kuitenkin laajennettu, ja tietyissä tilanteissa (kuten henkilötietojen siirroissa) lakisääteisiä velvollisuuksia kohdistetaan nyt myös suoraan henkilötietojen käsittelijöille. Kaksi rekisterinpitäjää voivat myös yhdessä toimia yhteisrekisterinpitäjinä, jolloin rekisteröidyt voivat kohdistaa tietojenkäsittelyyn liittyvät vaatimuksensa kumpaakin rekisterinpitäjää kohtaan. Tietosuoja-asetus asettaa vaatimuksia myös tietojenkäsittelyn ulkoistamiselle. Henkilötietojen ulkoistetusta käsittelystä on oltava minimivaatimukset täyttävä sopimus. Käsittelijöiden tulee esimerkiksi hankkia hyväksyntä alikäsittelijöiden nimeämiseksi ja siirtääkseen henkilötietoja ETA:n ulkopuolelle. Tietosuoja-asetus sisältää myös rekisterinpitäjän oikeuden auditoida tietojenkäsittelijän toiminta. Sopimusten sisällölle asetetut vaatimukset voivat johtaa vakiomuotoisten sopimusehtojen lisääntymiseen. 10. Vahingonkorvaus ja seuraamukset Tietosuoja-asetuksen mukaan rekisteröidyillä on oikeus esittää korvausvaatimuksia aineellisesta ja aineettomasta vahingosta rekisterinpitäjälle tai käsittelijälle. Käsittelijät ovat kuitenkin vastuussa vain sellaisten tietosuoja-asetuksen säännösten rikkomisesta, jotka koskevat käsittelijöitä tai jos käsittelijät toimivat rekisterinpitäjän lainmukaisten ohjeiden vastaisesti. Todistustaakan siirtyminen tietoja käsitteleville organisaatioille näkyy erityisesti niiden vahingonkorvausvastuussa. Henkilötietoja käsittelevillä on todistustaakka osoittaa, etteivät ne ole vastuussa vahingon aiheuttaneesta tapahtumasta. Jos kyse on yhteisrekisterinpitäjyydestä, kukin rekisterinpitäjä on yhteisvastuullisesti vastuussa rekisteröidylle aiheutuneesta vahingosta. Korvauksen suorittaneella rekisterinpitäjällä on tällöin oikeus saada korvaus muilta rekisterinpitäjiltä. Tietosuoja-asetuksen merkittävimpiin uudistuksiin kuuluvat sanktiot. Toimivaltaiset valvontaviranomaiset voivat määrätä rahallisia seuraamuksia rekisterinpitäjille tai käsittelijöille riippuen siitä mitä tietosuoja-asetuksen säännöstä on rikottu. Sakon enimmäismäärä riippuu rikotusta lainkohdasta, ja seuraamus voidaan määrittää heijastamaan raskauttavia tai lieventäviä asianhaaroja. Kun kyse on yrityksestä, sakon enimmäismäärä on 4% yrityksen edellisvuoden maailmanlaajuisesta vuotuisesta liikevaihdosta. Tiettyjen tietosuoja-asetuksen vähäisempien säännösten rikkomista koskeva enimmäismäärä on 2% yrityksen edellisvuoden maailmanlaajuisesta vuotuisesta liikevaihdosta. 11. Yhden luukun periaate Tietosuoja-asetus uudistaa tietosuojasääntelyn valvonnan. Asetuksen lähtökohtana on, että henkilötietoja käsittelevää organisaatiota valvoo sen pääasiallisen tai ainoan sijaintipaikan viranomainen, ellei kansallisista laeista toisin johdu. Rekisterinpitäjien ja käsittelijöiden tulee siis ratkaista esimerkiksi tietojenkäsittelyyn liittyvän määräysvallan ja tietojenkäsittelyn kannalta

9 keskeisten toimintojen sijainnin perusteella, mikä on niiden osalta toimivaltainen valvontaviranomainen. Asetus säätää yksityiskohtaisesti viranomaisten toiminnasta ja yhteistyöstä esimerkiksi tilanteissa, joissa toimivaltaisen viranomaisen rooli on epäselvä. Tietosuoja-asetuksen tulkintaa ohjaamaan perustetaan Euroopan tietosuojaneuvosto, joka koostuu komission sekä jäsenvaltioiden valvontaviranomaisten edustajista. 12. Viranomaisvelvoitteet Tietosuoja-asetuksen myötä nykyinen rutiininomainen velvoite ilmoitusten toimittamisesta asiaankuuluvalle valvontaviranomaiselle päättyy. Sen sijaan asetus edellyttää henkilötietoja käsitteleviltä organisaatioilta sisäisten dokumentointiprosessien uudelleen arviointia. Sekä rekisterinpitäjien että käsittelijöiden tulee pitää sisäisesti kirjaa niiden harjoittamasta henkilötietojen käsittelystä. Niiden tulee dokumentoida esimerkiksi tietojenkäsittelyyn osallistuvien muiden tahojen tiedot. Tietyt dokumentointivelvoitteet eivät sovellu alle 250 henkilöä työllistäviin pieniin ja keskikokoisiin yrityksiin, ellei niiden harjoittama tietojenkäsittely sisällä riskejä rekisteröityjen oikeuksille tai arkaluonteisten tietojen käsittelyä tai jos käsittely ei ole satunnaista. Melko suppeasta poikkeuksesta johtuen dokumentointivelvoite vaikuttaisi siis kuitenkin soveltuvan esimerkiksi useiden startup-yritysten toimintaan. 13. Ilmoitus tietoturvaloukkauksesta Tietosuoja-asetus sisältää uuden ilmoitusvelvoitteen. Rekisterinpitäjien tulee ilmoittaa tietoturvaloukkauksista: Valvontaviranomaisille ilman aiheetonta viivästystä ja mahdollisuuksien mukaan viimeistään 72 tunnin sisällä tultuaan tietoiseksi loukkauksesta. Ilmoitus voidaan tarvittaessa tehdä vaiheittain. Loukkauksesta ei ole velvollisuutta raportoida, jos on epätodennäköistä että se aiheuttaa riskin yksilöille. Organisaatioiden täytyy kuitenkin pitää kirjaa loukkauksista, jotta valvontaviranomainen pystyy arvioimaan velvoitteen noudattamista. Ilmoituksen tulee sisältää tiedot loukkauksen luonteesta ja laajuudesta (kuten kyseessä olleet tietotyypit sekä vaikutuksenalaisten henkilöiden ja tallenteiden lukumäärä). Organisaation tulee kuvata todennäköiset seuraukset ja toimenpiteet niiden lieventämiseksi. Yksilöille vain, jos loukkaus todennäköisesti aiheuttaa heille 'suuren riskin'. Ilmoitus tulee antaa viivytyksettä, sen tulee olla selkeällä kielellä ja sisältää tiedot lieventävistä toimenpiteistä sekä yhteystiedot lisätietoja varten.

10 Loukkauksista ei ole velvollisuutta ilmoittaa, jos niiden aiheuttamaa riskiä on lievennetty (esimerkiksi tiedon salaamisella tai rekisterinpitäjän loukkauksen jälkeisellä toimenpiteellä). Ilmoitus voidaan tietyissä tilanteissa antaa julkisena ilmoituksena. Toimeksiannosta henkilötietoja käsittelevien tulee ilmoittaa loukkauksista rekisterinpitäjille, mutta ei valvontaviranomaisille tai henkilöille. Lisäksi tulee huomata, että niiden organisaatioiden, joita koskevat erilliset verkko- ja tietoturvadirektiivin säännökset, tulee varmistaa, että niillä on olemassa toimenpiteet molempien säädösten noudattamiseksi. 14. Tiedonsiirrot Tietosuoja-asetus mukailee nykyistä henkilötietolain mukaista järjestelmää, jonka mukaan henkilötietoja voidaan siirtää ETA-alueen ulkopuolelle vain laissa kuvatuissa tilanteissa. Tietosuojaasetus esimerkiksi säilyttää nyt olemassa olevat järjestelmät henkilötietojen siirtämiseksi ETA:n ulkopuolelle kuten komission julkaisemat mallisopimuslausekkeet ja konserninsisäiset säännöt. Tiedonsiirot sallivia poikkeusperusteita on kuitenkin nyt lisätty. Tietosuoja-asetuksen myötä henkilötietojen siirrossa voidaan hyödyntää edellä kuvattujen ja nykyisten instrumenttien lisäksi myös asetuksen mukaan myönnettyjä sertifikaatteja tai hyväksyttyjä käytännesääntöjä. Lisäksi on huomioitava, että koska asetus yhdenmukaistaa tietosuojasääntelyn EU:ssa, esimerkiksi Suomen osalta konserninsisäisten sääntöjen käyttäminen tietojen siirron perusteena yksinkertaistuu. Tietosuoja-asetus myös selventää, että kolmannen maan viranomaisen esittämä pyyntö ei itsessään anna perustetta henkilötietojen luovuttamiseen ETA:n ulkopuolelle. 15. Erityistapauksia Poikkeukset: Jäsenvaltiot voivat säätää poikkeuksia tietosuoja-asetuksen velvoitteisiin esimerkiksi silloin, kun kyse on kansallisesta turvallisuudesta, rikosten torjumisesta ja tutkimisesta. Euroopan Unionin tuomioistuimen oikeuskäytännön valossa kyseisten poikkeusten tulee olla tarpeellisia ja

11 suhteellisia sekä kunnioittaa tietosuojan ydinaluetta. Terveyteen liittyvä tutkimus: Arkaluonteisia henkilötietoja voidaan käsitellä kansanterveydellisistä syistä yleisen edun niin vaatiessa ja ilman suostumusta, mikäli tämä on EU:n tai jäsenvaltion lainsäädännön mukaista. Jäsenvaltioille on annettu myös mahdollisuus säätää muista edellytyksistä tai rajoituksista geneettisen, biometrisen tai terveyteen liittyvien tietojen käsittelyssä. Historiallinen ja tieteellinen tutkimus ja tilastollinen käsittely: Arkaluonteisia henkilötietoja voidaan myös käsitellä näitä tarkoituksia varten, jos EU:n tai jäsenvaltion lainsäädäntö tämän mahdollistaa. Tiedon täytyy olla pseudonymisoitua, jos tämä on mahdollista. 16. Henkilötietojen käsittelyä poliisi- ja rikosoikeudellisen yhteistyön alalla koskevan direktiivin implementoiminen Tietosuoja-asetusta koskevan sopimuksen ohella parlamentin, komission ja neuvoston välisissä neuvotteluissa päästiin sopimukseen henkilötietojen käsittelyä poliisi- ja rikosoikeudellisen yhteistyön alalla koskevasta direktiivistä ("direktiivi"). Direktiivi säätelee tietosuojaa lainvalvonnan alalla, ja sen tarkoituksena on varmistaa korkea tietosuojan taso käsiteltäessä henkilötietoja poliisin ja oikeudellisten viranomaisten toimesta kansallisella tasolla. Tietosuoja-asetusta ei sovellettaisi direktiivin mukaiseen tietojenkäsittelyyn paitsi direktiivin niin erityisesti mainitessa. Direktiivi rakentuu tietosuoja-asetukselle ja sisältää useita asetuksessa käytettyjä käsitteitä kuten sisäänrakennettu ja oletusarvoinen tietosuoja sekä tietosuojavastaavan nimittäminen. Lisäksi tietosuoja-asetuksessa vahvistettu valvontaviranomainen voisi käsitellä myös direktiivin alaan kuuluvia asioita. Direktiivi sisältää rajoituksia rekisteröidyn oikeuksiin kuten tarkastusoikeuteen. Tarkoituksena on edesauttaa rikosten torjumista, tutkimista, selvittämistä tai syytteeseenpanoa. Direktiivi antaa rekisteröidyille myös oikeuden saada korvausta, jos he ovat kärsineet vahinkoa käsittelystä, joka ei ole kyseisessä direktiivissä hyväksyttyjen määräysten mukaista. Direktiivi tulee voimaan, kun se on julkaistu EU:n virallisessa lehdessä. Jäsenvaltioilla on kaksi vuotta aikaa sisällyttää määräykset niiden kansallisiin lakeihin. Näin tehdessään jäsenvaltiot voivat asettaa tietosuojalle korkeammat standardit kuin mitä direktiivissä on määrätty.

12 Ota yhteyttä Jesper Nevalainen Osakas, Tietosuoja ja yksityisyyden suoja -ryhmän vetäjä Puh: Iiro Loimaala Lakimies, Tietosuoja ja yksityisyyden suoja Puh: twobirds.com Abu Dhabi & Bratislava & Bryssel & Budapest & Dubai & Düsseldorf & Frankfurt & Haag & Hampuri & Helsinki & Hongkong & Kööpenhamina & Lontoo & Luxembourg & Lyon & Madrid & Milano & München & Pariisi & Peking & Praha & Rooma & Shanghai & Singapore & Skanderborg & Sydney & Tukholma & Varsova Bird & Bird is an international legal practice comprising Bird & Bird LLP and its affiliated and associated businesses. Bird & Bird LLP is a limited liability partnership, registered in England and Wales with registered number OC and is authorised and regulated by the Solicitors Regulation Authority. Its registered office and principal place of business is at 15 Fetter Lane, London EC4A 1JP. A list of members of Bird & Bird LLP and of any non-members who are designated as partners, and of their respective professional qualifications, is open to inspection at that address