MITÄ MUUTOKSIA UUSI KANSALLINEN TIETOSUOJALAKI TUO KÄYTÄNNÖSSÄ

Samankaltaiset tiedostot
MITÄ MUUTOKSIA UUSI KANSALLINEN TIETOSUOJALAKI TUO KÄYTÄNNÖSSÄ?

Kansallinen tietosuojalaki

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

Lausunto. Kansallisen liikkumavaran käyttö on perusteltua, eteenkin ottaen huomioon Suomen yhteiskunnan erittäin henkilötietotiheä rakenne.

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

Hallituksen esitys eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi HE

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

Henkilötietojen käsittely tietosuojalain voimaantulon viivästyessä

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Ajankohtaista lainsäädännöstä Virpi Korhonen, lainsäädäntöneuvos

Tietosuoja-asetus ja sen kansallinen implementointi

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

HALLITUKSEN ESITYS EU:N YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAINSÄÄDÄNNÖKSI (HE 9/2018 vp)

Lausunto Kuntayhtymien tehtävät puolestaan perustuvat kuntalain lisäksi kuntayhtymän perussopimukseen (kuntalaki 55 ja 56 ).

1 luku. Yleiset säännökset. Teknologiateollisuus ry. Lausunto Asia: 1/41/2016. Yleiset kommentit

Lausunto Ulkoasiainministeriö pitää ehdotettua säännöstä tarkoituksenmukaisena ja perusteltuna.

TIETOSUOJAVALTUUTETUN TOIMISTO

Asia: Hallituksen esitys (HE) 9/2018 vp eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi

EU:N UUSI TIETOSUOJA- ASETUS

HALLITUKSEN ESITYS EU:N YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAINSÄÄDÄNNÖKSI (HE 9/2018 vp)

Tietosuojauudistus lyhyesti. Antti Ketola, lakimies,

1 luku. Yleiset säännökset. Suomen Asianajajaliitto. Lausunto Dnro 48/2017. Asia: 1/41/2016. Yleiset kommentit

TIETOSUOJAVALTUUTETUN TOIMISTO

Lausunto RAKLI ry kokoaa yhteen kiinteistöalan ja rakennuttamisen vastuulliset ammattilaiset.

HENKILÖTIETOJEN SUOJAA KOSKEVAN KANSALLISEN LAINSÄÄDÄNNÖN TARKISTAMINEN

TIETOSUOJAVALTUUTETUN TOIMISTO Seuraamusjärjestelmä

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

PÄÄASIALLINEN SISÄLTÖ

Ehdotus NEUVOSTON PÄÄTÖS

Lausuntopyyntö /41/2016

HALLITUKSEN ESITYS EDUSKUNNALLE EU:N YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAINSÄÄDÄNNÖKSI (HE 9/2018 vp)

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

Hallituksen esitys eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi

Lausunto NÄKEMYKSIÄ EU:N YLEISEN TIETOSUOJA-ASETUKSEN KANSALLISEEN SOVELTAMISEEN YLEISESTI

Hallituksen esitys Eduskunnalle laiksi rikoslain muuttamisesta ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

1 luku. Yleiset säännökset. Suomalaisen Kirjallisuuden Seura. Lausunto Asia: 1/41/2016. Yleiset kommentit

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

LAKIUUDISTUS TIETOSUOJAVALTUUTETUN TOIMISTON NÄKÖKULMASTA. Heljä-Tuulia Pihamaa Toimistopäällikkö

Sosiaali- ja terveysministeriö Kirjaamo PL VALTIONEUVOSTO. Sosiaali- ja terveysministeriön lausuntopyyntö STM015:00/2015

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Yhteinen eurooppalainen tietosuoja Apulaistietosuojavaltuutettu Jari Råman

Työryhmän ehdotus hallituksen esitykseksi laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä

Datan vapaa liikkuvuus EU:ssa komission asetusehdotus

Lausunto Suomen Journalistiliitto ry (SJL) suhtautuu 1 luvun muotoiluun myönteisesti.

Laki. EDUSKUNNAN VASTAUS 91/2012 vp

FI Moninaisuudessaan yhtenäinen FI A8-0305/4. Tarkistus. Mireille D'Ornano ENF-ryhmän puolesta

Ajankohtaista tietosuoja-asetuksesta

Ajankohtaista TSV:ltä. Camilla Ekberg

HE 217/2008 vp. kansanedustajain eläkelakia ja valtion eläkelakia. kuitenkin valita koko edustajantoimensa keslamenttivaaleissa,

1 luku. Yleiset säännökset. 2 luku. Käsittelyn oikeusperuste eräissä tapauksissa. Nokia Oyj. Lausunto Asia: 1/41/2016.

1 luku. Yleiset säännökset. Pekka Kankkunen. Lausunto Asia: 1/41/2016. Yleiset kommentit

HE 135/2018 vp. Hallituksen esitys eduskunnalle laiksi Ahvenanmaan itsehallintolain 30 :n muuttamisesta

Rikosoikeuden professori Sakari Melander Helsingin yliopisto Oikeustieteellinen tiedekunta Eduskunnan perustuslakivaliokunnalle

1 luku. Yleiset säännökset. Elinkeinoelämän keskusliitto EK. Lausunto Asia: 1/41/2016. Yleiset kommentit

Lausunto. Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Direktiivin 98/34/EY ja vastavuoroista tunnustamista koskevan asetuksen välinen suhde

Työsuhteen ehtoja koskeva direktiiviehdotus. Työelämä- ja tasa-arvovaliokunta

Lausun kunnioittavasti maa- ja metsätalousvaliokunnan lausuntopyynnön johdosta seuraavaa:

HE 6/2008 vp. sakon täytäntöönpanosta annettua lakia

Hallituksen esitys EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi (HE 9/2018 vp)

T E R H O N E V A S A L O

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ PERUSTELUT

Tanja Jaatinen VN/3618/2018 VN/3618/2018-OM-2

Euroopan unionin neuvosto Bryssel, 21. toukokuuta 2019 (OR. en)

Lausunto nro 1/2016. (annettu Euroopan unionin toiminnasta tehdyn sopimuksen 325 artiklan nojalla)

Viite: HE 9/2018 vp Hallituksen esitys eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Laki yksityisyyden suojasta työelämässä

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Rekisterin nimi Varhaiskasvatuksen tuettu varhaiskasvatussuunnitelma. Varhaiskasvatusjohtaja Raili Liukkonen

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Euroopan tietosuojavaltuutettu

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ PERUSTELUT

Varhaiskasvatusjohtaja Raili Liukkonen. Yhteystiedot Puh Nimi ja tehtävänimike

PÄÄASIALLINEN SISÄLTÖ

Valtuuskunnille toimitetaan oheisena asiakirja COM(2018) 249 final LIITTEET 1 ja 2.

Tiedon hallinnan ajankohtaispäivä 11.4 Ylitarkastaja, Tomi Kytölä

Työelämän tietosuojalaki Johanna Ylitepsa

Rekisterin nimi Varhaiskasvatuksen varhaiskasvatussuunnitelma. Varhaiskasvatusjohtaja Raili Liukkonen. Yhteystiedot Puh.

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

Ajankohtaista Biopankkilaista

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) /, annettu ,

EU:n satamapalveluasetuksen valvonta ja muutoksenhaku

(ETA:n kannalta merkityksellinen teksti)

PÄÄASIALLINEN SISÄLTÖ

HE 50/2016 vp. Esityksessä ehdotetaan säädettäväksi laki ehdolliseen pääsyyn perustuvien ja ehdollisen pääsyn

HE 63/2018 vp. Hallituksen esitys eduskunnalle laiksi EU-ympäristömerkistä annetun lain muuttamisesta

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Ehdotus NEUVOSTON DIREKTIIVI. direktiivien 2006/112/EY ja 2008/118/EY muuttamisesta Ranskan syrjäisempien alueiden ja erityisesti Mayotten osalta

Laki. EDUSKUNNAN VASTAUS 27/2011 vp. Hallituksen esitys rajat ylittävän yhteistyön tehostamisesta

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ PERUSTELUT

HE 35/2000 vp ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

HE kaasulaitelaiksi ja eräiksi siihen liittyviksi laeiksi (HE 50/2018 vp) Eduskunta Talousvaliokunta Harri Roudasmaa TEM

Muutokset lakiin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007)

***I MIETINTÖ. FI Moninaisuudessaan yhtenäinen FI. Euroopan parlamentti A8-0000/

Transkriptio:

MITÄ MUUTOKSIA UUSI KANSALLINEN TIETOSUOJALAKI TUO KÄYTÄNNÖSSÄ

SISÄLTÖ 1 TIETOSUOJALAKI TUO SUOMEN GDPR:N AIKAKAUTEEN 1 2 TIETOSUOJAUUDISTUKSEN VAIHEET SUOMESSA 1 3 TIETOSUOJALAIN VOIMAANTULO KÄYTÄNNÖSSÄ 2 4 KANSALLISEN LIIKKUMAVARAN KÄYTTÄMINEN 3 5 TIETOSUOJALAIN SOVELTAMISALA JA SOVELTAMINEN KÄYTÄNNÖSSÄ 4 6 MITÄ MUUTOKSIA TIETOSUOJALAKI TUO 6.1 Toimivaltainen valvontaviranomainen nyt ja tulevaisuudessa 4 6.2 Hallinnollisten seuraamusmaksujen määrääminen 6 6.3 Tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettava ikäraja 7 7 TYÖ JATKUU NIIN REKISTERINPITÄJILLÄ KUIN LAINSÄÄTÄJÄLLÄ 8 i

1 (8) MITÄ MUUTOKSIA UUSI KANSALLINEN TIETOSUOJALAKI TUO KÄYTÄNNÖSSÄ 1 TIETOSUOJALAKI TUO SUOMEN GDPR:N AIKAKAUTEEN Eduskunta hyväksyi Euroopan unionin yleisen tietosuoja-asetuksen 1, ns. GDPR:n, käytännön soveltamisen kannalta keskeiset lakiehdotukset viivästyksen ja pitkään jatkuneen odotuksen jälkeen 13. marraskuuta 2018. Vaikka tietosuojalain voimaantulopäivä ei ole vielä vahvistunut, ovat nyt viimeisimmätkin tietosuojalainsäädännön soveltamisen kannalta keskeiset kysymykset saaneet nyt vahvistuksensa. Merkityksellisimpiä näistä ovat lainsäädäntöä valvovan kansallisen tietosuojaviranomaisen toimivalta ja päätöksentekomenettely sekä sakotusmahdollisuuden kohdentuminen. Vasta nyt, tietosuojalain myötä, syntyy valvontaviranomaiselle Suomessa mahdollisuus määrätä tietosuojaasetuksen voimaantulon yhteydessä kohuttuja määrältään jopa kymmenien miljoonien eurojen suuruisia sakkoja. Tietosuojalain voimaantuloa voidaan suomalaisesta näkökulmasta pitää merkittävimpänä virstanpylväänä jo tammikuussa 2012 EUkomission ehdotuksella käynnistyneen EU:n tietosuojalainsäädännön uudistuksen pitkässä linjassa. Tietosuojalain myötä vuodesta 1999 voimassa ollut henkilötietolaki kumotaan. 2 TIETOSUOJAUUDISTUKSEN VAIHEET SUOMESSA Tietosuoja-asetusta alettiin soveltaa jäsenvaltioissa 25. toukokuuta 2018. Koko kuluvan vuoden ja erityisesti kevään ajan tietosuoja-asetus oli laajasti esillä suomalaisessa yhteiskunnassa ja liike-elämässä niin medioissa käytyjen keskusteluiden kuin sähköpostilaatikoita täyttäneiden viestien muodossa. Tietosuoja-asetus on sellaisenaan Suomessa sovellettavaa oikeutta, eli sitä sovelletaan suoraan kansallisissa tuomioistuimissa. Asetus ei edellytä erillistä implementointia, mutta siinä asetetaan jäsenvaltioille tiettyjä lainsäätämisvelvoitteita. Lisäksi asetus sisältää tietyiltä osin EUasetuksille poikkeuksellista kansallista liikkumavaraa. Tietosuoja-asetuksen johdosta on Suomen lainsäädäntöön käytännössä tehtävä poikkeuksellisen laajasti muutoksia kansallisten lakien 1 Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus).

2 (8) yhdenmukaistamiseksi tietosuoja-asetuksen kanssa. Monilta osin nämä muutokset ovat teknisiä, ja niiden toteuttamisen keskeisenä edellytyksenä on ollut uuden kansallisen tietosuojalain sisällön ja voimaantulon vahvistuminen. Vaikka tietosuojalaki on nyt hyväksytty, on tämä muun lainsäädännön uudistamistyö vielä monilta osin vasta aluillaan. Valtioneuvosto antoi 1. maaliskuuta 2018 eduskunnalle hallituksen esityksen EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi, sisältäen ehdotuksen uudeksi, henkilötietolain korvaavaksi, tietosuojalaiksi. Ehdotettujen lakien oli tarkoitus tulla voimaan samaan aikaan tietosuoja-asetuksen kanssa 25. toukokuuta 2018. Aikataulu osoittautui kuitenkin liian tiukaksi, ja lakien voimaan tuloa saadaan edelleenkin odotella tosin ei enää kauaa. Lakiehdotuksia käsiteltiin eduskunnan hallintovaliokunnassa 2, lakivaliokunnassa 3 ja perustuslakivaliokunnassa 4 loppukevään, kesän ja alkusyksyn aikana. Valiokunnissa ja asiantuntijakuulemisissa kiinnitettiin huomiota lakien säätämisjärjestyksen ohella ennen kaikkea seuraamusmaksujen määräämiseen liittyviin kysymyksiin. Hallituksen esitys, ja välillisesti myös tietosuoja-asetus, saivat tässä keskustelussa osakseen osin voimakastakin kritiikkiä. 5 Tietosuojalaki hyväksyttiin lopulta eduskunnassa hallintovaliokunnan mietintöjen mukaisena, ja avoimena kysymyksenä onkin enää lain vahvistamisajankohta sekä lain varsinainen voimaantulopäivä. 3 TIETOSUOJALAIN VOIMAANTULO KÄYTÄNNÖSSÄ Tietosuojalain hyväksymistä koskevan eduskunnan vastauksen valmistumiseen voi kulua useita viikkoja tai jopa toista kuukautta eduskunnan käsiteltävänä olevien asioiden poikkeuksellisen vaikeana pidettävän ruuhkan takia. Oikeusministeriön toivomus on toki, että asiaa priorisoitaisiin, jotta vastaus valmistuisi nopeammin. Eduskunnan vastauksen valmistumisen jälkeen tietosuojalaki viedään mahdollisimman nopeasti tasavallan presidentin esittelyyn vahvistettavaksi. Vasta tällöin varmistuu lain voimaantulopäivä. Tietosuojalain käytännön voimaantuloon arvellaan monille tahoille tulevana yllätyksenä kuluvan kuitenkin vielä jopa kuukausia. 2 HaVM 13/2018 ja HaVM 14/2018. 3 LaVL 5/2018. 4 PeVL 14/2018, PeVL 24/2018 ja PeVL 26/2018. 5 Ks. myös Lainsäädännön arviointineuvosto: Lausunto luonnoksesta hallituksen esitykseksi eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi yleiseksi lainsäädännöksi 8.2.2018.

3 (8) Käytännön syynä vaikuttavat ennen kaikkea tietosuojavaltuutetun toimiston uudelleenorganisoitumisen edellyttämä aika sekä ennen kaikkea tarve täyttää ensin uudet apulaistietosuojavaltuutettujen virat. 4 KANSALLISEN LIIKKUMAVARAN KÄYTTÄMINEN Tietosuoja-asetuksen keskeisenä tavoitteena on varmistaa luonnollisten henkilöiden yhdenmukainen suoja kaikkialla unionissa ja estää henkilötietojen vapaata liikkuvuutta sisämarkkinoilla haittaavat eroavaisuudet. 6 Yleisestä näkökulmasta asetus edustaa uutta, kunnianhimoista pyrkimystä tavoitella EU-sääntelyllä huomattavasti aikaisempaa voimakkaampaa yhdenmukaisuutta. Asetuksen jälkeenkin kansallisissa tietosuojalainsäädännöissä on kuitenkin jäsenvaltiokohtaisia eroja, sillä asetus jättää tietyiltä osin liikkumavaraa, eli mahdollisuuksia määrittää tiettyjä vaatimuksia yksityiskohtaisemmin jäsenvaltiokohtaisesti. Lisäksi tietyt alueet jäävät kokonaisuudessaan asetuksen soveltamisalan ulkopuolelle. Käytännön kannalta merkittävimpänä osa-alueena on pidettävä myös jatkossa kansallisesti rakentuvaa työelämän tietosuojan sääntelyä, jonka alueelta monet keskeiset ja kansallisia erityispiirteitä ilmentävät tietosuojaerimielisyydet käytännössä kumpuavat. Mahdollisuus työelämän tietosuojalain säilyttäminen mahdollisimman pitkälti ennallaan oli yksi Suomelle keskeisistä kysymyksistä neuvoteltaessa tietosuoja-asetuksen sisällöstä EU:ssa. Tällä ulottuvuudella on keskeinen merkitys erityisesti kansainvälisten yritysten toiminnan osalta. Kaikki kansalliset erityispiirteet kuten muun muassa työntekijöiden henkilötietojen hallinnoinnin järjestämiseen, sähköpostin käyttöön ja työntekijöiden soveltuvuus- ja huumausainetestaukseen liittyvät vaatimukset luovat tästä näkökulmasta organisaatioissa odottamattomia erityisvaatimuksia, jotka rapauttavat uudelle sääntelylle asetettua harmonisaation tavoitetta. Yleisesti ottaen Suomi kuitenkin pyrki tietoisesti useimmilla osaalueilla pitämään kansallista tietosuojalakia säädettäessä kansalliset erityispiirteet minimissään, ja tämän tavoitteen voi katsoa pääsääntöisesti onnistuneen. 6 Tietosuoja-asetus, resitaali 13.

4 (8) 5 TIETOSUOJALAIN SOVELTAMISALA JA SOVELTAMINEN KÄYTÄNNÖSSÄ Tietosuojalain soveltamisalasta on tärkeää huomata, että se ei muodosta itsenäistä sääntelykokonaisuutta tai itsessään kokonaisvaltaista lakia, 7 vaan sitä sovelletaan ja tulee aina lukea rinnakkain tietosuoja-asetuksen kanssa, josta henkilötietojen suojaa koskevan lainsäädännön aineellinen sisältö pääasiassa seuraa. 8 Tietosuojalaki koostuu siis käytännössä tietosuoja-asetusta täydentävistä pykälistä, ja se noudattaa tietosuoja-asetuksen rakennetta. Yhdessä tietosuoja-asetuksen kanssa tietosuojalaki muodostaa lainsäädäntömme systematiikassa henkilötietojen käsittelyn yleislain, joka täydentää muuta alakohtaista yleislainsäädäntöä (erityisesti julkisuuslaki, laki sähköisistä palveluista ja laki yksityisyyden suojasta työelämässä) sekä erityislainsäädäntöä (esimerkiksi luottotietolaki ja sosiaali- ja terveydenhuollon sääntely). Tietosuojalakia sovelletaan tietosuoja-asetuksen soveltamisalan mukaisesti. Tietosuojalain mukaisesti tietosuoja-asetus tulee lisäksi tietyin rajauksin sovellettavaksi myös tilanteissa, joissa henkilötietojen käsittely jää tietosuoja-asetuksen soveltamisalan ulkopuolelle. Käytännössä tämä tarkoittaa EU:n tietosuojanormiston soveltamisalan laajentumista myös niille osa-aluille, jotka EU-oikeudessa ovat rajattu unionin oikeuden soveltamisalueen ulkopuolelle, kuten lähinnä ulkoja turvallisuuspolitiikkaan hallinnossa liittyvä henkilötietojen käsittely. 6 TIETOSUOJALAIN TUOMAT KESKEISIMMÄT MUUTOKSET 6.1 Toimivaltainen valvontaviranomainen ja sen organisoituminen Suomessa on tietosuoja-asetuksen voimaan tultua eletty tietyn asteista välivaihetta, sillä meillä ei ole ollut viranomaista, jolla olisi ollut toimivalta määrätä tietosuoja-asetuksen mukaisia seuraamuksia. Tietosuojavaltuutettu Reijo Aarnio kirjoitti 2.8.2018 blogissaan aiheesta "toimivaltavaje" 9, ja esitti huolensa muun muassa oikeuden saamisen hidastumisesta sekä siitä, että ennen uutta lakia tietosuojavaltuutetun toimisto ei pääse muodostamaan uutta organisaatiotaan. Tätä artikkelia kirjoitettaessa uusi laki on hyväksytty eduskunnassa, minkä vuoksi toimivaltakysymyksiin ei tässä 7 HaVM 13/2018 vp, s. 4. 8 HE 9/2018, s. 5. 9 https://tietosuoja.fi/artikkeli/-/asset_publisher/toimivaltavaje

5 (8) yhteydessä ole perusteltua syventyä tarkemmin. On kuitenkin syytä huomata, että koska tietosuoja-asetuksen tullessa voimaan tietosuojavaltuutettu toimi vielä nyt kumottavien lakien mukaisin toimivaltuuksin, kansallisen valvontaviranomaisen organisointi ja toimintamalli ovat vasta nyt tietosuojalain myötä täsmentyneet. Käytännössä varsinainen, erilaiset vaihtoehdot huomioiden valmisteltu viranomaisen sisäinen työ on siis vasta nyt alkanut. Tietosuojalain 8 :n mukaisesti tietosuoja-asetuksen tarkoittama kansallinen valvontaviranomainen on tietosuojavaltuutettu. Tietosuojavaltuutetulla on 9 :n mukaisesti toimisto, jossa on vähintään kaksi apulaistietosuojavaltuutettua sekä tarpeellinen määrä muuta henkilöstöä. Tietosuojavaltuutettu siis jatkaa valvontaviranomaisena, eikä erillistä virastoa perusteta tässä vaiheessa, vaikka TATTI -työryhmä 10 alun perin mietinnössään niin ehdotti 11. Viraston perustamistarpeen arviointi kuitenkin tulee vielä jatkumaan. Merkittävän osan tietosuojavaltuutetun toimistossa tehtävästä työstä käytännössä muodostaa uusien virkojen täyttäminen. Apulaistietosuojavaltuutettujen nimittämisellä on erityinen merkitys seuraamusmaksujen määräämiseen tietosuojalailla oikeutetun tietosuojavaltuutetun toimiston seuraamuskollegion toimivaltaisuuden kannalta. Seuraamuskollegion lisäksi tietosuojavaltuutetun toimistossa tulee olemaan asiantuntijalautakunta, joka koostuu puheenjohtajasta, varapuheenjohtajasta ja kolmesta muusta jäsenestä. Asiantuntijalautakunnan tehtävänä on antaa tietosuojavaltuutetun pyynnöstä lausuntoja henkilötietojen käsittelyä koskevan lainsäädännön soveltamiseen liittyvistä merkittävistä kysymyksistä. Lautakunta ei siis suoraan osallistu hallinnollisten seuraamusmaksujen määräämismenettelyyn. Aiemmin kuvatusti tietosuoja-asetusta alettiin soveltaa 25. toukokuuta 2018, eikä kansallisen lainsäädännön muutosten viivästyminen vaikuta tähän. Näin ollen tietosuoja-asetuksen rikkomisesta voidaan asettaa tietosuoja-asetuksen seuraamuksia vanhentumisaikojen 12 puitteissa siitä riippumatta, onko kansallisella valvontaviranomaisella ollut tarpeelliset toimivaltuudet rikkomuksen tai laiminlyönnin hetkellä. 10 EU:n yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmä (TATTI) 11 Oikeusministeriön julkaisuja 35/2017, EU:n yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmä (TATTI) mietintö, s. 145. 12 Tietosuojalain 24 :n mukaisesti seuraamusmaksua ei saa määrätä, jos on kulunut yli kymmenen vuotta rikkomuksen tai laiminlyönnin tapahtumisesta. Jos rikkomus tai laiminlyönti on luonteeltaan jatkuvaa, määräaika lasketaan rikkomuksen tai laiminlyönnin päättymisestä.

6 (8) 6.2 Hallinnollisten seuraamusmaksujen määrääminen Markkinatoimijoiden keskuudessa suuri mielenkiinto kohdistuukin nyt siihen, minkälaiseksi tietosuojavaltuutetun valvonta- ja sanktiokäytännöt muodostuvat ja missä aikataulussa uusien tietosuojaasetuksen määrittävien toimivaltuuksien mukaiset menettelyt otetaan käyttöön. Hallinnolliset seuraamusmaksut määrää seuraamuskollegio, joka koostuu tietosuojavaltuutetusta ja apulaistietosuojavaltuutetuista. Kollegion päätökseksi tulee enemmistön kanta (tai äänestyksen mennessä tasan lievempää seuraamusta puoltava kanta). Hallinnollisia seuraamusmaksuja ei voida määrätä viranomaisille, kuten valtion viranomaisille tai liikelaitoksille. Tämä herätti valmisteluvaiheessa laajaa keskustelua, ja TATTI -työryhmäkään ei päässyt yhteisymmärrykseen asiasta. 13 Vaikka poikkeus ei välittömästi vaikuta haitallisesti yksityisten toimijoiden asemaan, asettaa se julkisen ja yksityisen sektorin toimijat eriarvoiseen asemaan suhteessa huomattavaan sanktioriskiin. Kysymys on merkityksellinen etenkin terveyden- ja sosiaalihuollon palveluiden tarjoamisessa, joiden osalta yksityiset ja julkiset palveluntarjoajat kilpailevat samoilla markkinoilla. Linjauksella on merkitystä myös virkamiehen vastuuaseman näkökulmasta. Siinä missä rikosoikeudellisen vastuun soveltumisala yksityisen sektorin puolella korvautuu organisaatioon kohdistuvalla sakkovastuulla, jää julkisella sektorilla vastuuta viime kädessä kantamaan yksittäinen virkavelvollisuutensa laiminlyönyt virkamies, ja sanktio on taloudellisen sanktion sijaan rikosoikeudellinen. Kun yksityisen ja julkisen puolen toimijoiden seuraamusjärjestelmä on toisistaan poikkeava, voi etenkin alihankintaketjuissa ja ulkoistuksissa muodostua lisäksi yllättäviä ja perusteettomia erisuhtaisia vastuita. Otetaan esimerkiksi tilanne, jossa kunta on ulkoistanut palkanlaskentatoimiaan yksityiselle palveluntarjoajalle, ja kunta rekisterinpitäjänä laiminlyö palveluntarjoajan ohjeistamisen ja valvonnan sillä seurauksella, että palveluntarjoajan käsittelemät tiedot vuotavat kolmansille. Tällöin kunnan puolelta vastuuseen joutuisivat virkavastuun perusteella yksittäiset virkamiehet ja kunnan johto, kun taas palveluntarjoajalle yhtiönä voitaisiin asettaa hallinnollinen seuraamusmaksu. 13 Oikeusministeriön julkaisuja 35/2017, EU:n yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmä (TATTI) mietintö, s. 23.

7 (8) Todetusta epäsuhteisista asetelmista mahdollisesti syntyvät ongelmat on tiedostettu tietosuojalain valmistelussa, ja hallituksen esityksessä todetaankin, että tietosuoja-asetuksen rikkomisesta viranomaiselle aiheutuvien seuraamusten tehokkuutta on seurattava, etenkin kilpailullisten vaikutusten osalta. 14 Tietosuojavaltuutetun ja apulaistietosuojavaltuutetun päätökseen sekä hallinnollisen seuraamusmaksun määräämistä koskevaan päätökseen saa hakea muutosta valittamalla hallinto-oikeuteen. Valittaminen korkeimpaan hallinto-oikeuteen edellyttää valituslupaa. On kuitenkin tarpeellista huomata, että tietosuojalain 25 :n mukaisesti tietosuojavaltuutetun tai apulaistietosuojavaltuutetun päätöksessä voidaan määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta, ellei valitusviranomainen toisin määrää. Näin ollen esimerkiksi kieltopäätöstä ei voida suoraan lykätä valittamalla. 6.3 Tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettava ikäraja Tietosuoja-asetuksen 8 artiklassa säädetään tietoyhteiskunnan palveluihin liittyvään lapsen suostumukseen sovellettavista ehdoista eli siitä, kuinka vanha lapsen tulee olla, että tämä voi itsenäisesti antaa pätevän suostumuksen henkilötietojen käsittelyyn. Tietosuojaasetuksessa säädetään lähtökohtaisesta 16 vuoden ikärajasta, mutta jäsenvaltioille jätetään mahdollisuus säätää myös alemmasta iästä, joka ei saa olla alle 13 vuotta. Tietosuojalain mukaisesti ikäraja tulee olemaan 13. Näin ollen tarjottaessa tietoyhteiskunnan palveluita käyttäjän suostumuksen perusteella, tietojen keräämiseen alle 13-vuotiailta suomalaisilta käyttäjiltä tulee olla vanhemman suostumus tai valtuutus. Jo 13-vuotias voi Suomessa tietosuojalain myötä antaa pätevästi suostumuksensa itse. Jättäessään ikärajan määräytymisen kansallisen sääntelyn varaan, tietosuoja-asetus epäonnistuu harmonisointitavoitteessaan. Ikärajan maakohtaiset vaihtelut vaikeuttavat merkittävästi tietoyhteiskunnan palveluiden tarjoamista rajojen yli. Toimijan, joka haluaa tarjota tietoyhteiskunnan palveluita, joita myös lapset ja nuoret käyttävät, on kyettävä varmistumaan lapsen iän lisäksi siitä, missä jäsenvaltiossa kyseinen henkilö on. Käytännössä monet verkkopalvelut saattavatkin edellyttää jatkossa 16 vuoden ikää suostumuksen antamiselle. 14 HE 9/2018, s. 57.

8 (8) 7 TYÖ JATKUU NIIN REKISTERINPITÄJILLÄ KUIN LAINSÄÄTÄJÄLLÄ Kevät 2018 oli tietosuojakysymysten ja tietosuoja-asetukseen valmistautumisen kanssa tekemisissä olleilla henkilöillä yleisesti poikkeuksellisen kiireinen. Yleisestä käsityksestä poiketen työ ei kuitenkaan loppunut siihen, vaan todellisuudessa vasta monin osin alkoi. Tietosuojalaki ei edellytä itsessään tietosuoja-asetusta vastaavaa implementointityötä, sillä, kuten hallituksen esityksessä tietosuojalaiksi todetaan, tietosuojalainsäädännön uudistukseen liittyvät vaikutukset seuraavat suoraan tietosuoja-asetuksesta. 15 Kansallisenkin tietosuojalainsäädännön uudistamistyö jatkuu kuitenkin edelleen. Erityislainsäädäntöä on vielä päivitettävä etenkin viittausten osalta. 16 Lisäksi työelämän tietosuojalain uudistamista koskeva esitys on parhaillaan käsiteltävänä eduskunnan valiokunnissa. 17 Sen jälkeen yleinen mielenkiinto kohdistuu sote-uudistukseen kytkeytyvään sosiaali- ja terveydenhuollon tietosuojasääntelyn uudistamiseen. Kokonaisuutena arvioiden tietosuojalaki ei tuo merkittäviä muutoksia jo aiemmin tunnistettuihin velvoitteisiin ja käyttöön otettuihin prosesseihin, mutta tuo toivottua varmuutta ja selkeyttä etenkin viranomaisvalvonnan ja seuraamusjärjestelmän osalta. 15.11.2018 Jukka Lång & Tuomas Haavikko 15 HE 9/2018, s. 64. 16 Esim. rahoitusmarkkinalainsäädäntöä koskeva HE 100/2018 vp. 17 Ks. HE 97/2018 vp

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute