MITÄ MUUTOKSIA UUSI KANSALLINEN TIETOSUOJALAKI TUO KÄYTÄNNÖSSÄ?

Samankaltaiset tiedostot
MITÄ MUUTOKSIA UUSI KANSALLINEN TIETOSUOJALAKI TUO KÄYTÄNNÖSSÄ

Kansallinen tietosuojalaki

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

Hallituksen esitys eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi HE

Henkilötietojen käsittely tietosuojalain voimaantulon viivästyessä

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

Lausunto. Kansallisen liikkumavaran käyttö on perusteltua, eteenkin ottaen huomioon Suomen yhteiskunnan erittäin henkilötietotiheä rakenne.

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Ajankohtaista lainsäädännöstä Virpi Korhonen, lainsäädäntöneuvos

Tietosuoja-asetus ja sen kansallinen implementointi

Lausunto Kuntayhtymien tehtävät puolestaan perustuvat kuntalain lisäksi kuntayhtymän perussopimukseen (kuntalaki 55 ja 56 ).

1 luku. Yleiset säännökset. Teknologiateollisuus ry. Lausunto Asia: 1/41/2016. Yleiset kommentit

Lausunto Ulkoasiainministeriö pitää ehdotettua säännöstä tarkoituksenmukaisena ja perusteltuna.

Tietosuojauudistus lyhyesti. Antti Ketola, lakimies,

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Asia: Hallituksen esitys (HE) 9/2018 vp eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi

EU:N UUSI TIETOSUOJA- ASETUS

HALLITUKSEN ESITYS EU:N YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAINSÄÄDÄNNÖKSI (HE 9/2018 vp)

1 luku. Yleiset säännökset. Suomen Asianajajaliitto. Lausunto Dnro 48/2017. Asia: 1/41/2016. Yleiset kommentit

TIETOSUOJAVALTUUTETUN TOIMISTO

HALLITUKSEN ESITYS EU:N YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAINSÄÄDÄNNÖKSI (HE 9/2018 vp)

PÄÄASIALLINEN SISÄLTÖ

Ehdotus NEUVOSTON PÄÄTÖS

TIETOSUOJAVALTUUTETUN TOIMISTO

HENKILÖTIETOJEN SUOJAA KOSKEVAN KANSALLISEN LAINSÄÄDÄNNÖN TARKISTAMINEN

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

Lausunto RAKLI ry kokoaa yhteen kiinteistöalan ja rakennuttamisen vastuulliset ammattilaiset.

Hallituksen esitys Eduskunnalle laiksi rikoslain muuttamisesta ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Datan vapaa liikkuvuus EU:ssa komission asetusehdotus

TIETOSUOJAVALTUUTETUN TOIMISTO Seuraamusjärjestelmä

HALLITUKSEN ESITYS EDUSKUNNALLE EU:N YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAINSÄÄDÄNNÖKSI (HE 9/2018 vp)

Lausuntopyyntö /41/2016

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

HE 217/2008 vp. kansanedustajain eläkelakia ja valtion eläkelakia. kuitenkin valita koko edustajantoimensa keslamenttivaaleissa,

Hallituksen esitys eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Sosiaali- ja terveysministeriö Kirjaamo PL VALTIONEUVOSTO. Sosiaali- ja terveysministeriön lausuntopyyntö STM015:00/2015

Lausunto NÄKEMYKSIÄ EU:N YLEISEN TIETOSUOJA-ASETUKSEN KANSALLISEEN SOVELTAMISEEN YLEISESTI

1 luku. Yleiset säännökset. Suomalaisen Kirjallisuuden Seura. Lausunto Asia: 1/41/2016. Yleiset kommentit

SUOMEN SÄÄDÖSKOKOELMAN SOPIMUSSARJA ULKOVALTAIN KANSSA TEHDYT SOPIMUKSET

LAKIUUDISTUS TIETOSUOJAVALTUUTETUN TOIMISTON NÄKÖKULMASTA. Heljä-Tuulia Pihamaa Toimistopäällikkö

Euroopan unionin neuvosto Bryssel, 21. toukokuuta 2019 (OR. en)

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

FI Moninaisuudessaan yhtenäinen FI A8-0305/4. Tarkistus. Mireille D'Ornano ENF-ryhmän puolesta

(ETA:n kannalta merkityksellinen teksti)

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Yhteinen eurooppalainen tietosuoja Apulaistietosuojavaltuutettu Jari Råman

Työryhmän ehdotus hallituksen esitykseksi laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä

Laki. EDUSKUNNAN VASTAUS 91/2012 vp

Lausunto Suomen Journalistiliitto ry (SJL) suhtautuu 1 luvun muotoiluun myönteisesti.

PÄÄASIALLINEN SISÄLTÖ

Rikosoikeuden professori Sakari Melander Helsingin yliopisto Oikeustieteellinen tiedekunta Eduskunnan perustuslakivaliokunnalle

HE 6/2008 vp. sakon täytäntöönpanosta annettua lakia

SISÄLLYS. N:o 778. Laki

Direktiivin 98/34/EY ja vastavuoroista tunnustamista koskevan asetuksen välinen suhde

Ajankohtaista tietosuoja-asetuksesta

Ajankohtaista TSV:ltä. Camilla Ekberg

T E R H O N E V A S A L O

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) /, annettu ,

HE 135/2018 vp. Hallituksen esitys eduskunnalle laiksi Ahvenanmaan itsehallintolain 30 :n muuttamisesta

Ehdotus NEUVOSTON DIREKTIIVI. direktiivien 2006/112/EY ja 2008/118/EY muuttamisesta Ranskan syrjäisempien alueiden ja erityisesti Mayotten osalta

PÄÄASIALLINEN SISÄLTÖ

1 luku. Yleiset säännökset. 2 luku. Käsittelyn oikeusperuste eräissä tapauksissa. Nokia Oyj. Lausunto Asia: 1/41/2016.

1 luku. Yleiset säännökset. Pekka Kankkunen. Lausunto Asia: 1/41/2016. Yleiset kommentit

Euroopan tietosuojavaltuutettu

KOMISSION DELEGOITU ASETUS (EU) /, annettu ,

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ PERUSTELUT

Euroopan unionin neuvosto Bryssel, 24. marraskuuta 2016 (OR. en)

Lausun kunnioittavasti maa- ja metsätalousvaliokunnan lausuntopyynnön johdosta seuraavaa:

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

EU:n satamapalveluasetuksen valvonta ja muutoksenhaku

Valtuuskunnille toimitetaan oheisena asiakirja COM(2018) 249 final LIITTEET 1 ja 2.

Lausunto nro 1/2016. (annettu Euroopan unionin toiminnasta tehdyn sopimuksen 325 artiklan nojalla)

1 luku. Yleiset säännökset. Elinkeinoelämän keskusliitto EK. Lausunto Asia: 1/41/2016. Yleiset kommentit

HE 35/2000 vp ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Rekisterin nimi Varhaiskasvatuksen tuettu varhaiskasvatussuunnitelma. Varhaiskasvatusjohtaja Raili Liukkonen

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ PERUSTELUT

Ehdotus NEUVOSTON TÄYTÄNTÖÖNPANOPÄÄTÖS

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ PERUSTELUT

Hallituksen esitys EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi (HE 9/2018 vp)

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Varhaiskasvatusjohtaja Raili Liukkonen. Yhteystiedot Puh Nimi ja tehtävänimike

HE 27/2006 vp. Ehdotetuin säännöksin pantaisiin täytäntöön

Ehdotus NEUVOSTON DIREKTIIVI

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

HE 14/2015 vp. Hallituksen esitys eduskunnalle laeiksi ajoneuvoliikennerekisteristä annetun lain 15 :n ja tieliikennelain 105 b :n muuttamisesta

Tiedon hallinnan ajankohtaispäivä 11.4 Ylitarkastaja, Tomi Kytölä

HE 50/2016 vp. Esityksessä ehdotetaan säädettäväksi laki ehdolliseen pääsyyn perustuvien ja ehdollisen pääsyn

Muutokset lakiin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007)

Rekisterin nimi Varhaiskasvatuksen varhaiskasvatussuunnitelma. Varhaiskasvatusjohtaja Raili Liukkonen. Yhteystiedot Puh.

SISÄLLYS. koskevasta kirjanpidosta sekä markkinoille saatettujen kasvinsuojeluaineiden määrien ilmoittamisesta N:o 253.

Viite: HE 9/2018 vp Hallituksen esitys eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi

Tanja Jaatinen VN/3618/2018 VN/3618/2018-OM-2

Lausunto. Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

KOMISSION DELEGOITU ASETUS (EU) /, annettu ,

Oikeudellisten asioiden valiokunta LAUSUNTOLUONNOS. sisämarkkina- ja kuluttajansuojavaliokunnalle

Transkriptio:

Jukka Lång OTM, FM, Asianajotoimisto Dittmar & Indrenius Tuomas Haavikko OTM, Asianajotoimisto Dittmar & Indrenius MITÄ MUUTOKSIA UUSI KANSALLINEN TIETOSUOJALAKI TUO KÄYTÄNNÖSSÄ? Edilex 2019/2 Artikkeli, versio 2.0 Julkaistu Edilex Lakikirjastossa 16.1.2019 Alkuperäinen versio julkaistu Edilex Uutisissa 15.11.2018 www.edilex.fi/artikkelit/19271

Sisällys 1 Tietosuojalaki tuo Suomen GDPR:n aikakauteen... 1 2 Tietosuojauudistuksen vaiheet Suomessa... 2 3 Tietosuojalain voimaantulo käytännössä... 2 4 Kansallisen liikkumavaran käyttäminen... 3 5 Tietosuojalain soveltamisala ja soveltaminen käytännössä... 3 6 Tietosuojalain tuomat keskeisimmät muutokset... 4 6.1 Toimivaltainen valvontaviranomainen ja sen organisoituminen... 4 6.2 Hallinnollisten seuraamusmaksujen määrääminen... 5 6.3 Tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettava ikäraja... 6 7 Työ jatkuu niin rekisterinpitäjillä kuin lainsäätäjällä... 6 1 Tietosuojalaki tuo Suomen GDPR:n aikakauteen Eduskunta hyväksyi Euroopan unionin yleisen tietosuoja-asetuksen 1, ns. GDPR:n, käytännön soveltamisen kannalta keskeiset lakiehdotukset viivästyksen ja pitkään jatkuneen odotuksen jälkeen 13. marraskuuta 2018. Tasavallan presidentti vahvisti eduskunnan hyväksymät lait 5. joulukuuta 2018. Samassa yhteydessä uuden tietosuojalain voimaantuloajankohdaksi varmistui 1. tammikuuta 2019. Kansallisen tietosuojalain sisällön varmistuminen tuo selvyyttä moneen tietosuojalainsäädännön soveltamisen kannalta keskeiseen kysymykseen. Merkityksellisimpiä näistä ovat lainsäädäntöä valvovan kansallisen tietosuojaviranomaisen toimivalta ja päätöksentekomenettely sekä sakotusmahdollisuuden kohdentuminen. Vasta nyt, tietosuojalain myötä, syntyy valvontaviranomaiselle Suomessa mahdollisuus määrätä tietosuoja-asetuksen voimaantulon yhteydessä kohuttuja määrältään jopa kymmenien miljoonien eurojen suuruisia sakkoja. Tietosuojalain voimaantuloa voidaan suomalaisesta näkökulmasta pitää merkittävimpänä virstanpylväänä jo tammikuussa 2012 EU-komission ehdotuksella käynnistyneen EU:n tietosuojalainsäädännön uudistuksen pitkässä linjassa. Tietosuojalain myötä vuodesta 1999 voimassa ollut henkilötietolaki kumotaan. 1 Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus). 1 EDILEX Edita Publishing Oy 2019

2 Tietosuojauudistuksen vaiheet Suomessa Tietosuoja-asetusta alettiin soveltaa jäsenvaltioissa 25. toukokuuta 2018. Koko kuluvan vuoden ja erityisesti kevään ajan tietosuoja-asetus oli laajasti esillä suomalaisessa yhteiskunnassa ja liike-elämässä niin medioissa käytyjen keskusteluiden kuin sähköpostilaatikoita täyttäneiden viestien muodossa. Tietosuoja-asetus on sellaisenaan Suomessa sovellettavaa oikeutta, eli sitä sovelletaan suoraan kansallisissa tuomioistuimissa. Asetus ei edellytä erillistä implementointia, mutta siinä asetetaan jäsenvaltioille tiettyjä lainsäätämisvelvoitteita. Lisäksi asetus sisältää tietyiltä osin EU-asetuksille poikkeuksellista kansallista liikkumavaraa. Tietosuoja-asetuksen johdosta on Suomen lainsäädäntöön käytännössä tehtävä poikkeuksellisen laajasti muutoksia kansallisten lakien yhdenmukaistamiseksi tietosuoja-asetuksen kanssa. Monilta osin nämä muutokset ovat teknisiä, ja niiden toteuttamisen keskeisenä edellytyksenä on ollut uuden kansallisen tietosuojalain sisällön ja voimaantulon vahvistuminen. Vaikka tietosuojalaki on hyväksytty ja vahvistettu, on tämä muun lainsäädännön uudistamistyö vielä monilta osin vasta aluillaan. Valtioneuvosto antoi 1. maaliskuuta 2018 eduskunnalle hallituksen esityksen EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi, joka sisälsi ehdotuksen uudeksi, henkilötietolain korvaavaksi tietosuojalaiksi. Ehdotettujen lakien oli tarkoitus tulla voimaan samaan aikaan tietosuoja-asetuksen kanssa 25. toukokuuta 2018. Aikataulu osoittautui kuitenkin liian tiukaksi, ja lait tulevat voimaan vuoden 2019 alusta. Lakiehdotuksia käsiteltiin eduskunnan hallintovaliokunnassa 2, lakivaliokunnassa 3 ja perustuslakivaliokunnassa 4 loppukevään, kesän ja alkusyksyn aikana. Valiokunnissa ja asiantuntijakuulemisissa kiinnitettiin huomiota lakien säätämisjärjestyksen ohella ennen kaikkea seuraamusmaksujen määräämiseen liittyviin kysymyksiin. Hallituksen esitys ja välillisesti myös tietosuoja-asetus saivat tässä keskustelussa osakseen osin voimakastakin kritiikkiä. 5 Tietosuojalaki hyväksyttiin lopulta eduskunnassa hallintovaliokunnan mietintöjen mukaisena, ja lain vahvistamisen yhteydessä lain voimaantuloajankohdaksi varmistui 1. tammikuuta 2019. 3 Tietosuojalain voimaantulo käytännössä Tietosuojalain hyväksymistä koskevan eduskunnan vastauksen valmistumiseen sekä lain vahvistamiseen pelättiin kuluvan useita viikkoja tai jopa kuukausia. Eduskunnan työtä on loppuvuodesta 2018 rasittanut poikkeuksellisen vaikeana pidetty ruuhka. Oikeusministeriön toivomus oli toki, että asiaa priorisoitaisiin, jotta vastaus valmistuisi nopeammin. Lisäksi lakien vahvistamisajankohtaa arvioitiin lykkäävän ennen kaikkea tietosuojavaltuutetun toimiston uudelleenorganisoitumisen edellyttämä aika sekä ennen kaikkea tarve täyttää ensin uudet apulaistietosuojavaltuutettujen virat. 2 HaVM 13/2018 ja HaVM 14/2018. 3 LaVL 5/2018. 4 PeVL 14/2018, PeVL 24/2018 ja PeVL 26/2018. 5 Ks. myös Lainsäädännön arviointineuvosto: Lausunto luonnoksesta hallituksen esitykseksi eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi yleiseksi lainsäädännöksi 8.2.2018. 2 EDILEX Edita Publishing Oy 2019

Uutta tietosuojasääntelyä koskeva eduskunnan vastaus valmistui kuitenkin 22. marraskuuta 2018, ja hyväksytyt lait saatiin tasavallan presidentin vahvistettavaksi 5. joulukuuta 2018. Pahimmat pelot tietosuojalain voimaantulon viivästymisestä edelleen eivät siis käyneet toteen, kun lain voimaantuloajankohdaksi varmistui lain vahvistamisen yhteydessä vuoden 2019 alku. 4 Kansallisen liikkumavaran käyttäminen Tietosuoja-asetuksen keskeisenä tavoitteena on varmistaa luonnollisten henkilöiden yhdenmukainen suoja kaikkialla unionissa ja estää henkilötietojen vapaata liikkuvuutta sisämarkkinoilla haittaavat eroavaisuudet. 6 Yleisestä näkökulmasta asetus edustaa uutta, kunnianhimoista pyrkimystä tavoitella EU-sääntelyllä huomattavasti aikaisempaa voimakkaampaa yhdenmukaisuutta. Asetuksen jälkeenkin kansallisissa tietosuojalainsäädännöissä on kuitenkin jäsenvaltiokohtaisia eroja, sillä asetus jättää tietyiltä osin liikkumavaraa, eli mahdollisuuksia määrittää tiettyjä vaatimuksia yksityiskohtaisemmin jäsenvaltiokohtaisesti. Lisäksi tietyt alueet jäävät kokonaisuudessaan asetuksen soveltamisalan ulkopuolelle. Käytännön kannalta merkittävimpänä osa-alueena on pidettävä myös jatkossa kansallisesti rakentuvaa työelämän tietosuojan sääntelyä, jonka alueelta monet keskeiset ja kansallisia erityispiirteitä ilmentävät tietosuojaerimielisyydet käytännössä kumpuavat. Mahdollisuus työelämän tietosuojalain säilyttämiseen mahdollisimman pitkälti ennallaan oli yksi Suomelle keskeisistä kysymyksistä neuvoteltaessa tietosuoja-asetuksen sisällöstä EU:ssa. Tällä ulottuvuudella on keskeinen merkitys erityisesti kansainvälisten yritysten toiminnan osalta. Kaikki kansalliset erityispiirteet kuten muun muassa työntekijöiden henkilötietojen hallinnoinnin järjestämiseen, sähköpostin käyttöön ja työntekijöiden soveltuvuus- ja huumausainetestaukseen liittyvät vaatimukset luovat tästä näkökulmasta organisaatioissa odottamattomia erityisvaatimuksia, jotka rapauttavat uudelle sääntelylle asetettua harmonisoinnin tavoitetta. Yleisesti ottaen Suomi kuitenkin pyrki tietoisesti useimmilla osa-alueilla pitämään kansallista tietosuojalakia säädettäessä kansalliset erityispiirteet minimissään, ja tämän tavoitteen voi katsoa pääsääntöisesti onnistuneen. 5 Tietosuojalain soveltamisala ja soveltaminen käytännössä Tietosuojalain soveltamisalasta on tärkeää huomata, että se ei muodosta itsenäistä sääntelykokonaisuutta tai itsessään kokonaisvaltaista lakia, 7 vaan sitä sovelletaan ja tulee aina lukea rinnakkain tietosuoja-asetuksen kanssa, josta henkilötietojen suojaa koskevan lainsäädän- 6 Tietosuoja-asetus, resitaali 13. 7 HaVM 13/2018 vp, s. 4. 3 EDILEX Edita Publishing Oy 2019

nön aineellinen sisältö pääasiassa seuraa. 8 Tietosuojalaki koostuu siis käytännössä tietosuoja-asetusta täydentävistä pykälistä, ja se noudattaa tietosuoja-asetuksen rakennetta. Yhdessä tietosuoja-asetuksen kanssa tietosuojalaki muodostaa lainsäädäntömme systematiikassa henkilötietojen käsittelyn yleislain, joka täydentää muuta alakohtaista yleislainsäädäntöä (erityisesti julkisuuslaki, laki sähköisisen viestinnän palveluista ja laki yksityisyyden suojasta työelämässä) sekä erityislainsäädäntöä (esimerkiksi luottotietolaki ja sosiaali- ja terveydenhuollon sääntely). Tietosuojalakia sovelletaan tietosuoja-asetuksen soveltamisalan mukaisesti. Tietosuojalain mukaisesti tietosuoja-asetus tulee lisäksi tietyin rajauksin sovellettavaksi myös tilanteissa, joissa henkilötietojen käsittely jää tietosuoja-asetuksen soveltamisalan ulkopuolelle. Käytännössä tämä tarkoittaa EU:n tietosuojanormiston soveltamisalan laajentumista myös niille osa-aluille, jotka EU-oikeudessa ovat rajattu unionin oikeuden soveltamisalueen ulkopuolelle, kuten lähinnä ulko- ja turvallisuuspolitiikkaan liittyvä henkilötietojen käsittely valtionhallinnossa. 6 Tietosuojalain tuomat keskeisimmät muutokset 6.1 Toimivaltainen valvontaviranomainen ja sen organisoituminen Suomessa on tietosuoja-asetuksen voimaan tultua eletty tietyn asteista välivaihetta, sillä meillä ei ole ollut viranomaista, jolla olisi ollut toimivalta määrätä tietosuoja-asetuksen mukaisia seuraamuksia. Tietosuojavaltuutettu Reijo Aarnio kirjoitti 2.8.2018 blogissaan aiheesta "toimivaltavaje" 9, ja esitti huolensa muun muassa oikeuden saamisen hidastumisesta sekä siitä, että ennen uutta lakia tietosuojavaltuutetun toimisto ei pääse muodostamaan uutta organisaatiotaan. Tätä artikkelia kirjoitettaessa uusi laki on vahvistettu ja lain voimaantulo on tiedossa, minkä vuoksi toimivaltakysymyksiin ei tässä yhteydessä ole perusteltua syventyä tarkemmin. On kuitenkin syytä huomata, että koska tietosuoja-asetuksen tullessa voimaan tietosuojavaltuutettu toimi vielä nyt kumottavien lakien mukaisin toimivaltuuksin, kansallisen valvontaviranomaisen organisointi ja toimintamalli ovat vasta nyt tietosuojalain myötä täsmentyneet. Käytännössä varsinainen, erilaiset vaihtoehdot huomioiden valmisteltu viranomaisen sisäinen työ on siis vasta nyt alkanut. Tietosuojalain 8 :n mukaisesti tietosuoja-asetuksen tarkoittama kansallinen valvontaviranomainen on tietosuojavaltuutettu. Tietosuojavaltuutetulla on 9 :n mukaisesti toimisto, jossa on vähintään kaksi apulaistietosuojavaltuutettua sekä tarpeellinen määrä muuta henkilöstöä. Tietosuojavaltuutettu siis jatkaa valvontaviranomaisena, eikä erillistä virastoa perusteta tässä vaiheessa, vaikka TATTI-työryhmä 10 alun perin mietinnössään niin ehdotti 11. Viraston perustamistarpeen arviointi kuitenkin tulee vielä jatkumaan. Merkittävän osan tietosuojavaltuutetun toimistossa tehtävästä työstä käytännössä muodostaa uusien virkojen täyttäminen. Apulaistietosuojavaltuutettujen nimittämisellä on erityinen merkitys seuraamusmaksujen määräämiseen tietosuojalailla oikeutetun tietosuojavaltuutetun toimiston seuraamuskollegion toimivaltaisuuden kannalta. 8 HE 9/2018, s. 5. 9 https://tietosuoja.fi/artikkeli/-/asset_publisher/toimivaltavaje. 10 EU:n yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmä (TATTI). 11 Oikeusministeriön julkaisuja 35/2017, EU:n yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän (TATTI) mietintö, s. 145. 4 EDILEX Edita Publishing Oy 2019

Seuraamuskollegion lisäksi tietosuojavaltuutetun toimistossa tulee olemaan asiantuntijalautakunta, joka koostuu puheenjohtajasta, varapuheenjohtajasta ja kolmesta muusta jäsenestä. Asiantuntijalautakunnan tehtävänä on antaa tietosuojavaltuutetun pyynnöstä lausuntoja henkilötietojen käsittelyä koskevan lainsäädännön soveltamiseen liittyvistä merkittävistä kysymyksistä. Lautakunta ei siis suoraan osallistu hallinnollisten seuraamusmaksujen määräämismenettelyyn. Aiemmin kuvatusti tietosuoja-asetusta alettiin soveltaa 25. toukokuuta 2018, eikä kansallisen lainsäädännön muutosten viivästyminen vaikuta tähän. Näin ollen tietosuoja-asetuksen rikkomisesta voidaan asettaa tietosuoja-asetuksen seuraamuksia vanhentumisaikojen 12 puitteissa siitä riippumatta, onko kansallisella valvontaviranomaisella ollut tarpeelliset toimivaltuudet rikkomuksen tai laiminlyönnin hetkellä. Markkinatoimijoiden keskuudessa suuri mielenkiinto kohdistuukin nyt siihen, minkälaiseksi tietosuojavaltuutetun valvonta- ja sanktiokäytännöt muodostuvat ja missä aikataulussa uusien tietosuoja-asetuksen määrittämien toimivaltuuksien mukaiset menettelyt otetaan käyttöön. 6.2 Hallinnollisten seuraamusmaksujen määrääminen Hallinnolliset seuraamusmaksut määrää seuraamuskollegio, joka koostuu tietosuojavaltuutetusta ja apulaistietosuojavaltuutetuista. Kollegion päätökseksi tulee enemmistön kanta (tai äänestyksen mennessä tasan lievempää seuraamusta puoltava kanta). Hallinnollisia seuraamusmaksuja ei voida määrätä viranomaisille, kuten valtion viranomaisille tai liikelaitoksille. Tämä herätti valmisteluvaiheessa laajaa keskustelua, ja TATTItyöryhmäkään ei päässyt yhteisymmärrykseen asiasta. 13 Vaikka poikkeus ei välittömästi vaikuta haitallisesti yksityisten toimijoiden asemaan, asettaa se julkisen ja yksityisen sektorin toimijat eriarvoiseen asemaan suhteessa huomattavaan sanktioriskiin. Kysymys on merkityksellinen etenkin terveyden- ja sosiaalihuollon palveluiden tarjoamisessa, joiden osalta yksityiset ja julkiset palveluntarjoajat kilpailevat samoilla markkinoilla. Linjauksella on merkitystä myös virkamiehen vastuuaseman näkökulmasta. Siinä missä rikosoikeudellisen vastuun soveltumisala yksityisen sektorin puolella korvautuu organisaatioon kohdistuvalla sakkovastuulla, jää julkisella sektorilla vastuuta viime kädessä kantamaan yksittäinen virkavelvollisuutensa laiminlyönyt virkamies, ja sanktio on taloudellisen sanktion sijaan rikosoikeudellinen. Kun yksityisen ja julkisen puolen toimijoiden seuraamusjärjestelmä on toisistaan poikkeava, voi etenkin alihankintaketjuissa ja ulkoistuksissa muodostua lisäksi yllättäviä ja perusteettomia erisuhtaisia vastuita. Otetaan esimerkiksi tilanne, jossa kunta on ulkoistanut palkanlaskentatoimiaan yksityiselle palveluntarjoajalle, ja kunta rekisterinpitäjänä laiminlyö palveluntarjoajan ohjeistamisen ja valvonnan sillä seurauksella, että palveluntarjoajan käsittelemät tiedot vuotavat kolmansille. Tällöin kunnan puolelta vastuuseen joutuisivat virkavastuun perusteella yksittäiset virkamiehet ja kunnan johto, kun taas palveluntarjoajalle yhtiönä voitaisiin asettaa hallinnollinen seuraamusmaksu. Todetuista epäsuhteisista asetelmista mahdollisesti syntyvät ongelmat on tiedostettu tietosuojalain valmistelussa, ja hallituksen esityksessä todetaankin, että tietosuoja-asetuksen 12 Tietosuojalain 24 :n mukaisesti seuraamusmaksua ei saa määrätä, jos on kulunut yli kymmenen vuotta rikkomuksen tai laiminlyönnin tapahtumisesta. Jos rikkomus tai laiminlyönti on luonteeltaan jatkuvaa, määräaika lasketaan rikkomuksen tai laiminlyönnin päättymisestä. 13 Oikeusministeriön julkaisuja 35/2017, EU:n yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän (TATTI) mietintö, s. 23. 5 EDILEX Edita Publishing Oy 2019

rikkomisesta viranomaiselle aiheutuvien seuraamusten tehokkuutta on seurattava, etenkin kilpailullisten vaikutusten osalta. 14 Tietosuojavaltuutetun ja apulaistietosuojavaltuutetun päätökseen sekä hallinnollisen seuraamusmaksun määräämistä koskevaan päätökseen saa hakea muutosta valittamalla hallinto-oikeuteen. Valittaminen korkeimpaan hallinto-oikeuteen edellyttää valituslupaa. On kuitenkin tarpeellista huomata, että tietosuojalain 25 :n mukaisesti tietosuojavaltuutetun tai apulaistietosuojavaltuutetun päätöksessä voidaan määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta, ellei valitusviranomainen toisin määrää. Näin ollen esimerkiksi kieltopäätöstä ei voida suoraan lykätä valittamalla. 6.3 Tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettava ikäraja Tietosuoja-asetuksen 8 artiklassa säädetään tietoyhteiskunnan palveluihin liittyvään lapsen suostumukseen sovellettavista ehdoista eli siitä, kuinka vanha lapsen tulee olla, että tämä voi itsenäisesti antaa pätevän suostumuksen henkilötietojen käsittelyyn. Tietosuojaasetuksessa säädetään lähtökohtaisesta 16 vuoden ikärajasta, mutta jäsenvaltioille jätetään mahdollisuus säätää myös alemmasta iästä, joka ei saa olla alle 13 vuotta. Tietosuojalain mukaisesti ikäraja tulee olemaan 13. Näin ollen tarjottaessa tietoyhteiskunnan palveluita käyttäjän suostumuksen perusteella, tietojen keräämiseen alle 13-vuotiailta suomalaisilta käyttäjiltä tulee olla vanhemman suostumus tai valtuutus. Jo 13-vuotias voi Suomessa tietosuojalain myötä antaa pätevästi suostumuksensa itse. Jättäessään ikärajan määräytymisen kansallisen sääntelyn varaan, tietosuoja-asetus epäonnistuu harmonisointitavoitteessaan. Ikärajan maakohtaiset vaihtelut vaikeuttavat merkittävästi tietoyhteiskunnan palveluiden tarjoamista rajojen yli. Toimijan, joka haluaa tarjota tietoyhteiskunnan palveluita, joita myös lapset ja nuoret käyttävät, on kyettävä varmistumaan lapsen iän lisäksi siitä, missä jäsenvaltiossa kyseinen henkilö on. Käytännössä monet verkkopalvelut saattavatkin edellyttää jatkossa 16 vuoden ikää suostumuksen antamiselle. 7 Työ jatkuu niin rekisterinpitäjillä kuin lainsäätäjällä Kevät 2018 oli tietosuojakysymysten ja tietosuoja-asetukseen valmistautumisen kanssa tekemisissä olleilla henkilöillä yleisesti poikkeuksellisen kiireinen. Yleisestä käsityksestä poiketen työ ei kuitenkaan loppunut siihen, vaan todellisuudessa vasta monin osin alkoi. Tietosuojalaki ei edellytä itsessään tietosuoja-asetusta vastaavaa implementointityötä, sillä kuten hallituksen esityksessä tietosuojalaiksi todetaan, tietosuojalainsäädännön uudistukseen liittyvät vaikutukset seuraavat suoraan tietosuoja-asetuksesta. 15 Kansallisenkin tietosuojalainsäädännön uudistamistyö jatkuu kuitenkin edelleen. Erityislainsäädäntöä on vielä päivitettävä etenkin viittausten osalta. 16 Lisäksi työelämän tietosuojalain uudistamista koskeva esitys on parhaillaan käsiteltävänä eduskunnan valiokunnissa. 17 Sen jälkeen yleinen 14 HE 9/2018, s. 57. 15 HE 9/2018, s. 64. 16 Esim. rahoitusmarkkinalainsäädäntöä koskeva HE 100/2018 vp. 17 Ks. HE 97/2018 vp 6 EDILEX Edita Publishing Oy 2019

mielenkiinto kohdistuu sote-uudistukseen kytkeytyvään sosiaali- ja terveydenhuollon tietosuojasääntelyn uudistamiseen. Kokonaisuutena arvioiden tietosuojalaki ei tuo merkittäviä muutoksia jo aiemmin tunnistettuihin velvoitteisiin ja käyttöön otettuihin prosesseihin, mutta tuo toivottua varmuutta ja selkeyttä etenkin viranomaisvalvonnan ja seuraamusjärjestelmän osalta. 7 EDILEX Edita Publishing Oy 2019

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute