EU:n tietosuojasääntelyn uudistaminen Vakuutuslakimiesten Eurooppapäivä 8. toukokuuta 2012 Eeva Jokineva
EU:n tietosuojasääntelyn uudistaminen Esityksen sisältö Voimassaoleva tietosuojasääntely Uudistamishankkeen taustaa Komission sääntelyehdotukset Asetusehdotuksen keskeinen sisältö 2
EU:n tietosuojasääntelyn uudistaminen Voimassaoleva tietosuojasääntely 3
Voimassaoleva tietosuojasääntely > Kansainväliset sopimukset ja suositukset - Esimerkiksi Euroopan neuvoston ns. tietosuojasopimus sekä OECD:n tietosuojasuositus > EU:n perusoikeuskirjan 8 artikla sekä Euroopan unionin toiminnasta tehdyn sopimuksen 16 artikla henkilötietojen suojasta - Jokaisella on oikeus henkilötietojensa suojaan > Tietosuojadirektiivi 95/46/EY > Sähköisen viestinnän tietosuojadirektiivi 2002/58/EY (muutettu direktiivillä 2009/136/EY) > Suomessa implementointi henkilötietolakiin (22.4.1999/523) sekä sähköisen viestinnän tietosuojalakiin (16.6.2004/516) > Erityislainsäädäntö - Esimerkiksi kansallinen ja toimialakohtainen erityissääntely 4
EU:n tietosuojasääntelyn uudistaminen Uudistamishankkeen tausta ja tavoitteet 5
Uudistamishankkeen taustaa > EU:n nykyisen tietosuojasääntelyn uudistamishanke alkoi vuonna 2009 - Eurooppa-neuvoston 11. helmikuuta 2009 hyväksymä Tukholman ohjelma, jonka mukaan unionilla on oltava kattava strategia tietojen suojaamiseksi EU:n sisällä ja sen suhteessa muihin maihin > Komission järjesti henkilötietojen suojaa koskevasta lainsäädännöstä laajan julkisen kuulemisen vuonna 2010 > Komissio julkaisi hankkeeseen liittyvän tiedonantonsa Kattava lähestymistapa henkilötietojen suojaan Euroopan unionissa (KOM(2010) 609) marraskuussa 2010 - Sisälsi komission näkemyksiä sääntelyn uudistustarpeista - Neuvoston päätelmät helmikuussa 2011 ja Euroopan parlamentin mietintö heinäkuussa 2011 6
Uudistamisen tavoitteista > Tavoitteena on EU:n henkilötietojen suojaa koskevan lainsäädännön yhdenmukaistaminen sekä ajanmukaisen, vahvan ja kattavan tietosuojakehyksen luominen EU:lle > Komission lehdistötiedote 25.1.2012 EU:n tietosuojasääntöjen kattavasta uudistuksesta: Tarkoituksena on vahvistaa yksityisyydensuojaa verkkoympäristössä ja antaa lisäpotkua Euroopan digitaalitaloudelle. Teknologian kehitys ja globalisoituminen ovat perin pohjin mullistaneet tavan, jolla henkilötietoja kerätään ja käytetään. Lisäksi vuoden 1995 tietosuojasäännöt on pantu täytäntöön EU:n 27 jäsenvaltiossa eri tavoin, mikä on johtanut eroavuuksiin niiden käytännön soveltamisessa. Uusi yhtenäinen lainsäädäntö poistaa nykytilanteen pirstaleisuuden ja siitä johtuvan raskaan hallintorasituksen, niin että yrityksille kertyy säästöä 2,3 miljardia euroa vuodessa. Uudistus lujittaa osaltaan kuluttajien luottamusta verkkoympäristöön ja tukee siten Euroopassa kipeästi kaivattua talouskasvua, työllisyyttä ja innovaatiota. 7
EU:n tietosuojasääntelyn uudistaminen Komission sääntelyehdotukset 8
Komission sääntelyehdotukset > Komissio julkaisi ehdotuksensa EU:n tietosuojasääntelyn uudistamiseksi 25.1.2012 - Yleinen tietosuoja-asetus (KOM (2012) 11 lopullinen), joka korvaa nykyisen tietosuojadirektiivin - Poliisi- ja oikeudelliseen yhteistyöhön liittyvä direktiivi, joka korvaa nykyisen neuvoston puitepäätöksen 2008/977/YOS > Hankkeen käsittely neuvoston ja parlamentin yhteispäätösmenettelyssä kestää todennäköisesti useita vuosia - Epävirallisena tavoitteena neuvotteluiden loppuunkäyminen vielä nykyisen parlamentin toimikaudella vuoteen 2014 mennessä - Lisäksi mahdolliset kansalliset täytäntöönpanotoimet 9
EU:n tietosuojasääntelyn uudistaminen Asetusehdotuksen keskeinen sisältö 10
Asetusehdotuksen sisältö (1/2) > I luku Yleiset säännökset > II luku Periaatteet > III luku Rekisteröidyn oikeudet - Läpinäkyvyys ja sitä koskevat yksityiskohtaiset säännöt - Ilmoittaminen ja tiedonsaanti - Tietojen oikaiseminen ja poistaminen - Oikeus vastustaa henkilötietojen käsittelyä ja profilointi - Rajoitukset > IV luku Rekisterinpitäjä ja henkilötietojen käsittelijä - Yleiset velvollisuudet - Tietoturvallisuus - Tietosuojaa koskeva vaikutusten arviointi ja ennakkohyväksyntä - Tietosuojavastaava - Käytännesäännöt ja sertifiointi 11
Asetusehdotuksen sisältö (2/2) > V luku Henkilötietojen siirto kolmansiin maihin tai kansainvälisille järjestöille > VI luku Riippumattomat valvontaviranomaiset - Riippumaton asema - Toimivalta ja tehtävät > VII luku Yhteistyö ja yhdenmukaisuus - Yhteistyö - Yhdenmukaisuus - Euroopan tietosuojaneuvosto > VIII luku Oikeussuojakeinot, vastuu ja seuraamukset > IX luku Tietojenkäsittelyyn liittyviä erityistilanteita koskevat säännökset > X luku Delegoidut säädökset ja täytäntöönpanosäädökset > XI luku Loppusäännökset 12
Asetusehdotuksen keskeiset muutokset nykysääntelyyn > Vaikka keskeiset henkilötietojen käsittelyä koskevat perusperiaatteet asetusehdotuksessa pääosin ennallaan, muutoksia aiheutuu erityisesti läpinäkyvyyden, käsiteltävien tietojen minimoinnin sekä rekisterinpitäjän kattavan vastuun periaatteista (5 artikla) > Muutokset liittyvät erityisesti - rekisteröidyn oikeuksien vahvistamiseen, - rekisterinpitäjien velvollisuuksien lisäämiseen sekä - tietosuojaviranomaisten roolin vahvistamiseen ja toimivaltaan > Komission ehdotus yleiseksi tietosuoja-asetukseksi on nykyistä direktiiviä huomattavasti yksityiskohtaisempi - Yhteensä 91 artiklaa - Lisäksi useita valtuutussäännöksiä, joiden nojalla komissiolla on valta antaa täydentävää, yksityiskohtaisempaa sääntelyä - Näiltä osin uudistettavan tietosuojasääntelyn sisältö tässä vaiheessa vielä avoin 13
Asetuksen vaikutukset kansalliseen lainsäädäntöön > Jäsenvaltioissa suoraan sovellettavaa asetusta sovellettaisiin soveltamisalallaan kansallisen yleis- ja erityislainsäädännön sijaan > Lähtökohtaisesti asetuksen kanssa ristiriitainen kansallinen lainsäädäntö olisi kumottava - Osittain asetus perustuu kansalliseen sääntelyyn ja siinä asetetaan jäsenvaltioille myös lainsäädäntövelvoitteita (6 artiklan mukaiset henkilötietojen lainmukaisen käsittelyn edellytykset sekä 46 ja 49 artiklat) - Mahdollisuus poiketa asetuksen säännöksistä kansallisella lailla (esimerkiksi 21 artiklan mukaan jäsenvaltion lainsäädännössä voidaan lainsäädäntötoimenpiteellä rajoittaa tiettyjen velvollisuuksien ja oikeuksien soveltamisalaa) > Edellyttää kansallisen ja toimialakohtaisen erityissääntelyn läpikäyntiä 14
Rekisteröityjen oikeuksien vahvistaminen (1/3) > Rekisteröidyille nykyistä laajemmat oikeudet saada tietoa henkilötietojen käsittelystä (11-12 sekä 14-15 artiklat) - Läpinäkyvyys edellyttää, että rekisterinpitäjän toimittavat rekisteröidyille läpinäkyvää, helposti saatavaa ja ymmärrettävää tietoa henkilötietojensa käsittelystä - Rekisterinpitäjän vahvistettava menettelyt ja mekanismit rekisteröidyn oikeuksien käyttämistä varten - Informointivelvollisuus edellyttää, että tietoja kerättäessä rekisteröidylle annetaan tietoa mm. tietosuojavastaavasta, tietojen säilytysajasta sekä oikeudesta tehdä valitus - Rekisteröidyn tiedonsaantioikeutta on laajennettu nykyisestä tarkastusoikeudesta - Rekisteröidyllä on oikeus saada vahvistus henkilötietojen käsittelystä sekä tutustua henkilötietoihinsa, mutta annettavan informaation määrää on laajennettu - Lähtökohtaisesti maksutta, mutta maksun periminen mahdollista tilanteessa, jossa tarkastuspyynnöt ovat ilmeisen kohtuuttomia ja etenkin, jos pyyntöjä esitetään jatkuvasti 15
Rekisteröityjen oikeuksien vahvistaminen (2/3) > Rekisteröidyn oikeuksia tietojen oikaisemiseen ja poistamiseen sekä käsittelyn vastustamiseen liittyen tarkennettu (16-20 artiklat) - Oikeus vaatia, että virheelliset henkilötiedot oikaistaan ja puutteelliset tiedot täydennetään - Oikeus vaatia rekisterinpitäjää poistamaan henkilötiedot ja pidättäytymään niiden luovuttamisesta eteenpäin (ns. right to be forgotten) - Pääsääntönä ensisijaisesti henkilötietojen poistaminen viipymättä tai toissijaisesti tietojen käsittelyn rajoittaminen - Oikeus siirtää tiedot järjestelmästä toiseen (ns. right to data portability) - Kun rekisteröity on itse antanut henkilötiedot ja niiden käsittely perustuu suostumukseen tai sopimukseen, rekisteröidyllä on oikeus siirtää ko. henkilötiedot ja kaikki muut rekisteröidyn antamat tiedot toiseen järjestelmään - Yleisesti käytetty sähköinen muoto - Rekisteröidyn oikeus vastustaa henkilötietojen käsittelyä koskee tiettyjä käsittelyperusteita - Oikeus kieltäytyä profiloinnista 16
Rekisteröityjen oikeuksien vahvistaminen (3/3) > Rekisteröidyn suostumukselle lisäedellytyksiä (4 artiklan 8-kohta ja 7 artikla) - Suostumus edellyttää nimenomaista tahdonilmaisua, jolla hän hyväksyy henkilötietojensa käsittelyn joko antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen - Suostumus ei esimerkiksi muodosta oikeusperustaa henkilötietojen käsittelylle, jos rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta > Tarkennuksia edellytyksiin käsitellä arkaluonteisia tietoja (9 artikla) - Terveystietojen käsittely terveyteen liittyvistä syistä noudattaen 81 artiklan edellytyksiä - Rikostuomioihin tai niihin liittyviin turvaamistoimiin liittyvien tietojen käsittely joko viranomaisen valvonnassa tai kun käsittely on tarpeen rekisterinpitäjälle laissa tai asetuksessa asetetun velvoitteen noudattamiseksi tai tärkeää yleistä etua koskevan tehtävän suorittamiseksi, ja siltä osin kuin se sallitaan unionin tai jäsenvaltion lainsäädännössä, jossa säädetään asianmukaisista takeista - Vaikutukset esimerkiksi väärinkäytösrekisterin ylläpitämiseen sekä terveydentilatietojen käsittelyyn vakuutustoiminnassa 17
Rekisterinpitäjien velvollisuuksien lisääminen (1/4) > Accountability-periaate (22 artikla) - Rekisterinpitäjän on hyväksyttävä toimintamenetelmät ja toteutettava tarvittavat toimenpiteet sen varmistamiseksi ja osoittamiseksi, että henkilötietojen käsittelyssä noudatetaan ehdotettua asetusta - Tietosuojatyöryhmä on antanut tilivelvollisuuden periaatteesta lausunnon vuonna 2010 (lausunto 3/2010) > Rekisterinpitäjän huolehdittava sisäänrakennetun ja oletusarvoisen tietosuojan periaatteiden toteutumisesta (23 artikla) 18
Rekisterinpitäjien velvollisuuksien lisääminen (2/4) > Velvollisuus ylläpitää henkilötietojen käsittelyä koskevaa dokumentaatiota (28 artikla) - Rekisterinpitäjän on säilytettävä niiden vastuulla toteutettavia käsittelytoimia koskevat asiakirjat - Yksityiskohtaista sääntelyä dokumentaation sisällöstä > Tietoturvallisuutta koskevat velvoitteet - Velvollisuus huolehtia käsittelyn turvallisuudesta ja toteuttaa tietojenkäsittelyn turvallisuuden varmistamiseksi tarvittavat toimenpiteet (30 artikla ) - Uutuutena tietoturvaloukkauksia koskeva ilmoitusvelvollisuus (31 ja 32 artiklat) - Tietoturvaloukkaus on loukkaus, jonka seurauksena on vahingossa tapahtuva tai lainvastainen siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka saanti (4 artikla) - Ilmoitus tehtävä sekä viranomaiselle että tietyissä tilanteissa rekisteröidylle itselleen 19
Rekisterinpitäjien velvollisuuksien lisääminen (3/4) > Asetusehdotus sisältää yksityiskohtaiset säännökset henkilötietojen käsittelyä koskevasta vaikutusten arvioinnista sekä ennakkohyväksynnästä - Rekisterinpitäjille velvollisuus toteuttaa vaikutustenarviointi, jos käsittelytoimiin liittyy niiden luonteen, laajuuden tai tarkoitusten vuoksi rekisteröidyn oikeuksien ja vapauksien kannalta erityisiä riskejä (33 artikla) - Tietyissä tilanteissa velvollisuus hakea valvontaviranomaisen ennakkohyväksyntä tai kuulla valvontaviranomaista ennen tietojenkäsittelyn aloittamista (34 artikla) 20
Rekisterinpitäjien velvollisuuksien lisääminen (4/4) > Velvollisuus nimittää organisaatioon riippumaton tietosuojavastaava (35 artikla) - Säännös koskee yli 250 henkilöä työllistäviä yrityksiä sekä yrityksiä, joissa rekisterinpitäjän keskeiset tehtävät muodostuvat säännöllistä ja järjestelmällistä seurantaa edellyttävistä käsittelytoimista - Toimikautena vähintään 2 vuotta - Edellytyksenä tietosuojavastaavana toimimiselle on ammattipätevyys sekä tietosuoja-asioiden erityisasiantuntemus > Tietosuojavastaavan asemasta ja tehtävistä säädetty yksityiskohtaisesti (36 ja 37 artiklat) - Mukana kaikkien henkilötietojen suojaa koskevien kysymysten käsittelyssä - Tehtävänä mm. rekisterinpitäjän neuvonta asetuksen mukaisista velvollisuuksista sekä henkilötietojen suojaan liittyvien toimintamenetelmien sekä asetuksen täytäntöönpanon ja soveltamisen seuraaminen 21
Muutokset tietosuojaviranomaisten rooliin ja toimivaltaan > Useassa jäsenvaltiossa toimivalle rekisterinpitäjälle yksi toimivaltainen valvova tietosuojaviranomainen eli ns. one-stop-shop (51 artikla) > Eurooppalaisten valvontaviranomaisten yhteistyöstä entistä tarkempaa sääntelyä - Esimerkiksi yhdenmukaisuusmekanismin avulla varmistetaan tietosuojasäännösten yhdenmukainen soveltaminen eri jäsenvaltioissa (57 artikla) > Viranomaisten roolin ja toimivallan vahvistaminen mm. valtuuksilla määrätä hallinnollisia sanktioita (79 artikla) - Säännös velvoittaa valvontaviranomaista määräämään hallinnollisia sakkoja artiklassa luetelluista teoista tiettyyn enimmäismäärään asti (enimmillään 1 000 000 euroa tai 2 % vuotuisesta maailmanlaajuisesta liikevaihdosta) - Sakon määrää vahvistettaessa huomioitava kuhunkin tapaukseen liittyvät olosuhteet 22
FK:n kantoja ehdotettuun asetukseen sekä arvio vaikutuksista > Finanssialan toiminta perustuu oleellisilta osin henkilötietojen käsittelyyn - EU:n tietosuojasääntelyn uudistamisella merkittävät vaikutukset toimialaan > Ehdotuksen tavoitteet sääntelyn yksinkertaistamisesta sekä harmonisaation vahvistamisesta ovat kannatettavia, mutta - Huomioitava finanssialaa koskeva erityissääntely ja varmistuttava velvoittavan sääntelyn johdonmukaisuudesta - Päällekkäistä sääntelyä esimerkiksi finanssialan sisäisen toiminnan organisoinnin suhteen tulisi välttää - Huolenaiheena se, että ehdotettu sääntely kieltäisi tai vaikeuttaisi sellaista henkilötietojen käsittelyä, joka on toimijoille esimerkiksi riskienhallinnan tai asiakastietojen käsittelyn näkökulmasta tärkeää - Huomioitava, että ehdotettu sääntely lisää rekisterinpitäjien hallinnollista taakkaa merkittävästi eikä esimerkiksi kaikkien ehdotettujen säännösten vaikutus henkilötietojen suojan parantamisessa ei ole selkeä - Lukuisat valtuutussäännökset vähentävät sääntelyn ennakoitavuutta, mikä on ongelmallista esimerkiksi tietojärjestelmämuutosten näkökulmasta - Määrättävien sanktioiden oltava oikeasuhtaisia 23
Lisätietoja > Komission ehdotus tietosuoja-asetukseksi http://eurlex.europa.eu/lexuriserv/lexuriserv.do?uri=com:2012:0011:fin:f I:PDF > Komission tietosuoja-aiheinen sivusto http://ec.europa.eu/justice/data-protection/index_fi.htm > Oikeusministeriön tietosuojalainsäädännön uudistamista käsittelevä hankesivusto http://www.om.fi/etusivu/valmisteilla/lakihankkeet/informaatiooik eus/1290610002784 > Tietosuojavaltuutetun internet-sivut http://www.tietosuoja.fi 24
Kiitos! Lakimies Eeva Jokineva eeva.jokineva@fkl.fi 020 793 4288 25