Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu JUDO-työpaja 20.5.2019
Yleislait voimaan 1.1.2019 Tietosuojalaki (1050/2018) Laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä (1054/2018)
Erityislainsäädäntöä tarkistetaan Yleislakeja täydentää erityislainsäädäntö (esim. rekisterisääntely, henkilötietojen luovuttamista koskeva sääntely, rekisteröidyn tarkastusoikeuden rajoituksia koskevat säännökset). OM on valmistelemassa omaan lainsäädäntöönsä välttämättömiä muutoksia, jotka johtuvat EU:n tietosuojalainsäädännöstä. Esitys annettaneen eduskunnalle loppuvuodesta. Osa muista ministeriöistä on jo muuttanut oman hallinnonalansa lainsäädäntöä, ml. VM (esim. VTJ-lain muutokset, Tullin henkilötietolaki).
Tietosuojalaki täydentää ja täsmentää tietosuoja-asetusta: Käsittelyn oikeusperusteet (käsittelyn lainmukaisuus; tietoyhteiskunnan palvelujen tarjoamiseen sovellettava ikäraja; erityiset henkilötietoryhmät, rikostuomiot ja rikkomukset sekä näihin liittyvät suojatoimet) Tietojenkäsittelyn erityistilanteet (journalistiset, akateemiset, taiteelliset ja kirjallisen ilmaisun tarkoitukset; julkisuusperiaate; henkilötunnuksen käsittely; henkilötietojen käsittely työsuhteen yhteydessä; arkistointitarkoituksia koskevat poikkeukset ja rajoitukset)
Tietosuojalain suhde muuhun lainsäädäntöön Tietosuojalakia sovelletaan yhdessä tietosuoja-asetuksen kanssa. Kansallista sääntelyliikkumavaraa ei ole käytetty tyhjentävästi, vaan sitä voidaan käyttää myös erityislainsäädännössä. Tietosuoja-asetuksen tarkoitus on, että täydentävän kansallisen lainsäädännön osalta tulisi pitäytyä välttämättömässä ja henkilötietojen käsittelyyn sovelletaan pääsääntöisesti yleislakeja; myös perustuslakivaliokunta on vahvistanut tämän periaatteen (ks. PeVL 14/2018 vp). Erityislainsäädännön tulee pysyä sääntelyliikkumavaran puitteissa.
Tietosuoja-asetus ja tietosuojalaki/ julkisuuslainsäädäntö Tietosuojalainsäädäntö ei tuonut muutoksia lakiin viranomaisten toiminnan julkisuudesta. Huomattava, että viranomaisen asiakirjan julkisuus/ salassapito on eri asia kuin tietosuoja: Jokaisella on julkisuuslainsäädännön nojalla oikeus saada tietoja viranomaisen asiakirjoista sekä omissa asioissaan, että asioissa, jotka eivät koske suoranaisesti häntä itseään. Tietosuojalainsäädännön mukainen tietoon pääsy on rekisteröidyn oikeus. Tietosuojalaissa säädetään nimenomaisesti henkilötunnuksen käsittelystä.
Laaja henkilötiedon käsite Tietosuoja-asetuksen 4(1) artiklan mukaisesti henkilötietoja ovat kaikki tunnistettuun tai tunnistettavissa olevaan yksilöön liittyvät tiedot, ml. esim. sijaintitieto, IP-osoite, valokuva tai sähköpostiosoite. Henkilötiedot voivat sisältyä rekisterien lisäksi myös asiakirjoihin tai ääni- tai kuvatallenteisiin.
Henkilötietojen käsittely Tietosuoja-asetuksen 4(2) artiklan mukaisesti henkilötietojen käsittely kattaa kaikenlaisen henkilötietoihin tai niitä sisältäviin tietojoukkoihin kohdistuvan käsittelyn joko automaattisesti tai manuaalisesti, ml. esim. tietojen kerääminen ja tallentaminen, säilyttäminen ja poistaminen, rekisterikyselyt, käyttö ja saataville asettaminen, luovuttaminen ja poistaminen. = tietosuoja-asetusta ja tietosuojalakia sovelletaan henkilörekisterien lisäksi myös kaikkeen muuhun henkilötietojen käsittelyyn
Viranomaisen henkilörekisteri Viranomaisen henkilörekisterillä tarkoitetaan tietojärjestelmää tai tietovaranto, joka sisältää henkilötietoja. Viranomaisen henkilörekisteriin sovelletaan julkisuuslakia (tuomioistuimissa ensisijaisesti lakeja oikeudenkäynnin julkisuudesta) sekä täydentävin osin tietosuojalainsäädäntöä. Tietosuoja-asetuksessa rekisterillä tarkoitetaan mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu (4(6) artikla) = käsittää sekä automaattisesti ylläpidettävät että manuaaliset rekisterit.
Tietosuojalaki sisältää myös yleisesti sovellettavat rekisteröidyn oikeuksien rajoituksia koskevat säännökset Rajoitukset rekisterinpitäjän velvollisuuteen toimittaa tietoja rekisteröidylle Rajoitukset rekisteröidyn oikeuteen tutustua hänestä kerättyihin tietoihin
Tietosuojalaissa säädetään myös Tietosuojavaltuutetun tehtävistä ja toimivaltuuksista, sekä Oikeusturvasta ja seuraamuksista
Tietosuojalakia sovelletaan tietosuoja-asetuksen 2 artiklan soveltamisalalla sellaiseen henkilötietojen käsittelyyn, joka liittyy EU-oikeuden ulkopuoliseen toimintaan, jollei muualla laissa toisin säädetä -> Tietosuojalakia ei sovelleta, kun henkilötietojen käsittely kuuluu rikosasioiden tietosuojalain soveltamisalaan!
Rikosasioiden tietosuojalaki Tulee sovellettavaksi, kun: Poliisi, Rajavartiolaitos, Tulli, syyttäjä, tuomioistuin, Rikosseuraamuslaitos tai muu ns. toimivaltainen viranomainen käsittelee henkilötietoja rikosasian yhteydessä Puolustusvoimat, poliisi (ml. SUPO) tai Rajavartiolaitos käsittelee henkilötietoja kansallisen turvallisuuden ylläpitämiseen liittyvän toiminnan yhteydessä Tässä kohdassa tarkoitettu toiminta ei kuulu EU:n lainsäädännön piiriin (asetus/direktiivi) Kohdassa tarkoitetussa käsittelyssä on siten kyse kansallisesta soveltamisalan laajennuksesta, jonka tarkoituksena on, että henkilötietojen käsittelystä on kattavasti yleislain tasoisesti säädetty
Se, että rekisterinpitäjä (viranomainen, yritys tai yhteisö) vastaanottaa henkilötietoja rikosasioiden tietosuojalaissa tarkoitetulta toimivaltaiselta viranomaiselta, tai luovuttaa omaan rekisterinpitoonsa kuuluvia henkilötietoja tällaiselle viranomaiselle, ei tee tästä rekisterinpitäjästä laissa tarkoitettua toimivaltaista viranomaista. = syytä huomata rekisteröityä informoitaessa, minkä säädöksen perusteella tämän oikeudet määräytyvät
Rikosasioiden tietosuojalaki sisältää: säännökset käyttötarkoitussidonnaisuudesta ja muista henkilötietojen käsittelyn yleisistä periaatteista, rekisterinpitäjän ja henkilötietojen käsittelijän vastuusta, rekisteröidyn tarkastusoikeudesta ja muista oikeuksista, tietoturvallisuusvaatimuksista, velvollisuudesta nimetä tietosuojavastaava, henkilötietojen siirtämisestä sekä oikeussuojakeinoista Lakia sovelletaan itsenäisesti, mutta siitä voidaan poiketa erityislainsäädännössä (esim. rikosrekisterilaki sekä Rikosseuraamuslaitoksen, poliisin, Rajavartiolaitoksen ja Tullin henkilötietolait). Direktiivi määrittää silti tietosuojan minimitason, jonka myös erityislainsäädännön tulee täyttää.
Rikosasioiden tietosuojalain noudattamista valvoo Tietosuojavaltuutettu Tietosuojavaltuutetun tehtävät ja toimivaltuudet määräytyvät rikosasioiden tietosuojalain mukaan Toimivaltaisten viranomaisten vastuulla oleviin henkilötietojen käsittelyn rikkomuksiin sovelletaan virkamies- ja rikosoikeudellisia seuraamuksia sekä vahingonkorvauksia koskevaa sääntelyä Laki sisältää omat muutoksenhakusäännökset
OIKEUSMINISTERIÖ www.oikeusministerio.fi Facebook: facebook.com/oikeusministerio Twitter: twitter.com/oikeusmin @oikeusmin Käyntiosoite: Eteläesplanadi 10, Helsinki Postiosoite: PL 25, 00023 Valtioneuvosto Vaihde: 029 516 001