Oikeusministeröin vastine hallintovaliokunnalle osoitettuihin asiantuntijalausuntoihin asiassa U 21/2012 vp

Samankaltaiset tiedostot
HENKILÖTIETOJEN SUOJAA KOSKEVAN KANSALLISEN LAINSÄÄDÄNNÖN TARKISTAMINEN

Sääntelyuudistuksen merkitys. Lainsäädäntö ja hallinto Niina Harjunheimo MUISTIO 1 (6) Eduskunnan hallintovaliokunnalle

Henkilötietojen käsittely tietosuojalain voimaantulon viivästyessä

Lausun kunnioittavasti maa- ja metsätalousvaliokunnan lausuntopyynnön johdosta seuraavaa:

Tietosuoja-asetus ja sen kansallinen implementointi

Suurelle valiokunnalle

Avoin data ja tietosuoja. Kuntien avoin data hyötykäyttöön Ida Sulin, lakimies

Pilvipalvelut ja henkilötiedot

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

EU:N UUSI TIETOSUOJA- ASETUS

Kansallinen tietosuojalaki

Informaatiovelvoite ja tietosuojaperiaate

T E R H O N E V A S A L O

Mitä jokaisen pitää tietää EU:n tietosuoja-asetuksesta IAB Finland ry:n tietosuojaseminaari

HALLITUKSEN ESITYS EU:N YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAINSÄÄDÄNNÖKSI (HE 9/2018 vp)

Haminan tietosuojapolitiikka

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Henkilötietojesi käsittelyn tarkoituksena on:

EU:N UUSI TIETOSUOJALAINSÄÄ- DÄNTÖ

Kameravalvontarekisteri, Veho Oy Ab 1 (5) TIETOSUOJASELOSTE 1 YKSITYISYYTESI SUOJAAMINEN

Tietosuojanäkökulma biopankkilainsäädäntöön

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

WestStar Oy Aleksanterinkatu 17 B Lahti. Liite Henkilötietojen käsittely

Tietosuojauudistus lyhyesti. Antti Ketola, lakimies,

Tietosuojavaltuutetun toimiston tietoisku

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

Varustekorttirekisteri - Tietosuojaseloste

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

Euroopan unionin neuvosto Bryssel, 24. marraskuuta 2016 (OR. en)

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

Yhteinen eurooppalainen tietosuoja Apulaistietosuojavaltuutettu Jari Råman

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

Tietosuojaasiat. yhdistysten näkökulmasta

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

alueen turvallisuuden lisääminen; sekä

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

OIKEUSMINISTERIÖ OM1/41/ ^

10 Yksityiselämän suoja

EU:N TIETOSUOJA-ASETUKSET WALMU

Tiemaksut ja maksajan oikeusturva. Mirva Lohiniva-Kerkelä Dosentti, yliopistonlehtori Lapin Yliopisto

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

Euroopan unionin neuvosto Bryssel, 22. syyskuuta 2016 (OR. en)

Tampereen Aikidoseura Nozomi ry

Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

Tiedollinen itsemääräämisoikeus ja MyData

Tietosuoja-asetus Immo Aakkula Arkistointi

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

LAURA TM -rekrytointijärjestelmän tietoturva. Markku Ekblom Teknologiajohtaja Uranus Oy

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

LAUSUNTOLUONNOS. FI Moninaisuudessaan yhtenäinen FI. Euroopan parlamentti 2015/0068(CNS) oikeudellisten asioiden valiokunnalta

Lausunto Kuntayhtymien tehtävät puolestaan perustuvat kuntalain lisäksi kuntayhtymän perussopimukseen (kuntalaki 55 ja 56 ).

HPK Kannattajat ry. Tietosuojaseloste. EU:n tietosuoja-asetus (EU) 2016/679

Biopankkien toimintojen yhdistäminen. Lakiperusta

Asia EU/OSA; Ehdotukset neuvoston asetukseksi aviovarallisuussuhteista ja rekisteröityjen parisuhteiden varallisuussuhteista


Lausunto. Kansallisen liikkumavaran käyttö on perusteltua, eteenkin ottaen huomioon Suomen yhteiskunnan erittäin henkilötietotiheä rakenne.

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1277/031/2018

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

TIETOSUOJAVALTUUTETUN TOIMISTO

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

REKISTERINPITÄJÄN YLEINEN INFORMOINTIVELVOLLISUUS

Ehdotus NEUVOSTON DIREKTIIVI. direktiivien 2006/112/EY ja 2008/118/EY muuttamisesta Ranskan syrjäisempien alueiden ja erityisesti Mayotten osalta

Valokuva ja yksityisyyden suoja henkilötietolain kannalta

SÄHKÖPOSTIN KÄYTÖSTÄ SOSIAALIHUOLLOSSA

EU:n tietosuoja-asetus ja tutkittavan suostumus Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Avoin tiede ja tutkimus hankkeen ja

Tiedote yleisen tietosuoja-asetuksen mukaisista tiedonsiirroista sopimuksettoman brexitin tapauksessa

Tutkittavan informointi ja suostumus

TIETOSUOJASELOSTE 1/5. Suomen Pitkäkarvakerho ry:n jäsenten henkilötietojen käsittely

Työryhmän ehdotus hallituksen esitykseksi laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä

Euroopan komission ehdotus Euroopan parlamentin ja neuvoston asetukseksi (Eurodac-rekisteri) U 30/2016 vp ja UJ 4/2017 vp

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Henkilötietojen käsittelyn ehdot. 1. Yleistä

HALLITUKSEN ESITYS EU:N YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAINSÄÄDÄNNÖKSI (HE 9/2018 vp)

Valtuuskunnille toimitetaan oheisena asiakirja D049061/02.

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

3) rekisterissä olevia henkilötietoja käytetään yksinomaan historiallista tai tieteellistä tutkimusta taikka tilastointia varten; tai

Hallituksen esitys eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi HE

Sisällönhallinta, esteettämyys, henkilötiedot,

Sosiaali- ja terveysministeriö Kirjaamo PL VALTIONEUVOSTO. Sosiaali- ja terveysministeriön lausuntopyyntö STM015:00/2015

3.1. DialOk käsittelee Käsiteltäviä tietoja sopimuksen ja Asiakkaalta saatujen kirjallisten ohjeiden mukaisesti.

Valtuuskunnille toimitetaan oheisena asiakirja D043528/02.

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Tietosuojaseloste Espoon kaupunki

Lausunto NÄKEMYKSIÄ EU:N YLEISEN TIETOSUOJA-ASETUKSEN KANSALLISEEN SOVELTAMISEEN YLEISESTI

EUROOPAN UNIONIN NEUVOSTO. Bryssel, 15. marraskuuta 2012 (15.11) (OR. en) 16273/12 TRANS 397 SAATE

KANSALLISEN PARLAMENTIN PERUSTELTU LAUSUNTO TOISSIJAISUUSPERIAATTEESTA

Georg Mayer, Gilles Lebreton, Marie-Christine Arnautu, Mylène Troszczynski ENF-ryhmän puolesta

Rekisteriseloste, Espoon kaupunki

Transkriptio:

Lainvalmisteluosasto Julkisoikeuden yksikkö 9.6.2015 Hallintovaliokunta Oikeusministeröin vastine hallintovaliokunnalle osoitettuihin asiantuntijalausuntoihin asiassa U 21/2012 vp Oikeusministeriö esittää vastineena Elinkeinoelämän keskusliiton asiantuntijalausunnossa (2.6.2015), SAK:n asiantuntijalausunnossa (1.6.2015), emeritusprofessori Saarenpään asiantuntijalausunnossa (3.6.2015) sekä Kuntatyönantajien lausunnossa (9.6.2015) yleistä tietosuoja-asetusehdotusta koskevasta U-jatkokirjeestä esitettyihin kommentteihin seuraavaa. Oikeusministeriön vastineessa kiinnitetään huomiota erityisesti seuraaviin asioihin: 1) Kesäkuun OSA-neuvostossa hyväksyttävänä olevia lukuja koskevat huomiot, 2) tietosuojalainsäädännön yksinkertaistaminen ja yhdenmukaistaminen, 3) hallinnollinen taakka. Aluksi oikeusministeriö toteaa, että Suomi on pitänyt tärkeänä ja tarpeellisena EU:n tietosuojalainsäädännön oikeudellisen tietosuojakehikon uudistusta. Uudistus on tärkeä teknologian kehityksen johdosta. Erityisen tärkeä uudistuksen mukanaan tuoma yhtei- V:\HaV_tietopankki\Asiantuntijalausunnot\U_21_2012vp_jatkoXX\OM_Talus _09062015_U_21_2012vp_UJ_3_2015vp.docx Käyntiosoite Postiosoite Puhelin Faksi Sähköpostiosoite Kasarmikatu 25 PL 25 02951 6001 09 1606 7730 oikeusministerio@om.fi HELSINKI 00023 VALTIONEUVOSTO

2(8) nen eurooppalainen lainsäädäntö on niille, jotka toimivat useamman jäsenvaltion alueella. Uudistuksen tavoite on korkea henkilötietojen suojan taso. Yleisesti on huomattava, että EU-lainsäädäntöä ei ole mahdollista laatia siten, ettei uudistus aiheuttaisi minkäänlaisia muutoksia yhdenkään jäsenvaltion kansalliseen lainsäädäntöön. 1) Kesäkuun OSA-neuvostossa hyväksyttävänä olevat luvut (I, III, VIII, X ja XI) Kesäkuun OSA-neuvostossa hyväksyttävänä olevien lukujen osalta EK on kiinnittänyt erityisesti huomiota vahingonkorvausta koskevaan sääntelyyn, sanktiointiin sekä tietojen siirrettävyyttä koskevaan 18 artiklaan. EK on katsonut, että sääntely, jonka mukaan sekä rekisterinpitäjä että henkilötietojen käsittelijä olisivat kummatkin vahingonkorvauksen hakijaan nähden täydessä vastuussa vahingosta riippumatta omasta tuottamuksestaan, ei ole hyväksyttävissä. Vahingonkorvauksia koskevasta artiklasta neuvotellaan joiltain osin edelleen. Neuvoteltavana olevan artiklatekstin mukaan rekisterinpitäjän ja henkilötietojen käsittelijän yhteisvastuu voi syntyä ainoastaan tilanteissa, joissa molempien toiminta on johtanut vahingon syntymiseen. Sääntelyä ei tulisi rakentaa sellaiseksi, jossa rekisteröidyn olisi kohtuuttoman vaikeaa saada oikeutensa toteutetuksi. Hallinnollisia seuraamuksia koskevan sääntelyn osalta oikeusministeriö viittaa aikaisemmin U-jatkokirjeessä (28.5.2015) esittämäänsä. Voidaan myös todeta, että Suomi on paljoksunut hallinnollisten sakkojen enimmäismääriä, mutta enemmistö jäsenvaltioista on puoltanut sanktioiden enimmäismääriä komission esittämässä suuruudessa. Toisaalta SAK on hallintovaliokunnalle toimittamassaan asiantuntijalausunnossa katsonut, että sanktioiden tulee olla tarpeeksi tehokkaita, jotta niillä olisi sekä ennalta ehkäisevä että rankaiseva vaikutus. On myös otettava huomioon, että asetuksella säädetään ainoastaan sakkojen enimmäismäärästä. Jäsenvaltioiden viranomaisilla jää siten tältä osin harkinnanvaraa sakon suuruuden suhteen. Seuraamuksia määrättäessä on otettava huomioon yleiset oikeasuhtaisuuden vaatimukset. Tietojen siirrettävyyttä (18 artikla, data portability) koskevan artiklan osalta saavutettu neuvottelutulos vastaa valtioneuvoston 25.3.2013 päivätyssä U-jatkokirjeessä esittämää ja eduskunnan hyväksymää neuvottelutavoitetta. EK katsoo muistiossaan, että viimeisimmässä jatkokirjeessä kuvattu rekisteröidyn henkilötietolakiin nähden uusi oikeus siirtää tiedot järjestelmästä toiseen eli rekisterinpitäjän velvollisuus huolehtia em. oikeuden toteutumisesta vaikuttaa kuitenkin jatkokirjelmän tietojen valossa edelleen

3(8) ongelmalliselta etenkin, jos säännös pitää sisällään velvollisuuden mahdollistaa sähköisen asioinnin ja käyttää yhteensopivia järjestelmiä. Suomen neuvottelutavoitteen mukaan ehdotuksen taustalla oleva ajatus rekisteröidyn tiedollisesta itsemääräämisoikeudesta on sinänsä ymmärrettävä. Ehdotus on kuitenkin ilmaisultaan yleinen ja vaikeaselkoinen sekä soveltamisalaltaan laaja. Nykyisessä muodossaan ehdotuksessa jää lisäksi epäselväksi, pitäisikö järjestelmän, johon tiedot on tallennettu sekä järjestelmän, johon rekisteröity siirtää tietonsa, olla keskenään aina sillä tavoin yhteensopivia, että henkilötiedot ovat siirrettävissä sähköisesti järjestelmästä toiseen. Jos ehdotuksen tarkoituksena on asettaa tällainen oikeudellinen vaatimus kaikille luovutettavan tai vastaanottavan yksityisen ja julkisen sektorin henkilörekisterinpitäjille, ehdotukseen on suhtauduttava pidättyväisesti. Tällaisesta vaatimuksesta aiheutuisi huomattavia kustannuksia rekisterinpitäjille ja artiklan noudattaminen saattaisi osoittautua käytännössä mahdottomaksi ainakin ilman riittävää siirtymäaikaa. Artiklakohdan vaatimuksia tulee selventää jatkoneuvotteluissa. Eduskunnalle 28.5.2015 toimitetussa U-jatkokirjeessä todetaan, että Suomen tavoitteena on edelleen, että esimerkiksi johdanto-osan lausekkeessa tarkennetaan, että oikeudesta siirtää tiedot ei ole johdettavissa rekisterinpitäjälle velvoitetta yhteensopivien järjestelmien käyttämiselle. Puheenjohtajan 3.6.2015 päivättyyn kompromissiehdotukseen (9281/15) on lisätty Suomen ehdotuksesta johdanto-osan lauseke, jossa tarkennetaan, ettei tietojen siirrettävyyttä koskevasta 18 artiklasta johdu rekisterinpitäjälle velvollisuutta ottaa käyttöön tai ylläpitää järjestelmiä, jotka ovat keskenään yhteensopivia. 2) Tietosuojalainsäädännön yksinkertaistaminen ja yhdenmukaistaminen Elinkeinoelämän keskusliitto toteaa muistiossaan, että sillä käytettävissä olevien tietojen valossa vaikuttaa siltä, että neuvotteluissa ei ole saavutettu tavoitteita nykyistä yksinkertaisemmasta sääntelystä tai ymmärrettävästä ja helposti sovellettavasta lainsäädännöstä. Henkilötietojen suojaa koskevassa EU-tason sääntelyssä on kysymys moniulotteisesta, monimutkaisesta ja teknisesti vaikeasta kokonaisuudesta. Koska asiasta säädetään asetuksella, joka on suoraan sovellettavaa lainsäädäntöä, eikä kansallisesti täytäntöönpantavalla direktiivillä, sääntelyn on oltava paikoin yksityiskohtaistakin. Sääntelyn yksityiskohtaisuuteen vaikuttaa omalta osaltaan myös Suomen (ja Elinkeinoelämän keskusliiton 10.4.2012) kannan mukainen delegointi- ja täytäntöönpanovaltuuksien karsiminen asetustekstistä. Tämä on korostanut tarvetta riittävän yksityiskoh-

4(8) taiseen säätelyyn artiklatasolla. Myös PeV (12/2012 vp) on edellyttänyt, että erityisesti läheisesti perusoikeuksien toteutumiseen liittyvässä sääntelyssä vaatimusta keskeisten osien sisällyttämisestä lainsäätämisjärjestyksessä hyväksyttävään säädökseen on tulkittava laajasti. Tämä merkitsee sitä, että ainakin yksilön oikeuksien ja velvollisuuksien perusteista tulee säätää lainsäätämisjärjestyksessä hyväksyttävän asetuksen tasolla. Asetustekstiä on neuvotteluiden kuluessa myös selkeytetty ja yksityiskohtaista sääntelyä karsittu. Suomi on tehnyt neuvotteluissa lukuisia muutosehdotuksia asetustekstin yksinkertaistamiseksi ja selkeyttämiseksi. Artiklamuotoilut ovat kuitenkin useiden kompromissiratkaisujen tulos, kompromissiratkaisujen, joissa myös Suomen näkemykset on huomioitu. Eurooppalainen lainsäädäntö poikkeaa myös teknisesti kansallisesta lainsäädännöstä. Neuvottelutuloksen hyväksymisen edellytykseksi ei voitane asettaa vaatimusta kotimaisen lainkirjoittamiskulttuurin noudattamisesta. Elinkeinoelämän keskusliitto näyttäisi perustelevan asetuksen vaikeaselkoisuutta ristiriitaisesti myös kansallista liikkumavaraa koskevilla huomioillaan. Samaan aikaan Elinkeinoelämän keskusliitto on nimittäin pitänyt tärkeänä, että työelämän tietosuojasta voidaan vastaisuudessakin säätää kansallisella lailla. Kansallisten erityispiirteiden, kuten työelämän tietosuojan, huomioon ottaminen edellyttää kansallista liikkumavaraa. Asetukseen on myös lisätty uusi johdanto-osan lauseke 6a, joka selkeyttää asetuksen soveltamista kansallisella tasolla. (Where this Regulation provides for specifications or restrictions of its rules by Member State law, Member State may, as far as necessary for coherence and for making the national provisions comprehensible to the persons to whom they apply, incorporate elements of the Regulation in their respective national law.) 3) Hallinnollinen taakka Suomi on neuvotteluissa pyrkinyt aktiivisesti ratkaisuihin, joilla rekisterinpitäjän hallinnollista taakkaa ei kohtuuttomasti lisättäisi. Hallintovaliokunta on todennut, että tulisi pyrkiä ratkaisuihin, jotka vähentävät yritysten ja viranomaisten tarpeetonta hallinnollista taakkaa ja pitävät sääntelyn noudattamisen kokonaiskustannukset kohtuullisina siten, että samalla säilytetään tietosuojan korkea taso. Oikeusministeriö arvioi seuraavaksi EK asiantuntijalausunnossaan esiin nostamia rekisterinpitäjän velvoitteita, joista EK:n arvion mukaan seuraa hallinnollista taakkaa nykyti-

5(8) lanteeseen nähden. Hallinnollisen taakan kokonaisarvioinnissa on samalla muistettava, että henkilötietoasetuksen tavoitteena on suojata yksilöitä henkilötietojen käsittelyssä. Tällä hetkellä voimassa olevan henkilötietodirektiivin säätämishetkeen nähden tilanne on muuttunut Euroopan unionin perusoikeuskirjan hyväksymisen myötä. Henkilötietojen suoja on perusoikeuskirjassa vahvistettu perusoikeus. Myös SAK on asiantuntijalausunnossaan korostanut, että lainsäädännön on vahvistettava ihmisoikeuksia ja perusvapauksia. Myös professori Saarenpää on lausunnossaan korostanut henkilötietojen suojan perusoikeusulottuvuutta (s. 2). EK on hallintovaliokunnalle osoittamassaan lausunnossa katsonut rekisterinpitäjälle aiheutuvan uusia velvoitteita sisäänrakennettua ja oletusarvoista tietosuojaa koskevasta 23 artiklasta. Oikeusministeriö toteaa, että Suomen osana osittaista yleisnäkemystä lokakuussa 2014 hyväksymästä sisäänrakennettua ja oletusarvoista tietosuojaa koskevasta artiklasta ei seuraa merkittäviä muutoksia nykytilanteeseen nähden ja viittaa tältä osin myös professori Saarenpään lausuntoon. Saarenpää toteaa, että komission ehdotuksessa on myös joukko uusia käsitteitä. Pääosin niistä ei juurikaan seuraa muutoksia sääntelyn nykytilaan Suomessa. Esimerkiksi henkilötietojen suojan suunnittelu data protection by design on jo nykyisin rekisterinpitäjän nimenomainen velvollisuus. (s. 5). Henkilötietolaissa säädetty velvoite suojata tietoja (32 ) vastaa hyvin pitkälle sisäänrakennetun ja oletusarvoisen tietosuojaa koskevan artiklan ensimmäistä kohtaa. Henkilötietolaissa velvoitteet on kuitenkin määritelty yksityiskohtaisemmin. Lisäksi henkilötietolain henkilötietojen käytön suunnitteluvelvollisuudesta (6 ), käyttötarkoitussidonnaisuudesta (7 ) ja tarpeellisuusvaatimuksesta (9 ) seuraa rekisterinpitäjälle velvoitteita, jotka on otettava huomioon verrattaessa rekisterinpitäjälle tietosuojaasetuksesta johtuvaa hallinnollista taakkaa nykytilanteeseen. Sisäänrakennettua ja oletusarvoista tietosuojaa koskevan artikla poikkeaa joiltain osin henkilötietolain säännöksistä. Joiltain osin henkilötietolaissa rekisterinpitäjälle asetetaan yksityiskohtaisempia velvoitteita. Rekisterinpitäjän on esimerkiksi määriteltävä käsittelyn tarkoitus siten, että siitä ilmenee, minkälaisten rekisterinpitäjän velvoitteiden hoitamiseksi henkilötietoja käsitellään. Asetuksen 23 artiklassa ei ole vastaavaa velvoitetta. Toisaalta asetuksen mukaan ainoastaan käsittelytarkoituksen kannalta välttämättömiä henkilötietoja voidaan kerätä henkilötietolaissa kynnyksen jäädessä käsittelyn kannalta tarpeellisiin tietoihin. Kynnyksen nostamisesta tarpeellisista henkilötiedoista välttämättömiin henkilötietoihin ei kokonaistarkastelun valossa kuitenkaan seuraa suurta muutosta. Asetuksen myötä henkilötietojen käsittelyperustat laajenevat merkit-

6(8) tävästi henkilötietolaissa sallittuun nähden. Rekisterinpitäjä voi itse vastaisuudessa arvioida, milloin kyseessä on oikeutettu etu, jonka nojalla henkilötietoja voidaan käsitellä (artikla 6(1)(f)). Näin ollen em. muutoksesta ei seuraa merkittävää muutosta, sillä rekisterinpitäjä voi vastaisuudessa määritellä henkilötietojen käsittelytarkoituksen laajastikin. Artiklasta on neuvosto-käsittelyn aikana poistettu myös säädösvallan delegointia koskeva kohta. Article 23 Data protection by design and by default 1. ( ) Having regard to available technology and the cost of implementation and taking account of the nature, scope, context and purposes of the processing as well as the likelihood and severity of the risk for rights and freedoms of individuals posed by the processing, the controllers shall implement ( ) technical and organisational measures appropriate to the processing activity being carried out and its objectives, including data minimisation and pseudonymisation, in such a way that the processing will meet the requirements of this Regulation and protect the rights of ( ) data subjects. 2. The controller shall implement appropriate measures for ensuring that, by default, only ( ) personal data ( ) which are necessary for each specific purpose of the processing are processed; this applies to the amount of ( ) data collected, the extent of their processing, the period of their storage and their accessibility. Where the purpose of the processing is not intended to provide the public with information, those mechanisms shall ensure that by default personal data are not made accessible without human intervention to an indefinite number of individuals. 2a. An approved certification mechanism pursuant to Article 39 may be used as an element to demonstrate compliance with the requirements set out in paragraphs 1 and 2. 3. ( ) 4. ( ) Henkilötietolain 32 - Tietojen suojaaminen Rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä. Toimenpiteiden toteuttamisessa on otettava huomioon käytettävissä olevat tekniset mahdollisuudet, toimenpiteiden aiheuttamat kustannukset, käsiteltävien tietojen laatu, määrä ja ikä sekä käsittelyn merkitys yksityisyyden suojan kannalta. Sen, joka itsenäisenä elinkeinonharjoittajana toimii rekisterinpitäjän lukuun tai jolle rekisterinpitäjä luovuttaa tietoja teknisen käyttöyhteyden avulla, on ennen tietojen käsittelyyn ryhtymistä annettava rekisterinpitäjälle asianmukaiset selvitykset ja sitoumukset sekä muutoin riittävät takeet henkilötietojen suojaamisesta 1 momentissa tarkoitetulla tavalla. (11.5.2007/528)

7(8) EK on hallintovaliokunnalle osoittamassaan asiantuntijalausunnossa katsonut hallinnollista taakkaa aiheutuvat myös asetuksen 31 ja 32 artikloista, jotka koskevat velvollisuutta ilmoittaa tietoturvaloukkauksista. Valtioneuvoston 25.4.2013 päivätyssä U-jatkokirjeessä hyväksymän ja eduskunnan vahvistaman kannan mukaan tietoturvaloukkauksista ilmoittamista voidaan pitää peruteltuna velvollisuutena joissakin tapauksissa. Ilmoitusvelvollisuutta tulisi kuitenkin rajata komission asetusehdotuksessa esitettyä tarkemmin siten, että vähäpätöiset tietoturvaloukkaukset jäisivät selvästi ilmoitusvelvollisuuden ulkopuolelle. Tuntimäärään perustuvaa aikarajaa parempi vaihtoehto olisi velvollisuus ilmoittaa tietoturvaloukkauksesta ilman aiheetonta viivytystä. Suomen lokakuussa 2014 osana osittaista yleisnäkemystä hyväksymä neuvottelutulos vastaa neuvottelutavoitteita. Ilmoitusvelvollisuus koskee ainoastaan tietoturvaloukkauksia, joista voi aiheutua korkea riski rekisteröidyn oikeuksille. Lisäksi voidaan todeta, että ilmoitusvelvollisuus aktualisoituu ainoastaan tilanteissa, joissa tietoturvaloukkaus on tapahtunut. Ilmoitusvelvollisuus ei näin ollen koske kaikkia rekisterinpitäjiä näiden normaalissa henkilötietojen käsittelytoiminnassa. Edellä käsiteltyjen artikloiden lisäksi EK on katsonut hallinnollista taakkaa aihetuvan 26 artiklasta ja 33 artiklasta, jotka Suomi on hyväksynyt osana osittaista yleisnäkemystä lokakuussa 2014. Rekisterinpitäjän 33 artiklan mukainen velvollisuus arvioida henkilötietojen käsittelyn vaikutuksia aktualisoituu ainoastaan tilanteissa, joissa henkilötietojen käsittelyyn liittyy korkea riski. Velvollisuutta vaikutustenarviointiin ei ole tilanteissa, joissa henkilötietojen käsittelyperustasta säädetään tarkemmin Unionin lailla tai kansallisella lailla. Toisaalta nykyään henkilötietolain perusteella rekisterinpitäjällä on aina velvollisuus hakea henkilötietojen käsittelylle tietosuojalautakunnan lupa, jos rekisterinpitäjän oikeutettu etu ei mahdu henkilötietolain 8 :n tai 12 :n edellytysten sisälle, eikä siitä ei ole säädetty lailla (esim. Google Streetview). Määrättyjen edellytysten täyttyessä tietosuojalautakunta voi myöntää rekisterinpitäjälle luvan henkilötietojen käsittelyyn. Rekisterinpitäjän velvollisuus hakea em. lupaa henkilötietojen käsittelyyn näyttäisi olevan poistumassa kokonaan. Sääntely näyttäisikin tältä osin höllentyvän huomattavasti, sillä asetusehdotuksen 6(1)(f) artikla mahdollistaisi henkilötietojen käsittelyn rekisterinpitäjän oikeutetun edun perusteella. Kansallisessa lainsäädännössä henkilötietojen käsittelyn yleiset edellytykset on nykyisin määritelty hyvin paljon tarkkarajaisemmin.

8(8) Asetuksesta seuraa joitain uusia velvoitteita rekisterinpitäjälle. Hallinnollista taakkaa koskevassa kokonaisarviossa on toisaalta otettava myös huomioon henkilötietolakiin perustuvien velvoitteiden karsiutuminen tai kaventuminen. Edellä esitetyn lisäksi tällä hetkellä esimerkiksi kaikilla rekisterinpitäjillä on velvollisuus laatia rekisteriseloste. Uudistuksen myötä osa rekisterinpitäjistä on vapautumasta kokonaan tästä velvoitteesta. Kuten oikeusministeriö on aiemmin todennut, rekisteröityjen ihmisten henkilötietojen suojan ja rekisterinpitäjille tästä johtuvien velvollisuuksien kesken on saavutettu kohtuullinen tasapaino. AT

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute