MITEN KANSALLISTA LAIN SÄÄDÄNTÖÄMME PITÄÄ MUUTTAA EU:N YLEISEN TIETOSUOJA- ASETUKSEN VUOKSI?

Samankaltaiset tiedostot
Henkilötietojen käsittely tietosuojalain voimaantulon viivästyessä

HENKILÖTIETOJEN SUOJAA KOSKEVAN KANSALLISEN LAINSÄÄDÄNNÖN TARKISTAMINEN

Tietosuoja-asetus ja sen kansallinen implementointi

EU:N UUSI TIETOSUOJA- ASETUS

Tietosuojanäkökulma biopankkilainsäädäntöön

Euroopan unionin neuvosto Bryssel, 12. heinäkuuta 2016 (OR. en)

Työryhmän ehdotus hallituksen esitykseksi laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä

T E R H O N E V A S A L O

Avoin data ja tietosuoja. Kuntien avoin data hyötykäyttöön Ida Sulin, lakimies

Kansallinen tietosuojalaki

Tietosuojauudistus lyhyesti. Antti Ketola, lakimies,

TIETOSUOJAVALTUUTETUN TOIMISTO

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

Lausun kunnioittavasti maa- ja metsätalousvaliokunnan lausuntopyynnön johdosta seuraavaa:

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

Yksityisyydensuoja ja kirjaaminen. Itsemääräämisoikeus ja asiakirjat THL Liisa Murto Ihmisoikeuslakimies Kynnys ry/vike

Itsemääräämisoikeus ja yksityisyydensuoja

L 127. virallinen lehti. Euroopan unionin. Lainsäädäntö. 61. vuosikerta 23. toukokuuta Suomenkielinen laitos. Sisältö.

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

Tietosuojavaltuutetun toimiston tietoisku

- pienten ja keskisuurten yritysten ja järjestöjen valmennushanke

OIKEUSMINISTERIÖ OM1/41/ ^

HALLITUKSEN ESITYS EU:N YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAINSÄÄDÄNNÖKSI (HE 9/2018 vp)

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2135/03/2016 ' Opetus- ja kulttuuriministeriö

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

LAKIUUDISTUS TIETOSUOJAVALTUUTETUN TOIMISTON NÄKÖKULMASTA. Heljä-Tuulia Pihamaa Toimistopäällikkö

Ajankohtaista lainsäädännöstä Virpi Korhonen, lainsäädäntöneuvos

Eduskunnan lakivaliokunnalle

10 Yksityiselämän suoja

Ehdotus NEUVOSTON PÄÄTÖS

Data liiketoiminnan moottorina tietosuoja kilpailukyvyn vauhdittajana VTT:n media-aamiainen

Valokuva ja yksityisyyden suoja henkilötietolain kannalta

Tutkittavan informointi ja suostumus

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 221/03/2018 Lausunto

Euroopan unionin neuvosto Bryssel, 16. maaliskuuta 2017 (OR. en)

KANSALLISEN PARLAMENTIN PERUSTELTU LAUSUNTO TOISSIJAISUUSPERIAATTEESTA

Oikeudellisten asioiden valiokunta LAUSUNTOLUONNOS. sisämarkkina- ja kuluttajansuojavaliokunnalle

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

Case-esimerkkejä: henkilötietojen käsittelyn lainmukaisuus ja eettisyys

Tietosuoja-asetus Miten julkinen hallinto valmistautuu?

Tanja Jaatinen VN/3618/2018 VN/3618/2018-OM-2

Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS

Tiedollinen itsemääräämisoikeus ja MyData

REKISTERINPITÄJÄN YLEINEN INFORMOINTIVELVOLLISUUS

Ajankohtaista työelämän tietosuojasta Johanna Ylitepsa

EU:n tietosuoja-asetus ja tieteellinen tutkimus

MITÄ TIETOSUOJA TARKOITTAA?

Euroopan unionin neuvosto Bryssel, 22. syyskuuta 2016 (OR. en)

Tietosuoja-asetus Immo Aakkula Arkistointi

Oikeusministeriö PERUSMUISTIO OM LAVO Pohjalainen Anna(OM) Käsittelyvaihe ja jatkokäsittelyn aikataulu

Euroopan unionin neuvosto Bryssel, 21. toukokuuta 2019 (OR. en)

FI LIITE I LIITE HAKEMUS REKISTERÖIDYKSI VIEJÄKSI Euroopan unionin, Norjan, Sveitsin ja Turkin yleisiä tullietuusjärjestelmiä varten ( 1 )

LIITE. asiakirjaan. ehdotus neuvoston päätökseksi. ehdotuksesta energiayhteisön luettelon vahvistamiseksi energiainfrastruktuurihankkeista

Public. Kumppanuusforum Yksityinen terveydenhuolto EU:n yleinen tietosuoja-asetus / General Data Protection Regulation (GDPR) Perjantai 24.

Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI

Työelämän tietosuojalaki Johanna Ylitepsa

Oikeudellisten asioiden valiokunta ILMOITUS JÄSENILLE (33/2010)

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Euroopan unionin neuvosto Bryssel, 21. toukokuuta 2019 (OR. en)

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Euroopan tietosuojavaltuutettu

TIETOSUOJA SÄÄDÖKSISSÄ

Euroopan unionin neuvosto Bryssel, 12. huhtikuuta 2016 (OR. en) Jeppe TRANHOLM-MIKKELSEN, Euroopan unionin neuvoston pääsihteeri

Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Datan vapaa liikkuvuus EU:ssa komission asetusehdotus

Tietosuojaasiat. yhdistysten näkökulmasta

Kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunta LAUSUNTOLUONNOS. kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunnalta

PÄÄASIALLINEN SISÄLTÖ

Ehdotus NEUVOSTON PÄÄTÖS. ehdotuksesta energiayhteisön luettelon vahvistamiseksi energiainfrastruktuurihankkeista

Tietosuojanäkökulma biopankkilainsäädäntöön

Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS. Turkista peräisin olevien maataloustuotteiden tuonnista unioniin (kodifikaatio)

ASIAA TIETOSUOJASTA 4/ HENKILÖTIETOLAKI HENKILÖTIETOJEN KÄSITTELYN OHJAAJANA

KILOMETRIVERO JA TIETOSUOJA

Muutokset lakiin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007)

Laki yksityisyyden suojasta työelämässä

Mitä rekisteriviranomaisen pitää ottaa huomioon henkilötietoja luovuttaessaan?

Teknologia avusteiset palvelutverkostopalaveri

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

Euroopan unionin neuvosto Bryssel, 24. marraskuuta 2016 (OR. en)

WestStar Oy Aleksanterinkatu 17 B Lahti. Liite Henkilötietojen käsittely

EU TIETOSUOJA- ASETUS

Sote-asiakastietojen käsittely

Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI

Rikosoikeuden professori Sakari Melander Helsingin yliopisto Oikeustieteellinen tiedekunta Eduskunnan perustuslakivaliokunnalle

LAUSUNTO TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2302/03/17. Sosiaali- ja terveysministeri

Varhaiskasvatusjohtaja Raili Liukkonen. Yhteystiedot Puh Nimi ja tehtävänimike

Ajankohtaista tietosuoja-asetuksesta

Euroopan unionin neuvosto Bryssel, 28. toukokuuta 2018 (OR. en) Euroopan komission pääsihteerin puolesta Jordi AYET PUIGARNAU, johtaja

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Työryhmän ehdotus hallituksen esitykseksi laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä

Ehdotus NEUVOSTON DIREKTIIVI

Ehdotus NEUVOSTON DIREKTIIVI. direktiivien 2006/112/EY ja 2008/118/EY muuttamisesta Ranskan syrjäisempien alueiden ja erityisesti Mayotten osalta

Datan avaamisen reunaehdot. Katri Korpela Projektipäällikkö 6Aika - Avoin data ja rajapinnat

Pilvipalvelut ja henkilötiedot

Euroopan unionin neuvosto Bryssel, 21. helmikuuta 2017 (OR. en)

Tiedon hallinnan ajankohtaispäivä 11.4 Ylitarkastaja, Tomi Kytölä

Transkriptio:

MITEN KANSALLISTA LAIN SÄÄDÄNTÖÄMME PITÄÄ MUUTTAA EU:N YLEISEN TIETOSUOJA- ASETUKSEN VUOKSI? Olli Pitkänen, Päivi Korpisaari & Rauno Korhonen 1 Johdanto Nykyinen henkilötietodirektiivi on tullut voimaan vuonna 1995, jolloin henkilötietojen käsittelyn tekninen toimintaympäristö ja tietojärjestelmissä käsiteltävät tietomäärät olivat hyvin toisenlaiset nykypäivään verrattuna. Internet nykymuodossaan otti 90-luvun alkupuolella henkilötietodirektiiviä valmisteltaessa vasta alkuaskeliaan. Internetin nykyiselle tehokkaalle käytölle olennainen Sir Tim Berners-Leen kehittelemä world wide web hypertekstilinkkeineen alkoi tulla laajempaan käyttöön 1990-luvun puolivälissä ja loppupuolella. Vielä tuolloin ei nykyisiä verkkopalveluita tai niiden tietosuojalle aiheuttamia haasteita ollut olemassa. Erilaiset internetin verkkosivustot, sosiaalisen median palvelut, pilvipalvelut, sijaintia hyväksikäyttävät sovellukset, älypuhelimet ja älykortit ovat johtaneet henkilötietojen keräämisen, hyödyntämisen ja muunlaisen käsittelyn räjähdysmäiseen kasvuun. 1 Henkilötietodirektiivi (46/1995/EY) on saatettu voimaan jokaisessa Euroopan unionin jäsenvaltiossa kansallisella lailla, minkä vuoksi rekisterinpitäjään ja henkilötietojen käsittelytehtäviin liittyvät käytännön toimenpiteet saattavat huomattavasti vaihdella eri jäsenvaltioissa. Esimerkiksi tilanteet, joissa rekisterinpitäjällä on ilmoitusvelvollisuus paikalliselle tietosuojaviranomaiselle, poikkeavat suuresti 1 Pitkänen, Tiilikka, Warma: Henkilötietojen suoja, Talentum, 2013, s. 9 10; EU:n yleinen tietosuoja-asetus (EU) 2016/679, johdanto-osan (6) kappale. 1

eri jäsenvaltioissa. Tästä johtuen henkilötietojen käsittelyyn liittyvien säännösten noudattaminen monikansallisissa yrityksissä on monimutkaista, kallista ja vaikeaa. Jäsenvaltioiden lainsäädäntöjen väliset erot ovatkin aiheuttaneet epätietoisuutta ja lisänneet hallinnollisia kustannuksia, millä on vaikutuksia myös Euroopan unionin taloudelliseen kilpailukykyyn. Tämän vuoksi syntyi tarve säännöstöön, joka edesauttaisi EU:n jäsenvaltioiden digitaalisen talouden kehittämistä ja varmistaisi, että EU:n perusoikeuskirjan 8 artiklassa tunnustettu oikeus henkilötietojen suojaan turvataan myös digitaaliaikana. Edellä mainituista syistä EU:ssa ryhdyttiin valmistelemaa uutta tietosuoja-asetusta, joka korvaisi henkilötietodirektiivin. EU:n yleisen tietosuoja-asetuksen tavoitteina olivat yksilön oikeuksien ja vapauksien vahvistaminen, EU:n digitaalisten sisämarkkinoiden tiivistäminen ja kaupankäynnin lisääminen, tietosuojan globaalin ulottuvuuden huomioon ottaminen sekä tietosuojanormiston täytäntöönpanon ja sen valvonnan tehostaminen. Asetuksella pyrittiin luomaan Euroopan unionille nykyaikainen, vahva, yhtenäinen ja kattava tietosuojalainsäädäntö. Tietosuojan ohella haluttiin parantaa kuluttajien luottamusta online-palveluihin ja siten edistää EU:n digitaalisten sisämarkkinoiden kehittämistä. 2 EU:n yleinen tietosuoja-asetus (EU) 2016/679 hyväksyttiin 14.4.2016 Euroopan parlamentin ja neuvoston päätöksillä ja sitä ryhdytään soveltamaan 25.5.2018. Asetus on suoraan sovellettavaa oikeutta ja se korvaa vuonna 1995 annetun henkilötietodirektiivin. Asetuksessa säädetään mm. henkilötietojen käsittelyä koskevista periaatteista, käsittelyn lainmukaisuudesta, rekisterinpitäjän ja henkilötietojen käsittelijän velvoitteista ja vastuista, rekisteröiden suostumuksen edellytyksistä ja arkaluonteisten tietojen käsittelystä. Oikeusministeriö nimitti 17.2.2016 työryhmän selvittämään EU:n yleisen tietosuoja-asetuksen edellyttämien kansallisten lainsäädäntötoimien tarvetta ja valmistelemaan tarvittavia lainmuutoksia. Työryhmän tulee ensinnäkin selvittää tietosuoja-asetuksen edellyttämien kansallisten lainsäädäntötoimenpiteiden tarve sekä erityisesti se, onko henkilötietolain (523/199) kaltaiselle yleislaille tarvetta ja valmistella ehdotus asiasta mahdollisesti tarvittavaksi yleiseksi lainsäädännöksi. Toisekseen sen tulee selvittää, onko kansallista tietosuojaviranomaista 2 EU:n yleinen tietosuoja-asetus (EU) 2016/679, johdanto-osan (7) ja (9) kappaleet. 2

koskevaa lainsäädäntöä tarpeen tarkistaa ja valmistella tätä koskeva ehdotus. Työryhmän tulee myös esittää periaatteet tietosuoja-asetuksen jättämän kansallisen liikkumavaran käytöstä sekä koordinoida ja avustaa henkilötietojen käsittelyä koskevan erityislainsäädännön tarkistamistyötä. Työryhmässä pyritään välttämään kansallista lisäsääntelyä ja turvaamaan tietojen siirtämistä viranomaisten välillä. Lisäksi pyritään luopumaan tarpeettomasta erityissääntelystä. 3 Tietosuoja-asetuksen säätämisen yhteydessä annettiin EU:n parlamentin ja neuvoston direktiivi (EU) 2016/680 luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (tietosuojadirektiivi). Sekaannusten välttämiseksi on hyvä huomata, että myös vuoden 1995 henkilötietodirektiivistä on puhekielessä ja oikeuskirjallisuudessa käytetty nimikettä tietosuojadirektiivi. 4 Osana tietosuojalainsäädännön kansallista toimeenpanoa Valtioneuvoston kanslia rahoitti EU:n yleisen tietosuoja-asetuksen (2016/679) kansallista toimeenpanoa selvittäneen erillishankkeen, jossa IPR University Centerin, Helsingin yliopiston, Lapin yliopiston ja Tampereen yliopiston tutkijat kävivät läpi lähes 800 säädöstä ja arvioivat, ovatko ne sopusoinnussa tietosuoja-asetuksen kanssa. Henkilötietolakia ei arvioitu. Tässä kirjoituksessa kuvataan tämän selvitystyön tulokset. 5 3 http://oikeusministerio.fi/fi/index/valmisteilla/lakihankkeet/ informaatiooikeus/henkilotietojensuojakansallisenlainsaadannontarkistaminen_0.html 4 Oikeusministeriö on 12.1.2017 asettanut päätöksellään työryhmän valmistelemaan tämän uudemman EU:n tietosuojadirektiivin täytäntöönpanoa. (OM 21/41/2016) 5 Kirjoittajista Olli Pitkänen ohjasi projektissa tutkimusapulaisten työtä ja kaikki kirjoittajat osallistuivat asiantuntijapaneeliin. Päivi Korpisaari on lisäksi jäsenenä oikeusministeriön 17.2.2016 nimittämässä työryhmässä, joka selvittää EU:n yleisen tietosuoja-asetuksen edellyttämien kansallisten lainsäädäntötoimien tarvetta ja valmistelee tarvittavia lainmuutoksia. 3

2 Selvityksen tekeminen 2.1 Lähtökohdat Henkilötietolainsäädännön tarkoituksena on toteuttaa yksityiselämän suojaa ja muita yksityisyyden suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä sekä edistää hyvän tietojenkäsittelytavan kehittämistä ja noudattamista. Henkilötiedolla tarkoitetaan kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi. 6 Digitalisoituvassa yhteiskunnassa henkilötietojen käsittely lisääntyy nopeasti, se käy yhä tärkeämmäksi eikä kukaan voi välttyä siltä. Nykyinen EU:n tietosuojadirektiivi on harmonisoinut jäsenmaiden tietosuojalainsäädäntöjä, mutta niihin on myös jäänyt runsaasti tilaa kansallisille eroavaisuuksille. 7 EU:n uusi yleinen tietosuoja-asetus määrittää kaikkiin jäsenmaihin yhteisen lainsäädännöllisen kehyksen henkilötietojen käsittelylle. Asetuksena se on lähtökohtaisesti sellaisenaan voimassaolevaa oikeutta kaikissa jäsenmaissa eikä kansallinen lainsäädäntö voi olla sen kanssa ristiriidassa. Siksi on tärkeää käydä läpi kansalliset säädökset ja selvittää asetuksen niihin aiheuttamat muutostarpeet. Samalla on tarpeen pohtia, miten asetuksen suomaa kansallista liikkumavaraa tulee käyttää. Suomessa henkilötietojen suojan sääntely on varsin sirpaleista. Voimassa olevassa lainsäädännössä on henkilötietolain lisäksi paljon muita henkilötietojen käsittelyä koskevia lakeja ja yksittäisiä säännöksiä, joita on valmisteltu eri hallinnonaloilla. Näitä henkilötietojen käsittelyä sisältäviä säädöksiä on yhteensä lähes 800. 2.2 Selvityksen tavoitteet ja menetelmät Valtioneuvoston kanslia myönsi keväällä 2016 rahoituksen hankkeelle, jossa Tampereen yliopisto selvittää yleisen tietosuoja-asetuksen yri- 6 Henkilötietolain (523/1999) 1 ja 3 :n 1 momentin 1 kohta. 7 Pitkänen, O., Tiilikka, P., Warma, E.: Henkilötietojen suoja, Talentum, 2013, s. 28. 4

tysvaikutuksia ja IPR University Center (Svenska handelshögskolan), Helsingin yliopiston oikeustieteellinen tiedekunta ja Lapin yliopiston oikeustieteiden tiedekunta yhdessä selvittävät nykyisen lainsäädäntömme muutostarpeita. Tämä artikkeli kuvaa hankkeen jälkimmäisen osuuden tuloksia: mitkä ovat tietosuoja-asetuksesta johtuvat muutostarpeet kansalliseen lainsäädäntöön. Hankkeeseen palkattiin kuusi oikeustieteen ylioppilasta tutkimusapulaisiksi. He olivat Laura Lammassaari, Jussi Latola, Eerika Majamaa, Heidi Moisala, Petra Ruuska ja Iiro Suomalainen. Ministeriöiltä saatiin luettelot arvioitavista säädöksistä, joita oli kaiken kaikkiaan 755 kappaletta. Näistä puuttui 57 verosäädöstä, jotka arvioitiin erikseen. Yhteensä siis säädöksiä arvioitiin 812 kappaletta. Henkilötieto laki rajattiin arvioinnin ulkopuolelle, koska sen muutostarve selvitetään oikeusministeriössä erikseen. 8 Hankkeen yhteydessä ei ole myöskään arvioitu erityissäännösten tarpeellisuutta tai välttämättömyyttä, vaan asetuksenmukaisuudessa on arvioitu käsittelyn oikeudellista perustaa. Olli Pitkänen rakensi Google Sheets -perustaisen järjestelmän, jossa tutkimusapulaisille jaettiin säädökset arvioitaviksi ja he pystyivät internetin kautta vastaamaan niitä koskeviin kysymyksiin ja esittämään niistä arvionsa. Tutkimusapulaisille järjestettiin alkuseminaari, jossa heidät perehdytettiin arviointitehtävään. Lisäksi järjestettiin useita tapaamisia, joissa tutkimusapulaiset kertoivat edistymisestään ja yhdessä pohdittiin ongelmalliseksi osoittautuneita säännöksiä. Näihin tapaamisiin osallistuivat ja tutkimusapulaisia neuvoivat myös Pekka Nurmi ja Anu Talus oikeusministeriöstä sekä Maria Aholainen ollessaan liikenne- ja viestintäministeriön palveluksessa. Asiantuntijapaneeli, johon kuuluivat professori Päivi Korpisaari Helsingin yliopistosta, professori Rauno Korhonen Lapin yliopistosta, EU-erityisasiantuntija Anu Talus oikeusministeriöstä ja tutkimusjohtaja Olli Pitkänen IPR University Centeristä, kävi läpi tutkimusapulaisten tekemän arvion ja nosti esiin jäljempänä esitettäviä keskeisiä havaintoja sekä tarkisti myöhemmin hankkeen raportin. 8 Tässä vaiheessa näyttää siltä, että henkilötietolain tilalle tulee suppeampi henkilötietojen käsittelyä sääntelevä yleislaki, jossa säädetään henkilötietojen käsittelystä siltä osin kuin kansallista liikkumavaraa käytetään tai asioista on pakko antaa täsmällisempää kansallista sääntelyä. 5

Selvityksen tavoitteena oli tuottaa perusteltu arvio tietosuojaasetuksesta johtuvista muutostarpeista kansalliseen lainsäädäntöön. Hankkeen oheistuloksena Suomeen saatiin myös joukko uusia tietosuojaosaajia, kun tutkimusapulaisten joukko on ensin koulutettu ja sitten itse perehtynyt tietosuojalainsäädäntöön. Selvityksestä on hyötyä ministeriöille, eduskunnalle ja muille lainvalmisteluun osallistuville tahoille. Sen tuottamaa tietoa voidaan hyödyntää myös lainkäytössä sekä yrityksissä ja muissa organisaatioissa, joissa etenkin asetuksen sanktiosäännösten vuoksi joudutaan entistä enemmän kiinnittämään huomiota tietosuojalainsäädäntöön. Yliopistot sekä muut tutkimus- ja oppilaitokset voivat hyödyntää hankkeen tuloksia tutkimuksessaan ja opetuksessaan. 3 Keskeiset havainnot Säädösten arvioinnin keskeisin havainto oli, että suurimmaksi osaksi säädökset ovat jo valmiiksi yhteensopivia tietosuoja-asetuksen kanssa. Erot direktiivin ja asetuksen vaatimusten välillä osoittautuivat tässä suhteessa melko pieniksi. Vaikein kysymys oli yleisen tietosuoja-asetuksen 9 artiklassa säädetty arkaluonteisten tietojen käsittelyn perusteiden kansallinen liikkumavara. Arkaluonteisia tietoja koskevien Suomessa voimassa olevien säännösten tarpeellisuus on niitä arvioitaessa yleensä varsin ilmeistä, mutta voi olla hyvin vaikea sanoa, minkä asetuksen 9 artiklassa säädetyn perusteen mukainen kansallinen säännöksemme on vai onko arkaluonteisten tietojen käsittelylle lainkaan tietosuoja-asetuksen mukaista perustetta. Erityisen hankalasti tulkittava on yleinen etu tietosuoja-asetuksen 9. Artiklan (2)(g) kohdassa. Joistakin yksittäisistä säädöksistä löytyi tietosuoja-asetuksen näkökulmasta korjausta vaativia säännöksiä. Niistä on syytä nostaa esiin erityisesti vaalilain (714/1998) 24 ja työsuojeluhenkilörekisteristä annetun lain (1039/2001) 2. Vaalilain 24 3 momentti kuuluu: Jos äänioikeutetun kotikuntalaissa tarkoitettu muuttoilmoitus saapuu maistraatille myöhemmin kuin 51. päivänä ennen vaalipäivää, äänioikeutettu ei tämän muuttoilmoituksen perusteella voi vaatia oikaisua äänioikeusrekisterissä oleviin häntä koskeviin 18 :n 2 momentin 3 6 kohdassa tarkoitettuihin tietoihin. Säännös on epäilemättä järkevä vaalilainsäädännön 6

näkökulmasta: vaaleja ennen tarvitaan rauhoitusaika, jolloin äänioikeutettu ei enää voi vaihtaa vaalipiiriä tai äänestyspaikkaa ja jolloin vaalit saadaan valmisteltua asianmukaisesti. Tietosuojalainsäädännön näkökulmasta säännös on kuitenkin ongelmallinen. Sanamuotonsa perusteella se näyttäisi tarkoittavan sitä, ettei rekisteröidyllä tuolloin ole oikeutta korjata äänioikeusrekisterissä olevia tietoja. Säännöksen sanamuotoa tulisi muuttaa siten, että rekisteröidyllä on aina oikeus korjata tietonsa, mutta juuri ennen vaaleja tehdyt korjaukset eivät enää vaikuta äänioikeuden käyttämiseen näissä vaaleissa. Työsuojeluhenkilörekisteristä annetun lain 2 :n 3 momentin mukaan [r]ekisteröidyllä on oikeus kieltää ammattiliiton jäsenyystiedon ilmoittaminen rekisteriin. Ammattiliiton jäsenyys on arkaluonteinen henkilötieto. Sitä koskee yleisen tietosuoja-asetuksen 9 artikla. Lähtökohta on, että arkaluonteisten tietojen käsittely on kiellettyä, ellei rekisteröity ole antanut siihen nimenomaista suostumustaan tai jokin muu 9 artiklan poikkeuksista sovellu tilanteeseen. Nykyisessä muodossaan lain työsuojeluhenkilörekisteristä 2 3 mom. näyttää ongelmalliselta tietosuoja-asetuksen 9 artiklan kannalta, koska kielto-oikeuden sijaan arkaluonteisten tietojen käsittelyn perustaksi pitäisi säätää etukäteen annettu nimenomainen suostumus, ellei joku muu artiklan kohta mahdollista arkaluonteisten tietojen käsittelyä. Tässä tapauksessa 9(2)(d) kohta saattaisi soveltua, mutta se on epäselvää, koska rekisterinpitäjä on ministeriö eikä rekisteröidyn suhdetta ministeriöön välttämättä voida pitää sellaisena kuin mainitussa kohdassa on edellytetty: käsittely koskee ainoastaan näiden yhteisöjen jäseniä tai entisiä jäseniä tai henkilöitä, joilla on yhteisöihin säännölliset, yhteisöjen tarkoituksiin liittyvät yhteydet. Niinpä selkeintä olisi muuttaa säännöstä niin, että ammattiliiton jäsenyystiedon käsittely perustuisi 9(2)(a) kohdan mukaisesti etukäteen annettuun nimenomaiseen suostumukseen. Myös biopankkilaki (688/2012) osoittautui ongelmalliseksi tietosuoja-asetuksen näkökulmasta (mm. suostumus, tietojen saannin maksullisuus), mutta koska lakia ollaan jo uudistamassa tietosuoja-asetusta vastaavaksi, sen yksityiskohtaisempi käsittely ei ole tässä tarpeen. Hankkeen 348-sivuinen raportti, jossa käydään läpi kaikki arvioidut säädökset ja esitetään niitä koskevat huomiot, on julkaistu Valtioneuvoston selvitys ja tutkimustoiminnan julkaisusarjassa. 9 9 Pitkänen, O. (toim.) Tietosuojasäädösten muutostarve, Valtioneuvoston 7

Asiantuntijapaneeli katsoi, että ministeriöiden olisi raportissa esitettyjen kommenttien pohjalta vielä aiheellista tarkistaa oman alansa lainsäädännön henkilötietojen käsittelylle säätämä oikeusperusta ja sallittavuus kiinnittäen huomiota erityisesti arkaluonteisiin tietoihin ja suostumuksen tarpeellisuuteen mm. yleisen tietosuoja-asetuksen 6, 7 ja 9 artiklojen pohjalta. 4 Lopuksi Eurooppalainen ja kansallinen tietosuojalainsäädäntö on voimakkaan muutoksen alla. Meillä Suomessa säädettiin kansallisena ratkaisuna laaja tietoyhteiskuntakaari (917/2014), joka voimaan tullessaan vuoden 2015 alussa kumosi useita merkittäviä säädöksiä kuten esimerkiksi sähköisen viestinnän tietosuojalain (516/2004 ). Tämän taustalla on puolestaan EU:n sähköisen viestinnän tietosuojadirektiivi vuodelta 2002. EU:n komissio julkisti 10.1.2017 ehdotuksen uudeksi sähköisen viestinnän tietosuoja-asetukseksi 10, jolla on tarkoitus kumota edellä mainittu sähköisen viestinnän tietosuojadirektiivi. Nähtäväksi jää mm. se, millaisia muutoksia tullaan tarvitsemaan varsin tuoreeseen tietoyhteiskuntakaareen. Vaikka EU:n yleinen tietosuoja-asetus henkilötietojen käsittelyn perusteiden osalta onkin melko samanlainen kuin henkilötietodirektiivi ja Suomen lainsäädäntö näin ollen jo valmiiksi hyvin sopusoinnussa asetuksen kanssa, niin asetus tuo muilta osin isoja muutoksia. Näistä merkittävin on, että asetuksen vaatimusten noudattamatta jättämisestä voi tulevaisuudessa seurata ankarat taloudelliset sanktiot, mikä pakottaa rekisterinpitäjät jatkossa paremmin noudattamaan sellaisiakin sääntöjä, joihin ne ovat aikaisemin voineet suhtautua välinpitämättömästi. Niinpä organisaatioiden kannattaa aloittaa ajoissa valmistautuselvitys ja tutkimustoiminnan julkaisusarja, 2017. 10 Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/ EC (Regulation on Privacy and Electronic Communications). Brussels, 10.1.2017. COM (2017) 10 final. 8

minen tietosuoja-asetuksen soveltamiseen. 11 Erityisesti julkishallinnon osalta asetuksessa on useissa kohdin huomattavasti kansallista liikkumavaraa, jonka käytöstä säädetään kansallisella lainsäädännöllä. Näitä uusia kansallisia säännöksiä koskeva hallituksen esitys pyritään antamaan toukokuun 2017 lopussa. 11 Miten valmistautua EU:n tietosuoja-asetukseen? Tietosuojavaltuutetun toimisto, 2017, http://www.tietosuoja.fi/material/attachments/ tietosuojavaltuutettu/ tietosuojavaltuutetuntoimisto/oppaat/br8oajyyj/miten_valmistautua_eun_ tietosuoja-asetukseen.pdf. 9

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute