EU:n yleisen tietosuoja-asetuksen käsittely etenee

EY - Tilaajavastuulakimuutos 2015

Euroopan unionin (EU) oikeus- ja sisäasioiden neuvosto hyväksyi yleisnäkemyksen uudesta tietosuoja-asetuksesta 15.6.2015. Asetus, joka ei edellytä erillisiä voimaasaattamistoimia jäsenvaltioissa, vaikuttaa paitsi EU:n alueella toimiviin organisaatioihin myös niihin organisaatioihin, jotka toimivat EU:n ulkopuolella ja tarjoavat EU- kansalaisille tavaroita ja palveluita tai muutoin esim. valvovat EU-kansalaisten ostokäyttäytymistä.


Neuvosto suositteli ns. riskiperusteista lähestymistapaa, joka jättää rekisterinpitäjälle laajemman harkintavallan riittävän tietosuojan tason toteuttamiseksi. Rekisterinpitäjällä viitataan luonnolliseen tai oikeushenkilöön, joka yksin tai yhdessä muiden kanssa määrittelee paitsi henkilötietojen käyttötarkoituksen myös keinot henkilötietojen käyttämiseksi.

Nyt hyväksytty neuvoston yleisnäkemys toimii EU:n parlamentin ja komission kanssa käytävien ns. kolmikantaneuvottelujen pohjana. Näin ollen asetuksen sisältö voi vielä joiltakin osin muuttua neuvottelujen lopputuloksena. Tavoitteena on, että lopullinen päätös asetuksen hyväksymisestä annetaan tämän vuoden loppuun mennessä ja että asetus tulee voimaan kahden vuoden kuluttua lopullisen päätöksen julkistamisesta.

Viimeistään nyt kannattaakin alkaa kartoittaa, millaisia vaikutuksia asetuksella on oman organisaation henkilötietojen käsittelyyn liittyviin toimintatapoihin.

Tiivistelmä tietosuoja-asetuksesta (15.6.2015 tehtyjen muutosten jälkeen):

  • Tietosuojasäännösten rikkomuksesta määrättävän sakon suuruus tulee olemaan enintään miljoona euroa tai 2 prosenttia yrityksen vuotuisesta maailmanlaajuisesta liikevaihdosta. Tämä on vähemmän kuin Euroopan parlamentti alun pitäen ehdotti.
  • Rekisterinpitäjien lisäksi henkilötietojen käsittelijöiden (jotka toimivat rekisterinpitäjien puolesta) on huolehdittava henkilötietojen käsittelyn luottamuksellisuudesta. Henkilötietojen käsittelijöitä velvoittavat samat vaatimukset kuin rekisterinpitäjiä. Mikäli henkilötietojen käsittelijä laiminlyö velvollisuuteensa, voi valvontaviranomainen määrätä myös tälle sanktion. Lisäksi rekisteröidyllä on oikeus nostaa kanne henkilötietojen käsittelijää vastaan.
  • Rekisterinpitäjältä vaaditaan muun muassa kykyä osoittaa tietosuojasäännösten riittävä noudattaminen ja riittävien tietoturvamekanismien huomioiminen omassa toiminnassaan.
  • Kaikki tietoturvaloukkaukset on ilmoitettava valvontaviranomaiselle ilman aiheetonta viivytystä heti niiden tultua ilmi. Ilmoitus on tehtävä mahdollisuuksien mukaan 72 tunnin kuluessa tietoturvaloukkauksen ilmenemisestä. Samoin rekisteröidyille täytyy ilmoittaa, mikäli on todennäköistä, että tietoturvaloukkaus voi johtaa syrjintään, identiteettivarkauteen, petokseen tai taloudelliseen menetykseen.
  • Toisin kuin edellisessä EU:n parlamentin ja komission ehdotuksessa uudeksi tietosuoja-asetukseksi, tietosuojavastaavan nimittäminen ei enää uuden ehdotuksen mukaan ole pakollista. Sen sijaan jäsenvaltiot voivat omissa kansallisissa laeissaan asettaa tietosuojavastaavan nimittämisen rekisterinpitäjän velvollisuudeksi. Asetuksessa asetetaan mahdolliselle tietosuojavastaavalle tiettyjä ammatillisia pätevyysvaatimuksia.
  • Ehdotetun nk. yhden luukun periaatteen mukaisesti yritys, joka toimii useassa jäsenvaltiossa, voi halutessaan asioida vain yhden tietosuojaviranomaisen kanssa. EU:n tietosuojasääntelyn yhdenmukaisen soveltamisen varmistamiseksi perustetaan Euroopan tietosuojaneuvosto, joka muodostuu jäsenvaltioiden tietosuojaviranomaisista. Neuvosto voi tehdä päätöksiä sellaisissa merkittävissä asioissa, joissa on kyse henkilötietojen käsittelystä useamman jäsenvaltion alueella.
  • Asetuksen tarkoituksena on vahvistaa yksilön oikeutta valvoa omien henkilötietojensa käsittelyä, jolloin henkilö voi nykyistä helpommin mm. tarkistaa tietonsa eri rekistereistä ja pyytää poistamaan itseään koskevat tarpeettomat tiedot (ns. oikeus tulla unohdetuksi). Asetuksen tavoitteesta turvata tietojen vapaa liikkuvuus EU:n alueella seuraa, että (esimerkiksi sosiaalisen median verkostoja ylläpitävien) yritysten on sallittava tietojen siirto toiselle henkilötietojen käsittelijälle (esimerkiksi toiselle sosiaalisen median verkostolle).
  • Henkilötiedot on kerättävä jotakin tiettyä ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla.

Silja Järvinen


Silja JärvinenSilja Järvinen

email


Silja Järvinen toimii EY:n lakipalveluissa immateriaalioikeuksiin erikoistuneena juristina, joka avustaa asiakkaitamme erityisesti immateriaalioikeuksien suojaamiseen, hyödyntämiseen sekä puolustamiseen liittyvissä kysymyksissä Suomessa ja ulkomailla. Siljalla on usean vuoden kokemus muun muassa erilaisten kaupallisten sopimusten laadinnasta sekä niitä koskevista sopimusriidoista. Lisäksi Siljalla on osaamista tietosuoja-asioissa.

 


Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out / Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out / Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out / Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out / Muuta )

Muodostetaan yhteyttä palveluun %s