Tietosuojalaki voimaan 1.1.2019 – mitä pitää tietää?

Uusi kansallinen Tietosuojalaki (1050/2018) tuli voimaan 1.1.2019 ja se täydentää viime toukokuussa voimaan tullutta EU:n yleistä tietosuoja-asetusta (General Data Protection Regulation, GDPR).

Samaan aikaan tietosuojalain kanssa tuli voimaan laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä (1054/2018), jolla saatettiin voimaan rikosasioiden tietosuojadirektiivi. Lakia sovelletaan poliisin tuomioistuimien, tullia ja muiden toimivaltaisten viranomaisten käsitellessä henkilötietoja rikosasiassa.

Mistä tietosuojalaissa säädetään?

Tietosuojalain tarkoituksena on täydentää ja täsmentää henkilötietojen käsittelyä koskevaa EU:n yleistä tietosuoja-asetusta. Tietosuojalaki ei muodosta itsenäistä sääntelykokonaisuutta vaan sitä tulee tulkita rinnakkain tietosuoja-asetuksen kanssa.

Keskeisimmät tietosuojalain säännökset koskevat kansallista valvontaviranomaisia, menettelysääntöjä hallinnollisten seuraamusmaksujen määräämisestä sekä henkilötietojen käsittelyä tietosuoja-asetuksen kansallisen liikkumavaran puitteissa.

Tietosuojalain mukaan toimivaltaisena valvontaviranomaisena Suomessa jatkaa tietosuojavaltuutetun toimisto. Nykyisen tietosuojavaltuutetun, Reijo Aarnion, rinnalle nimitetään kaksi apulaistietosuojavastaavaa. Tietosuoja-asetuksen mukaisen hallinnollisen seuraamusmaksun määrääminen kuuluu tietosuojavaltuutetun ja apulaistietosuojavaltuutetun muodostaman ns. seuraamuskollegion toimivaltaan. Tietosuojalaissa hallinnollinen seuraamusmaksu on rajattu koskemaan ainoastaan yksityistä sektoria. Perustelujen mukaan viranomaisille määrättävä hallinnollinen seuraamusmaksu on yleisen oikeusjärjestyksemme kannalta vieras menettely ja julkishallintoon kohdistuu muita erityisvaatimuksia kuten laillisuusperiaate ja virkavastuu. Kuitenkin esimerkiksi Ruotsissa hallinnollinen seuraamusmaksu voidaan määrätä julkiselle sektorille alennetuilla euromäärillä.

Tietoyhteiskunnan palvelujen tarjoamisen yhteydessä ilman vanhemman suostumusta tapahtuvan lapsen henkilötietojen käsittelemisen ikärajaksi on asetettu 13 vuotta. Lisäksi tietosuojalaissa täsmennetään tietosuoja-asetuksen liikkumavaran puitteissa henkilötunnuksen ja erityisten henkilötietoryhmien käsittelyä, käsittelyä journalistisiin tarkoituksiin sekä käsittelyä akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten.

Tiedossa tarkastuksia

Tietosuojalain voimaantulo korjasi tietosuojavaltuutetun toimivaltavajeen ja odotettavissa on, että tietosuojavaltuutetun toimisto aloittaa tarkastukset Suomessa. Useassa jäsenvaltiossa tarkastukset ovat jo aloitettu. Esimerkiksi Ruotsissa tietosuojaviranomainen (Datainspektionen) on suorittanut tähän mennessä jo useita satoja tietosuoja-asetukseen liittyviä tarkastuksia.

Valvontaviranomaiset ovat myös määränneet ensimmäisiä hallinnollisia seuraamusmaksuja tietosuoja-asetuksen velvoitteiden laiminlyönneistä. Saksalaista chattisivustoa Knuddels.de ylläpitävä yhtiö sai 20 000 euron sakot, joka on Saksan ensimmäinen tietosuoja-asetuksen perusteella annettu rangaistus. Myös muissa maissa on tutkinnassa useita rikkomuksia. Organisaatioiden on kuitenkin hyvä huomata, että muut hallinnolliset seuraamukset voivat joissakin tilanteissa olla jopa pahempi seuraus kuin varsinaiset sakot. Pahimmillaan lainvastaisesti käsitelty asiakasrekisteri voi joutua käyttökieltoon ja siten pysäyttää organisaation toiminnan.

Mitä seuraavaksi?

Euroopan unionissa on lisäksi valmisteilla sähköisen viestinnän tietosuojalaki (ePrivacy). Asetuksen tarkasta sisällöstä tai sen voimaantulosta ei vielä tarkempaa tietoa, mutta varmaa kuitenkin on se, että asetus tulee enemmin tai myöhemmin. ePrivacy tulee muuttamaan muun muassa sähköisen suoramarkkinoinnin sekä evästeiden asettamisen ja hyödyntämisen sääntelyä ja se vaikuttaa erityisesti mainonnan kohdentamiseen ja suoramarkkinointiin kuten sähköpostitse ja tekstiviesteillä tehtävään suoramarkkinointiin.

Tietosuoja-asetuksen ja tietosuojalain astuttua voimaan tietosuojatyö organisaatioissa on kääntynyt valmistautumisesta tietosuojan ylläpitämiseen ja kehittämiseen. Haasteina organisaatioissa tulee olemaan oikeuskäytännön ja viranomaisten ohjeistuksen seuraaminen, ajantasaisen dokumentaation ylläpitäminen ja tietojen suojaamisen varmistaminen.

Lue lisää aiheesta: ey.com/tietosuoja

 


Kirsi Putkonen
VT, Partner

kirsi.putkonen@fi.ey.com 

+358 50 548 0730

 

Jari Piittinen
Legal Intern

jari.piittinen@fi.ey.com

+358 40 162 4687