Oikeusministeriön TATTI-työryhmä sai vihdoin juhannuksen aikoihin valmiiksi ehdotuksen uudeksi tietosuojalaiksi, joka tulee korvaamaan vanhan henkilötietolain. Se tulee toimimaan EU:n uuden yleisen tietosuoja-asetuksen rinnalla, täydentäen siihen jätetyn kansallisen liikkumavaran. Tietosuojalaki tulee voimaan 25.5.2018, samaan aikaan kun tietosuoja-asetuksen soveltaminen aloitetaan.

On tärkeä ymmärtää, että sekä tietosuojalaki että -asetus toimivat jatkossa rinnakkain. EU:n yleinen tietosuoja-asetus on itsessään jo suoraan sovellettavaa lainsäädäntöä. Kansallinen tietosuojalaki ei siis korvaa sitä, vaan toimii sitä täydentävänä säädöksenä. Näiden suhteen puurot ja vellit menevät helposti sekaisin, kuten HS:n taannoisesta uutisesta koskien museoliiton huolestumista tietosuojalaista voi huomata: http://www.hs.fi/paivanlehti/03072017/art-2000005276463.html

Uusi käsittelyperuste lehdistönvapauden ylläpitämiseksi

Tietosuoja-asetuksen salliman liikkumavaran mukaisesti tietosuojalakiin on lisätty uusi peruste henkilötietojen käsittelylle: Henkilötietoja saa käsitellä jos kysymys on henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisössä, elinkeinoelämässä, järjestötoiminnassa tai muussa vastaavassa toiminnassa kuvaavista tiedoista. Vastaava käsittelyperuste on nykyisessä henkilötietolaissakin, joten tavoitteena on turvata sanan- ja tiedonvälityksen vapaus uuden tietosuojalain soveltamisen alettua.

Lisäksi tietosuojalaissa annetaan lukuisia poikkeuksia liittyen journalistisia, taiteellista tai akateemista tutkimusta varten kerätyn tiedon käsittelylle. Näin ollen jatkossakaan itseään koskevia epäedullisia uutisia ei voi poistattaa medioista vetoamalla tietosuoja-asetuksessa määriteltyihin rekisteröityjen oikeuksiin.

Lapsen ikäraja

Tietosuoja-asetuksessa lapsen ikärajamäärittely jätettiin kansallisesti päätettäväksi välille 13 – 16 vuotta. Tietosuojalaissa tämä jätetään edelleen auki kahden vaihtoehdon välille. Ikärajaksi tullaan valitsemaan joko 13 vuotta, joka olisi linjassa muiden pohjoismaiden kanssa (mm. Ruotsi), ja korostaisi nuorten oikeutta ilmaista itseään sosiaalisissa palveluissa ilman vanhempien myötävaikutusta. Toinen vaihtoehto on 15 vuotta, jota sovelletaan useassa muussa kansallisessa säädöksessä, esim. Rikoslaissa rikosoikeudellinen vastuuikäraja on 15 vuotta.

Vakuutusyhtiöille erikoisoikeuksia

Vakuutusyhtiöille annetaan eritysoikeus käsitellä vakuutettujen terveydentilaa, sairauksia tai hoitotoimenpiteitä koskevia tietoja, kun myös oikeus käsitellä vakuutettujen rikostuomioihin liittyviä tietoja.

Tietosuojavaltuutetun toimistosta tulee tietosuojavirasto

Tietosuojaviranomaisen tehtävien ja toimivaltuuksien laajenemisen myötä tietosuojavaltuutetun toimisto ehdotetaan muutettavaksi tietosuojavirastoksi. Koska työmäärä ja vastuut kasvavat selvästi, tietosuojavaltuutetun lisäksi virastoon tullaan nimeämään yksi tai useampi apulaistietosuojavaltuutettu.

Viraston henkilöstömäärää tullaan myös kasvattaman merkittävästi nykyisestä reilusta paristakymmenestä. Tietosuojavaltuutetun toimiston tekemän ehdotuksen mukaan lisätarve on vähintään 15 henkeä. Määrä ei kuullosta paljolta, muissa pohjoismaissa vastaavien, tietosuoja-asetuksista aiheutuvien henkilöstölisäysten määrä on vähintään kaksinkertainen.

Seuraamuslautakunta määrää sakoista

Tietosuojaviraston sisään perustetaan viisijäseninen seuraamuslautakunta. Sen tehtävänä on hallinnollisten sakkojen sekä käsittelykieltojen määrääminen. Rangaistukset ratkaistaan äänestämällä tietosuojavaltuutetun tekemän ehdotuksen pohjalta, jossa eniten ääniä saanut ehdotus voittaa. Tarvittaessa asian selvittelyssä voidaan käyttää suullista käsittelyä. Rekisterinpitäjä voi hakea muutosta päätökseen valittamalla hallinto-oikeuteen ja tämän jälkeen valitusluvalla korkeimmasta hallinto-oikeudesta.

Kotietsinnät myös mahdollisia tietosuojarikkomusten selvittämiseksi

Yleisen tietosuoja-asetuksen mukaan valvontaviranomaisella on oikeus päästä kaikkiin rekisterinpitäjän tai henkilötietojen käsittelijöiden tiloihin. Näin olen tämä käsittää myös rekisterinpitäjän/käsittelijöiden kodit, eli asetus jyrää tässä tapauksessa perustuslain kotirauhan suojan. Tarvittaessa tietosuojaviranomaiset voivat pyytää virka-apua esim. Poliisilta kotietsintöjen tekemiseksi.

Työtekijä voi ilmiantaa työnantajansa anonyymisti

Tietosuojalaissa on määritelty viranomaisia koskeva salassapitovelvollisuus, jos rikkomuksista ilmoittavan henkilölle katsotaan aiheutuvan tästä haittaa. Eli työntekijä voi ilmiantaa työnantajansa tietosuoja-asetuksen tai –lain rikkomisesta ilman pelkoa siitä, että hänen henkilöllisyytensä paljastuu.

Henkilötunnuksen käsittely säilyy ennallaan

Nykyisessä henkilötietolaissa on määritelty tilanteet, joissa henkilötunnuksen käsittely on sallittua. Tietosuojalaissa tämä nykyinen säätely halutaan pitää ennallaan. Henkilötunnuksen turhaa levittämistä halutaan myös rajoittaa. Mm. Postilähetyksiin, työvuoro- tai lomalistoihin tai yleisesti näkyvillä oleviin tulosteisiin ei saa laittaa henkilötunnuksia esille.

Rekisteröityjen oikeuksia karsitaan kun henkilötietoja käsitellään tieteellistä tai historiallista tutkimustarkoituksia sekä tilastollisia tarkoituksia varten

Rekisteröityjen tarkastus- oikaisu, vastustus –yms. oikeuksia karsitaan, jotta henkilötietojen käyttäminen tieteellisiin tai tutkimustarkoituksiin ei vaarannu. Poikkeaminen sallitaan kuitenkin vain, jos sille on hyvät perusteet kuten esim. tutkimussuunnitelma. Myös erityisten henkilötietojen kuten rikostuomioiden tai terveystietojen käsittely em. tarkoituksiin olisi sallittua.

Lisäksi on hyvä huomata, että käytettäessä henkilötietoja näihin tarkoituksiin, käsittelystä on tehtävä vaikutustenarviointi. Vaikutustenarviointi on toimitettava tietosuojavirastolle vähintään 30 päivää ennen käsittelyyn ryhtymistä.

Henkilötiedoista juoruaminen on edelleenkin kiellettyä

Rekisterinpitäjän tai henkilötietojen käsittelijän palveluksessa olevilla työntekijöillä on yleinen vaitiolovelvollisuus. Henkilökohtaisten tietojen lisäksi se koskee myös jonkun toisen henkilön liike- tai ammattisalaisuuksia.

Rikoslakiin tulee uusi säännös tietosuojarikoksesta joka korvaa henkilörekisteririkoksen

Koska tietosuoja-asetus mahdollistaa hyvinkin mittavien sakkojen määräämisen yrityksille/organisaatioille, henkilörekisteririkokseen määritelty laaja henkilötietojen käsittelyä koskeva kriminalisointi ei ole enää perusteltua. On kuitenkin katsottu tarpeelliseksi säätää rikoslakiin rangaistavaksi rekisterinpitäjän tai käsittelijän palveluksessa olevien henkilöiden joko tahallaan tai törkeällä huolimattomuudella tekemä lainvastainen henkilötietojen käsittely. Näitä ovat esim. Potilastietojen luvaton urkkiminen tai määriteltyjen tietoturvakontrollien rikkominen. Rangaistavaa olisi esim. menettely, jossa henkilö heittää pois henkilötietoja sisältäviä asiakirjoja huolehtimatta niiden tietoturvallisesta hävittämisestä.

Julkishallinnon organisaatioille ei määrätä sakkoja?

Tietosuoja-asetuksessa jätettiin kunkin jäsenvaltion päätettäväksi, voidaanko hallinnollisia sakkoja määrätä viranomaisille ja julkishallinnon organisaatioille. Ruotsissa tietosuojaviranomaisille on tulossa mahdollisuus sakkojen määräämiseen myös julkishallinnolle. Suomessa tämä asia on vielä auki, mutta TATTI-työryhmän ehdotus on että sakotusmahdollisuutta viranomaisten suuntaan ei tulisi.

Tässä oli siis tietosuojalain sisältö pääpiirteissään. Jos tarvitset apua tietosuojan kehittämisessä, niin ota yhteyttä!

 

 

Jätä sähköpostiosoitteesi ja saat tiedon uusimmista blogikirjoituksista