Kansallinen tietosuojalaki astuu voimaan 1.1.2019

13.12.2018

EU:n tietosuoja-asetusta (GDPR) täydentävä uusi tietosuojalaki hyväksyttiin marraskuussa eduskunnassa ja tasavallan presidentti vahvisti lain 5.12. Kansallista lakia sovelletaan rinnakkain toukokuun lopussa voimaan tulleen GDPR:n kanssa, ja sillä lähinnä täsmennetään ja säädetään joiltain osin poikkeuksia asetukseen.

Elinkeinoelämän näkökulmasta kansallisesta tietosuojalaista nousee esille erityisesti seuraavat huomiot:

Tietosuojaviranomainen

Tietosuojavaltuutetulle keskitetään kaikki GDPR:n mukaiset valvontatehtävät ja sen johdosta asiamäärän kasvaessa tietosuojavaltuutetun toimistoon perustetaan lisäksi kaksi apulaisvaltuutetun virkaa. Tällä kolmen hengen seuraamuskollegiolla on toimivalta määrätä hallinnollinen seuraamusmaksu säännösten rikkomisesta. GDPR:ään perustuva hallinnollinen seuraamusmaksu on suuruudeltaan lievimmissä rikkomukissa 10 MEUR tai 2 % yrityksen kokonaisliikevaihdosta ja vakavammissa tuplat, eli 20 MEUR tai 4 % .

Eduskuntakäsittelyssä kuitenkin hallintovaliokunta lisäsi mietintöönsä lausuman, jonka mukaan valtioneuvoston tulee selvittää tulisiko tietosuojaviranomaisen organisaatio kehittää virastomalliseksi ja tarvittaessa valmistella tätä koskeva säädösmuutos. Lisäksi toimistoon perustetaan viisijäseninen asiantuntijalautakunta, joka antaa lainsäädännön soveltamiseen liittyviä lausuntoja.

Tietosuojalaissa pitäydyttiin hallituksen esityksen mukaisesti kohdentamaan hallinnollinen seuraamusmaksu vain yksityisen sektorin rekisterinpitäjiin ja henkilötietojen käsittelijöihin mutta jätettiin julkinen sektori seuraamusmaksun soveltamisalan ulkopuolelle. Eduskunta katsoi viranomaisia sitovan hallinnon lainmukaisuusperiaate, virkavastuu ja vahingonkorvausvastuu työssä tehdyistä virheistä. Hallintovaliokunta kuitenkin totesi, että on tärkeää seurata julkisen sektorin toimintaympäristön muutosta ja sen vaikutuksia viranomais- ja muun toiminnan väliseen tasapainoon.

Rikoslaista poistetaan nykyinen henkilörekisteririkos hallinnollisen seuraamusmaksun ja rikosäännöksen päällekkäisen käytön välttämiseksi, jotta kaksoisrangaistavuudelta vältytään. Rikoslaissa olisi jatkossa tietosuojarikossäännös, joka koskee vain tilanteita, joissa lainvastainen henkilötietojen käsittely ei ole hallinnollisen seuraamusmaksun piirissä.

Poikkeukset henkilötietojen käsittelyyn tietyissä tarkoituksissa

Tutkimus, tilastointi ja arkistointitarkoituksessa on kansallisen lain mukaan mahdollista poiketa eräistä GDPR:n velvoitteista, jotka nähdään tarpeellisiksi esim. tutkimustoiminnan tavoitteiden kannalta. Poikkeuksilla tarkoitetaan mm. tilannetta jossa rekisteröidyllä ei ole mahdollista tarkastella itseään koskevia tietoja. Edellytyksenä poikkeamiselle on kuitenkin henkilötietojen käsittelijän velvollisuus tehdä vaikutusarviointi, tai vaihtoehtoisesti sitoutua noudattamaan käytännesääntöjä. Eduskunta linjasi vaikutusarvioinnin toimitusajasta, että riittää kun se toimitetaan tietosuojavaltuutetulle ennen tietojen käsittelyyn ryhtymistä aikaisemman ehdotetun 30 päivän ennakkotoimituksen sijaan.

Eduskunta linjasi myös, ettei uuteen lakiin ole perusteltua ottaa erillistä säännöstä rekisteröidyn oikeudesta käsittelyn rajoittamiseen. Säännös sisältyy tietosuoja-asetukseen, mutta koskee hyvin rajattuja tilanteita.

Uuden tietosuojalain astuessa voimaan 1.1.2019 kumoutuu samalla voimassa olevat henkilötietolaki ja laki tietosuojalautakunnasta ja – valtuutetusta.

Sähköisen viestinnän tietosuoja-asetusehdotus ei vielä edennyt EU:ssa

EU:n DSM -strategiaan sisältyvä ePrivacy -asetusehdotuksen käsittely ei ole edennyt. Euroopan neuvostossa ei Itävallan pj-kaudella saavutettu yleisnäkemystä, vaan asiasta toimitettiin edistymisraportti ja käytiin periaatekeskustelu teleministerineuvostossa 5.12. Seuraavan kerran ehdotusta käsitellään neuvoston työryhmässä ensi vuonna. Euroopan parlamentti sen sijaan äänesti ehdotuksestaan jo lokakuussa 2017.

Suomi tukee edelleen elinkeinoelämälle tärkeää näkemystä koneiden välisen viestinnän poissulkemisesta soveltamisalasta. Kun kyse on automaattisesta henkilötietojen käsittelystä koneiden välillä, soveltuu henkilötietojen käsittelyyn yleinen tietosuoja-asetus. Lisäksi yritysten luottamuksellisia tietoja suojataan liikesalaisuus- ja muulla IPR- sääntelyllä, sopimuksin ja teknisin suojakeinoin.