EU-asetus uudistaa sääntelyä henkilötietojen suojasta

01.02.2016

Reilun kahden vuoden päästä sovellettavaksi tuleva EU:n tietosuoja-asetus merkitsee useita muutoksia sääntelyyn henkilötietojen suojasta. Henkilötietojen käsittelyyn liittyvät velvollisuudet lisääntyvät, rekisteröityjen oikeudet laajenevat ja sääntelyn rikkomisesta voi koitua aiempaa ankarampia seuraamuksia.

Euroopan parlamentti ja neuvosto saavuttivat viime vuoden lopulla sovun EU:n henkilötietojen suojaa koskevan sääntelyuudistuksen sisällöstä.

Vaikka yleisen tietosuoja-asetuksen sisältö on nyt asiallisesti sovittu, noin neljä vuotta työn alla ollutta uudistusta viimeistellään vielä teknisesti alkuvuonna 2016 ja asetus käännetään EU:n virallisille kielille, myös suomeksi. Tällä hetkellä on käytettävissä vain epävirallinen englanninkielinen versio.

Lopullinen asetus julkaistaan EU:n virallisessa lehdessä todennäköisesti huhti-toukokuussa. Julkaisemisesta alkaa kahden vuoden siirtymäaika eli yritysten on sovellettava uutta asetusta käsitellessään henkilötietoja keväästä 2018 alkaen.

Asetus korvaa vuoden 1995 henkilötietodirektiivin (95/46/EY) ja sen kansalliseksi täytäntöönpanemiseksi annetun henkilötietolain (523/1999) säännökset niiltä osin kuin henkilötietojen käsittely kuuluu asetuksen soveltamisalaan. Asetusta ei sovelleta esimerkiksi poliisi- ja rikosoikeudellisen yhteistyön alalla.

Uudella asetuksella määritetään vastaisuudessa koko EU:n alueella muun muassa seuraavat asiat:

  • Mikä tieto on henkilötietoa eli minkä kaiken tiedon käsittelyssä on noudatettava asetuksen sääntelyä?
  • Millä perusteilla henkilötietoja voi käsitellä?
  • Mitä velvollisuuksia henkilötietojen käsittelyyn liittyy?
  • Mitkä ovat rekisteröityjen eli niiden henkilöiden, joiden tietoja käsitellään, oikeudet?

Tiivistäen voi sanoa, että asetus lisää henkilötietojen käsittelyyn liittyviä velvollisuuksia, laajentaa rekisteröityjen oikeuksia, ankaroittaa sääntelyn rikkomisen seuraamuksia ja harmonisoi sääntelyä EU-alueella.

Asetus esimerkiksi:

  • Sisältää henkilötietolakiin nähden uuden tilivelvollisuuden periaatteen (”accountability”). Sen mukaan rekisterinpitäjä vastaa siitä, että se pystyy osoittamaan noudattaneensa henkilötietojen käsittelyä koskevia periaatteita, kuten laillisuus- ja käyttötarkoitussidonnaisuusperiaatteita, ja muuta asetuksen sääntelyä.
  • Asettaa rekisterinpitäjälle velvollisuuksia sisäänrakennetusta tietosuojasta (”privacy by design”) ja oletusarvoisesta tietosuojasta (”privacy by default”). Vastaavia velvollisuuksia ei sellaisenaan sisälly henkilötietolakiin, mutta niiden mukaisia tavoitteita voidaan katsoa sisältyvän henkilötietolain huolellisuusvelvoitteeseen.
  • Sisältää henkilötietolakiin nähden rekisterinpitäjälle uuden velvollisuuden ilmoittaa henkilötietojen tietoturvaloukkauksista valvontaviranomaiselle ja eräissä tapauksissa myös rekisteröidyille.
  • Laajentaa rekisteröityjen henkilötietolain mukaisia oikeuksia antamalla rekisteröidyille muun muassa tietyissä tilanteissa ja tietyin edellytyksin oikeuden saada itseään koskevia henkilötietoja koneluettavassa muodossa.
  • Sisältää henkilötietolakiin nähden uutta sääntelyä hallinnollisista sakoista. Asetuksen mukaan sääntelyn rikkomisesta voidaan määrätä hallinnollinen sakko ja sakon suuruus voi olla enimmillään 4 prosenttia yrityksen edellisen vuoden maailmanlaajuisesta liikevaihdosta tai 20 000 000 euroa, kumpi vaan johtaa korkeampaan summaan.

Kansallisten lainsäädäntömuutosten tarve arvioitava

Tietosuoja-asetus jättää EU-maille jonkin verran kansallista liikkumavaraa. Se myös edellyttää tietyiltä osin täydentävää kansallista sääntelyä.

Suomessa oikeusministeriö on asettamassa lähiaikoina työryhmän selvittämään asetuksen edellyttämien kansallisten lainsäädäntömuutosten tarvetta ja valmistelemaan tarvittavia muutoksia.

EK informoi jäsenyrityksiään asetuksen viimeistelystä ja tarkemmasta sisällöstä tämän kevään aikana muun muassa jäsenkirjeissä.

Lue lisää: