Tietosuoja-asetuksen kansallisen implementoinnin suuntaviivoja

Data Protection Alert

EU:n yleinen tietosuoja-asetus tuli voimaan 24.5.2016 ja sitä aletaan soveltaa jäsenvaltioissa 25.5.2018. Asetus on jäsenvaltioissa suoraan sovellettavaa oikeutta. Tästä huolimatta asetus jättää jäsenvaltioille jonkin verran kansallista lainsäädännöllistä liikkumavaraa, jonka sisällä jäsenvaltio voi antaa täsmentäviä ja täydentäviä säännöksiä. Suomessa Oikeusministeriö asetti helmikuussa 2016 EU:n yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän, jonka päätehtävänä oli valmistella lainsäädäntöehdotus kansallisen liikkumavaran käytöstä sekä ehdotus kansallisesta valvontaviranomaisesta.

Työryhmä sai mietintönsä valmiiksi 21.6.2017. Työryhmä kävi tietosuoja-asetuksen läpi artikla artiklalta ja arvioi kunkin artiklan mahdollisesti antaman liikkumavaran käyttömahdollisuutta. Työryhmä perusti itselleen neljä alatyöryhmää tiettyjen aihepiirien tarkemmaksi läpikäymiseksi. Työryhmä kuuli asiassa useita sidosryhmätahoja ja vastaanotti kirjallisia lausuntoja alan toimijoilta ja muilta relevanteilta tahoilta.

Työnsä tuloksena työryhmä ehdottaa, että säädetään uusi henkilötietojen suojaa koskeva yleislaki nimeltään tietosuojalaki. Uusi tietosuojalaki tulisi voimaan 25.5.2018 eli samaan aikaa kuin tietosuoja-asetusta aletaan soveltaa. Samalla kumottaisiin nykyinen henkilötietolaki.

Millaisia muutoksia uusi tietosuojalaki tuo?

I. Kansallisen liikkumavaran käyttö kunnioittaa asetusta

Työryhmä on tunnistanut asetuksen luonteen ja perustavoitteen koko EU:n laajuisena lainsäädäntöinstrumenttina. Tietosuoja-asetuksella pyritään varmistamaan henkilötietojen käsittelyä koskevien sääntöjen johdonmukainen ja yhtenäinen soveltaminen. Vaikka asetus sallii jäsenmaiden kansallisia säännöksiä, lähtökohta on, että luonnollisten henkilöiden henkilötietojen suojelun tason olisi oltava sama kaikissa jäsenvaltioissa.

Työryhmä on kunnioittanut tietosuoja-asetuksen yleissovellettavaa luonnetta välttäen laajaa kansallisen liikkumavaran käyttöä. Työryhmän yleisenä tavoitteena on ollut pidättäytyä kansallisesta lisäsääntelystä EU-lainsäädännön toimeenpanossa. Työryhmä on lisäksi tehnyt tiivistä yhteistyötä muiden jäsenvaltioiden kanssa hakiessaan linjauksia asetuksen kansalliseen voimaansaattamiseen.

Työryhmä on korostanut, että tietosuoja-asetus sisältää jo nyt yksityiskohtaista sääntelyä. Asetuksen suoran sovellettavuuden vuoksi sitä voidaan täsmentää vain asetuksen nimenomaan sallimissa rajoissa. Työryhmä ehdottaa lisäksi tietosuoja-asetuksen säännösten mahdollisimman laajaa soveltamista myös asetuksen soveltamisalan ulkopuolelle jäävään henkilötietojen käsittelyyn. Säädettävää kansallista tietosuojalakia tulisikin lukea aina rinnakkain tietosuoja-asetuksen kanssa, koska lainsäädännön aineellinen sisältö tulee pitkälti yleisestä tietosuoja-asetuksesta.

II. Uusi laajempi tietosuojavirasto

Työryhmä on ehdottanut tietosuojavaltuutetun toimiston laajentamista tietosuojavirastoksi, johon kansalliset valvontaviranomaisen tehtävät keskitettäisiin. Tietosuojavaltuutettu toimisi edelleen tietosuojaviraston päällikkönä, mutta apunaan hänellä olisi yksi tai useampi apulaistietosuojavaltuutettu. Resurssien kasvattaminen on tarpeen, koska tietosuoja-asetus asettaa valvontaviranomaiselle uusia tehtäviä ja toimivaltuuksia.

Nykyinen tietosuojalautakunta lakkaisi ja sen sijaan tietosuojavirastoon perustettaisiin seuraamuslautakunta päättämään hallinnollisten sakkojen määräämisestä sekä henkilötietojen käsittelyä koskevista rajoituksista ja kielloista.

III. Uusi rikosoikeudellinen sääntely

Työryhmä esittää mietinnössään tietosuoja-asetuksen seuraamusjärjestelmän täydentämistä kansallisella rikosoikeudellisella sääntelyllä niissä tapauksissa, kun hallinnolliset seuraamukset eivät ole käytettävissä. Tavoite kuitenkin on, että rikosoikeudellisista seuraamuksista säädettäisiin kansallisesti ainoastaan siltä osin kuin se on tarpeen ja siltä osin kuin yleisen tietosuoja-asetuksen mukaiset oikeussuojakeinot, vastuut ja seuraamukset eivät tulisi sovellettaviksi. Uusi rikosnimike tulisi olemaan tietosuojarikos. Käytännössä sääntelyn piiriin kuuluisivat yleisimmin esiintyvät väärinkäytöstilanteet eli uteliaisuudesta tapahtuva henkilötietojen käsittely.

IV. Työelämän yksityisyyden suojan erityisasema säilyy

Työelämän tietosuojalaki erityislakina takaa erityisen yksityisyyden suojan työntekijälle työsuhteen yhteydessä. Työryhmän ehdotuksen mukaan tämä tilanne säilyisi ennallaan, sillä työntekijää koskevien henkilötietojen käsittelystä, työntekijälle tehtävistä testeistä ja tarkastuksista sekä niitä koskevista vaatimuksista, teknisestä valvonnasta työpaikalla sekä työntekijän sähköpostiviestin hakemisesta ja avaamisesta säilyisi voimassa mitä työelämän tietosuojalaissa säädetään.

Työryhmän jatkotyö

Työryhmä korostaa asetuksen säännösten yhdenmukaista voimaansaattamista ja soveltamista jäsenvaltioiden kesken. Siitä syystä työryhmä ei ole lyönyt lukkoon kaikkia kansallisen sääntelyvaran piiriin kuuluvia asioita, kuten vanhempainvastuunkantajan suostumusta koskevan lapsen ikärajan määrittämistä. Työryhmän toive on, että ikäraja olisi mahdollisimman yhdenmukainen EU:ssa.

Asetuksen mukaan, kun kyse on tietoyhteiskunnan palvelujen tarjoamisesta suoraan lapselle, lapsen henkilötietojen käsittely on lainmukaista tämän suostumuksen nojalla, jos lapsi on vähintään 16-vuotias. Jos lapsi on alle 16 vuotta, tällainen käsittely on lainmukaista vain siinä tapauksessa ja siltä osin kuin lapsen vanhempainvastuunkantaja on antanut siihen suostumuksen tai valtuutuksen. Kansallisen liikkumavaran puitteissa jäsenvaltiot voivat kuitenkin säätää tätä tarkoitusta koskevasta alemmasta iästä, joka ei saa olla alle 13 vuotta. Tämän ikärajan määrittämisen työryhmä on jättänyt jatkotarkastelun varaan, kun on selvillä, mihin ratkaisuun useimmat EU:n jäsenvaltiot päätyvät.

Vielä työryhmän tehtävänä oli arvioida kansallisen tietosuojalainsäädännön toimivuutta. Työryhmä on toteuttanut selvitykset yleisen tietosuoja-asetuksen yritysvaikutuksista sekä voimassa olevan erityislainsäädännön suhteesta tietosuoja-asetuksen mukaiseen oikeusperustaan. Erityislainsäädäntöön keskittyneessä tutkimuksessa tutkijat kävivät läpi lähes 800 säädöstä ja arvioivat, ovatko ne oikeusperustan osalta sopusoinnussa yleisen tietosuoja-asetuksen kanssa. Pääasiallinen havainto oli, että suurimmaksi osaksi säädökset ovat yhteensopivia tietosuoja-asetuksen kanssa.

Erityislainsäädännön osalta työryhmän tavoitteena on vielä muun muassa sääntelyn tarpeettoman yksityiskohtaisuuden vähentäminen. Tätä työtä työryhmä koordinoi jäljellä olevan toimikautensa aikana eli 16.2.2018 saakka.

Oikeusministeriön työryhmän mietintö lähtee nyt lausuntokierrokselle. Tavoitteena on, että hallituksen esitys annetaan eduskunnalle syksyllä ja siten uusi kansallinen tietosuoja-asetusta tukeva lainsäädäntö astuisi voimaan 25.5.2018.

Lähteet ja lisätietoja:

EU:n yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän mietintö

http://julkaisut.valtioneuvosto.fi/ handle/10024/80098

Tietosuojavaltuutetun toimisto, ’Työryhmä ehdottaa tietosuojavaltuutetun toimiston laajentamista tietosuojavirastoksi’

http://www. tietosuoja.fi/fi/index/ajankohtaista/tiedotteet/2017/06/ tyoryhmaehdottaatietosuojavaltuutetuntoimistonlaajentamistatietosuojavirastoksi.html

Tietosuojasäädösten muutostarve, Valtioneuvoston selvitys- ja tutkimustoiminnan julkaisusarja 41/2017

http://tietokayttoon.fi/julkaisu?pubid=20302

EU:n tietosuoja-asetuksen yritysvaikutukset, Valtioneuvoston selvitys- ja tutkimustoiminta, 10/2017

http://tietokayttoon.fi/julkaisu?pubid=20401


For further information, please contact:

Salla Turkkinen, Associate
[email protected]