MyFondia VirtuaaliLakimies
7. tammikuuta, 2019

Uusi tietosuojalaki täydentää EU:n yleisen tietosuoja-asetuksen sääntelyä

Oletko ehtinyt jo tutustua uuteen kansalliseen tietosuojalakiin? Tietosuojalaki (1050/2019) tuli Suomessa vihdoin voimaan 1.1.2019. Lailla täsmennetään ja täydennetään toukokuussa 2018 sovellettavaksi tulleen yleisen tietosuoja-asetuksen ((EU) 2016/679, jäljempänä ”tietosuoja-asetus”) sääntelyä. Samalla kumottiin vanha henkilötietodirektiiviin perustuva henkilötietolaki. Samanaikaisesti tietosuojalain kanssa astui voimaan laki henkilötietojen käsittelystä rikosasioissa (1054/2018), jota sovelletaan toimivaltaisten viranomaisten käsitellessä henkilötietoja rikosasiassa.

Aloitamme Fondialla blogisarjan, jossa perehdymme uuden tietosuojasääntelyn – erityisesti tietosuojalain – saloihin. Olette ehkä huomanneet, että tietosuojalaki on paikoin vaikeaselkoinen? Esimerkiksi lakipykälien viittaukset tietosuoja-asetuksen artikloihin tekevät säädöksestä lakiteknisesti kömpelön. Blogisarjan tarkoitus on avata lukijalle säännösten soveltamista ja tulkintaa. Tässä blogissa tehdään yleisluontoinen katsaus lakiin kokonaisuudessaan.

Mikä muuttuu ja mistä asioista tietosuojalaissa tarkemmin ottaen säädetään? Tietosuojalaki on yleislaki, jota sovelletaan rinnakkain tietosuoja-asetuksen kanssa. Vaikka tietosuoja-asetus on kansallisesti suoraan sovellettava säädös, jättää se osin jäsenvaltioille direktiivinomaista kansallista liikkumavaraa. Tietosuoja-asetus asettaa tiettyjä velvoitteita jäsenvaltioille, kuten velvollisuuden säätää eräistä kansallista valvontaviranomaista koskevista asioista. Kansallinen liikkumavara ei kaikilta osin velvoita jäsenvaltioita säätämään tietosuoja-asetusta täydentävää tai täsmentävää lainsäädäntöä, vaan osittain liikkumavaran käyttäminen on jätetty kansallisen lainsäätäjän harkintaan. Liikkumavaraa voidaankin hyödyntää esimerkiksi myöhemmin annettaessa erityislainsäädäntöä.

Toisin kuin kumottu henkilötietolaki, tietosuojalaki ei muodosta itsenäistä sääntelykokonaisuutta. Laki koostuu tietosuoja-asetusta täydentävistä ja täsmentävistä pykälistä, ja aineellinen sisältö tulee suoraan tietosuoja-asetuksesta. Myös lain rakenne noudattelee tietosuoja-asetuksen rakennetta.

Tietosuojalaissa säädetään seuraavista asioista:

·       käsittelyn oikeusperusteista eräissä tapauksissa

·       tietoyhteiskunnan palveluihin liittyvästä lapsen ikärajasta

·       valvontaviranomaisesta siten kuin tietosuoja-asetuksessa edellytetään

·       oikeusturvasta ja seuraamuksista

·       tietojen käsittelyn erityistilanteista esimerkiksi tieteellisessä tutkimuksessa ja journalistisia, akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten

Tietosuojalaissa täsmennetään henkilötietojen käsittelyn oikeusperusteita. Oikeusperusteissa säädetään muun muassa viranomaisen yleistä etua koskeva yleinen oikeusperuste sekä oikeusperuste tieteellistä tai historiallista tutkimusta, tilastointia ja yleisen edun mukaisia arkistointitarkoituksia varten. Laissa säädetään myös arkaluonteisten eli ns. erityisiin henkilötietoryhmiin kuuluvien henkilötietojen sallituista käsittelyn perusteista sekä tietosuoja-asetuksen edellyttämistä suojatoimista näitä tietoja käsiteltäessä.

Eräs merkittävä tietosuoja-asetuksen sallima liikkumavarasäännös on tietoyhteiskunnan palveluiden tarjoamiseen liittyvä lapsen suostumusta koskeva ikäraja. Tietosuoja-asetuksen mukainen ikäraja lapsen henkilötietojen käsittelylle on 16 vuotta silloin, kun tietoyhteiskunnan palveluita tarjotaan suoraan lapselle. Rekisterinpitäjä vastaa pätevän suostumuksen olemassaolosta.

’Tietoyhteiskunnan palvelu’ on muualla lainsäädännössä määritelty ja sillä tarkoitetaan kaikkia etäpalveluina sähköisessä muodossa palvelun vastaanottajan henkilökohtaisesta pyynnöstä toimitettavia palveluita, joista tavallisesti maksetaan korvaus. Suomi on tietosuojalain myötä ottanut käyttöön alhaisimman tietosuoja-asetuksen salliman ikärajan, 13 vuotta. Matalan ikärajan puolesta puhujat ovat nostaneet esiin muun muassa teknologian merkityksen, minkä on katsottu vahvistavan lapsen asemaa, kun lapset eivät ole riippuvaisia aikuisista hankkiessaan tietoa esimerkiksi arkaluonteisista aiheista.

Tietosuojalaki sisältää tietosuoja-asetuksen edellyttämällä tavalla säännökset kansallisesta valvontaviranomaisesta. Viranomaistehtävät keskitetään jatkossakin tietosuojavaltuutetulle, jolle on keskitetty uudistuksen täytäntöönpanon myötä merkittävästi lisäresursseja. Tietosuojavaltuutetun viran lisäksi perustetaan kaksi apulaistietosuojavaltuutetun virkaa. Näiden lisäksi nykyinen tietosuojalautakunta lakkautetaan ja sen tilalle perustetaan viisijäseninen asiantuntijalautakunta, joka voi antaa lausuntoja valtuutetun pyynnöstä henkilötietojen käsittelyä koskevan lainsäädännön soveltamiseen liittyvistä merkittävistä kysymyksistä.

Tietosuoja-asetuksessa seuraamusjärjestelmä nojautuu voimakkaasti hallinnollisiin seuraamuksiin. Tietosuojalaissa on täydentävä säännös hallinnollisen seuraamusmaksun määräämisestä. Tietosuoja-asetuksen mukaan jäsenvaltio voi päättää, määrätäänkö lainsäädännössä viranomaisille vastaavat hallinnolliset sakot kuin yksityisille toimijoille. Suomessa päädyttiin jättämään julkinen sektori hallinnollisten sakkojen ulkopuolelle. Ratkaisua voidaan pitää ongelmallisena. Keskuskauppakamarin lakiesitystä koskevassa lausunnossa (12.4.2018) onkin todettu, että tilanne, jossa viranomainen ei osoita riittäviä resursseja tietosuoja-asioiden täytäntöönpanoon voi ilmetä lainrikkomuksena. Yksittäisen virkamiehen ei tulisi olla tästä virkavastuussa, vaan seuraamuksen tulisi kohdistua hallinnollisen sakon muodossa suoraan tietosuoja-asetuksen noudattamisesta vastaavaan viranomaistahoon.

Lopuksi, tietosuojalaki kattaa säännökset tietojenkäsittelyn eräistä erityistilanteista:

·       käsittely journalististen, akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten

·       henkilötunnuksen käsittely

·       julkisuusperiaate

·       henkilötietojen käsittely työsuhteen yhteydessä

·       tieteellisiä ja historiallisia tutkimustarkoituksia sekä tilastollisia tarkoituksia varten tapahtuvaa henkilötietojen käsittelyä koskevat poikkeukset ja suojatoimet

·       yleisen edun mukaisia arkistointitarkoituksia varten tapahtuvaa henkilötietojen käsittelyä koskevat poikkeukset ja suojatoimet

·       rajoitukset rekisterinpitäjän velvollisuuteen toimittaa tietoja rekisteröidylle

·       rajoitukset rekisteröidyn oikeuteen tutustua hänestä kerättyihin tietoihin

Henkilötietojen käsittelyn edellytyksiin säädetään poikkeuksia tai vapautuksia, kun on kyse sananvapauden turvaamisesta. Samaten esimerkiksi tieteellisessä ja historiallisessa tutkimuksessa voidaan poiketa eräistä tietosuoja-asetuksen velvoitteista, jos poikkeaminen on tarpeen tutkimuksen tavoitteiden kannalta.

Erityistilanteita koskevat säännökset merkitsevät muun ohessa poikkeuksia rekisteröityjen oikeuksiin esimerkiksi siten, että rekisteröidyllä ei tietyissä tapauksissa ole oikeutta tarkastaa itseään koskevia tietoja. Poikkeaminen rekisteröidyn oikeuksista edellyttää kuitenkin tiettyjä toimenpiteitä henkilötietojen käsittelijältä, kuten tietosuojaa koskevan vaikutustenarvioinnin laatimista tai sitoutumista noudattamaan erityisiä käytännesääntöjä.