Tulostusversio

3/2012

Uusi tietosuojalainsäädäntö, osa 2: Nykylinjaa täydentäen

Teksti: Markus Salminen

Euroopan komission tietosuoja-asetusehdotus sisältää suureksi osaksi henkilötietodirektiivistä ja Suomen henkilötietolaista tuttua sääntelyä – kuitenkin täydentäen niitä ja sisältäen kokonaan uusiakin säännöksiä.

Tietosuoja oletusarvoiseksi

Henkilötietolain kantavia periaatteita ovat henkilötietojen käsittelyn suunnittelu- ja huolellisuusperiaatteet. Komission ehdotuksessa ne jatkuvat sisäänrakennetun ja oletusarvoisen tietosuojan periaatteen (Privacy by Design and by Default) muodossa, jossa oletusarvoisuuden vaatimus nostetaan nykyistä konkreettisemmin esille. Sen voisi päätellä johtavan palveluissa ja ohjelmistoissa yksityisyyttä suosiviin oletusasetuksiin. 

Suunnittelua ja huolellisuutta tukee ehdotuksessa määritelty dokumentointivelvollisuus. Rekisterinpitäjän on ylläpidettävä asiakirjoja kaikesta henkilötietojen käsittelystä ja toimintatavoista. Asiakirjat on hyväksyttävä erikseen ja toimenpiteiden toteuttaminen on pystyttävä osoittamaan. Velvollisuus ei koske alle 250 työntekijän yrityksiä, jotka käsittelevät henkilötietoja ainoastaan pääasiallisen toimintansa aputoimintona.

Dokumentointi on yrityksille työläs ja vaativa urakka. Dokumentointivelvollisuuden konkretisoituminen ja velvollisuus osoittaa toimenpiteiden toteuttaminen käynnistänevät suuremmilla rekisterinpitäjillä laajoja tietosuojaprojekteja.

Tietosuojavastaavan nimeämisvelvollisuus

Merkittävä vaatimus rekisterinpitäjille on velvollisuus nimetä tietosuojavastaava. Samankaltainen velvollisuus järjestää ja organisoida toiminta voidaan nykyisinkin johtaa henkilötietolaista, mutta asetuksen myötä velvollisuus konkretisoituu ja täydentyy merkittävästi.

Tietosuojavastaava täytyy nimetä, jos rekisterinpitäjä tai henkilötietojen käsittelijä on viranomainen, yli 250 työntekijän yritys tai henkilötietojen käsittelyn luonne vaatii järjestelmällistä seurantaa.

Tietosuojavastaavalla on oltava riittävä ammattipätevyys, tietosuojalainsäädännön ja käytänteiden tuntemus sekä valmiudet suorittaa asetuksessa säädetyt tehtävät. Tietosuojavastaavalta vaadittavan erityisasiantuntemuksen taso määräytyy käsittelyn edellyttämän suojan perusteella. Tehtävässä voi toimia rekisterinpitäjän työntekijä, tai palvelu voidaan hankkia ostopalveluna.

Tietosuojavastaavalle on määritelty asetusehdotuksessa myös toimenkuva ja konkreettiset tehtävät. Tietosuojavastaavan tulee täyttää velvollisuutensa ja tehtävänsä riippumattomasti, eikä voi ottaa vastaan ohjeita tehtäviä hoitaessaan. Hän raportoi suoraan johdolle.  Tietosuojavastaavan nimi ja yhteystiedot on ilmoitettava valvontaviranomaiselle, ja ne on julkaistava yleisölle.

Vastaavalle erityisasema

Tietosuojavastaavalle määritellään asetuksessa erityinen asema organisaatiossa. Hänet on nimettävä kahdeksi vuodeksi kerrallaan, ja hänet voidaan erottaa toimestaan vain, jos hän ei enää täytä tehtäviensä edellyttämiä vaatimuksia. Johdon on varmistettava, että hänet otetaan asianmukaisesti ja riittävän ajoissa mukaan kaikkien henkilötietojen suojaa koskevien asioiden käsittelyyn.

Johdon on myös tuettava tietosuojavastaavaa tehtävien suorittamisessa ja annettava tälle henkilöstö, toimitilat, varusteet ja muut resurssit jotka tarpeen velvollisuuksien ja tehtävien suorittamiseksi. Tästä aiheutuu rekisterinpitäjälle kustannuksia, jotka on huomioitava tietosuojatoimintaa järjestettäessä.

Käsittelystä on informoitava laajemmin

Asetusehdotus laajentaa henkilötietolain tärkeimpiin periaatteisiin kuuluvaa informointivelvollisuutta lisäämällä rekisteröidylle kerrottavia tietoja.

Uutta informoitavaa ovat lähinnä käsittelyn tarkoituksia selvittävät sopimusmääräykset ja yleiset sopimusehdot, joihin käsittely perustuu. Tietoja kerättäessä on myös kerrottava, onko tieto pakollinen vai vapaaehtoinen, sekä tietojen antamatta jättämisen seuraukset.

Rekisteröidylle oikeus tulla unohdetuksi

Nykyisin rekisterinpitäjällä on henkilötietolakiin perustuva velvollisuus hävittää henkilötiedot, kun ne eivät enää ole käyttötarkoituksiinsa tarpeellisia tai niiden käsittelylle ei enää ole perustetta.

Asetusehdotus täydentää tietojen hävittämisen rekisteröidyn oikeudeksi tulla unohdetuksi (Right to be Forgotten). Sen mukaan rekisteröidyllä on oikeus vaatia rekisterinpitäjää poistamaan hänen henkilötietojaan.

Lisäksi asetuksessa säädetään tilanteista, joissa henkilötietojen käsittelyä on hävittämisen sijaan rajoitettava.

Lapsia suojataan säännöksin

Asetuksessa säädetään alle 18-vuotiaan erityisestä suojaamisesta. Olennaista on tiedottamisen selkeys ja alaikäisen erityinen oikeus poistaa tietojaan. Alle 13-vuotiaan lapsen henkilötietojen käsittely vaatii lapsen vanhemman tai huoltajan suostumuksen.

Henkilötietojen siirtoa yksinkertaistetaan

Asetusehdotus täydentää säännöksiä, jotka koskevat henkilötietojen siirtämistä EU:n ulkopuolisiin riittämättömän tietosuojan maihin. Nykyisin yritykset kokevat hankalaksi siirtää henkilötietoja sitovien sääntöjen menettelyllä (Binding Corporate Rules). Asetuksessa menettelyä pyritään yksinkertaistamaan, ja valvontaviranomainen saa oikeuden hyväksyä siirto-oikeuden perustavia sopimusehtoja ennakkohyväksyntämenettelyssä.

Henkilötietoja voidaan siirtää myös hyödyntämällä komission mallisopimuksia, mikä lienee edelleen tärkein siirtojen toteuttamisen tapa.

Miten käy kampanjarekistereiden?

Henkilötietolain järjestelmässä esimerkiksi entisten asiakkaiden henkilötietoja saa käsitellä markkinointitarkoituksissa, ja mahdollisten asiakkaiden tietoja saa ostaa suoramarkkinointia varten. Asetusehdotuksessa näistä yritysmaailmassa laajasti käytössä olevista suoramarkkinointi- ja kampanjarekistereistä ei säädetä.

Nähtäväksi jääkin, miten näille rekistereille käy: Säilytetäänkö vastaavaa sääntelyä asetusta mahdollisesti täydentävässä kansallisessa lainsäädännössä, vai löytyykö nykyisille menettelyille lopullisesta asetuksesta jokin muu peruste?

---

[KIRJOITTAJA]

Lex-Dialog Oy:n tietosuoja-asiantuntija Markus Salminen on erikoistunut kuluttajaliiketoiminnan tietosuojan kehittämiseen. Hänellä on aihealueen juridisen (OTM) ja kaupallisen (KTM) osaamisen lisäksi yli 15 vuoden käytännön kokemus liiketoiminnan ja tietojärjestelmien kehittämishankkeista.

---

Artikkeleissa tarkastellaan, millaisia vaikutuksia mahdollisesti vuoden sisällä hyväksyttävällä EU tietosuoja-asetusehdotuksella voisi olla suomalaiseen henkilötietojen käsittelyyn.

Asetusehdotuksen sisältö on luokiteltu suuripiirteisesti kolmeen artikkeliin:

Osa 1: Nykyisen oikeustilan selkiyttäminen (vain netissä)

Osa 2: Nykyisten säädösten täydentäminen ja laajentaminen (vain netissä)

Osa 3: Kokonaan uutta sääntelyä

Lue myös

Uusi tietosuojalainsäädäntö: Tunnetko ehdotuksen? »
Uusi tietosuojalainsäädäntö, osa 1: Tarkennuksia nykyisiin pykäliin »
Uusi tietosuojalainsäädäntö, osa 3: Varaudu uutuuksiin jo nyt »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.