TIETOSUOJALAKI

EU:n yleinen tietosuoja-asetus (GDPR) tuli sovellettavaksi 25.5.2018 alkaen sisältäen kansallista liikkumavaraa. Kaikkiaan noin 50 asetuksen yksittäistä kohtaa mahdollistaa tai velvoittaa jäsenvaltioiden käyttämään kansallista, asetuksen täsmentävää sääntelyä. Suomessa EU:n yleisen tietosuoja-asetuksen mukaiset muutokset toteutetaan tietosuojalailla, joka toimii henkilötietojen käsittelyä koskevana yleislakina. Uusi tietosuojalaki tuli voimaan 1.1.2019. Kansallisella tietosuojalailla täydennetään ja täsmennetään EU:n yleistä tietosuoja-asetusta ja sitä sovelletaan rinnakkain tietosuoja-asetuksen kanssa sekä se korvaa vanhan henkilötietolain.

Tietosuojavaltuutettu jatkaa valvontaviranomaisena. Tietosuoja-asetuksessa tarkoitettuna kansallisena valvontaviranomaisena oikeusministeriön yhteydessä on tietosuojavaltuutettu. Tietosuojavaltuutettu on toiminnassaan itsenäinen ja riippumaton. Vanha tietosuojalautakunta lakkautettiin uuden lain myötä.

Tietosuojavaltuutetun toimisto. Tietosuojavaltuutetulla on toimisto, jossa on tietosuojavaltuutetun lisäksi kaksi apulaistietosuojavaltuutettua sekä tarpeellinen määrä tietosuojavaltuutetun tehtäväalaan perehtyneitä esittelijöitä ja muuta henkilöstöä.

  • Tietosuojavaltuutetun toimistossa on viisijäseninen asiantuntijalautakunta, johon kuuluu puheenjohtaja, varapuheenjohtaja ja kolme muuta jäsentä. Se antaa tietosuojavaltuutetun pyynnöstä lausuntoja lainsäädännön soveltamiseen liittyvistä asioista.
  • Tietosuojavaltuutettu voi asettaa yritykselle, yhteisölle tai viranomaiselle uhkasakon tietojen luovuttamista koskevan määräyksensä tehosteeksi. Seuraamusmaksu perustuu tietosuoja-asetukseen.
  • Tietosuojavaltuutetun toimistoon perustettiin kaksi apulaistietosuojavaltuutetun virkaa. Apulaistietosuojavaltuutetulla on tehtäviensä hoidossa samat toimivaltuudet kuin tietosuojavaltuutetulla.
  • Tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama kolmijäseninen seuraamuskollegio voi määrätä säännösten rikkomisesta hallinnollisen seuraamusmaksun.

Uusi käsittelyperuste henkilötietojen käsittelemiseksi. Henkilötietoja saa käsitellä jos kysymys on henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisössä, elinkeinoelämässä, järjestötoiminnassa tai muussa vastaavassa toiminnassa kuvaavista tiedoista sekä jos käsittely on tarpeen tieteellistä tai historiallista tutkimusta taikka tilastointia varten.

Lapsen ikäraja. Kun henkilötietoja käsitellään suostumuksen perusteella ja kyseessä on tietosuoja-asetuksessa tarkoitettujen tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle, lapsen henkilötietojen käsittely on lainmukaista, jos lapsi on vähintään 13-vuotias. Tätä nuoremmalla lapsella on oltava vanhempien suostumus esimerkiksi sosiaalisen median ja muiden henkilötietojen antamista edellyttävien palvelujen käyttämiseen. Rekisterinpitäjän vastuulla on tarkistaa, että suostumus on olemassa.

Vakuutusyhtiöillä ja ammattiliitoilla erityisoikeuksia. Vakuutusyhtiöille annetaan eritysoikeus käsitellä vakuutettujen ja korvauksenhakijan terveydentilaa, sairauksia tai hoitotoimenpiteitä koskevia tietoja, jotka ovat tarpeen vakuutuslaitoksen vastuun selvittämiseksi sekä ammattiliittoon kuulumista koskevaan tiedon käsittelyyn, joka on tarpeen rekisterinpitäjän erityisten oikeuksien ja velvoitteiden noudattamiseksi työoikeuden alalla.

Seuraamuslautakunta määrää sakoista. Tietosuoja-asetuksessa säädetyn hallinnollisen sakon (hallinnollinen seuraamusmaksu) määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio.

Kotietsinnät myös mahdollisia tietosuojarikkomusten selvittämiseksi. Yleisen tietosuoja-asetuksen mukaan valvontaviranomaisella on oikeus päästä kaikkiin rekisterinpitäjän tai henkilötietojen käsittelijöiden tiloihin sekä tietosuojavaltuutetulla on oikeus salassapitosäännösten estämättä saada maksutta tehtäviensä hoidon kannalta tarpeelliset tiedot. Pysyväisluonteiseen asumiseen käytetyssä tilassa tarkastuksen saa toimittaa, jos se on välttämätöntä tarkastuksen kohteena olevien seikkojen selvittämiseksi.

Työtekijä voi ilmiantaa työnantajansa anonyymisti. Työntekijä voi ilmiantaa työnantajansa tietosuoja-asetuksen tai – lain rikkomisesta ilman pelkoa siitä, että hänen henkilöllisyytensä paljastuu, jos rikkomuksista ilmoittavan henkilölle katsotaan aiheutuvan tästä haittaa.

Henkilötunnuksen käsittely. Henkilötunnusta saa käsitellä rekisteröidyn suostumuksella tai, jos käsittelystä säädetään laissa. Lisäksi henkilötunnusta saa käsitellä, jos rekisteröidyn yksiselitteinen yksilöiminen on tärkeää kuten luotonannossa tai saatavan perimisessä, vakuutus-, luottolaitos-, maksupalvelu-, vuokraus- ja lainaustoiminnassa, luottotietotoiminnassa, terveydenhuollossa, sosiaalihuollossa ja muun sosiaaliturvan toteuttamisessa sekä virka-, työsuhteita koskevissa asioissa. Henkilötunnusta ei saa tarpeettomasti merkitä tulostettuihin tai laadittuihin asiakirjoihin.

Rajoituksia rekisteröidyn oikeuksiin hänestä kerättyihin tietoihin.  Käsiteltäessä henkilötietoja tieteellistä tai historiallista tutkimustarkoitusta sekä yleisen edun mukaisia arkistointitarkoituksia varten, voidaan rekisteröidyn oikeuksista tarvittaessa poiketa säädetyin edellytyksin. Rekisteröidyllä ei ole oikeutta tutustua hänestä kerättyihin tietoihin jos tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka rekisteröidyn tai jonkun muun oikeuksille.

Henkilötietojen vuotaminen on edelleenkin kiellettyä. Uuden lain mukaan kaikilla henkilötietojen käsittelyyn osallistuvilla on suoraan lain nojalla vaitiolovelvollisuus henkilötietojen käsittelyyn liittyvistä asioista. Henkilökohtaisten tietojen lisäksi se koskee myös toisen henkilön liike- tai ammattisalaisuuksia.

Rikoslaista poistettiin nykyinen henkilörekisteririkos, uusi säännös tietosuojarikoksesta. Rikoslaissa säädetään rangaistavaksi sellainen menettely, jossa esimerkiksi rekisterinpitäjän tai käsittelijän palveluksessa oleva henkilö oikeudettomasti urkkii henkilötietoja vastoin niiden käyttötarkoitusta. Rangaistavaa on esim. menettely, jossa henkilö heittää pois henkilötietoja sisältäviä asiakirjoja huolehtimatta niiden tietoturvallisesta hävittämisestä. Tällöin on kyse tietosuojarikoksesta, josta tuomitaan sakkoa tai vankeutta enintään yksi vuotta. Tämä koskee tilanteita, joissa lainvastainen henkilötietojen käsittely ei ole hallinnollisen seuraamusmaksun piirissä.

Julkishallinnon organisaatioille ei määrätä sakkoja. Seuraamusmaksua ei voida määrätä valtion viranomaisille, valtion liikelaitoksille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille, tasavallan presidentin kanslialle eikä Suomen evankelis-luterilaiselle kirkolle ja Suomen ortodoksiselle kirkolle eikä niiden seurakunnille, seurakuntayhtymille ja muille elimille. Perusteena on se, että viranomaisia sitoo hallinnon lainmukaisuusvaatimus, virkavastuu ja vahingonkorvausvastuu.

Vaitiolovelvollisuus. Jos henkilötietojen käsittelyyn liittyvien toimenpiteiden yhteydessä on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista, taloudellisesta asemasta taikka toisen liikesalaisuudesta, ei saa oikeudettomasti ilmaista sivulliselle näin saamiaan tietojaan.

Oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi. Rekisteröidyllä on oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan sitä koskevaa lainsäädäntöä.

Tietoturvallisuuden Toiminnanohjaus™ menetelmä analysoi henkilötietoja käsitteleviä prosesseja antaen käytännönläheiset ja tehokkaat keinot tietosuojariskien tunnistamiseen sekä niiden vaikutusten minimointiin. Viimeistään nyt on aika laittaa henkilötietojen käsittelyn käytännöt kuntoon.