PYYDÄ TARJOUS

Ota yhteyttä ja pyydä tarjous! Sovitaan tapaaminen, käydään läpi tavoitteenne ja annamme tarjouksen liiketoiminnallenne sopivasta ratkaisusta.

Seuraa meitä Somessa

Uusi tietosuojalaki

Uusi tietosuojalaki

EU:n yleinen tietosuoja-asetus (GDPR) tuli sovellettavaksi 25.5.2018 alkaen sisältäen kansallista liikkumavaraa. Kaikkiaan noin 50 asetuksen yksittäistä kohtaa mahdollistaa tai velvoittaa jäsenvaltioiden käyttämään kansallista, asetuksen täsmentävää sääntelyä. Suomessa EU:n yleisen tietosuoja-asetuksen mukaiset muutokset toteutetaan tietosuojalailla, joka toimii henkilötietojen käsittelyä koskevana yleislakina. Uusi tietosuojalaki tuli voimaan 1.1.2019. Kansallisella tietosuojalailla täydennetään ja täsmennetään EU:n yleistä tietosuoja-asetusta ja sitä sovelletaan rinnakkain tietosuoja-asetuksen kanssa sekä se korvaa vanhan henkilötietolain.

Tietosuoja-asetuksessa tarkoitettuna kansallisena valvontaviranomaisena oikeusministeriön yhteydessä on tietosuojavaltuutettu. Tietosuojavaltuutettu on toiminnassaan itsenäinen ja riippumaton. Vanha tietosuojalautakunta lakkautetaan uuden lain myötä.

Tietosuojavaltuutetun toimistosta tulee tietosuojavirasto. Tietosuojavaltuutetulla on toimisto, jossa on vähintään kaksi apulaistietosuojavaltuutettua sekä tarpeellinen määrä tietosuojavaltuutetun tehtäväalaan perehtyneitä esittelijöitä ja muuta henkilöstöä.

  • Tietosuojavaltuutetun toimistossa on asiantuntijalautakunta, johon kuuluu puheenjohtaja, varapuheenjohtaja ja kolme muuta jäsentä. Kullakin heistä on henkilökohtainen varajäsen.
  • Tietosuojavaltuutettu ratkaisee asiat esittelystä, jollei hän yksittäistapauksessa toisin päätä.
  • Tietosuojavaltuutettu voi asettaa yritykselle, yhteisölle tai viranomaiselle uhkasakon tietojen luovuttamista koskevan määräyksensä tehosteeksi. Seuraamusmaksu perustuu tietosuoja-asetukseen.
  • Apulaistietosuojavaltuutetulla on tehtäviensä hoidossa samat toimivaltuudet kuin tietosuojavaltuutetulla.
  • Asiantuntijalautakunnan tehtävänä on tietosuojavaltuutetun pyynnöstä antaa lausuntoja henkilötietojen käsittelyä koskevan lainsäädännön soveltamiseen liittyvistä merkittävistä kysymyksistä.

Uusi käsittelyperuste lehdistönvapauden ylläpitämiseksi. Tietosuoja-asetuksen salliman liikkumavaran mukaisesti tietosuojalakiin on lisätty uusi peruste henkilötietojen käsittelylle: Henkilötietoja saa käsitellä jos kysymys on henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisössä, elinkeinoelämässä, järjestötoiminnassa tai muussa vastaavassa toiminnassa kuvaavista tiedoista.

Lapsen ikäraja. Kun henkilötietoja käsitellään suostumuksen perusteella ja kyseessä on tietosuoja-asetuksessa tarkoitettujen tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle, lapsen henkilötietojen käsittely on lainmukaista, jos lapsi on vähintään 13-vuotias. Tätä nuoremmalla lapsella on oltava vanhempien suostumus esimerkiksi sosiaalisen median ja muiden henkilötietojen antamista edellyttävien palvelujen käyttämiseen. Rekisterinpitäjän vastuulla on tarkistaa, että suostumus on olemassa.

Vakuutusyhtiöille erikoisoikeuksia. Vakuutusyhtiöille annetaan eritysoikeus käsitellä vakuutettujen terveydentilaa, sairauksia tai hoitotoimenpiteitä koskevia tietoja, kun myös oikeus käsitellä vakuutettujen rikostuomioihin liittyviä tietoja.

Seuraamuslautakunta määrää sakoista. Tietosuojavirastoon perustetaan kaksi apulaisvaltuutetun virkaa. Tällä kolmen hengen seuraamuskollegiolla on toimivalta määrätä hallinnollinen seuraamusmaksu säännösten rikkomisesta. Lisäksi perustetaan viisijäseninen asiantuntijalautakunta, joka antaa lainsäädännön soveltamiseen liittyviä lausuntoja.

Kotietsinnät myös mahdollisia tietosuojarikkomusten selvittämiseksi. Yleisen tietosuoja-asetuksen mukaan valvontaviranomaisella on oikeus päästä kaikkiin rekisterinpitäjän tai henkilötietojen käsittelijöiden tiloihin sekä tietosuojavaltuutetulla on oikeus salassapitosäännösten estämättä saada maksutta tehtäviensä hoidon kannalta tarpeelliset tiedot. Pysyväisluonteiseen asumiseen käytetyssä tilassa tarkastuksen saa toimittaa, jos se on välttämätöntä tarkastuksen kohteena olevien seikkojen selvittämiseksi.

Työtekijä voi ilmiantaa työnantajansa anonyymisti. Työntekijä voi ilmiantaa työnantajansa tietosuoja-asetuksen tai – lain rikkomisesta ilman pelkoa siitä, että hänen henkilöllisyytensä paljastuu, jos rikkomuksista ilmoittavan henkilölle katsotaan aiheutuvan tästä haittaa.

Henkilötunnuksen käsittely. Henkilötunnusta saa käsitellä rekisteröidyn suostumuksella tai, jos käsittelystä säädetään laissa. Lisäksi henkilötunnusta saa käsitellä, jos rekisteröidyn yksiselitteinen yksilöiminen on tärkeää kuten luotonannossa, saatavan perimisessä, vakuutus-, luottolaitos-, vuokraus- ja lainaustoiminnassa, luottotietotoiminnassa, terveydenhuollossa, sosiaalihuollon tai sosiaaliturvaan liittyvien asioiden yhteydessä sekä virka-, työsuhteita koskevissa asioissa. Henkilötunnusta ei saa tarpeettomasti merkitä tulostettuihin tai laadittuihin asiakirjoihin.

Tieteellisessä ja historiallisessa tutkimuksessa, tilastoinnissa ja arkistoinnissa sekä sanavapauden turvaamiseksi poikkeuksia. Rekisteröityjen tarkastus- oikaisu, vastustus – yms. oikeuksia karsitaan, jotta henkilötietojen käyttäminen tieteellisiin tai tutkimustarkoituksiin ei vaarannu. Edellytyksenä poikkeamiselle on kuitenkin henkilötietojen käsittelijän velvollisuus tehdä vaikutusarviointi, joka toimitetaan tietosuojavaltuutetulle ennen tietojen käsittelyyn ryhtymistä.

Henkilötietojen vuotaminen on edelleenkin kiellettyä. Uuden lain mukaan kaikilla henkilötietojen käsittelyyn osallistuvilla on suoraan lain nojalla vaitiolovelvollisuus henkilötietojen käsittelyyn liittyvistä asioista. Henkilökohtaisten tietojen lisäksi se koskee myös toisen henkilön liike- tai ammattisalaisuuksia.

Rikoslaista poistetaan nykyinen henkilörekisteririkos, uusi säännös tietosuojarikoksesta. Rikoslaissa säädetään rangaistavaksi sellainen menettely, jossa esimerkiksi rekisterinpitäjän tai käsittelijän palveluksessa oleva henkilö oikeudettomasti urkkii henkilötietoja vastoin niiden käyttötarkoitusta. Rangaistavaa olisi esim. menettely, jossa henkilö heittää pois henkilötietoja sisältäviä asiakirjoja huolehtimatta niiden tietoturvallisesta hävittämisestä. Tällöin on kyse tietosuojarikoksesta, josta tuomitaan sakkoa tai vankeutta enintään yksi vuotta. Tämä koskee tilanteita, joissa lainvastainen henkilötietojen käsittely ei ole hallinnollisen seuraamusmaksun piirissä.

Julkishallinnon organisaatioille ei määrätä sakkoja. Seuraamusmaksua ei voida määrätä valtion viranomaisille, valtion liikelaitoksille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille, tasavallan presidentin kanslialle eikä Suomen evankelis-luterilaiselle kirkolle ja Suomen ortodoksiselle kirkolle eikä niiden seurakunnille, seurakuntayhtymille ja muille elimille. Perusteena on se, että viranomaisia sitoo hallinnon lainmukaisuusvaatimus, virkavastuu ja vahingonkorvausvastuu.

Tietoturvallisuuden Toiminnanohjaus™ menetelmä analysoi henkilötietoja käsitteleviä prosesseja antaen käytännönläheiset ja tehokkaat keinot tietosuojariskien tunnistamiseen sekä niiden vaikutusten minimointiin. Viimeistään nyt on aika laittaa henkilötietojen käsittelyn käytännöt kuntoon.