Uusi kansallinen tietosuojalaki tulee voimaan 1.1.2019. Tietosuojalaki täydentää Euroopan unionin yleistä tietosuoja-asetusta (General Data Protection Regulation, ”GDPR”), jonka soveltaminen alkoi toukokuussa 2018.
Uuden tietosuojalain myötä vanha henkilötietolaki kumotaan. Tietosuojalakia sovelletaan rinnakkain tietosuoja-asetuksen kanssa. Lailla täydennetään ja täsmennetään tietosuoja-asetusta muun muassa seuraavin tavoin:
Valvontaviranomainen: Suomessa tietosuojalainsäädännön valvontaviranomaisena toimii edelleen tietosuojavaltuutettu. Tietosuojalaissa säännellään tietosuojaviranomaisen toimivallasta, tehtävistä ja valtuuksista. Tietosuojavaltuutetun toimiston yhteydessä toimii asiantuntijalautakunta, joka antaa tietosuojavaltuutetun pyynnöstä lausuntoja.
Hallinnolliset seuraamusmaksut: Sanktiot määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen muodostama kolmijäseninen seuraamuskollegio. Seuraamusmaksua ei voida määrätä valtion tai kuntien viranomaisille, eikä tietyille muille julkisille instansseille. Seuraamusmaksua ei saa määrätä, jos rikkomuksesta tai laiminlyönnistä on kulunut yli kymmenen vuotta. Seuraamusmaksun määräämisestä voi valittaa hallinto-oikeuteen.
Poikkeuksia käsittelyedellytyksiin: Henkilötietojen käsittelyedellytyksiin säädetään poikkeuksia tai vapautuksia, kun on kyse sananvapauden turvaamisesta esimerkiksi journalismissa. Myös tieteellisessä ja historiallisessa tutkimuksessa, tilastoinnissa ja arkistoinnissa voidaan poiketa eräistä tietosuoja-asetuksesta velvoitteista, jos poikkeaminen on tarpeellista esimerkiksi tutkimuksen tavoitteiden kannalta.
Henkilötunnuksen käsittely: Henkilötunnuksen käsittelylle asetetaan uudessa tietosuojalaissa "tavallisia henkilötietoja" tiukemmat ehdot, mikä säilyttää henkilötietolain aikaisen oikeustilan. Tunnuksen käsittely on sallittua rekisteröidyn suostumuksella, tai jos käsittelystä säädetään lailla. Jos rekisteröidyn yksiselitteinen yksilöiminen on tärkeää, käsittely on sallittua myös laissa säädetyn tehtävän suorittamiseksi, rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi tai historiallista tai tieteellistä tutkimusta taikka tilastointia varten. Lisäksi tunnusta saa käsitellä muun muassa luotonannossa tai saatavan perimisessä, vakuutus-, luottolaitos-, maksupalvelu-, vuokraus- ja lainaustoiminnassa.
Lapsen ikäraja: Tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettava ikäraja on Suomessa 13 vuotta. Mikäli henkilö on nuorempi kuin 13-vuotias ja henkilötietojen käsittely perustuu suostumukseen, henkilötietojen käsittely tietoyhteiskunnan palveluiden tarjoamiseksi on lainmukaista vain, jos lapsen vanhempi on antanut suostumuksensa tietoyhteiskunnan palvelun käyttöön.
Keskeisin uudistus yritysten näkökulmasta on se, että tietosuojavaltuutetulla on vihdoin toimivalta valvoa tietosuojalainsäädännön noudattamista. Yritysten käytännöt on siis viimeistään nyt syytä laittaa uuden sääntelyn edellyttämälle tasolle.
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
