Oikeusministeriö tiedottaa: EU:n tietosuojauudistuksesta päästiin sopuun

Julkaistu 18.12.2015  Päivitetty 22.12.2015

EU:n tietosuojauudistuksesta päästiin sopuun

Euroopan parlamentti, neuvosto ja komissio ovat kolmikantaneuvotteluissa päässeet sopuun EU:n tietosuojauudistuksesta. Uudistuksen sisältö on tarkoitus vahvistaa tänään Brysselissä ja asia sinetöidään lopullisesti EU:n ministerineuvostossa lähiviikkoina. Kyseessä on merkittävä saavutus, sillä uudistuksesta on käyty neuvotteluja jo lähes neljä vuotta.

EU:n ns. tietosuojapakettiin kuuluu yleisesti sovellettava tietosuoja-asetus ja direktiivi, jota lainvalvonta- ja oikeusviranomaiset soveltavat käsitellessään henkilötietoja mm. rikosten torjumista, tutkimista, selvittämistä ja syytteeseenpanoa tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten. Molempia säädöksiä aletaan soveltaa vuonna 2018.

Henkilötietojen suojaa koskevan sääntelyn uudistaminen ja nykyaikaistaminen on tarpeen, koska henkilötietoja kerätään yhä enemmän teknologisen kehityksen ja globalisoitumisen myötä. Korkeatasoisella tietosuojalla voidaan parantaa luottamusta sähköisiin palveluihin ja kehittää EU:n digitaalisia sisämarkkinoita.

Tietosuoja-asetus koskee kaikkien kansalaisten henkilötietojen käsittelyä. Yhdenmukainen henkilötietolainsäädäntö EU:ssa tukee rajat ylittävää kaupankäyntiä. Kansalaisen on helpompi luottaa esimerkiksi verkkokauppoihin, kun hän tietää, että hänen henkilötietojaan käsitellään kaupanteon yhteydessä asianmukaisesti.

Tietosuoja-asetuksessa määritellyt rekisteröidyn oikeudet vastaavat suurelta osin nykysääntelyä. Henkilöllä on jatkossakin oikeus esimerkiksi tarkastaa itseään koskevat tiedot. Jo nykysääntelyn mukaan rekisterinpitäjän on oikaistava virheelliset tiedot ja poistettava esimerkiksi tarpeeton tai vanhentunut henkilötieto (oikeus tulla unohdetuksi). Henkilön oikeutta saada omat tietonsa poistettua ei kuitenkaan sovelleta lakisääteisiin rekistereihin.

Asetuksella luodaan myös uusia oikeuksia, joilla nykyaikaistetaan sääntelyä vastaamaan teknologian kehitystä. Rekisteröity voi saada itseään koskevia tietoja sähköisesti ja hän voi nykyistä helpommin siirtää antamansa henkilötiedot järjestelmästä toiseen. Siirto-oikeutta ei sovelleta julkisella sektorilla.

Asetus rajoittaa lasten henkilötietojen käsittelyä ilman vanhempien suostumusta. Alle 16-vuotiaat eivät siten voi käyttää esimerkiksi sosiaalisen median palveluja ilman vanhempien lupaa. Jäsenvaltio voi päättää myös alemmasta ikärajasta, alimmillaan se voi olla 13 vuotta.

Suomelle on ollut tärkeää, että tietosuoja-asetuksen puitteissa on mahdollista jatkaa nykyisen kaltaista biopankkitoimintaa, palkkatilastointia ja sukututkimusta. Suomen tavoitteena on ollut erityisesti myös asiakirjajulkisuuden huomioon ottaminen. Asetukseen onkin sisällytetty artikla, joka mahdollistaa kansallisen julkisuuslain yhteensovittamisen tietosuoja-asetuksen kanssa. Näin hallinnon läpinäkyvyys ja asiakirjojen julkisuus voidaan säilyttää Suomessa.

Suomi on neuvotteluissa pyrkinyt siihen, että rekisterinpitäjille eli yrityksille ja yhteisöille asetettavista vaatimuksista ei muodostu kohtuuttomia kustannuksia.

Tietosuojavaltuutetulle uusia tehtäviä

Suomessa tietosuojavaltuutetun toimisto on viranomainen, jonka tehtäviin kuuluu mm. valvoa asetuksen soveltamista. Tietosuojavaltuutetun arvion mukaan uudet tehtävät kasvattavat toimiston resurssitarvetta noin 5 -7,5 henkilötyövuodella.

Tietosuojaviranomainen voi määrätä rekisterinpitäjälle sakkoa. Sanktioitavat teot on jaettu kolmeen luokkaan, joissa sakon määrä voi olla enintään 10 miljoonaa tai 20 miljoonaa euroa. Tämän lisäksi sakko voidaan määrätä kokonaisliikevaihdon perusteella. Sakkojen ohella on käytettävissä myös lievempiä keinoja, kuten huomautus.

Yrityksille sekä kustannuksia että hyötyjä

Suomalaisille yrityksille aiheutuu uusia kustannuksia muun muassa velvollisuudesta nimittää tietosuojavastaava sekä velvollisuudesta ilmoittaa tietoturvaloukkauksista. Jo nykyisin esimerkiksi apteekit ja terveydenhuoltoalan yritykset ovat velvollisia nimeämään tietosuojavastaavan.

Useassa EU-valtiossa toimiva yritys joutuu nykyisin selvittämään jokaisen jäsenvaltion tietosuojasäännökset erikseen. Jatkossa sovellettavan yhden luukun periaatteen mukaisesti tällainen yritys voi asioida vain yhden tietosuojaviranomaisen kanssa. Tämä vähentää yrityksen kustannuksia nykytilanteeseen verrattuna. Lisäksi yritykset voivat saada merkittävää taloudellista hyötyä, jos digitalisaatio etenee tietosuojauudistuksen tavoitteen mukaisesti.

EU:n tietosuojasääntelyn yhdenmukaisen soveltamisen varmistamiseksi perustetaan Euroopan tietosuojaneuvosto. Se voi tehdä sitovia päätöksiä asioissa, joissa on kyse henkilötietojen käsittelystä useamman jäsenvaltion alueella.

Tietosuoja-asetuksella kumotaan nykyinen EU:n henkilötietodirektiivi ja asetusta sovelletaan Suomessa sellaisenaan. Tietosuoja-asetus edellyttää kuitenkin Suomessa myös lainsäädäntötoimenpiteitä, sillä jäsenvaltiot voivat antaa asetusta tarkentavaa lainsäädäntöä erityisesti julkisella sektorilla. Myös julkishallinnolle asetus merkitsee uusia kustannuksia mm. tietosuojavastaavan nimittämiseen liittyen.

Tietosuojadirektiivi on monilta osin yhdenmukainen tietosuoja-asetuksen kanssa. Siihen sisältyy kuitenkin myös yleisestä tietosuoja-asetuksesta poikkeavia säännöksiä, jotka on katsottu tarpeelliseksi ottaen huomioon poliisi- ja rikosoikeudellisen yhteistyön erityistarpeet. Tietosuojadirektiivi korvaa nykyisen EU:n tietosuojapuitepäätöksen. Tietosuojadirektiivi tulee panna täytäntöön kansallisesti.

Lisätietoja: EU-erityisasiantuntija Anu Talus (tietosuoja-asetus), puh. 02951 50586,

neuvotteleva virkamies Leena Rantalankila (tietosuojadirektiivi), puh. 02951 50152

Hankesivu

Euroopan komission tiedote

Artikla 29 työryhmän lehdistötiedote