Kansallinen tietosuojalaki voimaan 1.1.2019
EU:n yleinen tietosuoja-asetus eli GDPR astui voimaan 25.5.2018 ja se koskee lähtökohtaisesti kaikkea henkilötietojen käsittelyä. Tietosuoja-asetukseen jätetystä kansallisesta liikkumavarasta jäsenmaiden tuli säätää omat lakinsa ja Suomen eduskunta on nämä lait nyt omalta osaltaan vahvistanut, kun kansallinen tietosuojalaki astuu voimaan. Kyse on rinnakkaisesta lainsäädännöstä, jota tulee soveltaa yhdessä tietosuoja-asetuksen kanssa.
Suomen näkökulmasta säädetyllä tietosuojalailla asetetaan tiettyjä poikkeuksia ja täsmennyksiä EU:n tietosuoja-asetukseen. Tällaisia ovat esimerkiksi sananvapauden ja henkilötietojen suojan yhteensovittaminen, tietoyhteiskunnan palveluiden tarjoaminen suoraan lapselle sekä tiettyjä erityisiä henkilöryhmiä koskeva sääntely. Erityisiä henkilötietoryhmiä koskevaa tiedonkäsittelyä voi tapahtua muun muassa liittyen vakuutustoimintaan, ammattiliittoon kuulumiseen tai terveyden- ja sosiaalihuollon palveluntarjoajien järjestämiin ja tuottamiin palveluihin.
Sananvapauden turvaamiseen esimerkiksi journalismissa säädetään myös poikkeuksia ja vapautuksia, joissa muun muassa rajoitetaan henkilöiden oikeutta tarkastaa itseään koskevia tietoja. Poikkeuksia liittyy myös tutkimukseen, arkistointiin ja tilastointiin.
Suomessa päätettiin, että lapsen on oltava vähintään 13-vuotias, jotta hänelle voidaan suoraan tarjota tietoyhteiskunnan palveluita. Tätä nuoremmilla lapsilla on oltava vanhempien suostumus kaikkien henkilötietojen antamista edellyttävien sosiaalisen median palveluiden käyttöön ottamiseksi. Vastuu suostumuksen olemassaolosta on palvelun tuottajalla eli rekisterinpitäjällä. EU-asetuksen antama liikkumavara ikärajan suhteen oli 13-16 -vuotta.
Kaikki tietosuoja-asetuksen edellyttämät viranomaistehtävät keskitetään tietosuojavaltuutetulle. Tietosuojavaltuutetun toimistoon perustettavalla seuraamuskollegiolla on mahdollisuus määrätä säännösten rikkomisesta seuraamusmaksuja. Ne voivat olla lievimmillään enintään 10 miljoonaa euroa tai 2 % kokonaisliikevaihdosta ja vakavimmillaan 20 miljoonaa euroa tai 4 % kokonaisliikevaihdosta. Tietosuojavaltuutetulla on käytössään myös lievempiä seuraamusvaihtoehtoja. Huomionarvoista on, että seuraamusmaksuja ei voi määrätä viranomaisille ja julkishallinnon organisaatioille.
Tietosuojalaissa on myös säännös ilmoittajan henkilöllisyyden suojaamisesta. Tällä tarkoitetaan sitä, että epäillystä sääntelyn rikkomisesta ilmoittavan henkilöllisyys on pidettävä salassa, jos siitä olosuhteiden perusteella voidaan arvioida aiheutuvan haittaa ilmoittajalle.
Tietosuojalaki ja siihen liittyvät lakimuutokset pitävät sisällään myös sääntelyn tietosuojarikoksesta. Sellaisesta voi olla kyse, jos rekisterinpitäjän palveluksessa oleva henkilö oikeudettomasti urkkii henkilötietoja vastoin niiden käyttötarkoitusta. Rangaistuksena voi seurata sakkoa tai vankeutta enintään yksi vuosi.
Vuodenvaihde on hyvä aika tarkistaa oman yrityksen tietosuoja ja varmistaa vaatimustenmukaisuus niin EU:n tietosuoja-asetuksen kuin kansallisen tietosuojalain mukaiseksi. Protectilla on osaamista myös GDPR -asioissa ja olemme mielellämme yritysten tukena vaatimustenmukaisuuden varmistamisessa.
