Seuraa uutisvirtaamme ja lue tuoreimmat julkaisumme

Vieraskynä: Uusi tietosuojalainsäädäntö ohjaa henkilötietojen käsittelyä

5.2.2019 08:12

EU:n tietosuoja-asetusta (679/2016/EU) täydentävä kansallinen tietosuojalaki (1050/2018) tuli voimaan 1.1.2019. Tietosuojalailla kumottiin jo kauan voimassa ollut henkilötietolaki.

Uusi tietosuojasääntely

Tietosuojalakia sovelletaan yhdessä tietosuoja-asetuksen kanssa. Tämä tarkoittaa, että uusi henkilötietojen käsittelyyn liittyvä sääntely muodostuu paketista, johon kuuluu sekä EU-lainsäädäntöä että kansallista sääntelyä.

EU:n tietosuoja-asetus on kaiken perusta, ja asetuksesta löytyy henkilötietojen käsittelyn reunaehdot: mitä henkilötietoja saa käsitellä, miten henkilötietoja käsitellään ja vastuukysymykset henkilötietojen käsittelyssä. Tietosuojalailla täsmennetään ja täydennetään tiettyjä asetuksen vaatimuksia liittyen muun muassa lapsen ikärajaan tietoyhteiskunnan palveluissa, valvontaviranomaiseen ja erityisten henkilötietoryhmien käsittelyperusteisiin. Tietosuojalaissa on myös säännöksiä henkilötietojen käsittelyn erityistilanteista – näitä ovat journalistiset, tieteelliset, historialliset ja tilastolliset käyttötarkoitukset - sekä arkistoinnista.

Täsmennyksiä käsittelyperusteisiin

Henkilötietojen käsittelyperusteet löytyvät uudessa tietosuojasääntelyssä sekä tietosuoja-asetuksesta että tietosuojalaista. Tietosuoja-asetukseen sisältyy perussääntö tavallisten henkilötietojen käsittelyperusteista (art. 6) sekä perussääntö erityisten (ennen ”arkaluonteisten”) henkilötietojen käsittelyperusteista (art. 9), eli säännöt siitä, milloin näitä tietoja ylipäänsä saa käsitellä.  

Perusteeksi henkilötietojen käsittelyssä viranomaistoiminnassa tietosuoja-asetus antaa vaihtoehdoiksi ”lakisääteisen tehtävän” tai ”yleisen edun”. Tietosuojalaissa täsmennetään mitä ”yleisellä edulla” oikein tarkoitetaan (4 §). Pykälässä todetaan, että esimerkiksi kuntien vapaaehtoiset tehtävät lukeutuvat tähän kategoriaan. Tietosuojalaissa täsmennetään myös erityisten henkilötietojen käsittelyperusteita muun muassa siten, että viranomaisen lakisääteinen tehtävä tai terveydenhuollon toimintayksikön tehtävät oikeuttavat lain nojalla käsittelemään myös näitä erityisiä tietoja (6 §). Lisäksi todetaan, että mikäli erityisiä henkilötietoja käsitellään, tulisi myös noudattaa tiettyjä erityistoimenpiteitä tietojen suojaamiseksi (6.2 §).

Kuten tästäkin selostuksesta käy ilmi, kyse on todella integroidusta sääntelystä, jossa asetusta ja lakia sovelletaan sekä rinnakkain että päällekkäin.

Omien tietojen tarkastukset

Tietosuojalakiin on lisäksi otettu henkilötietolakia vastaavat säännökset poikkeuksista yleiseen informointivelvollisuuteen sekä omien tietojen tarkastusoikeuteen. Yhtäältä (33 §) kyse on siitä, että tiettyjen henkilötietojen käsittelytarkoitusten osalta rekisterinpitäjän ei lainkaan tarvitse informoida rekisteröityjä siitä, että henkilön tietoja käsitellään. Tätä poikkeusta sovelletaan muun muassa kun tietoja käsitellään kansalliseen turvallisuuteen liittyen. Joissain tilanteissa (34 §) henkilölle ei tarvitse antaa tietoa hänen omista tiedoistaan pyynnöstä huolimatta. Perusteet tarkastuspyynnön hylkäämiselle vastaavat pitkälti kumotun henkilötietolain säännöksiä.

Valvontaviranomainen ja muuta kivaa

Tietosuojalailla perustettiin lisäksi kansallinen valvontaviranomainen, eli annettiin Tietosuojavaltuutetulle asetuksen tuomat oikeudet ja velvollisuudet valvonnan osalta. Tietosuojavaltuutetun uudistetut kotisivut kertovat toimiston uusista tehtävistä: www.tietosuoja.fi.

Uusien tehtävien ja kasvavien asiamäärien vuoksi tietosuojavaltuutetun toimistoon perustetaan kaksi apulaistietosuojavaltuutetun virkaa ja asiantuntijalautakunta.

Aiheesta voit oppia lisää Henkilötietojen lainmukainen käsittely -koulutuksessa 13.3. (Helsinki + striimi)

 

Kirjoittaja:

Ida Sulin, tiiminvetäjä ja johtava lakimies, Suomen Kuntaliitto

Kuntaliiton johtava lakimies ja tiiminvetäjä Ida Sulin on tietosuojan konkari ja on erityisesti perehtynyt henkilötietojen käsittelyyn paikallishallinnossa. Hän osallistui GDPR:n kansalliseen voimaansaattamistyöryhmään ja on kouluttanut aiheesta laajasti.