Eduskunta hyväksyi uuden tietosuojalain

11-2018

Uusi tietosuojalaki

Yleistä tietosuoja-asetusta (GDPR) Suomessa täydentävä ja täsmentävä tietosuojalaki hyväksyttiin eduskunnassa tiistaina 13.11. Laki menee seuraavaksi tasavallan presidentin vahvistettavaksi ja astuu voimaan myöhemmin julkistettavana päivänä. Uutta tietosuojalakia sovelletaan henkilötietojen käsittelyyn yhdessä GDPR:n kanssa. Vaikka GDPR on EU-jäsenmaissa suoraan sovellettavaa lainsäädäntöä, se jättää tietyissä asioissa kansalliselle lainsäätäjälle liikkumavaraa ja myös asettaa velvoitteita kansallisen lainsäädännön luomiseen, minkä vuoksi tietosuojalain säätäminen oli tarpeellista. Tietosuojalaissa säädettiin esimerkiksi seuraavista asioista:

  • GDPR:n hallinnollisia seuraamusmaksuja (enimmillään 20 miljoonaa tai 4 % vuotuisesta maailmanlaajuisesta liikevaihdosta) ei voida määrätä valtion viranomaisille, valtion liikelaitokselle, kunnallisille viranomaisille, kirkolle, itsenäiselle julkisoikeudellisille laitoksille, eduskunnan virastoille eikä tasavallan presidentin kanslialle.
  • Seuraamusmaksut määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen muodostama kolmijäseninen seuraamuskollegio.
  • Tietoyhteiskunnan palvelujen, kuten sosiaalisen median palvelujen tarjoamisen ikärajaksi on asetettu 13 vuotta.
  • Arkaluonteisten henkilötietojen käsittelyn sallittuja perusteita on täsmennetty. Esimerkiksi terveystietojen käsittely on sallittua vakuutustoiminnassa.
  • Rikostuomioihin ja rikkomuksiin liittyvän tiedon käsittelylle sekä henkilötunnuksen käsittelylle on määritetty omat erityiset edellytyksensä.

Uuden lain säätämisen yhteydessä rikoslain henkilörekisteririkos korvattiin uudella tietosuojarikossäännöksellä ja sakon täytäntöönpanosta annettua lakia muutettiin käsittämään myös GDPR:n hallinnolliset seuraamusmaksut. Eduskunta hyväksyi 6.11. myös lain henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä. Työelämän tietosuojalaki pysyy voimassa työntekijöiden henkilötietojen käsittelyä koskevana, GDPR:n tasoa tiukempana erityislakina.

Henkilötietojen suojan taso oli jo Suomen aikaisemmassa henkilötietolaissa korkea, ja uutta tietosuojalakia koskevassa hallituksen esityksessä (HE 9/2018 vp) todettiinkin, että tarkoituksena on mahdollisimman pitkälle säilyttää aiemman lain mukainen oikeustila. Tämä tarkoittaa esimerkiksi sitä, että julkisuusperiaatteen ja sananvapauden suojaamiseen on uudessa tietosuojalaissa kiinnitetty huomiota. Tietosuojalain säätämisen vaiheisiin voit tutustua tarkemmin lakihankkeen omalla infosivulla. Voit myös vertailla eri EU-maiden GDPR:ää täsmentävää kansallista lainsäädäntöä Bird & Birdin GDPR Tracker -sivustolla.

Yleisen edun mukainen käsittely sekä journalistinen, akateeminen, taiteellinen ja kirjallinen ilmaisu

Yleinen etu ja tiedot vallankäytöstä. GDPR asettaa joukon oikeusperusteita, joista jonkin on täytyttävä, jotta henkilötietojen käsittely olisi lainmukaista. Asetuksen 6(1)(e) artikla mahdollistaa käsittelyn, jos se on tarpeen yleistä etua koskevan tehtävän suorittamiseksi. Tietosuojalaissa tätä perustetta on täsmennetty siten, että käsittely on sallittua tilanteissa, joissa kysymys on henkilön asemaa, tehtäviä ja niiden hoitamista julkisyhteisöissä, elinkeinoelämässä, järjestötoiminnassa tai muussa vastaavassa toiminnassa kuvaavista tiedoista ja käsittely on oikeasuhtaista sillä tavoiteltuun oikeutettuun päämäärään nähden. Vanhan henkilötietolain vastaavaan perusteeseen verrattuna uusi käsittelyperuste on laajempi: siihen on lisätty määritelmä ”muu vastaava toiminta” ja siitä on poistettu sanat ”yleisesti saatavilla olevia”.

Yleinen etu ja tutkimus, tilastointi sekä arkistointi. Yleinen etu -oikeusperustetta täsmennettiin myös mahdollistamalla käsittely tieteellistä tai historiallista tutkimusta tai tilastointia varten. Henkilötietoja voisivat säännöksen perusteella käsitellä luonnolliset henkilöt ja julkiset sekä yksityiset oikeushenkilöt, kuten yritykset. Vaikka yleistä etua koskevaa tehtävää ei olisikaan, henkilötietojen käsittely tieteellisessä tutkimustarkoituksessa on mahdollista, jos käsittelylle on esimerkiksi rekisteröidyn suostumus tai kyseessä on rekisterinpitäjän oikeutettu etu.

Yleisen edun mukainen tehtävä mahdollistaa uudessa tietosuojalaissa myös arkistointitarkoituksessa tapahtuvan henkilötietoja sisältävien tutkimusaineistojen, kulttuuriperintöaineistojen sekä näiden kuvailutietoihin liittyvien henkilötietojen käsittelyn.

Ilmaisutarkoitukset. Henkilötietojen käsittely on mahdollista journalististen, akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten. Näihinkin tarkoituksiin käsiteltäessä on mahdollista poiketa useista GDPR:n velvoitteista. Esimerkiksi osa tietosuojaperiaatteista ei sovellu ja rekisteröidyn oikeuksien käyttämistä on rajoitettu. Kuitenkin muun muassa eheyden ja luottamuksellisuuden periaate sekä tietoturvaan liittyvät velvoitteet pätevät täysimääräisesti.

Tietoyhteiskunnan palveluiden ikäraja

Tietoyhteiskunnan palvelujen, kuten sosiaalisen median palveluiden, tarjoaminen lapselle hänen suostumuksensa perusteella on tietosuojalain mukaan sallittua vain jos lapsi on vähintään 13-vuotias. Tätä nuoremmille lapsille tietoyhteiskunnan palveluita voi tarjota vain vanhemman suostumuksella tai valtuutuksella. Useat muut EU-maat valitsivat korkeampia ikärajoja, ja esimerkiksi Alankomaissa sekä Irlannissa tietoyhteiskunnan palveluiden tarjoamisen ikäraja on 16 vuotta.

Arkaluonteiset henkilötiedot, rikostiedot ja henkilötunnus

Arkaluonteiset tiedot. GDPR:ssä mainittujen arkaluonteisten henkilötietojen käsittelyperusteiden lisäksi tietosuojalaissa on säädetty asetuksen vaatimat täsmennykset. Kuten myös aikaisemmassa laissa, terveystietojen käsittely on sallittua esimerkiksi vakuutuslaitoksille vastuun selvittämiseksi. Uutta tietosuojalaissa on nimenomainen maininta, että terveystietoja ja geneettisiä tietoja voidaan käsitellä myös antidopingtyössä sekä vammaisurheiluun liittyvissä tarkoituksissa.

Henkilötietolain ajasta tilanne muuttui myös siten, että arkaluonteisina ei enää pidetä tietoja henkilön sosiaalihuollon tarpeesta tai hänen saamistaan sosiaalihuollon palveluista, tukitoimista ja muista sosiaalihuollon etuuksista. Arkaluonteisia henkilötietoja käsiteltäessä rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava asianmukaiset ja erityiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi. Joukko näitä toimenpiteitä, kuten salaaminen ja pseudonymisointi, on esitetty pykälässä. Suojatoimien lista ei kuitenkaan ole kattava eikä pakottava, vaan tietoja käsittelevän tahon on itse arvioitava, mikä on asianmukaista.

Tiedot rikoksista ja rikkomuksista. Rikostuomioihin ja rikkomuksiin liittyvien tietojen käsittelystä on tietosuojalaissa säädetty omassa pykälässään. Niitä saa uuden lain mukaan käsitellä jos se on tarpeen oikeusvaateen selvittämiseksi, laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi. Käsittely on sallittua myös laissa säädetyistä syistä, laissa säädetyn tehtävän suorittamiseksi tai tutkimusta varten. Lisäksi vakuutuslaitokset voivat käsitellä näitä tietoja vastuun selvittämiseksi.

Henkilötunnuksen käsittely. Henkilötunnuksen käsittelylle asetetaan uudessa tietosuojalaissa "tavallisia henkilötietoja" tiukemmat ehdot, mikä säilyttää henkilötietolain aikaisen oikeustilan. Huomionarvoista on, että henkilötunnusta ei saa käsitellä rekisterinpitäjän oikeutetun edun perusteella. Tunnuksen käsittely on sallittua rekisteröidyn suostumuksella, tai jos käsittelystä säädetään lailla. Jos rekisteröidyn yksiselitteinen yksilöiminen on tärkeää, käsittely on sallittua myös laissa säädetyn tehtävän suorittamiseksi, rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi tai historiallista tai tieteellistä tutkimusta taikka tilastointia varten. Lisäksi tunnusta saa käsitellä muun muassa luotonannossa tai saatavan perimisessä, vakuutus-, luottolaitos-, maksupalvelu-, vuokraus- ja lainaustoiminnassa.

Tietosuojavaltuutettu ja hallinnolliset seuraamusmaksut

Tietosuojavaltuutettu. Uusi tietosuojalaki säätää myös tietosuojavaltuutetun asemasta sekä kumoaa tietosuojalautakunnasta ja tietosuojavaltuutetusta annetun lain. Tietosuojalautakunta lakkautetaan ja tietosuojavaltuutettu jatkaa tietosuojan valvontaviranomaisena. Tietosuojavaltuutetun toimiston yhteydessä toimii tulevaisuudessa myös asiantuntijalautakunta, joka antaa valtuutetun pyynnöstä tietosuojalainsäädäntöä koskevia lausuntoja, mutta sillä ei ole muodollista päätösvaltaa. 

Hallinnolliset seuraamusmaksut. Uusi tietosuojalaki täsmentää myös paljon keskustelua herättäneiden GDPR:n hallinnollisten seuraamusmaksujen määräämistä. GDPR:n rikkomuksesta tai laiminlyönnistä voidaan määrätä seuraamusmaksu, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. Hallinnollisen seuraamusmaksun määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen muodostama kolmejäseninen seuraamuskollegio.

Laki rajoittaa GDPR:n hallinnollisten seuraamusmaksujen määräämistä siten, ettei niitä saa määrätä, jos rikkomuksesta tai laiminlyönnistä on kulunut yli 10 vuotta. Tietosuojalaki myös täsmentää, ettei maksuja voida määrätä valtion viranomaisille, valtion liikelaitokselle, kunnallisille viranomaisille, itsenäiselle julkisoikeudellisille laitoksille (esimerkiksi yliopistot), evankelis-luterilaisen tai ortodoksisen kirkon elimille, eduskunnan virastoille eikä tasavallan presidentin kanslialle.