26.4.2016

Euroopan unionin laki ja tietosuoja-asetus

Euroopan unioni on kulkenut pitkän matkan yhtenäistäessään lukuisia lainsäädännön alueita jäsenvaltioidensa välillä. EU-lainsäädännön syntymekanismit ovat moninaiset, kuten EU:n omilta sivuilta voidaan todeta. Lievästä sekavuudesta huolimatta voidaan pähkinänkuoressa todeta, että jäsenvaltion kannalta tärkeimmät lainsäädäntötyön lopputulokset ovat joka tapauksessa direktiivit ja asetukset. Direktiivit edellyttävät tyypillisesti vielä jäsenvaltion omia toimia, pääasiassa oman lainsäädäntönsä muokkaamista siten, että se täyttää vähintään direktiivin asettamat edellytykset. Asetus, toisin kuin asetukset kotimaisessa systematiikassamme, sen sijaan on käytännössä sitovuudeltaan voimakkain mahdollinen tapa säätää oikeutta EU-alueella. Se on suoraan voimassaolevaa oikeutta ilman jäsenvaltion omia toimia.

Tämä merkittävä ero direktiivin ja asetuksen välillä on yksi syy, miksi EU on hyväksynyt uuden Tietosuoja-asetuksen, joka astuu voimaan ilmeisesti vuonna 2018. Entinen tietosuojadirektiivi ei nimittäin käytännössä toiminut, koska kaikki jäsenmaat eivät koskaan toimeenpanneet sen sisältöä omassa toiminnassaan. Tietosuoja-asetus onkin hieno esimerkki lainsäädännöstä, joka aidosti yhtenäistää Eurooppaa, ja toisaalta EU:n tahdosta edistää pitkäjänteisesti perusarvoihinsa sisältyviä tavoitteita koko EU:n alueella. Tietosuoja-asetuksen merkittävin uudistus lieneekin suhteessa Suomen lainsäädäntöön se, että tietosuojakäytännöistä tulee aidosti yleiseurooppalaista lainsäädäntöä.

Uuden asetuksen systematiikka perustuu siihen, että kaiken keskiössä on itse ”rekisteröity” eli luonnollinen henkilö. Asetus luo pelisäännöt sille, miten henkilöön liittyvää tietoa saa eurooppalaisen toimijan toimesta käsitellä ja säilyttää, tapahtuipa käsittely tai säilytys EU:n alueella tai ei. Rekisteröidyllä on ja hänelle tulee taata oikeuksia, minkä lisäksi rekisterin pitäjälle asetetaan velvoitteita rekisteriin liittyen. Uusista oikeuksista merkittävin lienee oikeus tulla unohdetuksi, eli pääsääntöinen oikeus poistattaa ainakin turhat tietonsa rekisteristä. Rekisteröidyllä on myös tarkastusoikeus tietoihinsa, ja rekisterinpitäjällä on myös velvollisuus oikaista virheelliset tiedot.

Uuden asetuksen systematiikassa asetetaan päävastuu tietosuojan toteutumisesta tietenkin rekisterinpitäjälle, mikä tarkoittaa velvollisuuttaa toimia aktiivisesti tietosuojaan liittyen, ei pelkästään loukkauksen jälkeistä vastuuta. Yritysten on laadittava omat tietosuojakäytäntönsä, ja tarvittaessa todistettava niiden toimivuus. Yli 250 ihmisen yrityksiin on nimettävä erikseen tietosuojavastaava. Ideana on edellyttää toimijoilta oletusarvoista tietosuojaa (”privacy by design” & ”privacy by default”), mikä asettanee uusia vaatimuksia erityisesti tietojärjestelmien suunnittelulle ja toteutukselle. Asetuksen toteutumisen takaamiseksi tietosuojaviranomaisille annetaan jopa miljoonien eurojen sakotusoikeus mikäli yrityksen toiminta loukkaa tietosuoja-asetusta.

EU:n uusi tietosuoja-asetus on vasta tulossa voimaan, eikä sen kaikkia Euroopan laajuisia seurauksia tietenkään vielä tunneta. Varmaa on kuitenkin ainakin se, että toiminta eurooppalaisilla tietosuojamarkkinoilla tulee piristymään lähivuosina!

Kimmo Kajander