11.12.2018

Uusi tietosuojalaki voimaan vuodenvaihteessa

Uusi tietosuojalaki voimaan vuodenvaihteessa

Euroopan unionin tietosuoja-asetus eli tuttavallisemmin GDPR tuli voimaan yli puoli vuotta sitten. GDPR jätti kuitenkin kansallista liikkumavaraa jäsenvaltioille tietyissä asioissa, vaikka asetus onkin suoraan sovellettavaa oikeutta kaikissa jäsenvaltioissa. Tällä hetkellä Suomessa on GDPR:n ohella voimassa henkilötietolaki, joka ei sääntele niitä seikkoja, joita asetuksessa on jätetty kansallisen lainsäädännön tasolle. GDPR:n voimaantulon myötä on muun muassa ollut lainsäädännöllisesti epäselvää, mikä on tietosuojavaltuutetun rooli ja toimivalta GDPR:n valvonnassa.

Alun perin tietosuojalain piti tulla voimaan samaan aikaan GDPR:n kanssa, mutta näin ei käynyt. Nyt kuitenkin eduskunta on vihdoin hyväksynyt uuden tietosuojalain ja sen soveltaminen alkaa 1.1.2019.

Tietosuojalain tarkoituksena on siis täydentää tietosuoja-asetusta eikä se näin ollen itsenään muodosta kattavaa ja itsenäistä sääntelykokonaisuutta. Tietosuojalaissa säädetään tiettyjä poikkeuksia ja täsmennyksiä tietosuoja-asetukseen. Myös muun muassa valvontaviranomaisen asema ja toimivalta on kansallisessa laissa säädetty tietosuojalain voimaantulon jälkeen. Tietosuojalain voimaan tullessa nyt voimassa oleva henkilötietolaki kumotaan. Tietosuojalaki tekee muutamia ihan merkittäviäkin poikkeuksia tietosuoja-asetukseen. Alla niistä muutama.

Tietosuojalaissa asetetaan lapselle ikäraja. Lapsen ikärajan asettamisella tarkoitan sitä, että laissa on säädetty siitä, milloin lapsen henkilötietojen käsittely on sallittua. Tietosuoja-asetuksessa ikärajaksi on säädetty 16 vuotta, mutta Suomessa ikäraja säädettiin alemmaksi. Tietosuojalain mukaan tarjottaessa tietoyhteiskunnan palveluja (joita ovat siis käytännössä etäpalveluina sähköisessä muodossa toimitettavat palvelut, joista tavallisesti maksetaan korvaus) suoraan lapselle, lapsen henkilötietojen käsittely olisi lainmukaista vain, jos lapsi on vähintään 13-vuotias. Jos lapsi on alle 13-vuotias, käsittely olisi lainmukaista vain siinä tapauksessa, että lapsen huoltaja on antanut siihen suostumuksen tai valtuutuksen. Tämä ikäraja kuitenkin koskee vain niitä henkilötietojen käsittelyn tilanteita, jossa käsittelyn oikeudellinen käsittelyperuste on rekisteröidyn suostumus. Täytyy myös huomioida, että tämä ei kuitenkaan vaikuta esimerkiksi lapsen kelpoisuuteen ylipäänsä tehdä oikeustoimia.

GDPR:n mukaan jäsenvaltio voi asettaa sääntöjä siitä, voidaanko viranomaiselle tai julkishallinnon elimelle määrätä hallinnollisia sakkoja. Uudessa tietosuojalaissa säädettäisiin, että GDPR:n mukaista hallinnollista seuraamusmaksua ei voitaisi määrätä viranomaisille. Perusteluna tälle ratkaisulle on se, että viranomaiselle määrättävä hallinnollinen seuraamusmaksu on vieras menettely oikeusjärjestyksessämme ja julkishallintoon kohdistuu jo muunlaisia erityisvaatimuksia. Näistä esimerkkeinä mainittakoon lainmukaisuusperiaate sekä virkavastuu. Lisäksi eduskunnan oikeusasiamies ja oikeuskansleri valvovat viranomaisten ja virkamiesten toimintaa.

Edellä mainitut seikat ovat siis tietosuoja-asetuksen mahdollistamia poikkeuksia asetukseen. Laissa on lisäksi säädetty poikkeuksia henkilötietojen käsittelyyn silloin, kun on kyse sananvapauden turvaamisesta esimerkiksi journalismissa tai tieteellisessä ja historiallisessa tutkimuksessa. Näissä tilanteissa rekisteröidyillä ei esimerkiksi olisi oikeutta tarkastaa itseään koskevia tietoja.