Kansallinen liikkumavara hyödynnettävä

EU:n tietosuoja-asetus muuttaa henkilötietojen käsittelyä

EU:n tietosuojalainsäädäntö uudistuu lähivuosina merkittävästi, kun uusi tietosuoja-asetus astuu voimaan. Asetuksen sisällöstä päästiin yhteisymmärrykseen ennen joulua Euroopan komission, parlamentin ja neuvoston kesken.

​Kyseessä on laaja uudistus, joka asettaa huomattavia uusia vaatimuksia henkilötietojen käsittelylle kunnissa, yrityksissä ja muissa organisaatioissa. Asetuksella luodaan kansalaisille uusia oikeuksia ja rekisterinpitäjille sekä henkilötietoja käsitteleville uusia velvollisuuksia.

Tarkoituksena on vastata teknologian nopean kehityksen ja digitalisoitumisen haasteisiin sekä parantaa henkilötietojen suojaa verkkoympäristössä.

 

Keskeisimmät uudistukset kuntien näkökulmasta

Asetuksen säännöksiä sovelletaan sekä viranomaisten että elinkeinoelämän henkilötietojen käsittelyyn. Tietosuoja-asetuksella on merkittäviä vaikutuksia kuntiin rekisterinpitäjinä ja henkilötietojen käsittelijöinä. Asetuksen lähtökohtana on rekisterinpitäjän vahva velvollisuus huolehtia tietosuojasta ja siitä, että käsitellyt henkilötiedot ovat suojassa. Asetus vahvistaa siten rekisteröidyn oikeuksia suhteessa rekisterinpitäjään.

 

Asetus sisältää yleisiä periaatteita henkilötietojen käsittelystä sekä säännöksiä siitä, milloin henkilötietojen käsittely ylipäänsä on sallittu. Lisäksi arkaluonteisten tietojen käsittelystä on omia säännöksiä. Viranomaisnäkökulmasta henkilötietojen käsittely on sallittu mm. rekisteröidyn suostumuksella, laissa säädetyn velvoitteen täyttämiseksi, yleisen edun perusteella tai julkista valtaa käytettäessä.

 

Rekisterinpitäjän uusiin velvollisuuksiin kuuluu turvata, että henkilötietojen suojaus niin pitkälle kuin mahdollista tapahtuu automaattisesti. Asetuksen mukaan tietosuojavaatimukset on oletusarvoisesti huomioitava kaikissa organisaatio- että järjestelmäratkaisuissa.

 

Rekisterinpitäjän velvollisuuksiin kuuluu myös helpottaa rekisteröityjen mahdollisuuksia olla yhteydessä rekisterinpitäjään ja käyttää asetuksen rekisteröidyille antamia oikeuksia. Rekisterinpitäjän on annettava laajasti tietoa rekisteröidyille sekä rekisterien sisällöistä että rekisterinpitäjän toiminnasta ja teoista.

 

Asetus sisältää säännöksiä rekisterinpitäjän ja henkilötietojen käsittelijän välisestä vastuunjaosta ja vastuunjaon mekanismeista, sekä erikseen säännöksiä myös henkilötietojen käsittelijän itsenäisistä vastuista.

 

Viranomaisille asetuksessa on asetettu pakollinen vaatimus tietosuojavastaavan nimittämisestä. Jokaisella viranomaisella tulee tulevaisuudessa olla nimitetty tietosuojavastaava, joka voi olla oma työntekijä tai usean viranomaisen yhteisesti nimittämä henkilö tai ostopalveluna hankittu.

 

Asetukseen sisältyy rekisterinpitäjälle velvoitteet viivytyksettä ilmoittaa ongelmatilanteista sekä rekisteröidyille että viranomaisille. Rekisterinpitäjille säädetään myös tietyissä tilanteissa velvollisuus dokumentoida henkilötietojen käsittelyyn liittyvät toimet, laatia tietosuojan vaikutustenarviointeja tai pyytää ennakkolupaa henkilötietojen käsittelylle.

 

Asetukseen on otettu säännöksiä tuntuvista hallinnollisista sanktioista, jos asetuksen vaatimuksia ei noudateta. 

 

Uudet oikeudet kansalaisille

Tietosuoja-asetus sisältää mm. seuraavia uusia oikeuksia yksilöille hallita henkilötietojaan:

  • pääsy omiin tietoihin helpottuu: ihmiset saavat enemmän tietoa siitä, miten heidän tietojaan käsitellään, ja tämä tieto on annettava heille selkeällä ja ymmärrettävällä tavalla;
  • oikeus siirtää tiedot järjestelmästä toiseen: henkilötiedot on entistä helpompi siirtää palveluntarjoajalta toiselle;
  • entistä selkeämpi ”oikeus tulla unohdetuksi”: kun käyttäjä ei enää halua, että hänen tieto-jaan käsitellään, tiedot poistetaan, paitsi jos on olemassa jokin laillinen peruste säilyttää ne;
  • oikeus saada tieto siitä, että omiin tietoihin on murtauduttu: kansalliselle tietosuojaviran-omaiselle on ilmoitettava vakavista tietosuojaloukkauksista mahdollisimman pian, jotta käyttäjät voivat toteuttaa tarvittavat toimenpiteet.
  • oikeus vaatia, että henkilötietojen käsittelyä rajoitetaan: erimielisyystilanteissa rekiste-röidyllä on oikeus vaatia, että henkilötietojen käsittelyä rajoitetaan väliaikaisesti. 

Lisäksi asetus sisältää Suomen henkilötietolaista tuttuja oikeuksia, kuten rekisteröidyin tarkastus- ja korjausoikeuden. Asetukseen on myös otettu säännös rekisteröidyn oikeudesta vastustaa tietojen käsittelyä tietyissä tilanteissa, jolloin rekisterinpitäjän tulee erikseen arvioida jatketaanko käsittelyä.

 

Kaiken kaikkiaan asetus edellyttää, että tietosuojan tasoa nostetaan ja tietosuojaan kiinnitetään entistä enemmän huomiota johtamisessa, resursoinnissa ja organisaatiotason ratkaisuissa.

 

Kuntaliitto on pääosin tyytyväinen EU:n valmisteluun

Kuntaliitto on seurannut tietosuoja-asetuksen valmistelua siitä lähtien, kun komission esitys julkaistiin tammikuussa 2012. Komission alkuperäinen esitys ei juuri huomioinut julkisen sektorin erityispiirteitä, vaan kunnat ja muu viranomaistoiminta asetettiin samalle viivalle kaupallisten tahojen kanssa.

 

Julkinen sektori olisi joutunut toimimaan samoilla ehdoilla kuin Facebook ja Google, mikä olisi aiheuttanut merkittävästi hallinnollisia kustannuksia.

 

Kuntaliitto ja liiton eurooppalainen kattojärjestö CEMR (Council of European Municipalities and Regions) vaikuttivat tiiviisti Euroopan parlamentin ja neuvoston jatkovalmisteluihin. Tavoitteena on ollut, että laadukkaat julkiset palvelut ja kansalaisten korkea tietosuoja voidaan turva ilman massiivista hallinnollista taakkaa.  

 

Neuvoston ja parlamentin valmistelussa asetusehdotus kehittyi myönteisesti. Lopullinen asetusteksti sisältää enemmän joustavuutta, tiettyjä poikkeuksia julkisen sektorin toimijoille sekä jättää jonkin verran kansallista liikkumavaraa. Lisäksi lopullinen teksti on monin paikoin selkeämpi kuin komission esitys. 

 

Lopputulosta voidaan pitää tyydyttävänä, vaikka asetus edellyttää kunnilta uudenlaisia menettelyjä verrattuna nykytilaan. 

 

Kansallinen liikkumavara käytettävä tehokkaasti

Tietosuoja-asetus on muodoltaan suoraan sovellettavaa EU-oikeutta, eikä sinänsä vaadi erillistä implementointia kansallisesti. Asetus sisältää kuitenkin erityisesti julkisen sektorin osalta paljon kansallista liikkumavaraa, mikä mahdollistaa Suomelle tietyiltä osin kansallisten ratkaisujen löytämistä asetuksen soveltamisen sijaan.

 

Asetustekstiin sisältyy yleinen valtuutus kansallisesti tarkemmin määritellä asetuksen vaatimusten sovellettavuus silloin, kun henkilötietoja käsitellään laissa säädetyn velvoitteen täyttämiseksi, yleisen edun perusteella tai julkisen vallan käyttöä varten. Kuntasektorin osalta asetuksen lopulliset vaikutukset selviävät siten vasta kansallisen täytäntöönpanoon yhteydessä.

 

Kansallisessa valmistelussa on nyt tärkeää tunnistaa asetuksen sallimat rajoitukset ja mahdollisuudet. Kansallinen liikkumavara on hyödynnettävä täysimääräisesti siten, että asetus ei aiheuta kunnilla ylimääräistä hallinnollista taakka tai tarpeettomia kustannuksia.

 

Asetuksen sisältö ja käsitteet ovat vielä monin paikoin epäselviä ja tulkinnanvaraisia, joten lopullinen asetusteksti vaati vielä selvennystä. Asetusta ei tule kansallisesti ylitulkita, eikä itse luoda uusia velvollisuuksia kunnille.

   

Kansallinen täytäntöönpano ja asetuksen vaatimusten tarkempi määrittely julkisen sektorin osalta kuuluu oikeusministeriön toimialaan.

 

Voimaan alkuvuodesta 2018

EU:n tasolla neuvoston ja parlamentin pitää vielä virallisesti hyväksyä lopullinen asetusteksti, jonka jälkeen asetuksen uusia sääntöjä ryhdytään soveltamaan kahden vuoden siirtymäajan jälkeen. Asetusta aletaan näin ollen todennäköisesti soveltaa alkuvuodesta 2018, mutta jo tätä ennen on tarve muuttaa kansallista lainsäädäntöä.

 

Tämä tarkoittaa, että kahden vuoden kuluttua Suomessa henkilötietojen käsittelyyn sovelletaan asetustekstiä, uudistettua henkilötietolakia ja julkisuuslakia. Lisäksi erityissääntelyn tietosuojapykäliin on tehtävä laajasti muutoksia.

 

Lisää aiheesta

Kuntaliiton asiantuntijat, jotka voivat kertoa lisää

Löydä lisää sisältöä samoista teemoista
Kuvituskuva.

EU-vaalit ovat kuntavaalit

Kunnissa toimeenpannaan aivan merkittävä osa EU-politiikkaa ja EU-lainsäädäntöä. EU-politiikan vaikuttavuus onkin paljolti kiinni kuntien toimista. 

EU-vaaleissa määritellään EU:n suunta seuraavaksi viideksi vuodeksi. Samalla määrittelemme kuntien suuntaa - EU-vaalit ovat kuntavaalit.

Tutustu EU-vaalikauden tavoitteisiimme

Muutoksia kuntien muutoksenhakuohjeisiin

Kuntien valitusosoituksissa on huomioitava kaksi kesän 2023 aikana tullutta muutosta.

Tutustu ohjeistukseen.