Mitä merkitystä on tietosuojalailla?

Kansallisen tietosuojalain oli tarkoitus astua voimaan 25.toukokuuta yhdessä EU:n yleisen tietosuoja-asetuksen kanssa. Tietosuojalain hyväksyminen osoittautui kuitenkin oletettua haastavammaksi tehtäväksi, ja eduskunta hyväksyi sen vasta 13.11.2018. Sitä ennen tietosuojalaki ehti käydä hallintovaliokunnassa kahdesti ja perustuslakivaliokunnassa kolmesti, yli sataa asiantuntijalausuntoa unohtamatta. Meillä oli kuitenkin jo koko EU:n laajuinen tietosuoja-asetus. Miksi tarvittiin myös kansallinen yleislaki?

Koska tietosuoja-asetus on säädösluonteeltaan EU-asetus, se on kaikissa jäsenvaltioissa suoraan ja sellaisenaan sovellettavaa oikeutta. Se sisältää kuitenkin jonkin verran direktiivinomaista kansallista liikkumavaraa. Äskettäin hyväksytyn tietosuojalain tehtävänä onkin tarkentaa ja täsmentää tietosuoja-asetusta niiltä osin, kuin siinä on jätetty liikkumavaraa kansalliselle lainsäätäjälle. Osasta tietosuojalakiin sisällytetyistä seikoista säätämistä on edellytetty suoraan tietosuoja-asetuksessa, mutta osa sen sisällöstä perustuu kansalliseen harkintaan.

Tietosuojalaissa säädetään muun muassa seuraavista asioista:

• tietosuoja-asetuksen soveltamisala laajennetaan kattamaan myös sellainen käsittely, jota suoritetaan unionin lainsäädännön soveltamisalaan kuulumattoman toiminnan yhteydessä
• rajataan yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttöä koskeva oikeusperuste käytettäväksi vain tietyissä tilanteissa
• yli 13-vuotias lapsi voi tietoyhteiskunnan palvelussa antaa suostumuksen henkilötietojensa käsittelyyn itse
• erityisiin henkilötietoryhmiin kuuluvien tietojenkäsittelykielto poistetaan tietyissä tilanteissa, kunhan suojatoimista huolehditaan
• henkilötunnusta tai rikostuomioihin ja rikkomuksiin koskevia henkilötietoja saadaan käsitellä vain tietyissä tilanteissa
• hallinnollisista seuraamusmaksuista päättää tietosuojavaltuutetun ja kahden apulaistietosuojavaltuutetun muodostama seuraamuskollegio, eikä seuraamusmaksuja voida määrätä esimerkiksi valtiollisille tai kunnallisille viranomaisille taikka valtionkirkoille
• tietosuojavaltuutettu voi asettaa uhkasakon määräystensä tehosteeksi
• tietosuoja-asetuksen soveltamista journalistisen,akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten suoritettavaan henkilötietojen käsittelyyn rajoitetaan huomattavasti
• tieteelliseen tai historialliseen tutkimukseen taikka tilastolliseen tarkoitukseen tapahtuvalle henkilötietojen käsittelylle annetaan tiettyjä myönnytyksiä, mutta edellytetään myös suojatoimia
• rajoitetaan rekisteröidyn tiedonsaanti- ja tarkastusoikeuksia silloin, kun se on välttämätöntä esimerkiksi rikosten ehkäisemiseksi tai verotukseen liittyvän valvontatehtävän vuoksi

Yllä mainittujen lisäksi tietosuojalailla kumotaan henkilötietolaki, jota Suomessa on sovellettu henkilötietojen käsittelyn yleislakina jo vuodesta 1997. Tietosuojalain yksi ominaispiirteistä onkin se,että laki pyrkii monin paikoin pitämään kiinni vanhan henkilötietolain mukaisesta oikeustilasta. Esimerkiksi tieteellisen tutkimuksen ja viranomaistentekemän suunnittelu- ja selvitystyön edellytykset on haluttu säilyttää mahdollisimman pitkälle sellaisena, kuin ne ovat olleet ennen tietosuojauudistusta.

Kenties merkittävin yksittäinen seuraus tietosuojalain voimaansaattamisesta on tietosuojavaltuutetun toimistoa vaivaavan toimivaltavajeen päättyminen. Vaikka tietosuojavaltuutetun asema ja tehtävät on määritelty tietosuoja-asetuksessa, tämä saa varsinaiset toimivaltuutensa vasta tietosuojalain myötä. Myös tietosuojavaltuutetun toimiston henkilöresurssien lisääminen odottaa tietosuojalain voimaantuloa. Kun tietosuojalaki vihdoinkin astuu voimaan, voi tietosuojavaltuutettu ryhtyä valvomaan henkilötietojenkäsittelyä tietosuoja-asetuksen mukaisesti. Tietosuojalain voimaantultua tietosuojavaltuutettu voi myös määrätä tietosuoja-asetuksen mukaisia hallinnollisia seuraamusmaksuja. Ensimmäiset tietosuoja-asetuksen nojalla määrätyt hallinnolliset sakot saatetaan siis jakaa jo hyvinkin pian!

Eduskunnan hyväksymätietosuojalaki astuu voimaan, kun tasavallan presidentti on vahvistanut sen jamäärännyt lain voimaantulopäivän. Kirjoitushetkellä 26.11.2018 lakia ei olevielä vahvistettu.

‍