Osa ISO 27001 -kokoelmaa
Osa NIS2-kokoelmaa

Eduskunta hyväksyi tietosuoja-asetusta tarkentavan tietosuojalain 13.11.2018

ISO 27001
Eduskunta hyväksyi tietosuoja-asetusta tarkentavan tietosuojalain 13.11.2018
NIS2
Eduskunta hyväksyi tietosuoja-asetusta tarkentavan tietosuojalain 13.11.2018
Artikkelit
Eduskunta hyväksyi tietosuoja-asetusta tarkentavan tietosuojalain 13.11.2018

Mitä merkitystä on tietosuojalailla?

Kansallisen tietosuojalain oli tarkoitus astua voimaan 25.toukokuuta yhdessä EU:n yleisen tietosuoja-asetuksen kanssa. Tietosuojalain hyväksyminen osoittautui kuitenkin oletettua haastavammaksi tehtäväksi, ja eduskunta hyväksyi sen vasta 13.11.2018. Sitä ennen tietosuojalaki ehti käydä hallintovaliokunnassa kahdesti ja perustuslakivaliokunnassa kolmesti, yli sataa asiantuntijalausuntoa unohtamatta. Meillä oli kuitenkin jo koko EU:n laajuinen tietosuoja-asetus. Miksi tarvittiin myös kansallinen yleislaki?

Koska tietosuoja-asetus on säädösluonteeltaan EU-asetus, se on kaikissa jäsenvaltioissa suoraan ja sellaisenaan sovellettavaa oikeutta. Se sisältää kuitenkin jonkin verran direktiivinomaista kansallista liikkumavaraa. Äskettäin hyväksytyn tietosuojalain tehtävänä onkin tarkentaa ja täsmentää tietosuoja-asetusta niiltä osin, kuin siinä on jätetty liikkumavaraa kansalliselle lainsäätäjälle. Osasta tietosuojalakiin sisällytetyistä seikoista säätämistä on edellytetty suoraan tietosuoja-asetuksessa, mutta osa sen sisällöstä perustuu kansalliseen harkintaan.

Tietosuojalaissa säädetään muun muassa seuraavista asioista:

  • tietosuoja-asetuksen soveltamisala laajennetaan kattamaan myös sellainen käsittely, jota suoritetaan unionin lainsäädännön soveltamisalaan kuulumattoman toiminnan yhteydessä
  • rajataan yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttöä koskeva oikeusperuste käytettäväksi vain tietyissä tilanteissa
  • yli 13-vuotias lapsi voi tietoyhteiskunnan palvelussa antaa suostumuksen henkilötietojensa käsittelyyn itse
  • erityisiin henkilötietoryhmiin kuuluvien tietojenkäsittelykielto poistetaan tietyissä tilanteissa, kunhan suojatoimista huolehditaan
  • henkilötunnusta tai rikostuomioihin ja rikkomuksiin koskevia henkilötietoja saadaan käsitellä vain tietyissä tilanteissa
  • hallinnollisista seuraamusmaksuista päättää tietosuojavaltuutetun ja kahden apulaistietosuojavaltuutetun muodostama seuraamuskollegio, eikä seuraamusmaksuja voida määrätä esimerkiksi valtiollisille tai kunnallisille viranomaisille taikka valtionkirkoille
  • tietosuojavaltuutettu voi asettaa uhkasakon määräystensä tehosteeksi
  • tietosuoja-asetuksen soveltamista journalistisen,akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten suoritettavaan henkilötietojen käsittelyyn rajoitetaan huomattavasti
  • tieteelliseen tai historialliseen tutkimukseen taikka tilastolliseen tarkoitukseen tapahtuvalle henkilötietojen käsittelylle annetaan tiettyjä myönnytyksiä, mutta edellytetään myös suojatoimia
  • rajoitetaan rekisteröidyn tiedonsaanti- ja tarkastusoikeuksia silloin, kun se on välttämätöntä esimerkiksi rikosten ehkäisemiseksi tai verotukseen liittyvän valvontatehtävän vuoksi

Yllä mainittujen lisäksi tietosuojalailla kumotaan henkilötietolaki, jota Suomessa on sovellettu henkilötietojen käsittelyn yleislakina jo vuodesta 1997. Tietosuojalain yksi ominaispiirteistä onkin se,että laki pyrkii monin paikoin pitämään kiinni vanhan henkilötietolain mukaisesta oikeustilasta. Esimerkiksi tieteellisen tutkimuksen ja viranomaistentekemän suunnittelu- ja selvitystyön edellytykset on haluttu säilyttää mahdollisimman pitkälle sellaisena, kuin ne ovat olleet ennen tietosuojauudistusta.

Kenties merkittävin yksittäinen seuraus tietosuojalain voimaansaattamisesta on tietosuojavaltuutetun toimistoa vaivaavan toimivaltavajeen päättyminen. Vaikka tietosuojavaltuutetun asema ja tehtävät on määritelty tietosuoja-asetuksessa, tämä saa varsinaiset toimivaltuutensa vasta tietosuojalain myötä. Myös tietosuojavaltuutetun toimiston henkilöresurssien lisääminen odottaa tietosuojalain voimaantuloa. Kun tietosuojalaki vihdoinkin astuu voimaan, voi tietosuojavaltuutettu ryhtyä valvomaan henkilötietojenkäsittelyä tietosuoja-asetuksen mukaisesti. Tietosuojalain voimaantultua tietosuojavaltuutettu voi myös määrätä tietosuoja-asetuksen mukaisia hallinnollisia seuraamusmaksuja. Ensimmäiset tietosuoja-asetuksen nojalla määrätyt hallinnolliset sakot saatetaan siis jakaa jo hyvinkin pian!

Eduskunnan hyväksymätietosuojalaki astuu voimaan, kun tasavallan presidentti on vahvistanut sen jamäärännyt lain voimaantulopäivän. Kirjoitushetkellä 26.11.2018 lakia ei olevielä vahvistettu.

Kirjoittanut
Henriikka Hannula
29.11.2018
@
LinkedIn

Sisältö

Muita kokoelman artikkeleita

Koko ISO 27001 -kokoelma
Katso koko NIS2-kokoelma

Muita liittyviä artikkeleita

Jaa artikkeli

Muuta samanlaista sisältöä Akatemiassa

Blogikirjoitukset

NIS2 valvonta ja seuraamukset vaatimusten noudattamatta jättämisestä

Tarkastellaan NIS2-direktiiviä, sen valvontaa EU:n jäsenvaltioissa ja sitä, mitä valvotaan. Tutustutaan myös NIS2-direktiivin noudattamatta jättämisestä aiheutuviin seuraamuksiin ja siihen, miten voit pysyä vaatimusten mukaisena.
17.4.2025

EU:n vaatimuskehikot vertailussa: NIS2, GDPR, DORA ja muut

Keskeisten kyberturvallisuuden vaatimuskehikkojen vertailu EU:ssa – NIS2, GDPR, DORA, CRA ja ISO 27001. Katso, ketä ne koskevat ja mitä ne edellyttävät.
11.4.2025

ISMS:n toteuttaminen: dokumenttien, wikien, ISMS-työkalujen ja GRC:n vertailu.

ISMS:n rakentamiseen on muutamia erilaisia lähestymistapoja. Tässä artikkelissa vertailemme näitä eri menetelmiä ja autamme sinua ymmärtämään, mikä niistä sopii parhaiten organisaatiosi tarpeisiin.
10.4.2025

Aloita jo tänään

Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.

Ilmainen 14 päivän kokeilu
Varaa palaveri

Tutustu tiimiimme

Tiimillämme on vankka osaaminen tietourvasta, ohjelmistokehityksestä, tietosuojasta sekä compliancesta.

Lähde mukaan kumppaniksi? 

Kumppanoidumme mielellään muiden alan osaajien kanssa. Varaa palaveri, niin keskustellaan asiasta lisää.
EtusivuHinnastoAsiakkaatTiimiTietoturvaVaraa demoVaraa palaveriKirjauduKokeile
Kuinka se toimii?
YhteenvetoTietoturvatehtävät ja toteutusDokumennoin työkalutHenkilöstön digiturvaohjeetAutomatisoitu raportointi
Käyttötavat
Kehikon mukaanKaikki vaatimuskehikotISO 27001TiedonhallintalakiNIS2-direktiiviNIST CSFCSA CCMISO 27701GDPR, Tietosuoja-asetusISO 27017ISO 27018
Teeman mukaanTietoturvariskien hallintaHenkilöstön tietoisuusCompliance-raportointiHallintakeinojen toteutusSuojattavan omaisuuden hallintaDynaamiset politiikkadokumentitTietosuojan hallinta
Resurssit
AkatemiaWebinaaritTilaa uutiskirjeOhjekeskusBlogiVideokurssitViikon digiturvauutisetKäyttöehdotTietosuojaselosteetSisältöpankki: ISO 27001Sisältöpankki: GDPRSisältöpankki: KatakriSisältöpankki: TiedonhallintalakiLabs
Ota yhteyttä
+358 10 231 6010
tiimi@digiturvamalli.fi
Labs
Tarjolla kielillä:
Digiturvamalli tunnetaan kansainvälisesti nimellä Cyberday
© Cyberday Oy, Kalevantie 2 33100 Tampere, Suomi
Digiturvamalli.fi - Moderni alusta tietoturvan hallintaan ja sertifiointiin