Mitä tapahtuu 25.5.2018 henkilötietolaille?

Tietosuoja-asetus tulee voimaan 25.5.2018. Tai itse asiassa tietosuoja-asetus on tullut voimaan jo 25.5.2016, mutta sitä aletaan soveltaa kahden vuoden siirtymäajan jälkeen  eli 25.5.2018. Asetuksen soveltamisen alkaminen tarkoittaa, että kansalliset tietosuoja/henkilötieto yms lait, jotka ovat jotenkin ristiriidassa tietosuoja-asetuksen kanssa, eivät ole enää voimassa.

Tietosuoja-asetus on EU-asetus, joka on sellaisenaan sovellettavaa EU-lainsäädäntöä. GDPR ei siis vaadi mitään kansallista voimaansaattamista tai mitään kansallisen lain säätämistä. Mikäli jäsenvaltio ei halua/jaksa säätää kansallista lainsäädäntöä, se voi vain antaa vanhojen lakien raueta/kumoutua/________(juristit lisätkää oikea juridinen termi tähän, kukaan muu ei välitä). Ja vaikka lait jäisivät voimaan, niitä ei voisi soveltaa, vaan esimerkiksi viranomaisten ja tuomioistuimien tulisi soveltaa tietosuoja-asetusta.

Toisin kuin voisi olettaa, monet jäsenmaat ovat siitä huolimatta päättäneet säätää omaa lainsäädäntöänsä tietosuoja-asetuksen “kastikkeeksi”. Jäsenvaltiot eivät voi kuitenkaan poiketa tietosuoja-asetuksesta kuin tietyissä säädellyissä kohdissa. Ongelmaksi monessa maassa on muodostunut se, että tietosuojaan liittyviä säädöksiä on hajallaan useissa eri laeissa ja niiden muuttaminen GDPR:n mukaisiksi vie aikaansa.

Suomessa henkilötietolaki jää historiaan

Suomessa EU:n yleisen tietosuoja-asetuksen mukaiset muutokset esitetään toteutettavan säätämällä uusi tietosuojalaki joka toimisi henkilötietojen käsittelyä koskevana yleislakina. Henkilötietolaki siis kumotaan ja korvataan tietosuojalailla. Lisäksi kumotaan laki tietosuojalautakunnasta ja tietosuojavaltuutetusta Käytännössä tietosuojalaissa todetaan, että Suomessa sovelletaan tietosuoja-asetusta ja lisäksi säädetään tiettyjä sallittuja poikkeuksia ja tarkennuksia. Suomen tietosuojalakia siis sovelletaan rinnakkain EU:n tietosuoja-asetuksen kanssa.

Tietosuoja-asetus koskee lähtökohtaisesti kaikenlaista henkilötietojen käsittelyä.  Hallituksen esitys HE 9/2018 eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi annettiin eduskunnalle 1.3.2018.

GDPR:n soveltaminen alkaa jäsenvaltioissa 25. toukokuuta 2018. Uusi tietosuojalaki tulisi esityksen mukaan voimaan samaan aikaan, eli eduskuntakäsittelyllä alkaa olla kiire. Ja osaltaan Suomen tietosuojasääntelyn uudistamisessa ollaan myöhässä. Henkilötietolaki ei nimittäin ole ainoa laki, jossa säädetään tietosuojasta, vaan useissa laeissa on omia säännöksiä ja viittauksia nykyiseen henkilötietolakiin. Ilmeisesti kaikkia näitä ei ehditä korjata tietosuoja-asetuksen mukaiseksi aikataulussa, vaan joidenkin lakien osalta jäädään ikävään välitilaan.

Mikäli tietosuojalain säätäminen myöhästyy, sovelletaan siis pelkästään tietosuoja-asetusta.

Mitä uudistuksia tietosuojalaki tuo?

Uusi tietosuojalaki sisältää kansallisia poikkeuksia muun muassa joukkoviestinnän toimitusten henkilötietojen käsittelyä varten. Eli jatkossakaan ryvettynyt politikko eivät voi vaatia vaikkapa Helsingin Sanomia poistamaan vanhojakaan henkilötietoja hänestä, koska tietojen säilyttämisellä lehden toimituksessa on sananvapauden kannalta merkitystä. Joukkoviestinnän toimijat eivät kuitenkaan ole täysin vapautettuja tietosuoja-asetuksen soveltamisesta, vaan niiden tulee edelleen huolehtia henkilötietojen käsittelyn yleisistä periaatteista eli esimerkiksi huolehdittava, että tiedot on suojattu riittävän hyvin. Sama poikkeus koskee myös akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten tehtyä henkilötietojen käsittelyä.

Mielenkiintoinen kansallinen poikkeus tietosuoja-asetukseen on myös se, että Suomessa jo jonkin aikaa voimassa ollut laki yksityisyyden suojasta työelämässä jää edelleen voimaan ja sitä sovelletaan työntekijän ja työnantajan välisessä suhteessa. Työ- ja elinkeinoministeriö on tosin juuri julkaissut luonnoksen uudesta laista.

Tietosuoja-asetuksessa on säädetty tietoyhteiskunnan palveluiden käytölle 16 vuoden ikäraja. Tai oikeammin kysymys on siitä, että alle 16-vuotiaalta on aina kysyttävä vanhempien lupa tietoyhteiskunnan palvelujen käytölle. Suomessa tämä ikäraja lasketaan 13 vuoteen, eli sitä nuoremmilta palveluiden on kysyttävä suostumus vanhemmilta. Käytännössä poikkeus koskee siis tietoyhteiskunnan palveluita kuten esimeriksi sosiaalisen median palveluita eli 13-vuotias voisi jatkossa käyttää  tällaisia palveluita itsenäisesti. Esimerkiksi Facebook on todennut ikärajan olevan jatkossa 13 vuotta Euroopassa, kun taas WhatsApp vastikään totesi rajan olevan silti 16 vuotta. Aikaisemmassa kirjoituksessa käsiteltiin laajemmin nuoria ja lakien ikärajoja.

Tutustu laajemmin tietosuojalain voimaantuloon Eduskunnan sivustolla.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: