Hyppää pääsisältöön
Financial statements, Reporting
Artikkeli

Tietosuoja-asetusta täydentävä tietosuojalaki voimaan tammikuussa - Mikä muuttuu?

EU:n yleistä tietosuoja-asetusta on alettu soveltamaan 25.5.2018. Vaikka asetusta sovelletaan suoraan kaikissa EU-jäsenvaltioissa, se jättää jäsenvaltioille myös kansallista liikkumavaraa. Tästä johtuen on ollut tarpeen säätää erillinen kansallinen tietosuojalaki. Suomen tietosuojalailla säädetään poikkeuksista ja täsmennyksistä EU:n tietosuoja-asetukseen. Tietosuojalaissa säädetään lisäksi muun muassa kansallisena valvontaviranomaisena toimivan tietosuojavaltuutetun toimiston tehtävistä ja oikeudesta määrätä seuraamusmaksuja. Tietosuoja-asetusta täydentävä tietosuojalaki tulee voimaan 1.1.2019, ja se korvaa vanhan henkilötietolain.

Merkittävin käytännön muutos uudessa tietosuojalaissa on se, että tietosuojavaltuutetun toimivaltavaje päättyy, ja tietosuojavaltuutetun toimisto voi alkaa määräämään hallinnollisia seuraamusmaksuja tietosuoja-asetuksen rikkomisesta. Seuraamusmaksuja määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen muodostama seuraamuskollegio. Seuraamusmaksujen suuruus voi tietosuoja-asetuksen mukaan olla lievemmissä rikkomuksissa enintään 10 miljoonaa euroa tai 2 % yrityksen kokonaisliikevaihdosta ja vakavammissa rikkomuksissa enintään 20 miljoonaa euroa tai 4 % yrityksen kokonaisliikevaihdosta. Käytössä on myös lievempiä seuraamuksia, kuten huomautuksen antaminen. Tietosuojavaltuutettu voi määrätä seuraamusmaksuja takautuvasti jo 25.5.2018 alkaen tapahtuneista tietosuoja-asetuksen rikkomuksista, vaikka tietosuojavaltuutetulla ei olisikaan ollut toimivaltuuksia vielä rikkomuksen tapahtumishetkellä.

Huomioitavaa on myös, että uuden tietosuojalain mukaan hallinnollista seuraamusmaksua ei sovelleta viranomaisten suorittamaan henkilötietojen käsittelyyn, eli esimerkiksi kunnille ja valtion virastoille ei voi määrätä seuraamusmaksuja. Vaikka seuraamusmaksuja ei määrätä, voivat yksittäiset virkamiehet kuitenkin joutua rikosoikeudelliseen vastuuseen asetuksen laiminlyönnistä virkavastuun perusteella.

Uudessa tietosuojalaissa on säädetty lisäksi muun muassa, että tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle edellyttää, että lapsi on vähintään 13-vuotias. Tätä nuorempien lasten osalta rekisterinpitäjän tulee varmistaa, että lapsella on vanhempien suostumus esimerkiksi sosiaalisen median ja muiden henkilötietojen antamista edellyttävien palveluiden käyttämiseen. Tietosuojalaissa on lisäksi säädetty poikkeuksia asetuksen käsittelyedellytyksiin muun muassa sananvapauden, tieteellisen tutkimuksen ja tietojen arkistoimisen turvaamiseksi.

Muistathan, että asiantuntijamme ovat laatineet valmiit asiakirjamallit helpottamaan tietosuoja-asetuksen noudattamista. Lue aiheesta lisää täältä.

Lähde: Anton Meriluoto, yrityslakimies, Accountor

Share