Esittelyssä: Tietosuojalainsäädäntö

Tietosuoja-asetus

Euroopan unioni on sitoutunut turvaamaan ja edistämään kansalaistensa oikeuksia yksityis- ja perhe-elämän kunnioittamiseen ja henkilötietojen suojaan liittyen. Uudella, suoraan jäsenmaissa sovellettavalla tietosuojalainsäädännöllä pyritään varmistamaan yhdenmukainen ja nykyaikainen sääntely koko unionin alueella. EU:n yleinen tietosuoja-asetus tuli voimaan toukokuussa 2016 ja sitä sovelletaan jäsenmaissa 25.5.2018 alkaen.

Yleisessä tietosuoja-asetuksessa henkilötiedoiksi on määritelty kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa esimerkiksi nimen, henkilötunnuksen tai jonkin henkilökohtaisen ominaisuutensa perusteella. Henkilötietojen käsittelyksi puolestaan katsotaan toiminnot, jotka kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko manuaalista tai automaattista tietojenkäsittelyä käyttäen. Näitä toimintoja voivat olla esimerkiksi henkilötietojen kerääminen ja tallentaminen.

Parin vuoden siirtymäajan aikana yritysten tulisi tutkia omat henkilörekisterinsä sekä saattaa henkilötietojen käsittely vastaamaan asetuksessa annettuja vaatimuksia, sillä siirtymäajan jälkeen henkilötietojen käsittelyn tulee täyttää asetuksen vaatimukset.

Tänä päivänä tietosuojan turvaaminen on osa yrityksen riskienhallintaa. Riskiperusteinen lähestymistapa tulee korostumaan entisestään tietosuoja-asetuksen myötä. Rekisterinpitäjän vastuulla on huolehtia rekisteröityjen henkilöiden oikeuksien toteutumisesta ja tietojen turvallisesta säilyttämisestä sekä jakamisesta. Jatkossa ei enää riitä, että rekisterinpitäjä kertoo noudattavansa lakeja, vaan hänen on myös pystyttävä todentamaan, että henkilötietoja käsitellään yleisessä tietosuoja-asetuksessa annettujen henkilötietojen käsittelyä koskevien periaatteiden mukaisesti.

Henkilötietolaki

Kansallisessa lainsäädännössä henkilötietojen käsittelyä koskevat vaatimukset on annettu henkilötietolaissa. Se on henkilötietojen käsittelyä koskeva yleislaki, joka vastaa pääperiaatteiltaan yleistä tietosuoja-asetusta. Henkilötietolaki sisältää yksityiselämän ja yksityisyyden suojaa turvaavat perusoikeudet henkilötietoja käsiteltäessä ja sen tarkoituksena on edistää myös hyvän tietojenkäsittelytavan kehittämistä ja noudattamista.

Oikeusministeriö on asettanut 17.2.2016 työryhmän, jonka on määrä selvittää toukokuun 2017 loppuun mennessä yleisen tietosuoja-asetuksen vaikutukset kansalliseen tietosuojaa koskevaan lainsäädäntöön ja arvioida mahdollisen kansallisen sääntelyn tarve. Arvioinnin päätteeksi työryhmä antaa mahdolliset muutosehdotukset henkilötietoja koskevan lainsäädännön muuttamisesta hallituksen esityksen muodossa.

Työelämän tietosuojalaki

Työelämän tietosuojaa koskee myös joukko muita lakeja. Merkittävin näistä on työelämän tietosuojalaki, joka kuuluu työpaikalla nähtävillä pidettävään lainsäädäntöön. Laki koskee työntekijän ja työnantajan välistä suhdetta ja sen tarkoitus on toteuttaa yksityiselämän suojaa ja muita yksityisyyden suojaa turvaavia perusoikeuksia työelämässä. Työelämän tietosuojalaki on erityislaki, joka antaa henkilötietolakia tarkemmat reunaehdot työntekijän yksityisyyden suojaamiselle. Siinä on säädetty muun muassa työntekijää koskevien henkilötietojen käsittelystä, työntekijälle tehtävistä testeistä ja tarkastuksista sekä niitä koskevista vaatimuksista, teknisestä valvonnasta työpaikalla sekä työntekijän sähköpostiviestin hakemisesta ja avaamisesta.

Tietosuojalainsäädäntö työelämässä

Lähtökohta riittävän tietosuojan tason saavuttamiseen ja varmistamiseen on tietosuojaa koskevan lainsäädännön tunnistaminen omassa toimintakentässään. Henkilörekistereiden määrän ja sisällön kartoittamisen jälkeen tulisi tiedostaa, miten yleiset tietosuojaa turvaavat periaatteet henkilötietojen käsittelyssä toteutuvat ja selvittää tuleeko tietosuojan turvaamisessa ottaa huomioon tarkempaa erityislainsäädäntöä esimerkiksi luonteeltaan korkeamman tietosuojariskin sisältämien rekisteritietojen keräämisen osalta. Tarkentunut tietosuojalainsäädäntö voi asettaa yksinkertaiseltakin vaikuttavan rekisterin pitäjälle velvollisuuksia ryhtyä käytännön toimiin aina rekisteröidyn suostumuksen pyytämisestä tietosuojavaltuutetun nimittämiseen.

Korkea tietosuojan turvaaminen on edellytys luotettavalle ja laadukkaalle liiketoiminnalle. Digitalisaation, automatisaation ja kansainvälistyneen liiketoiminnan tuomien uusien tietoturvariskien vuoksi tietosuojan riittävän tason ylläpito vaatii niin vaatimusten tunnistamisen, soveltamisen kuin seuraamisen yrityksen jokapäiväisessä toiminnassa.

Vieritä ylös