MyFondia VirtuaaliLakimies
14 helmikuuta, 2017

Mitä EU:n tietosuoja-asetuksen voimaantulo EI edellytä?

Toukokuussa 2018 voimaanastuva EU:n tietosuoja-asetus on monimutkainen ja paljon puhuttanut asetusuudistus. Jopa tietosuoja-asiantuntijoilla on ollut paljon opeteltavaa muutosten tuulien puhaltaessa. Suurin osa artikkeleista, seminaareista ja opetusmateriaaleista on keskittynyt siihen, mitä tietosuojauudistus tulee muuttamaan ja mitä yritysten tulee ottaa huomioon, jotta heidän toimintamallinsa olisivat uuden tietosuoja-asetuksen mukaisia 25.5.2018 mennessä, jolloin asetus tulee sovellettavaksi.

Kävin hiljattain Lontoossa, jossa osallistuin EU:n tietosuoja-asetusta käsittelevään seminaariin. Sen sijaan, että seminaarissa oltaisiin keskusteltu ainoastaan mitä tietosuoja-asetus edellyttää, yhdeksi mielenkiintoisimmista aiheista nousi seikat, joita tietosuoja-asetus EI edellytä. Asetusta luonnosteltaessa säädösteksti muuttui moneen otteeseen. Näin ollen moni alun perin kaavailtu muutos ei toteutunutkaan, tai löysi tiensä asetuksen lopulliseen versioon erilaisena kuin oli alun alkaen suunniteltu. Useita sellaisia muutoksia ehdittiin jo spekuloida, jotka jäivät loppupeleissä toteutumatta.

Tässä muutamia poimittuja esimerkkejä:

  1. Yksilöillä on ehdoton oikeus tulla unohdetuksi.

Väärin . Vaikka 17 artikla antaa ”oikeuden tulla unohdetuksi” , ei tämä ole ehdoton oikeus. Organisaatioilla voi edelleen olla oikeus käsitellä henkilötietoja, mikäli niiden käsittely on välttämätöntä sitä tarkoitusta ajatellen miksi ne alun perin luovutettiin organisaation käyttöön, ja mikäli organisaatiolla on laillinen perusta käsitellä niitä (6 tai 9 artiklan mukaisesti).

  1. Jokainen yritys tarvitsee tietosuojavastaavan.

Väärin. Organisaation tulee nimittää tietosuojavastaava ainoastaan, mikäli se on julkinen taho, organisaatio joka osallistuu laajamittaisesti henkilötietojen käsittelyyn, tai joka harjoittaa laajamittaista ja järjestelmällistä rekisteröityjen seurantaa. Jos organisaatiosi ei osu mihinkään edellä mainituista kategorioista, ei tietosuojavastaavan nimittäminen ole välttämätöntä, joskin se on suositeltavaa.

  1. Rekisterinpitäjän ja henkilötietojen käsittelijän tulee vastata toimistaan ainoastaan yhdelle tietosuojaviranomaiselle.

Väärin. Vaikka tämä oli alkuperäinen tarkoitus vuoden 2012 luonnoksessa, sanoo asetuksen lopullinen versio toista. Totta, että organisaatioilla on yleensä yksi ”päätietosuojaviranomainen” jolle he vastaavat, mutta myös muiden jäsenvaltioiden tietosuojaviranomaisilla on toimivalta puuttua, mikäli tapaus liittyy sen jäsenvaltiossa olevaan toimipaikkaan, tai tapauksella on merkittävä vaikutus sen jäsenvaltiossa oleviin rekisteröityihin.

  1. Käsiteltäessä henkilötietoja suostumuksen perusteella, tulee suostumuksen olla ”nimenomainen”.

Väärin. Tämä oli paljon puhuttu aihe asetuksen luonnosteluvaiheessa, mutta asetuksen lopullisessa versiossa sanamuodoksi valikoitui ” yksiselitteinen ” (4 artiklan 11 kohta). Nimenomainen suostumus tarvitaan ainoastaan käsiteltäessä arkaluonteisia tietoja. Arkaluonteisia henkilötietoja ovat useat henkilön rotua ja etnistä alkuperää, yhteiskunnallista toimintaa, poliittista tai uskonnollista vakaumusta, rikollista taustaa, terveydentilaa, seksuaalista suuntautumista ja sosiaalihuollon tarvetta koskevat tiedot. Mikäli tiedot eivät ole arkaluonteisia, ” yksiselitteinen ” suostumus käy, joka osaltaan mahdollistaa ns. ” hiljaisen suostumuksen ”, mikäli yksilön toimet ovat riittävä osoitus suostumuksesta tietojenkäsittelyyn.

  1. Tietojen siirtoa järjestelmästä toiseen koskevat säännöt muuttuvat kaikkien yritysten kohdalla.

Väärin . Asetus tuo mukanaan oikeuden siirtää tiedot järjestelmästä toiseen, joka vastaa paremmin tämän päivän teknologian ja henkilötietojen käsittelyä varten suunniteltujen palveluiden kehitystä. Asetuksessa on kuitenkin säännelty ainoastaan tietojen siirrosta järjestelmästä toiseen tapauksissa, joissa käsittely perustuu suostumukseen tai sopimukseen (20 artiklan 1 kohta). Kohtaa ei siis sovelleta, mikäli käsittelylle on laillinen perusta. Tämä on tärkeä strateginen seikka yrityksille niiden päättäessä mitkä ovat ne lailliset perusteet, jonka vuoksi he voivat käsitellä henkilötietoja.

Tule mukaan Fondian EU-tietosuoja-asetusseminaariin, ja ota asetuksen keskeisimmät muutokset kerralla haltuun! Seuraava seminaari järjestetään Helsingissä torstaina 6.4.2017 klo 8:30-12:00: