MyFondia VirtuaaliLakimies
26. marraskuuta, 2018

Tietosuojalaki vihdoin hyväksytty – mitä seuraavaksi?

EU:n yleisen tietosuoja-asetuksen soveltamisen alkamisesta tuli sunnuntaina puoli vuotta.

Marraskuun puolivälissä eduskunta hyväksyi niin sanotun tietosuojalakipaketin ja näin ollen on odotettavissa, että tietosuojalaki ja laki henkilötietojen käsittelystä rikosasioissa tulevat voimaan kevään aikana. Tietosuoja-asetus on EU:n jäsenvaltioissa sellaisenaan sovellettavaa oikeutta. Tietosuojalaki täydentää asetusta ja sitä tuleekin tulkita rinnakkain asetuksen kanssa.

Mitä viranomaiset ovat tehneet 25.5.2018 jälkeen

Suomessa henkilötietojen käsittelyä valvova viranomainen on tietosuojavaltuutetun toimisto. Nykyisen tietosuojavaltuutetun, Reijo Aarnion, ohelle valitaan kaksi apulaistietosuojavaltuutettua. Lisäksi toimistoon on käynnissä kahdeksan ylitarkastajan rekrytointi. On siis havaittavissa, että valvontaviranomainenkin valmistautuu käyttämään tietosuoja-asetuksen ja tietosuojalain myötä sille tulevia toimivaltuuksia, kuten toimivaltaa määrätä hallinnollinen sakko tai jopa kieltää henkilötietojen käsittely niissä tilanteissa, joissa käsittely on asetuksen vastaista.

Useissa maissa tietosuojaviranomaiset ovat jo ryhtyneet tositoimiin. Englannissa ICO (Information Commissioner’s Office) sakotti Facebookia 500 000 punnalla vakavista tietosuojaloukkauksista. ICO katsoi, että Facebookin käyttäjien antama suostumus ei ollut riittävän selkeä ja informoitu ja osittain käsiteltiin myös sellaisten käyttäjien henkilötietoja, jotka eivät olleet antaneet selkeää suostumustaan. Saksassa tietosuojaviranomainen antoi viime viikolla 20 000 euron sakot yritykselle, jonka asiakkaiden käyttäjätunnukset ja salasanat varastettiin ja julkaistiin. Tietosuojaviranomainen tiedotti, että sakkojen pienuuteen vaikutti myönteisesti yrityksen aktiivisuus yhteistyössä viranomaisen kanssa. Ruotsissa taas tietosuojaviranomainen teki tarkastuksen lähes 400 yritykseen ja viranomaiseen. Nyt kun kansallinen laki astuu voimaan ja tietosuojavaltuutetun toimisto saa lisäresursseja, on odotettavissa, että Suomenkin tietosuojaviranomainen aktivoituu.

Seuraavana vuorossa ePrivacy

Lisäksi työn alla on tällä hetkellä sähköisen viestinnän tietosuoja-asetus eli ePrivacy Regulation, jonka oli alun perin tarkoitus tulla voimaan samanaikaisesti tietosuoja-asetuksen kanssa. ePrivacy koskee sähköisen viestinnän luottamuksellisuutta, ja se pitää sisällään mm. suoramarkkinointia ja evästeitä koskevaa sääntelyä. ePrivacy tulee sekä täydentämään että tarkentamaan tietosuoja-asetuksen säännöksiä. Sen tarkasta sisällöstä tai sen aikataulusta ei vielä ole varmuutta, mutta jo tässä vaiheessa voi ja kannattaakin varautua sen tuloon. Paras tapa tähän on varmistaa, että yhtiön suoramarkkinointi- ja evästekäytännöt ovat tietosuoja-asetuksen säännösten mukaiset.

Mikäli tietosuoja-asiat vielä mietityttävät, ota yhteyttä asiantuntijoihimme!