Kuntajuridiikan ytimessä: Turpakäräjät Live
Webcast-sarjamme tarjoaa kuntajuridiikan näkökulmia ajankohtaisiin teemoihin.
14.1.2016
Kansallinen liikkumavara hyödynnettävä
EU:n tietosuoja-asetus muuttaa henkilötietojen käsittelyä
EU:n tietosuojalainsäädäntö uudistuu lähivuosina merkittävästi, kun uusi tietosuoja-asetus astuu voimaan. Asetuksen sisällöstä päästiin yhteisymmärrykseen ennen joulua Euroopan komission, parlamentin ja neuvoston kesken.
Kyseessä on laaja uudistus, joka asettaa huomattavia uusia vaatimuksia henkilötietojen käsittelylle kunnissa, yrityksissä ja muissa organisaatioissa. Asetuksella luodaan kansalaisille uusia oikeuksia ja rekisterinpitäjille sekä henkilötietoja käsitteleville uusia velvollisuuksia.
Tarkoituksena on vastata teknologian nopean kehityksen ja digitalisoitumisen haasteisiin sekä parantaa henkilötietojen suojaa verkkoympäristössä.
Keskeisimmät uudistukset kuntien näkökulmasta
Asetuksen säännöksiä sovelletaan sekä viranomaisten että elinkeinoelämän henkilötietojen käsittelyyn. Tietosuoja-asetuksella on merkittäviä vaikutuksia kuntiin rekisterinpitäjinä ja henkilötietojen käsittelijöinä. Asetuksen lähtökohtana on rekisterinpitäjän vahva velvollisuus huolehtia tietosuojasta ja siitä, että käsitellyt henkilötiedot ovat suojassa. Asetus vahvistaa siten rekisteröidyn oikeuksia suhteessa rekisterinpitäjään.
Asetus sisältää yleisiä periaatteita henkilötietojen käsittelystä sekä säännöksiä siitä, milloin henkilötietojen käsittely ylipäänsä on sallittu. Lisäksi arkaluonteisten tietojen käsittelystä on omia säännöksiä. Viranomaisnäkökulmasta henkilötietojen käsittely on sallittu mm. rekisteröidyn suostumuksella, laissa säädetyn velvoitteen täyttämiseksi, yleisen edun perusteella tai julkista valtaa käytettäessä.
Rekisterinpitäjän uusiin velvollisuuksiin kuuluu turvata, että henkilötietojen suojaus niin pitkälle kuin mahdollista tapahtuu automaattisesti. Asetuksen mukaan tietosuojavaatimukset on oletusarvoisesti huomioitava kaikissa organisaatio- että järjestelmäratkaisuissa.
Rekisterinpitäjän velvollisuuksiin kuuluu myös helpottaa rekisteröityjen mahdollisuuksia olla yhteydessä rekisterinpitäjään ja käyttää asetuksen rekisteröidyille antamia oikeuksia. Rekisterinpitäjän on annettava laajasti tietoa rekisteröidyille sekä rekisterien sisällöistä että rekisterinpitäjän toiminnasta ja teoista.
Asetus sisältää säännöksiä rekisterinpitäjän ja henkilötietojen käsittelijän välisestä vastuunjaosta ja vastuunjaon mekanismeista, sekä erikseen säännöksiä myös henkilötietojen käsittelijän itsenäisistä vastuista.
Viranomaisille asetuksessa on asetettu pakollinen vaatimus tietosuojavastaavan nimittämisestä. Jokaisella viranomaisella tulee tulevaisuudessa olla nimitetty tietosuojavastaava, joka voi olla oma työntekijä tai usean viranomaisen yhteisesti nimittämä henkilö tai ostopalveluna hankittu.
Asetukseen sisältyy rekisterinpitäjälle velvoitteet viivytyksettä ilmoittaa ongelmatilanteista sekä rekisteröidyille että viranomaisille. Rekisterinpitäjille säädetään myös tietyissä tilanteissa velvollisuus dokumentoida henkilötietojen käsittelyyn liittyvät toimet, laatia tietosuojan vaikutustenarviointeja tai pyytää ennakkolupaa henkilötietojen käsittelylle.
Asetukseen on otettu säännöksiä tuntuvista hallinnollisista sanktioista, jos asetuksen vaatimuksia ei noudateta.
Uudet oikeudet kansalaisille
Tietosuoja-asetus sisältää mm. seuraavia uusia oikeuksia yksilöille hallita henkilötietojaan:
- pääsy omiin tietoihin helpottuu: ihmiset saavat enemmän tietoa siitä, miten heidän tietojaan käsitellään, ja tämä tieto on annettava heille selkeällä ja ymmärrettävällä tavalla;
- oikeus siirtää tiedot järjestelmästä toiseen: henkilötiedot on entistä helpompi siirtää palveluntarjoajalta toiselle;
- entistä selkeämpi ”oikeus tulla unohdetuksi”: kun käyttäjä ei enää halua, että hänen tieto-jaan käsitellään, tiedot poistetaan, paitsi jos on olemassa jokin laillinen peruste säilyttää ne;
- oikeus saada tieto siitä, että omiin tietoihin on murtauduttu: kansalliselle tietosuojaviran-omaiselle on ilmoitettava vakavista tietosuojaloukkauksista mahdollisimman pian, jotta käyttäjät voivat toteuttaa tarvittavat toimenpiteet.
- oikeus vaatia, että henkilötietojen käsittelyä rajoitetaan: erimielisyystilanteissa rekiste-röidyllä on oikeus vaatia, että henkilötietojen käsittelyä rajoitetaan väliaikaisesti.
Lisäksi asetus sisältää Suomen henkilötietolaista tuttuja oikeuksia, kuten rekisteröidyin tarkastus- ja korjausoikeuden. Asetukseen on myös otettu säännös rekisteröidyn oikeudesta vastustaa tietojen käsittelyä tietyissä tilanteissa, jolloin rekisterinpitäjän tulee erikseen arvioida jatketaanko käsittelyä.
Kaiken kaikkiaan asetus edellyttää, että tietosuojan tasoa nostetaan ja tietosuojaan kiinnitetään entistä enemmän huomiota johtamisessa, resursoinnissa ja organisaatiotason ratkaisuissa.
Kuntaliitto on pääosin tyytyväinen EU:n valmisteluun
Kuntaliitto on seurannut tietosuoja-asetuksen valmistelua siitä lähtien, kun komission esitys julkaistiin tammikuussa 2012. Komission alkuperäinen esitys ei juuri huomioinut julkisen sektorin erityispiirteitä, vaan kunnat ja muu viranomaistoiminta asetettiin samalle viivalle kaupallisten tahojen kanssa.
Julkinen sektori olisi joutunut toimimaan samoilla ehdoilla kuin Facebook ja Google, mikä olisi aiheuttanut merkittävästi hallinnollisia kustannuksia.
Kuntaliitto ja liiton eurooppalainen kattojärjestö CEMR (Council of European Municipalities and Regions) vaikuttivat tiiviisti Euroopan parlamentin ja neuvoston jatkovalmisteluihin. Tavoitteena on ollut, että laadukkaat julkiset palvelut ja kansalaisten korkea tietosuoja voidaan turva ilman massiivista hallinnollista taakkaa.
Neuvoston ja parlamentin valmistelussa asetusehdotus kehittyi myönteisesti. Lopullinen asetusteksti sisältää enemmän joustavuutta, tiettyjä poikkeuksia julkisen sektorin toimijoille sekä jättää jonkin verran kansallista liikkumavaraa. Lisäksi lopullinen teksti on monin paikoin selkeämpi kuin komission esitys.
Lopputulosta voidaan pitää tyydyttävänä, vaikka asetus edellyttää kunnilta uudenlaisia menettelyjä verrattuna nykytilaan.
Kansallinen liikkumavara käytettävä tehokkaasti
Tietosuoja-asetus on muodoltaan suoraan sovellettavaa EU-oikeutta, eikä sinänsä vaadi erillistä implementointia kansallisesti. Asetus sisältää kuitenkin erityisesti julkisen sektorin osalta paljon kansallista liikkumavaraa, mikä mahdollistaa Suomelle tietyiltä osin kansallisten ratkaisujen löytämistä asetuksen soveltamisen sijaan.
Asetustekstiin sisältyy yleinen valtuutus kansallisesti tarkemmin määritellä asetuksen vaatimusten sovellettavuus silloin, kun henkilötietoja käsitellään laissa säädetyn velvoitteen täyttämiseksi, yleisen edun perusteella tai julkisen vallan käyttöä varten. Kuntasektorin osalta asetuksen lopulliset vaikutukset selviävät siten vasta kansallisen täytäntöönpanoon yhteydessä.
Kansallisessa valmistelussa on nyt tärkeää tunnistaa asetuksen sallimat rajoitukset ja mahdollisuudet. Kansallinen liikkumavara on hyödynnettävä täysimääräisesti siten, että asetus ei aiheuta kunnilla ylimääräistä hallinnollista taakka tai tarpeettomia kustannuksia.
Asetuksen sisältö ja käsitteet ovat vielä monin paikoin epäselviä ja tulkinnanvaraisia, joten lopullinen asetusteksti vaati vielä selvennystä. Asetusta ei tule kansallisesti ylitulkita, eikä itse luoda uusia velvollisuuksia kunnille.
Kansallinen täytäntöönpano ja asetuksen vaatimusten tarkempi määrittely julkisen sektorin osalta kuuluu oikeusministeriön toimialaan.
Voimaan alkuvuodesta 2018
EU:n tasolla neuvoston ja parlamentin pitää vielä virallisesti hyväksyä lopullinen asetusteksti, jonka jälkeen asetuksen uusia sääntöjä ryhdytään soveltamaan kahden vuoden siirtymäajan jälkeen. Asetusta aletaan näin ollen todennäköisesti soveltaa alkuvuodesta 2018, mutta jo tätä ennen on tarve muuttaa kansallista lainsäädäntöä.
Tämä tarkoittaa, että kahden vuoden kuluttua Suomessa henkilötietojen käsittelyyn sovelletaan asetustekstiä, uudistettua henkilötietolakia ja julkisuuslakia. Lisäksi erityissääntelyn tietosuojapykäliin on tehtävä laajasti muutoksia.
Lisää aiheesta
- Kuntaliiton lausunto eduskunnan hallintovaliokunnalle, 10.12.2015
- Kuntaliiton lausunto oikeusministeriölle, 21.2.2013
- CEMRin kirje Euroopan parlamentin, neuvoston ja komission neuvottelijoille 15.9.2015
- Kuntaliiton kattojärjestö CEMR: Local government cannot be treated as internet giants, tiedote 24.6.2015
- Kuntaliiton kattojärjestö CEMR: “The new EU personal data protection regulation is not suitable for the public sector”, tiedote 12.3.2014
- Kuntaliiton kattojärjestö CEMR: If applied to the public sector, EU data protection regulation will fail to improve citizen’s rights, but at major cost to the taxpayer, tiedote 31.1.2013
- Kuntaliiton kattojärjestö CEMR: General Data Protection Regulation: “Revise the existing directive for the public sector”, kantapaperi marraskuu 2012
Kuntaliiton asiantuntijat, jotka voivat kertoa lisää
Tervetuloa digisumpeille!
Digisumpit on torstaisin pidettävä etätilaisuus kuntien digikehittäjille. Digisumpit on tarkoitettu kuntien osaamisen jakamista ja verkostoitumista varten.