GDPR:n eli EU:n tietosuoja-asetus on nyt ollut voimassa hieman yli seitsemän kuukautta. Suomessa oli tavoitteena saada kansallinen säädös valmiiksi synkronoidusti GDPR:n kanssa heti 22.5.2018 alkaen - tämä ei kuitenkaan toteutunut suunnitellusti.
Kansallinen tietosuojalaki on ollut voimassa 1.1.2019 alkaen ja se täydentää EU:n tietosuoja-asetusta. Tietosuojalaissa on kansallisen liikkumavaran piirissä säädetty muun muassa lasta koskeva 13 vuoden alaikäraja tietoyhteiskunnan palveluiden suhteen, tietosuojavaltuutetun organisaation rakenne ja laissa on säädetty muun muassa julkista sektoria koskeva poikkeus siitä, ettei hallinnollisia seuraamusmaksuja sovelleta julkisella sektorilla tapahtuvaan henkilötietojen käsittelyyn. Lisäksi tietosuojalaissa säädettiin sananvapauden, arkistoinnin ja tutkimuksen turvaamiseksi erityisiä poikkeuksia (Tietosuojalain 27§, 31§, 32§). On syytä muistaa, että pääperiaatteet ja isot linjat löytyvät tietosuoja-asetuksesta, eikä kansallinen tietosuojalaki muuta tai poista niitä.
Asianajajan näkökulmasta tietosuojaliitteistä on tullut jo hyvin tavallinen osa yritysten sopimusvalikoimaa – edelleen puutetilanteita tulee eteen silloin, kun palvelujen toimittajan tulisi ulottaa alihankkijaan henkilötietojen käsittelyä koskeva sopimus, eikä toimittajalla ole valmiina kyseistä sopimusta. Hyvin usein ajatellaan, että tietosuojaa koskeva ketju on tärkeä vain ”meidän” ja asiakkaan välillä, eikä omia tai kyseisen projektin alihankkijoiden kanssa toimimista osata ottaa riittävästi tarkastelun alle. Hyvin valmistautuneella organisaatiolla tulisi olla myös tietosuojan osalta yhtenäinen sopimusvalikoima sekä tilaajan että omien alihankkijoiden sekä palveluntarjoajien suuntaan.
EU:n tietosuoja-asetuksen myötä perinteisistä rekisteriselosteista ollaan voitu luopua ja useita rekisteriselosteita on voitu korvata esimerkiksi yhdellä kattavalla tietosuojaselosteella, joka on kansantajuinen ja ”palveluhenkisempi” versio vanhanmallisesta rekisteriselosteessa. Pääosin suomalaisissa organisaatioissa selosteita koskeva uudistus on huomioitu hyvin ja siitä on osattu ottaa tehot irti. Menee kuitenkin varmasti tovi, ennen kuin vanhanmallisista rekisteriselosteista ja viittauksista (jo nyt kumottuun) henkilötietolakiin päästään pois.
Kevään ja kesän 2018 virhereagointien sekä osittaisten ylilyöntien (muun muassa lukuisat suostumus-pyynnöt sähköpostin välityksellä) jälkeen organisaatiot ovat alkaneet löytää parempaa otetta siitä, millä perusteella henkilötietoja voi käsitellä ja millä tekniikoilla esimerkiksi kuluttajien henkilötietoja tulisi sofistikoituneesti kerätä. Monessa yhteydessä törmään edelleen siihen, että yritys perustelee henkilötietojen käsittelyä ihan asiallisesti oikeutetulla edulla, mutta informointi siitä on jätetty toteuttamatta asianmukaisesti (EU:n tietosuoja-asetus, 6 artikla, kohta (f) – käsittelyn lainmukaisuus).
Heti GDPR:n voimaantulosta alkaen kansalliset viranomaiset ovat vastaanottaneet ennätysmäärät tutkintapyyntöjä tapauksista, joissa organisaation epäillään käsitelleen henkilötietoja epäasianmukaisesti. EU:n sisällä eri tietosuojaviranomaiset ovat jo antaneet mielenkiintoisia ratkaisuja, jotka viitoittavat myös varmasti tietä Suomen tietosuojaviranomaisen toimintaan liittyen. Osa ratkaisujen kohteena olevista tapahtumista on tapahtunut ennen GDPR:n voimaantuloa, eikä niihin ole sovellettu tietosuoja-asetusta sanktioiden suuruuden osalta.
Suomessa viime aikoina eniten puhetta herättänyt tapaus on varmasti TRAFI:n ratkaisu julkaista kansalliset ajokorttitiedot (ja kritiikin jälkeen sulkea palvelu). Odotan mielenkiinnolla, milloin Suomessa saadaan ensimmäinen varsinainen GDPR:ään liittyvä tapaus ja mahdollinen sanktio – ainakin tietosuojavaltuutetun toimiston saamat ilmoitusmäärät ovat sen suuntaisia, että olisi suoranainen ihme, ellei loukkaustapauksia löytyisi.
Tietosuojalaki Finlexissa >
EU:n tietosuoja-asetus EURLEXissä >
Lue lisää: HR-konsultointi ja työsuhdejuridiset palvelut >