Lakiuudistus parantaa tietosuojaa EU:ssa – tuore raportti antaa suosituksia muutosvaiheeseen
EU:n uudet tietosuojasäädökset astuvat voimaan 2018. Valtiovarainministeriön asettama valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmän (VAHTI) on 2.6.2016 julkaissut raportin, jonka tarkoitus on helpottaa organisaatioiden valmistautumista sen edellyttämiin muutoksiin. Yksi uudistuksen keskeisimmistä asioista on yksityishenkilöiden oikeuksien turvaaminen digitaalisissa palveluissa.
Teknologian ja verkossa toimivien palvelujen kehittyminen sekä globaalimpi toimintaympäristö ovat lisänneet henkilötietojen käsittelyä ja muuttaneet tietosuojatarpeen luonnetta. Nyt tarvitaan sääntelyä, joka huomioi uudet teknologiat ja tiedonkeruumenetelmien riskit. Sääntelyn tulee kuitenkin samalla mahdollistaa digitaalinen liiketoiminta.
Euroopan unionin (EU) tietosuojauudistuksella viitataan lainsäädäntöuudistukseen, johon kuuluvat yleinen tietosuoja-asetus ja direktiivi lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta. Tietosuoja-asetus koskettaa sekä EU:ssa että sen ulkopuolella toimivia yrityksiä, jotka käsittelevät jäsenvaltioiden kansalaisten henkilötietoja.
Asetus tuo rekisterinpitäjille uusia hallinnollisia tehtäviä, ja teknisten vaatimusten toteuttaminen voi myös aiheuttaa kustannuksia. Rekisterinpitäjän lisäksi asetus kohdistaa vaatimuksia myös suoraan henkilötietojen käsittelijälle.
Suomessa oikeusministeriö on asettanut työryhmän selvittämään kansallisten lainsäädäntötoimenpiteiden tarvetta. Työryhmän toimikausi päättyy 16.2.2018.
Raportti antaa käytännön suosituksia muutokseen valmistautumiseen
VAHTIn raportti on syntynyt laajan julkisen hallinnon valmistelun pohjalta. Siinä esitellään uudistuksen ydinasioita: rekisteröityjen oikeuksia, rekisterinpitäjien ja käsittelijöiden velvollisuuksia sekä sen keskeiset termit.
Jokaisen henkilötietoja käsittelevän organisaation pitää täyttää toiminnassaan EU-tietosuoja-asetuksen vaatimukset 25.5.2018, jolloin siirtymäaika päättyy. Raportin keskeisin osuus on suositukset toimenpiteistä, joilla organisaation tulee valmistautua muutokseen kahden vuoden siirtymäaikana.
Raportin mukaan jokaisen henkilötietoja käsittelevän viranomaisen, yrityksen ja organisaation tulisi tarkastella miten tuleva lainsäädäntöuudistus on huomioitava jo nyt käynnissä olevissa henkilötietojen käsittelyä sisältävissä hankkeissa. Samassa yhteydessä on suunniteltava miten lainsäädännön vaatimukset toteutuvat siirtymäkauden jälkeen.
Raportissa tuodaan esille myös yleisiä tietoturvallisuuden kehittämisen periaatteita, joita henkilötietoja sisältävissä tietojärjestelmissä tulee noudattaa.
Myös muut kuin julkishallinnon organisaatiot voivat hyödyntää suosituksia kehittäessään henkilötietojen käsittelyä uusien vaatimusten mukaisiksi.
EU:n tietosuojauudistuksesta päästiin sopuun (OM tiedote 18.12.2015)
Tietosuojauudistus (Euroopan unionin neuvoston sivut)
Lisätietoja:
Kimmo Rousku, VAHTI-pääsihteeri, valtiovarainministeriö, p 02955 30140, etunimi.sukunimi(at)vm.fi
Anu Talus, EU-erityisasiantuntija, oikeusministeriö, p. 02951 50586, etunimi.sukunimi(at)om.fi
Heljä-Tuulia Pihamaa, toimistopäällikkö, Tietosuojavaltuutetun toimisto, p. 02956 66790, etunimi.sukunimi(at)om.fi