Euroopan Unionin tietosuojasääntely uudistuu – yritysten vastuu ja velvollisuudet lisääntyvät

Yrityksille ja julkisyhteisöille on odotettavissa merkittäviä uusia velvoitteita, niistä syntyviä hallinnollisia kuluja sekä haasteita yritysten ja julkisyhteisöjen tietoturvajärjestelmähankintoihin, kun Euroopan unionin uusi tietosuoja-asetus astuu tämän hetkisen aikataulun mukaisesti ensi vuonna voimaan. Jäsenvaltioilla ja yrityksillä on tämän jälkeen kaksi vuotta aikaa saada tietosuojakäytäntönsä ja -menettelynsä järjestettyä asetuksen edellyttämällä tavalla. Asetuksen tavoitteena on yhtenäistää tietosuojakäytännöt koko EU:n alueella ja se tulee sellaisenaan voimaan jokaisessa jäsenvaltiossa. Asetusehdotus on paraikaa Euroopan neuvoston käsiteltävänä. Tällä hetkellä henkilötietojen käsittelystä ja tietosuojasta säädetään Suomessa henkilötietolaissa ja sitä täydentävässä lainsäädännössä.

Isoille yrityksille ja julkisyhteisöille tulisi uusi velvollisuus perustaa tietosuojavastaavan tehtävä. Tietosuojavastaava tulisi nimittää kaikkiin julkisyhteisöihin, yrityksiin, joissa tietojenkäsittelyä suorittaa vähintään 250 henkilöä sekä yrityksiin, joissa henkilötietojen käsittelijän keskeiset tehtävät edellyttävät rekisteröityjen säännöllistä ja järjestelmällistä seurantaa. Asetusehdotuksen parlamenttikäsittelyn yhteydessä katsottiin tarkoituksenmukaisemmaksi määrittää isot yritykset sen mukaan, kuinka paljon ne käsittelevät henkilötietoja eikä henkilötietoja käsittelevien työntekijöiden mukaan. Siispä tietosuojavastaava tulisi nimittää yrityksiin, jotka käsittelevät vuosittain 5 000 henkilön tietoja. Tietosuojavastaavan tehtäviin kuuluisi mm. ohjeistaa ja seurata henkilötietojen suojaan liittyvien toimintamenetelmien ja tietosuoja-asetuksen täytäntöönpanoa ja soveltamista sekä varmistaa asiakirjojen asianmukainen säilyttäminen.

Nykyisellään Suomen lainsäädännössä ei ole annettu mahdollisuutta langettaa hallinnollisia sanktioita siinä tapauksessa, että tietosuojavelvoitteita ei ole noudatettu. Komission asetusehdotuksen mukaan tietosuojavaltuutettu voisi tulevaisuudessa määrätä tietosuojavelvoitteiden laiminlyönnistä hallinnollisia sakkomaksuja. Alkuperäisessä komission ehdotuksessa sakkomaksun suuruudeksi esitettiin enimmillään miljoonaa euroa tai kaksi prosenttia yrityksen maailmanlaajuisesta vuosittaisesta liikevaihdosta. Parlamentti kuitenkin vaati huomattavasti suurempia seuraamuksia, jotka olisivat enimmillään sata miljoona euroa tai viisi prosenttia yrityksen vuosittaisesta maailmanlaajuisesta liikevaihdosta. Hallinnollisen sakon määrää vahvistettaessa otettaisiin huomioon mm. sääntöjen rikkomisen luonne, vakavuus ja kesto sekä toteutetut tekniset ja organisatoriset toimenpiteet ja menettelyt.

Keskeisenä periaatteena asetuksessa on säädetty rekisterinpitäjän tilivelvollisuudesta, jonka mukaan rekisterinpitäjän on itse kyettävä todentamaan, että se noudattaa asetusta. Tilivelvollisuuden periaate tarkoittaa käytännössä sitä, että rekisterinpitäjän on kuvattava koko henkilötietojen käsittelytoiminta ja tarkastettava järjestelmällisesti, että asetuksen velvoitteet toteutuvat. Tosiin sanoen: rekisterinpitäjän on pystyttävä osoittamaan, että tietosuojasäännökset huomioidaan myös rekisterinpitäjän toiminnan suunnittelussa. Tilivelvollisuudesta seuraa mm. rekisterinpitäjän velvollisuus säilyttää ja dokumentoida kaikki sen vastuulla oleva tietojenkäsittelytoiminta asianomaisin asiakirjoin, ilmoittaa ja laatia selvitys valvontaviranomaiselle henkilötietojen tietoturvaloukkauksesta 24 tunnin kuluessa tietomurron ilmitulosta ja laatia vaikutustenarviointi käsittelytoimien vaikutuksesta henkilötietojen suojalle.

Oman tärkeän elementtinsä tietosuojakäytäntöihin muodostaa yksilön oikeus tulla unohdetuksi. Säännöksellä pyritään hallitsemaan tietosuojariskejä erityisesti internetissä. Kun henkilö ei halua enää henkilötietojansa käsiteltävän ja tietojen säilytykselle ei ole laillisia perusteluita, tulee tiedot poistaa. EU-tuomioistuin antoi toukokuussa ennakkoratkaisun, jossa se katsoi, että hakukonejätti Googlella oli velvollisuus poistaa hakutuloksissa esiintyneet linkit verkkosivuille, joilla esitettiin henkilötietoja, kun kyseinen henkilö oli vaatinut tietojen poistamista. Googlella oli tämä velvollisuus siitäkin huolimatta, että tiedot oli laillisesti julkaistu sivullisen verkkosivuilla, koska tiedot eivät olleet asianmukaisia tai olennaisia. Ennakkoratkaisussa omaksutut tuomioistuimen näkökannat soveltuvat luonnollisesti myös muihin samanlaisiin toimijoihin. Vaikka asetuksen ympärillä vallinnut keskustelu onkin keskittynyt pitkälti siihen, että uusi asetus kohdistuu erityisesti internet-jätteihin, koskettavat sen vaikutukset laajasti eri yhteisöjä ja yrityksiä.