​EU:n tietosuojauudistus ja sen kansallinen täytäntöönpano

EU:n tietosuojalainsäädännön uudistaminen lähti liikkeelle vuonna 2012. EU:n tietosuojalainsäädäntö oli jäänyt jälkeen kehityksestä, eikä vastannut enää globaalin tietoympäristön olosuhteita ja verkon palvelujen toimintamalleja. Uudistuksessa pyrittiin turvaamaan henkilötietojen suoja perusoikeutena, digitaalitalouden kehitys ja tehostamaan rikollisuuden ja terrorismin torjuntaa. 

Tulokseksi syntyivät tietosuojadirektiivi (EU) 2016/680 sekä yleinen tietosuoja-asetus (EU) 2016/679, jotka astuivat voimaan 24.5.2016. Direktiivin kansallinen täytäntöönpano on tehtävä 6.5.2018 mennessä. Yleistä tietosuoja-asetusta aletaan soveltaa 25.5.2018 alkaen.

Tietosuojadirektiivi korvaa vuonna 2008 annetun puitepäätöksen rikosasioissa tehtävissä sekä poliisi- ja oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta. Yleinen tietosuoja-asetus korvaa vuoden 1995 henkilötietodirektiivin 95/46/EY ja sen kansalliseksi täytäntöön panemiseksi annetun henkilötietolain (523/1999) säännökset niiltä osin kuin henkilötietojen käsittely kuuluu asetuksen soveltamisalaan. 

EU:n tietosuoja-asetuksen ja tietosuojadirektiivin kansallinen täytäntöönpano edellyttää henkilötietolain ja eräiden muiden säännösten tarkistamista. Tietosuojauudistuksen valmistelu on jaettu kahdelle eri oikeusministeriön työryhmälle: toinen käsittelee tietosuojadirektiivin ja toinen tietosuoja-asetuksen vaikutuksia lainsäädäntöön. Hallituksen esitykset on tarkoitus saattaa eduskunnan käsiteltäväksi syysistuntokaudella 2017.

Valmistelu ennen eduskuntakäsittelyä 

Oikeusministeriö

EU:n tietosuojadirektiivin täytäntöönpano OM005:00/2017. Hankkeen toimikausi: 16.1.2017–29.9.2017.
- Työryhmän asettamispäätös 12.1.2017
- Työryhmän tehtävä: Valmistella yleislakia, jolla tietosuojadirektiivin vaatimukset pannaan täytäntöön sekä laatia ehdotuksen tarvittavista muutoksista oikeusministeriön hallinnonalan lainsäädäntöön ja mahdollisista turvallisuusviranomaisia koskevista säädöksistä, jotka olisi perusteltua liittää tähän lakiesitykseen

Henkilötietojen suojaa koskevan kansallisen lainsäädännön tarkastaminen OM006:00/2017. Hankkeen toimikausi: 17.2.2016–1.2.2018.
- Työryhmän asettamispäätös 17.2.2016
- Työryhmän tehtävä: Selvittää EU:n yleisen tietosuoja-asetuksen edellyttämien kansallisten lainsäädäntötoimenpiteiden tarve, tarkistaa tietosuojaviranomaiseen liittyvä lainsäädäntö ja valmistella ehdotus yleiseksi lainsäädännöksi sekä koordinoida erityislainsäädännön valmistelutyötä.

Työryhmien mietinnöt

Henkilötietojen suoja rikosasian käsittelyssä ja kansallista turvallisuutta ylläpidettäessä. Tietosuojadirektiivityöryhmän mietintö. Oikeusministeriön mietintöjä ja lausuntoja 52/2017.

- Työryhmä ehdottaa, että direktiivin kansalliseksi täytäntöönpanemiseksi säädetään laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä. Työryhmä ehdottaa, että lakia sovellettaisiin myös Puolustusvoimien, poliisin ja Rajavartiolaitoksen käsitellessä henkilötietoja kansallisen turvallisuuden ylläpitämisen yhteydessä. Työryhmä ehdottaa tehtävän myös eräitä muutoksia oikeusministeriön toimialan lainsäädäntöön direktiivin täytäntööpanemiseksi sen hallinnonalalla.

Lausunnot.Työryhmän ehdotus hallituksen esitykseksi laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä. 4.12.2017

EU:n yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän (TATTI) mietintö. Oikeusministeriön julkaisuja 35/2017.
- Työryhmä ehdottaa, että henkilötietolaki kumotaan ja säädetään uusi henkilötietojen suojaa koskeva yleislaki, tietosuojalaki, jolla täsmennetään ja täydennetään yleistä tietosuoja-asetusta. Lisäksi työryhmä ehdottaa eräitä muutoksia rikoslakiin ja sakon täytäntöönpanosta annettuun lakiin.

Lausunnot. Lausuntopyyntö yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän (TATTI) mietinnöstä ja työryhmän ehdotuksesta hallituksen esitykseksi uudeksi tietosuojalaiksi. 8.9.2017

Oikeusministeriön ja tietosuojavaltuutetun ohjeita

Tietosuoja-asetusta koskevat ohjeet läpinäkyvyydestä ja suostumuksesta julkaistu. Tietosuojavaltuutetun toimisto. Tiedote 15.12.2017.

Ohje tietosuojaa koskevasta vaikutustenarvioinnista julkaistu suomeksi ja ruotsiksi. Tietosuojavaltuutetun toimisto. Tiedote 8.11.2017.

Tietosuojavastaavista, tietojen siirrosta järjestelmästä toiseen ja johtavan valvontaviranomaisen määrittämisestä ohjeita suomeksi ja ruotsiksi.Tietosuojavaltuutetun toimisto. Tiedote 2.11.2017.

Hallinnollisten sakkojen määräämisestä tarkentavia ohjeita valvontaviranomaisille. Tietosuojavaltuutetun toimisto. Tiedote 24.10.2017.

Tietosuoja-asetuksen täytäntöönpanosta uusia ohjeita ‒ aiheina vaikutustenarviointi, automatisoidut yksittäispäätökset ja profilointi sekä henkilötietojen tietoturvaloukkauksista ilmoittaminen.  Tietosuojavaltuutetun toimisto. Tiedote 18.10.2017.

Ohje tietosuoja-asetuksen huomioimisesta lainsäädäntölausunnoissa julkaistu. Tietosuojavaltuutetun toimisto. Tiedote 17.10.2017.

Tietosuoja-asetuksen vaikutukset pk-yrityksille ‒ Euroopan komission esite avuksi henkilötietojen käsittelyyn. Tietosuojavaltuutetun toimisto. Tiedote 6.7.2017.

Työryhmä ehdottaa uutta tietosuojalakia. Oikeusministeriön tiedote 21.6.2017 

EU:n tietosuojauudistus. Oikeusministeriö, Tietosuojavaltuutetun toimisto

Miten valmistautua EU:n tietosuoja-asetukseen? Oikeusministeriö, Tietosuojavaltuutetun toimisto. Selvityksiä ja ohjeita. Oikeusministeriön julkaisu 4/2017. 

Tietosuoja-asetuksen soveltamisesta uusia ohjeita – aiheina tietosuojavastaavien toimenkuva, johtava valvontaviranomainen ja rekisteröidyn oikeus siirtää tiedot järjestelmästä toiseen. Tietosuojavaltuutetun toimisto. Tiedote 19.12.2016. 

Valtiovarainministeriö 

Julkisen hallinnon tiedonhallinnan sääntelyn kehittämistä selvittävä työryhmä VM098:00/2016. Hankkeen toimikausi: 17.11.2016–31.5.2017.
- Työryhmän tehtävä: selvittää julkisen hallinnon tiedonhallintaa, tietojen luovuttamisen periaatteita ja niiden kehittämistarpeita. Selvittää erityislainsäädäntöön liittyviä salassapidon periaatteita ja niiden päällekkäisyyksiä. Selvittää julkishallinnon rekisterien laajempia hyödyntämismahdollisuuksia ja rekisteröinnin tarpeita.
- Aikataulu: työryhmän on tarkoitus valmistella hallituksen esitys kevätistuntokaudella 2017

Valtiovarainministeriön ohjeita

Tietosuojaa ja tietoturvaa edistetään uusin keinoin – tutustu videokoulutukseen ja nettitestiin. Valtiovarainministeriö. Tiedote 29.6.2017.

EU-tietosuojan kokonaisuudistus. Valtiovarainministeriö, Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä (VAHTI). VAHTI-raportti 1/2016.

Lainsäädännön  arviointi

Valtioneuvoston kanslia. Lainsäädännön arviointineuvosto. EU:n tietosuoja-asetuksen täytäntöönpano mukana arvioitavissa esitysluonnoksissa. 16.11.2017.

Käsittely eduskunnassa

Valtioneuvoston kirjelmä U 21/2012 eduskunnalle ehdotuksesta asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (Yleinen tietosuoja-asetus) sekä direktiiviksi yksilöiden suojelusta toimivaltaisten viranomaisten henkilötietojen käsittelyssä rikosten torjumiseksi, tutkimiseksi, selvittämiseksi tai niistä syyttämiseksi tai rikosoikeudellisten seuraamusten täytäntöönpanemiseksi ja näiden tietojen vapaasta liikkuvuudesta (Tietosuojadirektiivi).
- sivulla linkkeinä asian käsittelyyn liittyvät valiokuntien ja oikeusministeriön asiakirjat, joista ilmenevät Suomen kanta ja valiokuntien kannat esitykseen

Oikeusvertailevaa aineistoa

Sääntely Euroopan unionissa

Tietosuojauudistus on komission vuonna 2012 esittämä säädöspaketti, jonka tavoitteena on päivittää ja nykyaikaistaa vuonna 1995 hyväksytyn tietosuojadirektiivin säännöt sekä rikosasioita koskevasta oikeudellisesta yhteistyöstä ja poliisiyhteistyöstä vuonna 2008 annettu puitepäätös. Neuvosto ja Euroopan parlamentti pääsivät ehdotuksista yhteisymmärrykseen joulukuussa 2015. Neuvosto vahvisti ensimmäisen käsittelyn kantansa 8. huhtikuuta 2016. Euroopan parlamentti hyväksyi tekstit 14. huhtikuuta 2016.

Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta.

Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (ETA:n kannalta merkityksellinen teksti)

Tietosuojauudistus. Eurooppa-neuvosto. Euroopan unionin neuvosto.

Henkilötietojen suojaaminen (vuodesta 2018). EUR-Lex.
- Tiivistelmä asiakirjasta EUR-LEX -palvelussa

The History of the General Data Protection Regulation. European Data Protection Supervisor.
- EU:n yleisen tietosuoja-asetuksen kehitys aikajanana

Sääntely muissa maissa

Ruotsi

Dataskyddsförordningen. Dir. 2016:15

Ny dataskyddslag. Kompletterande bestämmelser till EU:s dataskyddsförordning. SOU 2017:39

Genomförande av EU:s direktiv om skydd av personuppgifter vid brottsbekämpning, brottmålshantering och straffverkställighet. Dir. 2016:21

Brottsdatalag. SOU 2017:29

Kirjallisuutta ja aiheeseen liittyvää tutkimusaineistoa

Miten  kansallista lainsäädäntöämme pitää muuttaa EU:n yleisen tietosuoja-asetuksen  vuoksi? / Olli Pitkänen, Päivi Korpisaari & Rauno Korhonen. Julkaisussa: Viestinnän muuttuva sääntely : viestintäoikeuden vuosikirja 2016 / toim. Päivi Korpisaari. Helsinki, Helsingin yliopiston oikeustieteellinen tiedekunta, 2017. Saatavuus Eduskunnan kirjastossa.

Pseudonymisation of personal data according to the general data protection  regulation / Laura Tarhonen. Julkaisussa: Viestinnän muuttuva sääntely : viestintäoikeuden vuosikirja 2016 / toim. Päivi Korpisaari. Helsinki, Helsingin yliopiston oikeustieteellinen tiedekunta, 2017. Saatavuus Eduskunnan kirjastossa.

Osaava tietosuojavastaava / Ari Andreasson, Jaana Riikonen & Arto Ylipartanen. Tietosanomat, 2017. Saatavuus Eduskunnan kirjastossa.

Tietosuoja-asetuksen huomiointi kilpailutettaessa julkisia hankintoja / Hansel, Hankinnat.fi, Kuntaliitto, Kuntahankinnat. 2017.

Hur ska dataskyddsförordningen beaktas vid konkurrensutsättning av offentlig upphandling? Hansel, Upphandling.fi, Kuntaliitto, Kommunförbundet. 2017.

Analyysia ja visioita EU:n tietosuojasääntelystä. [Kirja-arvostelu] / Anette Alén-Savikko.
Julkaisussa: Lakimies, 2/2017, s. 298–304. Lehden saatavuus Eduskunnan kirjastossa. – Elektroninen artikkeli on käytettävissä Eduskunnan kirjastossa asiakastietokoneilla ja eduskunnan lähiverkossa Edilex-palvelussa.

Reforming European Data Protection Law / Serge Gutwirth, Ronald Leenes & Paul De Hert (eds.). Springer 2015. Saatavuus Eduskunnan kirjastossa.

Terveystiedot ja EU:n yleinen tietosuoja-asetus / Marjut Salokannel. Julkaisussa: Defensor legis 4/2016, s. 534–548. Lehden saatavuus Eduskunnan kirjastossa. – Elektroninen artikkeli on käytettävissä Eduskunnan kirjastossa asiakastietokoneilla ja eduskunnan lähiverkossa Edilex-palvelussa.

Kansallinen tietosuojapolitiikka ja EU:n tietosuoja-asetus / Heikki Partanen. Julkaisussa: Viestintäoikeus nyt : viestintäoikeuden vuosikirja 2014, s. 162-173. Julkaisun saatavuus Eduskunnan kirjastossa. – Elektroninen artikkeli on käytettävissä Eduskunnan kirjastossa asiakastietokoneilla ja eduskunnan lähiverkossa Edilex-palvelussa.

Euroopan unionin tuomioistuimen viimeaikainen oikeuskäytäntö ja uudistuva tietosuojasääntely / Tuomas Kaivola. Julkaisussa: Defensor Legis 5/2016, s. 862–872. Lehden saatavuus Eduskunnan kirjastossa. – Elektroninen artikkeli on käytettävissä Eduskunnan kirjastossa asiakastietokoneilla ja eduskunnan lähiverkossa Edilex-palvelussa.

Hallinnolliset seuraamukset tietosuojan sanktiomekanismina / Mikael Koillinen. Julkaisussa: Defensor Legis 4/2016, s. 570–586. Lehden saatavuus Eduskunnan kirjastossa. – Elektroninen artikkeli on käytettävissä Eduskunnan kirjastossa asiakastietokoneilla ja eduskunnan lähiverkossa Edilex-palvelussa.

Naamoja ja meemejä -henkilötiedoista sosiaalisessa mediassa / Anette Alén-Savikko. Julkaisussa: Defensor Legis 4/2016, s. 497–514. Lehden saatavuus Eduskunnan kirjastossa. – Elektroninen artikkeli on käytettävissä Eduskunnan kirjastossa asiakastietokoneilla ja eduskunnan lähiverkossa Edilex-palvelussa.

Tietosuojavastaavan nimittäminen, asema ja tehtävät / Rauno Korhonen. Julkaisussa: Defensor Legis 4/2016, s. 599–606. Lehden saatavuus Eduskunnan kirjastossa.  – Elektroninen artikkeli on käytettävissä Eduskunnan kirjastossa asiakastietokoneilla ja eduskunnan lähiverkossa Edilex-palvelussa.

Kansallinen tietosuojapolitiikka ja EU:n tietosuoja-asetus / Heikki Partanen. Artikkeli teoksessa: Viestintäoikeus nyt: viestintäoikeuden vuosikirja 2014, s. 162–173. Julkaisun saatavuus Eduskunnan kirjastossa. – Elektroninen artikkeli on käytettävissä Eduskunnan kirjastossa asiakastietokoneilla ja eduskunnan lähiverkossa Edilex-palvelussa.

Euroopan unionin tietosuojauudistus – erityisesti rekisterinpitäjän näkökulmasta / Petteri Rinkinen. Lapin yliopisto. Oikeustieteiden tiedekunta. Oikeusinformatiikka. Maisterin tutkielma, 2014.

Uniform Protection by the EU – The EU Data Protection Regulation Salvages Informational Self-Determination / Jan Philipp Albrecht. Teoksessa: Data Protection Anno 2014: How to Restore Trust?, 2014, s. 119–128. Julkaisun saatavuus Eduskunnan kirjastossa.

EU-oikeuteen ja tietosuojaan liittyvää kirjallisuutta Eduskunnan kirjastossa.

Hankkeen uutisointia

Tietosuoja-asetusta koskevat ohjeet läpinäkyvyydestä ja suostumuksesta julkaistu. Jukka Savolainen, Edilex-uutinen 18.12.2017. – Edilex-palvelu on käytettävissä Eduskunnan kirjastossa asiakastietokoneilla ja eduskunnan lähiverkossa.

EU:n tietosuoja-asetus vaatii isot muutokset – suuri osa yrityksistä ei varautunut. Tero Lehto, Tekniikka ja talous 6.3.2017. 

72 tuntia tietomurron jälkeen – ilmoitusvelvollisuus tietoturvaloukkauksista EU:n tietosuoja-asetuksen mukaan. Hannu Järvinen, Edilex-uutinen 14.9.2016. 

Vierashuoneessa OTT Riitta Ollila: Tuomioistuimet ja EU:n tietosuoja-asetus. Edilex-uutinen 2.8.2016.

Suostumuksen vaatimus EU:n tietosuoja-asetuksessa. Judit Lainio, IPRinfo 12.5.2016.

EU:n tietosuoja-asetus on julkaistu – soveltaminen alkaa 25. toukokuuta 2018. Edilex-uutinen 10.5.2016. – Edilex-palvelu on käytettävissä Eduskunnan kirjastossa asiakastietokoneilla ja eduskunnan lähiverkossa.

Keskuskauppakamari muistuttaa: EU:n tietosuoja-asetus tulee – valmistaudu ajoissa. Jukka Savolainen, Edilex-uutinen 31.3.2016. Edilex-palvelu on käytettävissä Eduskunnan kirjastossa asiakastietokoneilla ja eduskunnan lähiverkossa.

Tietoturva-asiantuntija​​ ​M.Sc.​ Tuuli Siiskonen ja lakimies OTL Maria Majanen: Henkilötietojen suoja julkishallinnon digitaalisten palvelujen tuottamisessa. Tuuli Siiskonen & Maria Majanen, Edilex-uutinen 22.1.2016 Edilex-palvelu on käytettävissä Eduskunnan kirjastossa asiakastietokoneilla ja eduskunnan lähiverkossa.

EU:n tietosuoja-asetus muuttaa henkilötietojen käsittelyä. Ida Sulin & Henrik Rainio,  Kuntaliitto 14.1.2016.

Oikeusministeriö tiedottaa: EU:n tietosuojauudistuksesta päästiin sopuun. Tietosuojavaltuutetun toimisto 18.12.2015. 

Muuta aineistoa

Arjen tietosuojakoulutus - tietosuojan perusteet kaikille. Julkisen hallinnon tietohallinnon neuvottelukunta (JUHTA).

Tietosuojavaltuutetun toimisto.

European Data Protection Supervisor. EU:n tietosuojavaltuutettu. 

European Data Protection Ombudsman, Annual report 2016.

EU:n yleisen tietosuoja-asetuksen Suomen malli. Pekka Nurmi, Oikeusministeriön blogi 17.1.2017.

Yksi vai monta lainvalvojaa? Reijo Aarnio, Tietosuojavaltuutetun blogi 6.5.2016.

Tietosuoja-asetus – uutta ja vanhan vahvistamista. Anu Talus, Oikeusministeriön blogi 6.4.2016.

Lausunto 3/2015 : Euroopan suuri tilaisuus : Euroopan tietosuojavaltuutetun suositukset EU:n tietosuojauudistusta koskevista vaihtoehdoista. Euroopan tietosuojavaltuutetun lausunto 3/2015. Bryssel 28.7.2015. 

Sisällöllinen toimitus: Päivikki Karhula (sähköposti: etunimi.sukunimi@eduskunta.fi) ja Kaisa Kipinoinen, kesäkuu 2017, päivitetty 20.12.2017.