​EU:n tietosuojauudistus ja sen kansallinen täytäntöönpano

EU:n tietosuojalainsäädännön uudistaminen lähti liikkeelle vuonna 2012. EU:n tietosuojalainsäädäntö oli jäänyt jälkeen kehityksestä, eikä vastannut enää globaalin tietoympäristön olosuhteita ja verkon palvelujen toimintamalleja. Uudistuksessa pyrittiin turvaamaan henkilötietojen suoja perusoikeutena, digitaalitalouden kehitys ja tehostamaan rikollisuuden ja terrorismin torjuntaa. 

Tulokseksi syntyivät tietosuojadirektiivi (EU) 2016/680 sekä yleinen tietosuoja-asetus (EU) 2016/679, jotka astuivat voimaan 24.5.2016. Direktiivin kansallinen täytäntöönpano on tehtävä 6.5.2018 mennessä. Yleistä tietosuoja-asetusta aletaan soveltaa 25.5.2018 alkaen.

Tietosuojadirektiivi korvaa vuonna 2008 annetun puitepäätöksen rikosasioissa tehtävissä sekä poliisi- ja oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta. Yleinen tietosuoja-asetus korvaa vuoden 1995 henkilötietodirektiivin 95/46/EY ja sen kansalliseksi täytäntöön panemiseksi annetun henkilötietolain (523/1999) säännökset niiltä osin kuin henkilötietojen käsittely kuuluu asetuksen soveltamisalaan. 

EU:n tietosuoja-asetuksen ja tietosuojadirektiivin kansallinen täytäntöönpano edellyttää henkilötietolain ja eräiden muiden säännösten tarkistamista. Tietosuojauudistuksen valmistelu on jaettu kahdelle eri oikeusministeriön työryhmälle: toinen käsittelee tietosuojadirektiivin ja toinen tietosuoja-asetuksen vaikutuksia lainsäädäntöön. Hallituksen esitykset on tarkoitus saattaa eduskunnan käsiteltäväksi syysistuntokaudella 2017.

Valmistelu ennen eduskuntakäsittelyä 

Oikeusministeriö

EU:n tietosuojadirektiivin täytäntöönpano OM005:00/2017. Hankkeen toimikausi: 16.1.2017–29.9.2017.
- Työryhmän asettamispäätös, 12.1.2017
- Työryhmän tehtävä: Valmistella yleislakia, jolla tietosuojadirektiivin vaatimukset pannaan täytäntöön sekä laatia ehdotuksen tarvittavista muutoksista oikeusministeriön hallinnonalan lainsäädäntöön ja mahdollisista turvallisuusviranomaisia koskevista säädöksistä, jotka olisi perusteltua liittää tähän lakiesitykseen

Henkilötietojen suojaa koskevan kansallisen lainsäädännön tarkastaminen OM006:00/2017. Hankkeen toimikausi: 17.2.2016–1.2.2018.
- Työryhmän asettamispäätös, 17.2.2016
- Työryhmän tehtävä: Selvittää EU:n yleisen tietosuoja-asetuksen edellyttämien kansallisten lainsäädäntötoimenpiteiden tarve, tarkistaa tietosuojaviranomaiseen liittyvä lainsäädäntö ja valmistella ehdotus yleiseksi lainsäädännöksi sekä koordinoida erityislainsäädännön valmistelutyötä.

Työryhmien mietinnöt

EU:n yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän (TATTI) mietintö. Oikeusministeriön julkaisuja 35/2017.
- Työryhmä ehdottaa, että henkilötietolaki kumotaan ja säädetään uusi henkilötietojen suojaa koskeva yleislaki, tietosuojalaki, jolla täsmennetään ja täydennetään yleistä tietosuoja-asetusta. Lisäksi työryhmä ehdottaa eräitä muutoksia rikoslakiin ja sakon täytäntöönpanosta annettuun lakiin.

Oikeusministeriön ja tietosuojavaltuutetun ohjeita

Työryhmä ehdottaa uutta tietosuojalakia. Oikeusministeriön tiedote 21.6.2017 

EU:n tietosuojauudistus. Oikeusministeriö, Tietosuojavaltuutetun toimisto

Miten valmistautua EU:n tietosuoja-asetukseen? Oikeusministeriö, Tietosuojavaltuutetun toimisto. Selvityksiä ja ohjeita. Oikeusministeriön julkaisu 4/2017. 

Tietosuoja-asetuksen soveltamisesta uusia ohjeita – aiheina tietosuojavastaavien toimenkuva, johtava valvontaviranomainen ja rekisteröidyn oikeus siirtää tiedot järjestelmästä toiseen. Tietosuojavaltuutetun toimisto. Tiedote 19.12.2016. 

Valtiovarainministeriö 

Julkisen hallinnon tiedonhallinnan sääntelyn kehittämistä selvittävä työryhmä VM098:00/2016. Hankkeen toimikausi: 17.11.2016–31.5.2017.
- Työryhmän tehtävä: selvittää julkisen hallinnon tiedonhallintaa, tietojen luovuttamisen periaatteita ja niiden kehittämistarpeita. Selvittää erityislainsäädäntöön liittyviä salassapidon periaatteita ja niiden päällekkäisyyksiä. Selvittää julkishallinnon rekisterien laajempia hyödyntämismahdollisuuksia ja rekisteröinnin tarpeita.
- Aikataulu: työryhmän on tarkoitus valmistella hallituksen esitys kevätistuntokaudella 2017

Valtiovarainministeriön ohjeita

Tietosuojaa ja tietoturvaa edistetään uusin keinoin – tutustu videokoulutukseen ja nettitestiin. Valtiovarainministeriö. Tiedote 29.6.2017.

EU-tietosuojan kokonaisuudistus. Valtiovarainministeriö, Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä (VAHTI). VAHTI-raportti 1/2016.

Käsittely eduskunnassa

Valtioneuvoston kirjelmä U 21/2012 eduskunnalle ehdotuksesta asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (Yleinen tietosuoja-asetus) sekä direktiiviksi yksilöiden suojelusta toimivaltaisten viranomaisten henkilötietojen käsittelyssä rikosten torjumiseksi, tutkimiseksi, selvittämiseksi tai niistä syyttämiseksi tai rikosoikeudellisten seuraamusten täytäntöönpanemiseksi ja näiden tietojen vapaasta liikkuvuudesta (Tietosuojadirektiivi).
- sivulla linkkeinä asian käsittelyyn liittyvät valiokuntien ja oikeusministeriön asiakirjat, joista ilmenevät Suomen kanta ja valiokuntien kannat esitykseen

Oikeusvertailevaa aineistoa

Sääntely Euroopan unionissa

Tietosuojauudistus on komission vuonna 2012 esittämä säädöspaketti, jonka tavoitteena on päivittää ja nykyaikaistaa vuonna 1995 hyväksytyn tietosuojadirektiivin säännöt sekä rikosasioita koskevasta oikeudellisesta yhteistyöstä ja poliisiyhteistyöstä vuonna 2008 annettu puitepäätös. Neuvosto ja Euroopan parlamentti pääsivät ehdotuksista yhteisymmärrykseen joulukuussa 2015. Neuvosto vahvisti ensimmäisen käsittelyn kantansa 8. huhtikuuta 2016. Euroopan parlamentti hyväksyi tekstit 14. huhtikuuta 2016.

Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta.

Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (ETA:n kannalta merkityksellinen teksti)

Tietosuojauudistus. Eurooppa-neuvosto. Euroopan unionin neuvosto.

Henkilötietojen suojaaminen (vuodesta 2018). EUR-Lex.
- Tiivistelmä asiakirjasta EUR-LEX -palvelussa

The History of the General Data Protection Regulation. European Data Protection Supervisor.
- EU:n yleisen tietosuoja-asetuksen kehitys aikajanana

Sääntely muissa maissa

Ruotsi

Dataskyddsförordningen. Dir. 2016:15

Ny dataskyddslag. Kompletterande bestämmelser till EU:s dataskyddsförordning. SOU 2017:39

Genomförande av EU:s direktiv om skydd av personuppgifter vid brottsbekämpning, brottmålshantering och straffverkställighet. Dir. 2016:21

Brottsdatalag. SOU 2017:29

Kirjallisuutta ja aiheeseen liittyvää tutkimusaineistoa

Osaava tietosuojavastaava / Ari Andreasson, Jaana Riikonen & Arto Ylipartanen. Tietosanomat, 2017. Saatavuus Eduskunnan kirjastossa.

Tietosuoja-asetuksen huomiointi kilpailutettaessa julkisia hankintoja / Hansel, Hankinnat.fi, Kuntaliitto, Kuntahankinnat. 2017.

Analyysia ja visioita EU:n tietosuojasääntelystä. [Kirja-arvostelu] / Anette Alén-Savikko.
Julkaisussa: Lakimies, 2/2017, s. 298–304. Lehden saatavuus Eduskunnan kirjastossa. – Elektroninen artikkeli on käytettävissä Eduskunnan kirjastossa asiakastietokoneilla ja eduskunnan lähiverkossa Edilex-palvelussa.

Reforming European Data Protection Law / Serge Gutwirth, Ronald Leenes & Paul De Hert (eds.). Springer 2015. Saatavuus Eduskunnan kirjastossa.

Terveystiedot ja EU:n yleinen tietosuoja-asetus / Marjut Salokannel. Julkaisussa: Defensor legis 4/2016, s. 534–548. Lehden saatavuus Eduskunnan kirjastossa. – Elektroninen artikkeli on käytettävissä Eduskunnan kirjastossa asiakastietokoneilla ja eduskunnan lähiverkossa Edilex-palvelussa.

Kansallinen tietosuojapolitiikka ja EU:n tietosuoja-asetus / Heikki Partanen. Julkaisussa: Viestintäoikeus nyt : viestintäoikeuden vuosikirja 2014, s. 162-173. Julkaisun saatavuus Eduskunnan kirjastossa. – Elektroninen artikkeli on käytettävissä Eduskunnan kirjastossa asiakastietokoneilla ja eduskunnan lähiverkossa Edilex-palvelussa.

Euroopan unionin tuomioistuimen viimeaikainen oikeuskäytäntö ja uudistuva tietosuojasääntely / Tuomas Kaivola. Julkaisussa: Defensor Legis 5/2016, s. 862–872. Lehden saatavuus Eduskunnan kirjastossa. – Elektroninen artikkeli on käytettävissä Eduskunnan kirjastossa asiakastietokoneilla ja eduskunnan lähiverkossa Edilex-palvelussa.

Hallinnolliset seuraamukset tietosuojan sanktiomekanismina / Mikael Koillinen. Julkaisussa: Defensor Legis 4/2016, s. 570–586. Lehden saatavuus Eduskunnan kirjastossa. – Elektroninen artikkeli on käytettävissä Eduskunnan kirjastossa asiakastietokoneilla ja eduskunnan lähiverkossa Edilex-palvelussa.

Naamoja ja meemejä -henkilötiedoista sosiaalisessa mediassa / Anette Alén-Savikko. Julkaisussa: Defensor Legis 4/2016, s. 497–514. Lehden saatavuus Eduskunnan kirjastossa. – Elektroninen artikkeli on käytettävissä Eduskunnan kirjastossa asiakastietokoneilla ja eduskunnan lähiverkossa Edilex-palvelussa.

Tietosuojavastaavan nimittäminen, asema ja tehtävät / Rauno Korhonen. Julkaisussa: Defensor Legis 4/2016, s. 599–606. Lehden saatavuus Eduskunnan kirjastossa.  – Elektroninen artikkeli on käytettävissä Eduskunnan kirjastossa asiakastietokoneilla ja eduskunnan lähiverkossa Edilex-palvelussa.

Kansallinen tietosuojapolitiikka ja EU:n tietosuoja-asetus / Heikki Partanen. Artikkeli teoksessa: Viestintäoikeus nyt: viestintäoikeuden vuosikirja 2014, s. 162–173. Julkaisun saatavuus Eduskunnan kirjastossa. – Elektroninen artikkeli on käytettävissä Eduskunnan kirjastossa asiakastietokoneilla ja eduskunnan lähiverkossa Edilex-palvelussa.

Euroopan unionin tietosuojauudistus – erityisesti rekisterinpitäjän näkökulmasta / Petteri Rinkinen. Lapin yliopisto. Oikeustieteiden tiedekunta. Oikeusinformatiikka. Maisterin tutkielma, 2014.

Uniform Protection by the EU – The EU Data Protection Regulation Salvages Informational Self-Determination / Jan Philipp Albrecht. Teoksessa: Data Protection Anno 2014: How to Restore Trust?, 2014, s. 119–128. Julkaisun saatavuus Eduskunnan kirjastossa.

EU-oikeuteen ja tietosuojaan liittyvää kirjallisuutta Eduskunnan kirjastossa.

Hankkeen uutisointia

EU:n tietosuoja-asetus vaatii isot muutokset – suuri osa yrityksistä ei varautunut. Tero Lehto, Tekniikka ja talous 6.3.2017. 

72 tuntia tietomurron jälkeen – ilmoitusvelvollisuus tietoturvaloukkauksista EU:n tietosuoja-asetuksen mukaan. Hannu Järvinen, Edilex 14.9.2016. 

Vierashuoneessa OTT Riitta Ollila: Tuomioistuimet ja EU:n tietosuoja-asetus. Edilex 2.8.2016.

Suostumuksen vaatimus EU:n tietosuoja-asetuksessa. Judit Lainio, IPRinfo 12.5.2016.

EU:n tietosuoja-asetus on julkaistu – soveltaminen alkaa 25. toukokuuta 2018. Edilex-uutinen 10.5.2016. – Edilex-palvelu on käytettävissä Eduskunnan kirjastossa asiakastietokoneilla ja eduskunnan lähiverkossa.

Keskuskauppakamari muistuttaa: EU:n tietosuoja-asetus tulee – valmistaudu ajoissa. Jukka Savolainen, Edilex-uutinen 31.3.2016. Edilex-palvelu on käytettävissä Eduskunnan kirjastossa asiakastietokoneilla ja eduskunnan lähiverkossa.

Tietoturva-asiantuntija​​ ​M.Sc.​ Tuuli Siiskonen ja lakimies OTL Maria Majanen: Henkilötietojen suoja julkishallinnon digitaalisten palvelujen tuottamisessa. Tuuli Siiskonen & Maria Majanen, Edilex-uutinen 22.1.2016 Edilex-palvelu on käytettävissä Eduskunnan kirjastossa asiakastietokoneilla ja eduskunnan lähiverkossa.

EU:n tietosuoja-asetus muuttaa henkilötietojen käsittelyä. Ida Sulin & Henrik Rainio,  Kuntaliitto 14.1.2016.

Oikeusministeriö tiedottaa: EU:n tietosuojauudistuksesta päästiin sopuun. Tietosuojavaltuutetun toimisto 18.12.2015. 

Muuta aineistoa

Arjen tietosuojakoulutus - tietosuojan perusteet kaikille. Julkisen hallinnon tietohallinnon neuvottelukunta (JUHTA).

Tietosuojavaltuutetun toimisto.

European Data Protection Supervisor. EU:n tietosuojavaltuutettu. 

European Data Protection Ombudsman, Annual report 2016.

EU:n yleisen tietosuoja-asetuksen Suomen malli. Pekka Nurmi, Oikeusministeriön blogi 17.1.2017.

Yksi vai monta lainvalvojaa? Reijo Aarnio, Tietosuojavaltuutetun blogi 6.5.2016.

Tietosuoja-asetus – uutta ja vanhan vahvistamista. Anu Talus, Oikeusministeriön blogi 6.4.2016.

Lausunto 3/2015 : Euroopan suuri tilaisuus : Euroopan tietosuojavaltuutetun suositukset EU:n tietosuojauudistusta koskevista vaihtoehdoista. Euroopan tietosuojavaltuutetun lausunto 3/2015. Bryssel 28.7.2015. 

Sisällöllinen toimitus: Päivikki Karhula (sähköposti: etunimi.sukunimi@eduskunta.fi) ja Kaisa Kipinoinen, kesäkuu 2017, päivitetty 19.7.2017.