EU:n tietosuoja-asetus painottaa riskilähtöisyyttä; velvoitteet ja suojatoimet on suhteutettava henkilötietojen käsittelystä rekisteröidyn oikeuksille ja vapauksille aiheutuvaan riskiin.

Kunnilla on vielä kolme viikkoa aikaa antaa lausuntonsa EU:n tietosuoja-asetuksen täytäntöönpanosta. Tietosuoja-asetusta aletaan soveltaa toukokuussa 2018. Sen soveltaminen vaatii myös kansallista lainsäädäntöä.

Asetuksen on sanottu mullistavan aiemman ajattelun tietojen käsittelystä. Asetus muuttaa merkittävästi niin henkilötietoja käsittelevien organisaatioiden kuin niiden yksittäisten työntekijöiden toimintaa. Käytännössä mikä tahansa tieto tai tietojen yhdistelmä, joka viittaa henkilöön, on henkilötietoa – tällaista voi olla siis myös esimerkiksi IP-osoite tai karttatieto.

Kansallisella tasolla henkilötietolaki kumoutuu ja sen tilalle, asetuksen rinnalle, ehdotetaan mietinnössä säädettäväksi uusi tietosuojalaki, kirjoittaa Kuntaliiton lakimies Ida Sulin blogissaan.

”Ehdotetussa tietosuojalaissa on säännöksiä mm. uudesta valvontaviranomaisesta (Tietosuojavirasto) ja sen toiminnasta, henkilötunnuksen käsittelystä ja lapsen ikärajasta. Lisäksi ehdotetaan säädettäväksi kansallisista laajoista poikkeuksista tietosuoja-asetuksen perusvaatimuksiin henkilötietojen käsittelylle silloin, kun henkilötietoja käsitellään mm. journalistista, akateemista, taiteellisia, tutkimuksellista tai historiallista tarkoitusta varten”, Sulin kirjoittaa.

Oikeusministeriön asettama EU:n yleisen tietosuoja-asetuksen täytäntöönpanoryhmä julkaisi mietintönsä kesäkuun lopulla. Ryhmä ei päässyt yksimielisyyteen ehdotuksista julkisuuslain muutoksen tavoista – yksimielisyys löytyi sen sijaan siitä että julkisuuslakia pitää muuttaa.

Ryhmän mielipiteet jakautuivat sen suhteen, pitäisikö kansallista liikkumavaraa käyttää hallinnollisten sakkojen määräämisessä viranomaisille.

Lopullista kantaa hallinnollisten sakkojen käyttöön ryhmä ei muodostanut. Keskustelua herätti muun muassa, tuleeko julkisille toimijoille määrätä hallinnollisia sakkoja ja jos tulee, voisiko niiden enimmäismäärä olla selvästi pienempi kuin asetuksessa on määritelty. Asetuksen mukaan rekisterinpitäjälle määrättävä hallinnollinen sanktio tietosuoja-asetuksen velvoitteiden laiminlyönnistä voi olla enimmillään 20 miljoonaa euroa.

Yksimielisyyttä ei löytynyt myöskään tavasta, jolla julkisuusperiaate ja henkilötietojen suoja tulisi sovittaa yhteen.

Ida Sulinin mukaan kuntien ja kuntayhtymien tulisi lausunnoissaan ottaa kantaa erityisesti mietinnössä avoimeksi jääneisiin kysymyksiin.

”On tärkeää, että jokainen lausuja analysoi asetuksen ja ehdotetun lainsäädännön toimivuutta oman sektorin kannalta, jotta mahdollisia ongelmakohtia ja muutostarpeita voidaan huomioida ajoissa”, Sulin kirjoittaa.

Lausuntopyyntö täytäntöönpanosta ja työryhmän keskeiset ehdotukset

Täytäntöönpanotyöryhmän mietintö

Aiheesta aiemmin:

Kuntien tietosuojan ennakoiva riskienhallinta huolestuttavalla tasolla

EU:n tietosuoja-asetus muuttaa yhteiskuntaa ja pistää kuntiin vipinää

Jatka keskustelua #kuntalehti @kuntalehti Twitterissä tai Facebookissa.

Keskustele

Sähköpostiosoitettasi ei julkaista.

*