Tietosuoja-asetus – uutta ja vanhan vahvistamista
Siinä se on, yli 400 sivua tekstiä tietosuojasta: EU:n tietosuoja-asetus. Lähestulkoon neljä vuotta intensiivisiä neuvotteluita takana. Monipolvisten kompromissiratkaisujen tuloksena syntyi 99 artiklaa ja niitä selittäviä resitaaleja, kaikkine kauneusvirheineen. Asetusta aletaan soveltaa vuonna 2018.
Asetuksen tavoitteena on ajanmukaistaa henkilötietojen suojaa koskeva lainsäädäntö. Nykyisin voimassa olevan henkilötietodirektiivin säätämisen aikaan internetin läpimurto teki vielä tuloaan ja puhelinkin oli puhelin.
Asetus tulee yhtenäistämään eurooppalaista tietosuojalainsäädäntöä. Lisäksi asetuksen soveltamiskäytäntöä halutaan yhtenäistää. Tämän vuoksi kansallisista tietosuojaviranomaisista muodostuvasta Euroopan tietosuojaneuvostosta tehtiin asetuksella oikeushenkilö, jolla on toimivaltuudet antaa sitovia päätöksiä.
Lisäksi asetus vahvistaa eri jäsenvaltioiden viranomaisten välistä yhteistyötä. Niin kutsutun one-stop-shop-mekanismin puitteissa usean jäsenvaltion alueelle sijoittunut rekisterinpitäjä voi vastaisuudessa asioida ainoastaan yhden tietosuojaviranomaisen kanssa. Eri jäsenvaltioiden viranomaiset tekevät sitten keskenään yhteistyötä.
Vaikka tietosuoja-asetus tuo mukaan uutta, on siinä mukana myös paljon vanhaa. Jos rekisterinpitäjä on huolehtinut asianmukaisesti henkilötietolain mukaisista velvoitteistaan, on tämä jo pitkällä myös asetuksen velvoitteiden noudattamisessa.
Mahdollisuus kontrolloida tietojaan korostuu
Rekisterinpitäjän lisäksi tietosuoja-asetus koskee myös rekisteröityjä, eli meitä kaikkia, joiden tietoja on jonnekin tallennettu tai joiden tietoja joku käsittelee.
Asetuksessa korostuu kautta linjan rekisteröidyn itsemääräämisoikeus, eli rekisteröidyn mahdollisuus kontrolloida omia tietojaan. On nykyajan ilmiö, että ihmiset antavat itsestään vapaaehtoisesti tietoja eri forumeilla ja sosiaalisessa mediassa. Näissä tilanteissa mahdollisuus kontrolloida itseään koskevia tietoja tuntuu korostuvan.
Vanhemman suostumus sosiaalisen median käyttöön
Tällä hetkellä henkilötietolainsäädännössämme ei säännellä lasten sosiaalisen median käyttöä. Tähän tulee kuitenkin muutos. Asetuksen mukaan alle 16-vuotiaalla tulee olla vanhempien suostumus tai valtuutus käyttäessään sosiaalisen median palveluita, koska lapsen henkilötietoja ei voi enää käsitellä ilman vanhemman suostumusta. Tämä muutos sai aikaan hieman hampaiden kiristelyä teini-ikäisissäni.
Lähtökohtana asetuksessa onkin 16 vuoden ikäraja, mutta ikärajasta voidaan säätää kansallisesti 13 ja 16 vuoden välillä.
Right to be forgotten – oikeus tulla unohdetuksi
Suuresta huomiosta huolimatta oikeus tulla unohdetuksi ei tuo huomattavia muutoksia nykytilaan nähden. Jo nykyisellään rekisterinpitäjän on oikaistava, poistettava tai täydennettävä rekisterissä oleva, käsittelyn tarkoituksen kannalta virheellinen, tarpeeton, puutteellinen tai vanhentunut henkilötieto. Vastaisuudessa tiedot tulee poistaa muun muassa silloin jos niitä ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin, rekisteröity peruuttaa suostumuksensa tai tietoja on käsitelty lainvastaisesti.
Right to be forgottenin symboliarvoa ei pidä kuitenkaan väheksyä. Vaikka tietojansa ei esimerkiksi internetistä voi saada kokonaan pois, kuvaa right-to-be-forgotten hyvin nyky-yhteiskunnan haasteita.
Kansallinen asiakirjajulkisuus säilyy
Suomalaisen julkisuusajattelun perusta on asiakirjajulkisuus. Saimme neuvotteluiden tuloksena tämänkin periaatteen asetukseen ja suomalainen asiakirjajulkisuuden periaate on jatkossakin voimissaan.
Anu Talus
Kirjoitus on julkaistu alun perin 6.4.2016 oikeusministeriön Oikeusblogissa