EU:n tietosuoja-asetus tuo uusia oikeuksia omiin henkilötietoihin 25. toukokuuta alkaen
EU:n tietosuoja-asetuksen soveltaminen alkaa 25. toukokuuta 2018. Henkilötietojen käsittelyn perusperiaatteet ja rekisteröidyn henkilön oikeudet säilyvät uudistuksessa pääosin ennallaan. Henkilöllä on jatkossakin oikeus esimerkiksi tarkastaa itseään koskevat tiedot sekä pyytää oikaisemaan virheelliset tiedot ja poistamaan tarpeettomat tiedot.
Uudistuksella luodaan myös uusia oikeuksia. Omat tietonsa saa rekisterinpitäjältä sähköisesti ja tiedot voi nykyistä helpommin siirtää järjestelmästä toiseen.
Tietosuojauudistus koskee kaikkia EU:n jäsenvaltioita. Se merkitsee, että oikeudet omiin henkilötietoihin ovat samat, vaikka olisi asioinut esimerkiksi verkkokaupassa, joka toimii toisessa EU-maassa.
Tietojen korjaamiselle tulee määräaika
Henkilötietoja käsittelevän yrityksen, yhteisön tai viranomaisen on oikaistava virheelliset henkilötiedot ja poistettava esimerkiksi tarpeeton tai vanhentunut henkilötieto. Korjauksiin on ryhdyttävä ilman aiheetonta viivytystä, normaalitapauksissa viimeistään kuukauden kuluessa oikaisu- tai poistopyynnön vastaanottamisesta.
Henkilötietoja koskevasta tietoturvaloukkauksesta rekisterinpitäjän on ilmoitettava tietosuojavaltuutetulle viimeistään 72 tunnin kuluessa loukkauksen ilmitulosta, jos tietoturvaloukkaus uhkaa ihmisten oikeuksia ja vapauksia. Tietyissä tapauksissa tietoturvaloukkauksesta on ilmoitettava myös rekisteröidylle henkilölle.
Niin sanotun yhden luukun periaatteen mukaisesti yrityksen tarvitsee asioida rajat ylittävissä asioissa vain yhden tietosuojaviranomaisen kanssa, vaikka yritys toimisi useassa jäsenvaltiossa. Sama koskee kansalaista, jos hän haluaa esimerkiksi tehdä valituksen toisessa EU-valtiossa toimivan yrityksen toiminnasta.
Eduskunnan käsittelyssä asetusta täydentävä tietosuojalaki
Eduskunnassa on parhaillaan käsiteltävänä hallituksen esitys tietosuojalaiksi. Sillä täydennettäisiin ja täsmennettäisiin EU:n yleistä tietosuoja-asetusta. Esityksen mukaan tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle edellyttäisi, että lapsi on vähintään 13-vuotias. Tätä nuoremman lapsen osalta rekisterinpitäjän olisi tarkistettava, että lapsella on vanhempien suostumus esimerkiksi sosiaalisen median palvelujen käyttämiseen.
Tietosuojalailla myös säädettäisiin poikkeuksista tietosuoja-asetukseen tietyissä kysymyksissä sekä keskitettäisiin tietosuoja-asioihin liittyvät viranomaistehtävät tietosuojavaltuutetulle.
Tietosuojalaki tulee voimaan mahdollisimman pian, kun eduskunta on sen hyväksynyt ja laki on vahvistettu.
Lisätietoja:
lainsäädäntöneuvos Anu Talus, oikeusministeriö, puh. 02951 50586, etunimi.sukunimi(at)om.fi, lainsäädäntöneuvos Tanja Jaatinen, oikeusministeriö, puh. 02951 50056, etunimi.sukunimi(at)om.fi, tietosuojavaltuutettu Reijo Aarnio, puh. 02956 66730, etunimi.sukunimi(at)om.fi
Oikeusministeriön tiedote 1.3.2018: Tietosuojalaki täydentäisi EU:n tietosuoja-asetusta
Tietoa EU:n tietosuojauudistuksesta