Ads 468x60px

tiistai 24. tammikuuta 2012

EU-komission ehdotus uudeksi tietosuoja-asetukseksi

Kuten aikaisemmassa blogimerkinnässä uumoilin, EU:n tietosuojasääntelyä tullaan lähivuosina uudistamaan kovalla kädellä. Henkilötietodirektiivi tullaan korvaamaan tietosuojaa koskevalla asetuksella, joka koskee suoraan kaikkia jäsenmaita, jolloin säännösten voimaansaattamista eri jäsenvaltioissa ei enää aiheudu ongelmia.

Uuden asetuksen tarkoitus on yhtenäistää henkilötietojen käsittelyn sääntely EU:n alueella, selkeyttää toimivaltakysymyksiä ja tehostaa viranomaisyhteistyötä. Konkreettisemmin, asetuksen tarkoitus on mm. selkeyttää sääntelyn käsitteitä, ottaa kantaa uusiin ilmiöihin ja tekniikoihin, sekä vahvistaa rekisteröityjen asemaa ja oikeuksia.

Internetiin on vuodettu asetuksen luonnos (EDIT: asetusluonnoksen virallinen versio löytyy tästä, ja LIBE komitean jälkeinen versio, josta äänestettiin europarlamentissa maaliskuussa 2014 löytyy tästä), joka onkin aiheuttanut vilkasta keskustelua ”tietosuojapiireissä”. Tässä lyhyesti tärkeimmistä uudistuksista, satunnaisessa järjestyksessä.

1. Jatkossa lainvalintaproblematiikkaa ei ole, koska asetus koskee kaikkia rekisterinpitäjiä koko EU:n alueella. Toimivaltakiistoja eri jäsenvaltioiden tietosuojaviranomaisten välillä pyritään välttämään määräämällä toimivaltaiseksi sen maan viranomainen, jossa rekisterinpitäjällä on pääasiallinen toimipaikka.

2. Säännökset koskevat jatkossa tietyin edellytyksin myös EU:n ulkopuolisia rekisterinpitäjiä, jotka käsittelevät EU-kansalaisten henkilötietoja ja/tai suorittavat EU-asiakkaiden profilointia esim. evästeiden avulla.

3. Paikkatiedot, IP-osoitteet ja evästeet määritellään kuuluvaksi asetuksen piiriin.

4. Kaikkien rekisterinpitäjien, joiden henkilöstön määrä on yli 250, tulee nimittää riippumaton tietosuojavastaava, joka raportoi suoraan johdolle ja jonka tehtävänkuvaan kuuluu henkilötietojen käsittelyn ohjaus sekä yhteydenpito viranomaisiin sekä rekisteröityihin.

5. Rekisterinpitäjien tulee noudattaa nk. tilivelvollisuuden periaatetta, mikä tarkoittaa käytännössä sitä, että rekisterinpitäjän tulee tarvittaessa osoittaa toimivansa aktiivisesti yksityisyyden suojaa ja rekisteröityjen oikeuksia edistävällä tavalla. Velvoite on yleisluontoinen ja toteuttamiskeinot jäävät rekisterinpitäjien päätettäviksi.

6. Rekisterinpitäjän tulee suorittaa vaikuttavuusarviointi, mikäli se suunnittelee ottavansa käyttöön uutta tekniikkaa tai henkilötietojen käsittelyn muotoja, joissa voidaan katsoa piilevän erityinen riski rekisteröityjen yksityisyyden suojalle.

7. Henkilötietojen tietovuodoista tulee jatkossa aina informoida tietosuojaviranomaisia, ja mikäli tietovuodosta aiheutuu riskiä myös rekisteröityjen yksityisyyden suojalle, tulee myös heitä informoida ja ohjeistaa vahinkojen minimoimiseksi.

8. Henkilötietojen siirtoa EU:n ulkopuolelle koskeviin säännöksiin kaavaillaan muutoksia, joiden tarkoitus on tuoda selkeyttä ja yksinkertaistaa tietojen siirtoja.

9. Vastuita tullaan selkeyttämään tilanteissa, joissa rekisterillä on monta rekisterinpitäjää, tai joissa alihankkija suorittaa henkilötietojen käsittelyä rekisterinpitäjän lukuun.

10. ’Privacy by design’ ja ’Privacy by default’ – ensiksi mainitun termin ajatus on kokonaisvaltaisessa lähestymistavassa yksityisyyden suojan ja liiketoimintaprosessien integroimiseen, proaktiivisuuteen ja yksityisyyden suojaan kilpailutekijänä. Jälkimmäinen käsite taas viittaa siihen, että palvelut tulee rakentaa siten, että ne oletusarvoisesti, ’perusasetuksillaan’, suojaavat käyttäjien yksityisyyden suojaa mahdollisimman hyvin.

Komissio on luvannut lopullisen luonnoksen tälle keväälle, ja voimaan asetusta voi odotella parin vuoden sisällä. Tietosuoja-ammattilaisilla on mielenkiintoiset ja haastavat ajat edessään!

/ Mikko V.

1 kommentti:

Mika Laaksonen kirjoitti...

EU:n oikeuskomissaarin Viviane Reding mukaan tietomurroista ja -vuodoista on jatkossa ilmoitettava asianomaisille ja viranomaisille 24 tunnin kuluessa. Ilmoitusvelvollisuus koskee siis muitakin tahoja, kuin teleoperaattoreita, joiden on Suomessa pitänyt ilmoittaa tietomurroista viranomaisille, mutta ei vuodon kohteena oleville.

Tämä lisää merkittävästi rekisterien pitäjien intressiä suojata rekistereitä asinmukaisesti. Varsinkin, mikäli rikkomuksista seuraa sanktioita. Tämä ei kuitenkaan vielä ole täysin selvää.

http://www.bloomberg.com/news/2012-01-22/eu-s-reding-says-users-to-be-told-of-data-hacks-within-24-hours.html

Lähetä kommentti