Rekisterinpitäjän velvoitteet henkilötietojen käsittelyssä kunnallishallinnon näkökulmasta : EU:n tietosuoja-asetuksen vaikutukset

Abstract

Yhteiskunnan muutokset ja digitalisaatio ovat muuttaneet tarpeita yksityisyyden suojan sekä henkilötietojen käsittelyn huolehtimisesta. Teknologinen kehitys sekä globalisoituminen ovat ohjanneet ihmiset sekä organisaatiot toimimaan aiempaa enemmän henkilötietoja tuottaen sekä niitä hyödyntäen. Henkilötietojen sähköisestä hyödyntämisestä on tullut aidosti yksilöä eri tavoin tukevia palveluja tuottavaa mutta samalla henkilötietoja hyödynnetään yritysten liiketoiminnan osana. Muuttuneiden yksityisyyden suojan ja henkilötietojen käsittelyn tarpeen pohjalta Euroopan komissio on antanut ehdotuksen (KOM(2012) 11 final) Euroopan parlamentin ja neuvoston asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus), joka on tarkoitus hyväksyä vuoden 2015 aikana tai viimeistään vuoden 2016 alussa. Tietosuoja-asetusehdotuksella pyritään vastaamaan Euroopan unionin jäsenmaiden tietosuojalainsäädännön ajanmukaisuuteen.

Opinnäytetyön tavoitteena oli selvittää yksityisyyttä ja henkilötietojen suojaa ohjaavan Suomen kansallisen lainsäädännön suhdetta valmisteilla olevaan Euroopan unionin komission ehdotukseen Euroopan parlamentin ja neuvoston asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta. Voimassa olevan lainsäädännön osalta tarkasteltavaa on erityisesti henkilötietolaki (523/1999). Tarkastelua tehtiin kunnallishallinnon rekisterinpitäjän ja rekisterinpitäjää koskevien velvoitteiden näkökulmasta, mutta opinnäytetyössä sivuttiin rekisterinpitäjän velvoitteita myös yleisellä tasolla. Opinnäytetyössä selvitettiin lainopillista vertailua tekemällä, minkälaisia muutoksia EU:n tietosuoja-asetuseh-dotus on tuomassa rekisterinpitäjän velvoitteisiin henkilötietojen käsittelyssä.

Voimaan tullessaan EU:n tietosuoja-asetusehdotus tuo muutoksia nykyiseen Eurooppalaiseen tietosuojasääntelyyn. Periaatteellisella tasolla käsitys henkilötietojen omistajuudesta on kääntymässä rekisterinpitäjältä yksilölle itselleen. Tietosuoja-asetusehdotuksen yhtenä lähtöajatuksena on ollut vahvistaa yksilöiden mahdollisuutta ja oikeutta valvoa tehokkaammin omia henkilötietojaan ja niiden käsittelyä. Tämä ajatusmalli kulkee läpi asetusehdotuksen säännösten ja asettaa rekisterinpitäjälle uudenlaisia velvoitteita. Rekisterinpitäjän toiminnan läpinäkyvyyttä lisätään ja avoimuutta sekä aktiivista ja ennakoivaa roolia korostetaan samalla, kun rekisteröidyn mahdollisuuksia omien oikeuksiensa toteuttamiseen kasvatetaan.

Digitalization and the changes taking place in society have changed the need for the protection of privacy as well as taking care of the processing of personal data. Technological progress and globalization have guided people and organizations to produce and utilize more and more personal data. The exploitation of personal data electronically is increasingly creating services that truly support an individual in different ways, but at the same time personal information is utilized as part of the company's business. Due to changes in the need to protect privacy and personal data processing, the European Commission has issued a proposal for a regulation of the European parliament and the council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), which is to be adopted in 2015 or at the latest in early 2016. The proposed regulation on personal data protection aims to make the data protection legislation of the European Union member states up-to-date.

The aim of the thesis was to investigate the Finnish national legislation on privacy and the protection of protection of personal data and its relationship to the European Commission's proposal for a European Parliament and Council regulation on the protection of individuals with regard to the processing of personal data and on the free movement of such data. As regards the existing legislation, in particular the Personal Data Act (523/1999) is considered. The examination was made from the point of view of the municipal government registrar and the registrar’s obligations, but the thesis also touched on registrar obligations on a general level. By legal comparison, the thesis studied what kinds of changes the EU Data Protection Regulation proposal will bring to registrar obligations in processing of personal data.

The entry into force of the EU Data Protection Regulation proposal will bring changes to the current European data protection regulation. Conceptually, the perception of personal data ownership is turning from the controller to the individual him/herself. One of the basic ideas of the proposed privacy regulation has been to strengthen individuals’ possibility and right to control their personal data and how it is treated. This line of thought runs through the provi-sions of the proposed regulation and sets a new range of obligations on the registrar. The transparency of the registrar will be increased and openness as well as an active and proactive role is emphasized while the individuals’ possibilities to implement their own rights are increased.