Tietosuojasäädösten muutostarve

Valtioneuvoston kanslian rahoittamassa EU:n yleisen tietosuoja-asetuksen kansallista toimeenpanoa selvittäneessä hankkeessa IPR University Centerin, Helsingin yliopiston, Lapin yliopiston ja Tampereen yliopiston tutkijat kävivät läpi noin 720 säädöstä ja arvioivat ovatko ne sopusoinnussa EU:n yleisen tietosuoja-asetuksen kanssa. Henkilötietolakia ei arvioitu.

Arvioinnin lopputuloksena voidaan todeta, että Suomen lainsäädäntö on valmiiksi varsin hyvin tietosuoja-asetuksen mukainen. Vaikein alue on arkaluonteisten tietojen käsittelyn perusteiden kansallinen liikkumavara yleisen tietosuoja-asetuksen 9 artiklassa. On vaikea sanoa, minkä tietosuoja-asetuksen 9 artiklan kohdan alle jokin kansallinen säännöksemme menee. Erityisen hankalasti tulkittava on ’yleinen etu’ Art. 9(2)(g). Joistain yksittäisistä säädöksistä löytyi tietosuoja-asetuksen näkökulmasta korjausta vaativia säännöksiä. Niistä on syytä nostaa esiin erityisesti vaalilain 24 § ja työsuojeluhenkilörekisterilain 2 § sekä biopankkilaki. Raportissa käydään läpi kaikki arvioidut säädökset ja esitetään niitä koskevat huomiot.

Asiantuntijapaneeli katsoo, että ministeriöiden olisi raportissa esitettyjen kommenttien pohjalta vielä aiheellista tarkistaa oman alansa lainsäädännön henkilötietojen käsittelylle säädetty oikeusperusta ja sallittavuus kiinnittäen huomiota erityisesti arkaluonteisiin tietoihin ja suostumuksen tarpeellisuuteen mm. yleisen tietosuoja-asetuksen 6, 7 ja 9 artiklojen pohjalta.

Projektiin kuului myös yritysvaikutuksia arvioinut selvitys, jonka tulokset on esitetty erillisessä raportissa.