EU:ssa on jo pitkään ollut valmisteilla uusi EU:n tietosuoja-asetus. Asetuksen valmistelutyö aloitettiin jo loppuvuodesta 2010. Uusi tietosuoja-asetus tulisi pitkälti korvaamaan nykyisin voimassaolevan henkilötietolakimme.

Tietosuoja-asetusta koskeva uudistus vahvistaisi henkilötietojen suojaa ja toisi mukanaan yrityksille merkittäviä velvollisuuksia, joista keskeisimpiä ovat muun muassa 1) velvollisuus nimittää tietyissä tilanteissa yritykseen tietosuojavastaava, 2) väärinkäytöksiin liittyvät huomattavat sakkomaksut, 3) ilmoitusvelvollisuus tietomurtotilanteissa sekä 4) rekisteröidyn oikeus saada itseään koskevat tiedot poistetuksi.

Merkittävin muutos verrattuna aikaisempaan oikeustilaan lienee kohdassa 2 mainittu sakkomaksu. Komission asetusehdotuksen mukaan valvontaviranomainen, Suomessa tietosuojavaltuutettu, voisi määrätä tavanomaisten tietosuojavelvoitteiden laiminlyönnistä hallinnollisia sakkomaksuja. Nämä seuraamukset voisivat komission ehdotuksen mukaan olla enimmillään miljoona euroa tai 2 prosenttia yrityksen vuosittaisesta globaalista liikevaihdosta. EU:n parlamentti kannattaa kuitenkin vieläkin kovempia sakkotasoja.

Tietosuoja-asetuksen valmistelutyö näyttäisi nyt etenevän. Euroopan parlamentti hyväksyi 12.3.2014 parlamentin raportoijien Jan Albrechtin ja Dimitrios Droutsasin mietinnöt yleisestä tietosuoja-asetuksesta ja tietosuojadirektiivistä. Täysistunnossa parlamentin jäsenet äänestivät vahvemman henkilötietojen suojan puolesta ja vaativat, että tietosuojasääntöjen rikkomuksista määrättävän sakon suuruus tulisi olla enintään 100 miljoonaa euroa tai 5 prosenttia yrityksen vuotuisesta maailmanlaajuisesta liikevaihdosta.

Parlamentti äänesti nyt kannastaan, jotta parlamentin valmistelutyö siirtyisi seuraavalle toukokuussa valittavalle parlamentille. Parlamentin mietinnön hyväksyminen täysistunnossa ei kuitenkaan tarkoita, että uudistus menisi eteenpäin. Mietintö on parlamentin kanta komission esitykseen, mutta yhteispäätösmenettelyn toinen osapuoli, Euroopan unionin neuvosto, ei ole vielä muodostanut omaa kantaansa. Euroopan unionin neuvoston puolella tietosuojauudistus on edennyt hitaasti, koska jäsenmaat eivät ole päässet yhteysymmärrykseen monestakaan kohdasta.

Mikäli Euroopan unionin neuvosto hyväksyy parlamentin kannan ja tietosuoja-asetuksen valmistelutyö saadaan päätökseen, asetus astuisi todennäköisesti voimaan ensi vuodenvaihteen tienoilla. Tällöin asetus tulisi voimaan laintasoisena koko EU:n alueella. Asetuksen voimaantulon jälkeen yrityksillä ja organisaatioilla olisi kaksi vuotta aikaa muuttaa toimintansa sen mukaiseksi.

Uuden tietosuoja-asetuksen mukanaan tuomat muutokset on hyvä tiedostaa, mutta ennen kuin tietosuoja-asetuksen sanamuoto lopullisesti varmistuu, ei yrityksillä vielä liene välttämätöntä tarvetta ryhtyä kovin mittaviin toimenpiteisiin muutokseen valmistautumiseksi.

Lisätietoa: