Tietosuoja-asetus (englanniksi General Data Protection Regulation) on komission ajama, tulossa oleva, mutta ei vielä lopullisessa muodossaan oleva säännös, joka olisi tarkoitus vahvistaa ensi vuonna ja astua voimaan vuonna 2016. Olennaisin ero nykyiseen on teknisten erojen lisäksi siinä, että kyseessä ei ole direktiivi, vaan asetus.
Tietosuoja myllerryksessä, osa IV
Tässä tietosuojasarjan neljännessä osassa käymme läpi yrityksen tietosuojavastaavia (data protection officer) sekä kansallisia ja unionin valvontaviranomaisia koskevia säädöksiä.
Kakkososassa elokuussa puhuimme jo siitä, millaisilta toimijoilta tietosuojavastaava tultaisiin vaatimaan. Ryhmä yrityksiä tai hankkeita voi nimittää yhteisen tietosuojavastaavan, ja tämä voi toimia joko työsuhteessa tai ostettuna palveluna. On huolehdittava siitä, että nimetyllä henkilöllä on riittävät taidot sekä mahdollisuudet suorittaa tehtävänsä ilman eturistiriitoja. Tehtävään tulee nimittää vähintään kahdeksi vuodeksi, ja nimitystä ei voida purkaa muusta kuin syystä kuin siitä, ettei kyseinen henkilö enää täytä tietosuojavastaavan tehtävän vaatimuksia. Kyseessä on siis hieman luottamusmiestä vastaava positio.
Jokainen jäsenvaltio nimittää myös yhden tai useamman valvontaviranomaisen. Mikäli viranomaisia on enemmän kuin yksi, nimitetään niistä yksi toimimaan Euroopan tietosuojalautakunnan (European Data Protection Board) yhteyspintana. Valvontaviranomaisten tulee olla ja toimia itsenäisesti ja riippumattomasti ja niille tulee antaa riittävät resurssit tehtävän hoitamiseen. Valvontavirkailijan virkaannimityksen tulee olla vähintään neljä vuotta.
Valvontaviranomaisella tulee olemaan tutkintavaltuus kaikkeen henkilökohtaiseen tietoon ja muuhun tutkinnan kannalta olennaiseen tietoon, sekä tiloihin, mikäli on perusteltu syy olettaa siellä rikottavan asetuksen määräyksiä.
Kansalliset valvontaviranomaiset toimivat yhteistyössä keskenään. Kansalainen tai yhteisö jolla on valittamista jossain jäsenvaltiossa toimivan tahon toiminnasta, voi tehdä valituksen minkä tahansa jäsenvaltion valvontaviranomaiselle, joka vie asian eteenpäin kohdemaan valvontaviranomaiselle.
Lisäksi kansallisten valvontaviranomaisten johtajat muodostavat aikaisemmin mainitun Euroopan tietosuojalautakunnan. Sen tehtävänä on huolehtia siitä, että asetusta sovelletaan yhtenäisesti unionin alueella. Komissiolla on oikeus osallistua lautakunnan kokouksiin ja nimittää sinne edustajansa. Lautakunnan puheenjohtaja raportoi lautakunnan toiminnasta komissiolle.
Näin tietosuojasta on tarkoitus luoda unionin kattava yhtenäinen järjestelmä, jonka tarkoitus on taata yhtenäiset oikeudet riippumatta kansalaisen kotimaasta. Kuten alussakin totesimme, pyrkimys on luoda sujuvammat sisämarkkinat, tasoittamalla kilpailun lainsäädännöllisiä esteitä ja rakentamalla luottamusta muualla unionissa sijaitseviin toimijoihin.
Edellisessä osassa kävimme läpi asetukseen kaavailtuja oikeuksia tietojen kohteelle, sekä käsittelyyn vaadittavan luvan explisiittisyyttä.