Siirry pääsivulle

EU:n yleinen tietosuoja-asetus – tekemistä vaille valmis

Kansainvälinen tietosuojapäivä on pian taas käsillä, joten nyt on oivallinen tilaisuus tiiviille retrospektiiville. Kokosimme poimintoja oikeusministeriön syksyllä 2023 toteuttamasta lausuntokierroksesta EU:n yleisestä tietosuoja-asetuksesta, josta meille on kertynyt käytännön kokemusta yli viideltä vuodelta. Asetus on erittäin ajankohtainen, sillä sitä sovelletaan jatkossa uusien datataloutta normittavien EU-asetusten, kuten muun muassa tekoäly- ja datasäädösten, kanssa rinnakkain.

Tietosuojaan kaivattua ryhtiliikettä

Yleisesti oikeusministeriön lausunnoista nousee esiin jonkin verran tyytyväistä palautetta. Positiiviseksi nähtiin Euroopan unionin kansalaisten tietojen käytön koko elinkaarta koskevat yhtenäiset pelisäännöt.

Asetus on erittäin ajankohtainen, sillä sitä sovelletaan jatkossa uusien datataloutta normittavien EU-asetusten, kuten muun muassa tekoäly- ja datasäädösten, kanssa rinnakkain. 

Tämä on luonut aiempaa selkeämmät reunaehdot tunnisteellisen tiedon luettelointiin ja yhtenäiset vaatimukset kumppaneiden ohjeistamiseen sekä asiakkaiden informointiin. Tietosuoja-asetuksen riskilähtöinen ja henkilöiden oikeuksia korostava lähestymistapa on vaikuttanut positiivisesti myös varautumiseen ja riskienhallintaan, joka on kiristyneessä turvallisuustilanteessa erityisen toivottua.

Ohjausta ja ohjeistusta kaivataan

Positiivisten havaintojen lisäksi moitteitakin ilmenee lainsäätäjälle. Kansallinen lainsäädäntö on paikoin päällekkäistä, tai jopa ristiriitaista tietosuoja-asetuksen kanssa, eikä ole tietosuoja-asetuksen kanssa rinnakkain. Esimerkiksi sote- tai pankkisektorilla sovellettavien säädösten soveltamisjärjestys ei ole täysin selvä. Lainsoveltaja saa puolestaan pyyhkeitä tulkitessaan asetuksen dokumentaatiovaatimuksia ja oikeutta luovia säännöksiä tarpeettoman laveasti. Sitovien kannanottojen saaminen konkreettisiin tilanteisiin kestää myös pitkään, sillä viranomaisratkaisuihin on monin paikoin haettu muutosta ylemmistä oikeusasteista – joskus jopa EU-tuomioistuinta myöden.

Tietosuoja-asetuksen yhtenäinen soveltaminen koko EU-alueella edellyttäisi yhdenmukaista ohjeistusta. EU-tasolta saatava ohjeistus koetaan kuitenkin usein vaikeaselkoiseksi ja raskaslukuiseksi, eikä sitä aina edes ole saatavilla kansallisilla kielillä. Suomen tietosuojaviranomaisen toivottaisiinkin vapauttavan resurssejaan ohjaukseen ja neuvotaan sekä ennakkoon säädetyssä määräajassa annettaviin ja sitoviin kannanottoihin.

Pitkän ja lyhyen tähtäimen ratkaisuja

Lausuntokierroksen taustalla oleva EU-hanke liittyy tietosuoja-asetuksessa Euroopan komissiolle asetettuun velvoitteeseen, jonka mukaan komission pitää toimittaa joka neljäs vuosi arviointikertomus Euroopan parlamentille ja neuvostolle. Tämän jälkeen Euroopan komissio voi tarvittaessa esittää ehdotuksia asetuksen muuttamiseksi. Myös Suomessa nykyinen hallitusohjelma sisältää kirjauksen tietosuojan kokonaisuudistuksesta, johon lausuntopalautteesta saadaan luultavasti myös syötettä. Tietosuoja-asetuksen kanssa rinnakkain sovellettavien EU:n uusien datasäädösten myötä odotettavissa on myös, että lainsäädäntöä selkiyttäviä toimia nähdään jatkossakin.

Sillä välin kukin voi omassa organisaatiossaan pohtia heti toteuttamiskelpoisia ratkaisuja. Tässä muutamia ehdotuksia:

  1. Pohdi, mitä tietosuoja-asetuksen vaatimukset tarkoittavat toimialasi tai toimintasi näkökulmasta.
  2. Pyri hahmottamaan asetuksen suomenkielisessä käännöksessä käytettyjä käsitteitä lähdetekstin pohjalta, jolloin esimerkiksi tietosuojavastaava kääntyy pikemminkin tietosuojavalvojaksi tai -asiamieheksi.
  3. Hyödynnä organisaatiossasi parhaita käytänteitä ja dokumenttipohjia. Kehitä niitä säännöllisesti saadun palautteen avulla.
  4. Luo toiminnassasi tyypillisimmin esiintyville tietosuojariskeille skaala, jonka avulla kykenet havaitsemaan vakavimmat tietosuojariskit ja pureutumaan erityisesti niiden hallintaan.

Tietosuoja-asetus on vahvistanut yksilöiden oikeuksia omien tietojensa käsittelyyn ja vaikuttanut positiivisesti yritysten ja muiden yhteisöjen käytäntöihin.