6.9.2023
Mitkä ovat olleet yleisen tietosuoja-asetuksen soveltamiseen liittyvät merkittävimmät hyödyt ja haasteet?
Yleinen tietosuoja-asetus on nostanut kiitettävästi rimaa tietosuoja-asioissa. Seurausjärjestelmä, yleiseurooppalaisuus ja selkeä perusoikeuksien korostaminen ovat olleet tärkeä piristysruiske keskustelussa yksityisyydestä todellisena, tasavertaisena perusoikeutena.
Samalla kuitenkin lupaukset yksityisyydestä aitona kilpailuetuna ovat jääneet lunastamatta. Tietosuojakysymykset nähdään ensisijaisesti vaivalloisena compliance-kysymyksenä ja vasta toissijaisesti aitona mahdollisuutena erottua markkinoilla. Markkinoille on ilmestynyt kiitettävästi yksityisyyttä kilpailuetuna markkinoinnissaan korostavia tuotteita, mutta ne eivät ole saaneet kilpailuetua.
Tilanne on tulkittava niin, että tietosuoja ei ole juurtunut aidosti kuluttajien preferensseihin tai yritysten vastuullisuusstrategioihin. Tarvitaan siis lisää julkista keskustelua, koulutusta ja valistusta. Tietosuoja on integroitava tehokkaammin yritysvastuuajatteluun.
Tietosuojavaltuutetun toimiston käsittelyajat ovat – kuten oikeuskanslerikin on huomioinut useampaan otteeseen – aivan liian pitkiä, jotta nopeasti liikkuvilla aloilla seurauksilla olisi aitoa ohjausvaikutusta. Esimerkiksi suoramarkkinoinnissa yrityksiä vaihdetaan nopeasti. Jos käsittelyajat ovat reilusti yli vuoden, päätöksen tullessa asia ei ole enää ajankohtainen.
Emme koe, että tietosuoja-asetukseen kohdistuisi tällä hetkellä merkittäviä muutospaineita, paitsi kotimaisen harkinnan piirissä oleviin valvontakysymyksiin. EU:n digisääntely muuttuu juuri nyt kovaa vauhtia ja jo vakiintuneen sääntelyn laaja avaaminen tällä hetkellä ei olisi tarkoituksenmukaista. Sen sijaan tietosuoja-asetuksen valvonta, soveltaminen ja neuvonta vaatii kehittämistä.
Onko tietosuojalaki koettu yleisesti toimivaksi? Minkälaisia haasteita sen soveltamisessa on ilmennyt?
Tietosuojalaki on aiheuttanut huomattavan määrän kasvukipuja ja epävarmuutta monissa organisaatioissa. Nyt, viisi vuotta täytäntöönpanon jälkeen, tietosuojakysymykset ovat enimmäkseen “business as usual” yksityisellä sektorilla.
Ikävä kyllä julkisella sektorilla tietosuojakysymyksistä on tullut tulppa tietojärjestelmäkehitykselle. Vaikka tietosuoja-asetukseen on laadittu monia julkisen sektorin spesifejä poikkeuksia, kuntien ja virastojen tietosuojavastaavat ovat ottaneet konservatiivisen linjan, jossa jokainen tiedonsiirto käsitellään pilkuntarkasti pienillä resursseilla. Erityisesti kynnys vaikutusarvioinneille on alhainen. Tästä seuraa työjonoa ja -kuormaa, joka näkyy tietojärjestelmähankkeiden viivästyksinä.
Yksi juurisyy julkisen sektorin konservatiivisuudelle on tietosuojavaltuutetun toimiston (TSV) rajallinen neuvonta. TSV:n valitsema linja on neuvonnan sijaan pyytää tekemään ilmoitus, joista saa harvemmin palautetta. Tämä on, paitsi ristiriidassa viranhaltijan neuvontavelvoitteen kanssa, myös omiaan luomaan epävarmuutta. Epävarmuuden vuoksi monia projekteja ei edes aloiteta.
Julkisen sektorin toimijoilla on myös vähäisesti kannustimia toimia normaalitilanteessa tietosuoja-asetuksen mukaisesti. Tietosuojavaltuutetun käyttöön on saatava suoremmat mekanismit, esimerkiksi julkishallinnon seuraamusmaksut. Nämä on kuitenkin asetettava niin, ettei edellä kuvattu konservatiivisuusongelma pahene. Yhdistelmä proaktiivista neuvontaa ja terävää kritiikkiä on
Yksityisellä sektorilla tietosuojakysymyksistä on tullut merkittävä hankintakysymys. Yritysten välisissä pienissäkin hankinnoissa vaaditaan huomattavia määriä tapauskohtaista dokumentaatiota. Tämä lisää entisestään pienten yritysten kynnystä tehdä tarjouksia ja osallistua kilpailutuksiin. Tässä olisi hyödyllistä saada esimerkiksi tietosuojavaltuutetun laatima standardimuotoinen tietosuojaselvitys, jonka pienet yritykset voisivat täyttää kerran ja tuoda mukanaan tarjoustilanteeseen.
Onko yleisen tietosuoja-asetuksen mahdollistamaa sääntelyliikkumavaraa käytetty EU:ssa ja Suomessa tarkoituksenmukaisella tavalla? Jos ei, miten ja minkälaisia tilanteita varten tietosuoja-asetuksen sääntelyliikkumavaraa tulisi käyttää eri tavoin kuin on tehty?
Suomessa on tehty pääosin tarkoituksenmukaisia päätöksiä sääntelyliikkumavaran piirissä. Yksi ilmeinen puute kuitenkin on: seuraamusmaksuja ei ole ulotettu viranomaisiin ja julkisorganisaatioihin, joten näiden laiminlyönteihin puuttumiseen ei ole mitään tehokasta tapaa.
Millä toimialoilla yleistä tietosuoja-asetusta on pantu täytäntöön tehokkaasti ja onnistuneesti huomioiden asetukselle asetetut tavoitteet edistää rekisteröityjen oikeuksien ja vapauksien toteutumista sekä edistää tiedon vapaata liikkuvuutta EU-alueella?
Minkälaisia haasteita on ilmennyt yleisen tietosuoja-asetuksen ja kansallisen lainsäädännön tai muun EU-lainsäädännön yhteensovittamisessa eri soveltamistilanteissa?
Yleisen tietosuoja-asetuksen ja potilastietosääntelyn välillä on rako. Jos potilastietojärjestelmään kirjataan väärä tieto tai tietoja puuttuu, tietosuojavaltuutetun kanta on herkästi neuvoa, että kyse on lain sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 39 § nojalla kyse sosiaali- ja terveysministeriön valvonnan piiriin kuuluvasta asiasta. Jää epäselväksi, miten systeemisten kirjauskäytänteiden virheet voidaan tunnistaa ja niihin puuttua, jos yhteydenotot ohjataan välittömästi hoitavaan yksikköön.
Onko eri jäsenvaltioiden tietosuojalainsäädäntöjen eroavaisuuksiin ja täytäntöönpanoon liittyen tunnistettu haasteita? Jos on, minkälaisia haasteita?
Ovatko Euroopan tietosuojaneuvoston antamat ohjeet auttaneet käytännön soveltamistilanteisiin liittyvien ratkaisujen tekemisessä? Mitä yleisen tietosuoja-asetuksen tulkintaa koskevia ohjeita vielä tarvittaisiin?
Euroopan tietosuojaneuvoston ohjeet ovat olleet tarkoituksenmukaisia ja hyödyllisiä. Huomautamme tässä, että ne olisi hyvä saada mahdollisimman pian julkaisun jälkeen saataville myös suomeksi ja ruotsiksi.
Onko edustamanne organisaatio ollut mukana laatimassa yleisen tietosuoja-asetuksen 40 artiklan mukaisia käytännesääntöjä tai harkinnut niiden laatimista? Mitkä ovat käytännesääntöjen laatimiseen liittyviä merkittävimpiä hyötyjä ja haasteita?
Onko yleisen tietosuoja-asetuksen täytäntöönpanoon liittyvä seuraamusjärjestelmä Suomessa tehokas ja tarkoituksenmukainen? Mitä merkittävimpiä hyötyjä ja haasteita seuraamusjärjestelmään liittyy?
Suomen seuraamusjärjestelmä on ollut Euroopan mittakaavalla jälkijunassa ja seurauksiltaan pienehkö. Asiaan ovat vaikuttaneet tietosuojavaltuutetun pitkät käsittelyajat, mutta myös korkea kynnys asettaa seuraamusmaksuja. Yksi yleisen tietosuoja-asetuksen toteutuksen keskeinen kirittäjä ovat olleet seuraamusmaksut: niiden on oltava uskottavalla, yleiseurooppalaisella tasolla.
Tehdystä 145 päätöksestä 131 on ollut langettavia, mikä kertoo toisaalta lainsäädännön korkeista standardeista, mutta toisaalta saattaa olla myös indikaatio korkeasta ilmoituskynnyksestä. Näistä seuraamuksista 30 on ollut sakkoja, jotka ovat kokonaisuudessan 2,6 miljoonaa euroa. Euroopan laajuisesti sakkoja on määrätty n. neljän miljardin euron edestä. Jos oletetaan reilun sakkojakauman seuraavan BKT:ta, Suomen pitäisi määrätä tästä 1,6 % eli n. 68 miljoonaa euroa. Suomi on siis sakotusherkkyydeltään n. kymmenkertaisesti jäljessä muuta Eurooppaa. Tämä ei välttämättä ole täysin huono asia, mutta peilaten myös aiempiin huomioihin neuvonnan vähäisyydestä, on mahdollista että tietosuoja-asiat ovat Suomessa alivalvottuja.
Ovatko yleisen tietosuoja-asetuksen kansainväliset tiedonsiirtomekanismit toimivia vai tulisiko niitä kehittää edelleen ja miten niitä tulisi kehittää edelleen? Mitkä ovat olleet kansainvälisiin tiedonsiirtoihin liittyvät merkittävimmät hyödyt ja haasteet?
Keskeisin kansainvälisten tiedonsiirtojen haaste on ollut Euroopan tuomioistuimen Schrems II -päätös, joka muutti Yhdysvallat-keskeisen ICT-alan markkinarakenteita kerralla. Euroopassa alkoi syntyä uutta palvelutarjontaa, mutta käytännössä palvelutarjonta on ollut alikehittynyttä Yhdysvaltojen vastaavaan verrattuna. Kysyntä yhdysvaltalaisille palveluille laski kuitenkin merkittävästi, kun syntyi velvollisuus laatia jokaisesta tiedonsiirrosta vaikutusarviointi.
Nyt uuden Data Privacy Framework -järjestelmän myötä tämä sisämarkkinoiden kehittyminen tulee pysähtymään, mikä on yhteydessä jo aiemmin mainittuun tietosuojan heikkoon kilpailuetuun kuluttaja- ja yritysmarkkinoilla.
Tässäkin sisämarkkinoiden kehittäminen riippuu tutkimus- ja kehityspanoksista, joilla tietosuojaystävällisempien ratkaisujen käytettävyys saadaan kilpailukykyiseksi esimerkiksi Microsoftin ja Googlen palveluiden kanssa – tai nämä palvelut saataisiin kilpailupaineen eurooppalaiselle data-alueelle.
Onko yleisen tietosuoja-asetuksen ns. laajennettu alueellinen soveltamisala, joka kattaa myös EU:n markkinoilla toimivien kolmansien maiden toimijoiden suorittaman henkilötietojen käsittelyn, toiminut tarkoituksenmukaisella tavalla? Olisiko yleisen tietosuoja-asetuksen täytäntöönpanoon liittyvää yhteistyötä kolmansien maiden kanssa tarpeen kehittää ja miten?
Yhdenmukaisuusmekanismi on keskeinen osa kolmansien maiden toimijoiden hallintaa. Sen käyttö on käynnistynyt hitaasti, mutta viime vuosina on saatu lupaavia merkkejä, että se on tarkoituksenmukainen ja tehokas mekanismi.
Kommentit yleisen tietosuoja-asetuksen I lukuun – Yleiset säännökset
Kommentit yleisen tietosuoja-asetuksen II lukuun – Periaatteet
Kommentit yleisen tietosuoja-asetuksen III lukuun – Rekisteröidyn oikeudet
Kommentit yleisen tietosuoja-asetuksen IV lukuun – Rekisterinpitäjä ja henkilötietojen käsittelijä
Kommentit yleisen tietosuoja-asetuksen V lukuun – Henkilötietojen siirrot kolmansiin maihin tai kansainvälisille järjestöille
Kommentit yleisen tietosuoja-asetuksen IV lukuun – Riippumattomat valvontaviranomaiset
Kuten ensimmäisessä kysymyksessä huomautimme, tietosuojavaltuutetun toimistolla on taipumus antaa neuvonnan sijaan ilmoituspyyntöjä. Tässä yhteydessä artikla 57:ssa vaadittu “edistettävä rekisterinpitäjien ja henkilötietojen käsittelijöiden tietämystä niille tämän asetuksen mukaan kuuluvista velvollisuuksista” ei toteudu.
Erityisesti julkisella sektorilla on laajalti tarvetta sitoville ohjeistuksille, jotka selkeyttäisivät yleisimpiä käyttötapauksia. Tämä eheyttäisi toimintalinjaa eri viranomaisten välillä tavalla, johon nykyiset Vahti-ryhmät eivät ole riittäviä. Tällainen toiminta tulisi joko integroida ja resursoida riittävästi tietosuojavaltuutetun toimintaan tai luoda uusi, läheistä yhteistyötä tietosuojavaltuutetun kanssa tekevä toimielin, joka laatisi proaktiivisesti näitä suosituksia.
Kommentit yleisen tietosuoja-asetuksen VII lukuun – Yhteistyö ja yhdenmukaisuus
Yhdenmukaisuusmekanismi on osoittautunut tarkoituksenmukaiseksi tavaksi puuttua suurten, monikansallisten toimijoiden tietosuojakäytänteisiin.
Kommentit yleisen tietosuoja-asetuksen VIII lukuun – Oikeussuojakeinot, vastuu ja seuraamukset
Suomen tietosuojalaista puuttuu kokonaan määrittely siitä miten tehokkaat oikeussuojakeinot toteutuvat Suomessa. Tehokkaat oikeussuojakeinot tarkoittavat oikeutta saada asia käsitellyksi oikeusistuimessa. Jo tietosuojalain säätämisen yhteydessä prof. Olli Mäenpää huomautti asiantuntijalausunnossaan että laissa ei ole määritelty oikeusistuinta. Kun EU:n komissio on vielä huomauttanut asiasta Suomea, asia vaatii huomiota.
Kommentit yleisen tietosuoja-asetuksen IX lukuun – Tietojenkäsittelyyn liittyviä erityistilanteita koskevat säännökset
Vastaa