Toimiva ja joustava tietosuojasääntely on kasvun edellytys

Digitalisaatio on murtanut maiden rajat, ja tiedon liikkuvuus mahdollistaa lukemattomia uusia palveluita niin kuluttajille kuin yrityksillekin. Henkilötietojen suoja on palvelujen luotettavuuden kulmakivi. Monimutkainen sääntely ei kuitenkaan paranna tietosuojaa. EU.n voimassa oleva tietosuojadirektiivi on vuodelta 1995, jolloin internet oli vielä lapsenkengissä. Uusi digimaailman huomioiva asetusteksti annettiin huhtikuussa 2016.

Tietosuoja on keskeistä lähes kaikessa yritystoiminnassa.  Tietosuojasääntely koskee koosta riippumatta kaikkia yrityksiä, jotka käsittelevät henkilötietoa, esimerkiksi työntekijöiden tai asiakkaiden henkilötietoja.

 

Tällä hetkellä sääntely EU:n sisällä eroaa maittain. Uusien ratkaisujen lanseeraus useammassa maassa vie paljon aikaa. On myös raskasta asioida erikseen jokaisen maan tietosuojaviranomaisen kanssa. Sirpaleinen ja byrokraattinen tietosuojasääntely on yksi EU:n digitaalisten sisämarkkinoiden suurimmista esteistä.

 

Hyväksytyn uuden tietosuoja-asetuksen (GDPR, General Data Protection Regulation) tavoitteena on harmonisoida sääntely ja nostaa eurooppalainen yksityisyydensuoja entistäkin korkeammalle tasolle. Lisäksi asetus sisältää yhden luukun periaatteen (one-stop-shop), jonka nojalla sekä kansalainen että yritys voi hoitaa asioitaan yhden kansallisen viranomaisen kautta.

 

Hyväksymisen jälkeisen kahden vuoden siirtymäajan jälkeen asetus tulee voimaan kesäkuussa 2018. Jäsenmaille on annettu joissakin kohdin liikkumavaraa, erityisesti julkishallintoa koskevan sääntelyn sekä esimerkiksi suostumuksen antamisen alaikärajan osalta.

 

UUDEN ASETUKSEN TULKINTA JA TOIMEENPANO RATKAISEVAA

 

Uusi asetus sisältää paljon tulkinnanvaraisuutta. Suomessa oikeusministeriö käy läpi kansallista lainsäädäntöä, johon asetus tulee vaikuttamaan sekä niitä kysymyksiä, johon asetus jättää kansallisen tason päätöksille tilaa.

EU-tasolla kansallisista tietosuojaviranomaisista koostuva Art29 Working Party on aloittanut FabLab-työpajojen sarjan, johon on kutsuttu laajasti sidosryhmiä, kuten kansalaisjärjestöjä ja teollisuuden edustajia. Tarkoitus on luoda yhteisymmärrystä tulkinnoista ja avustaa Art29 WP:a sen tehtävässä luoda suuntaviivat asetuksen toimeenpanolle. Työpajat yrittävät esimerkiksi tulkita asetuksen kohtia, jotka koskevat yrityksen tietosuojavastaavan nimeämisen kriteerejä, kansalaisen oikeutta saada tietonsa palveluntarjoajalta ja siirtää ne toiselle toimijalle, sertifiointimenettelyjä yms. Ensimmäisiä suuntaviivadokumentteja koskien tietojen siirrettävyyttä, teitosuojavastaavan nimeämistä ja johtavaa viranomaista on julkaistu täällä.

Teollisuuden edustajien osallistuminen työpajoihin on tärkeää, jotta ei luoda tarpeetonta byrokratiaa eikä turhaan vaikeuteta digitaalisten palvelujen tuottamista ja uusien kehittämistä. Hallinnolliset velvoitteet eivät välttämättä paranna yksityisyydensuojaa, mutta aiheuttavat merkittäviä kustannuksia palveluntarjoajalle.  Viime kädessä kustannukset valuvat kuluttajahintoihin. Liialliset varmistukset voivat tehdä palvelusta kankean ja vaikean käyttää, mikä sekään ei ole kuluttajan kannalta myönteistä.

 

MILLAISTA ON FIKSU TIETOSUOJASÄÄNTELY?

 

Joustavalla ja tasapainoisella sääntelyllä saamme kaiken hyödyn uudesta teknologiasta samalla, kun varmistamme huipputason suojan henkilötiedoille. Onnistunut tietosuojasääntely lähtee selkeistä periaatteista ja tavoitteista.

 

  • Vaikka asetus antaa osin mahdollisuuksia kansallisiin variaatioihin, sääntelyn pitää olla riittävästi harmonisoitua, että palveluntarjoajat voivat helposti varmistaa noudattavansa sääntelyä.
  • Yksinkertainen sääntely on ehdoton edellytys sille, että sitä voidaan ja osataan noudattaa. Kaikkien oikeusvarmuus kärsii, jos nippelisääntelyn tarkoitus ei avaudu.
  • Kansalaisten täytyy pystyä ymmärtämään, millaisia oikeuksia sääntely heille antaa sekä luottamaan siihen, että heidän tietonsa ovat turvassa. 
  • Toimijoiden on pystyttävä itse valitsemaan menetelmä, jolla henkilötiedot suojataan parhaalla mahdollisella tavalla.
  • Yhden luukun periaatteen mukainen järjestely pitää toteuttaa yksinkertaisesti ja tehokkaasti – useamman kansallisen viranomaisen kanssa ei pidä joutua asioimaan.
  • Kansainväliset tiedonsiirroille on luotava yksityisyydensuojan turvaavat ja yrityksille käyttökelpoiset menettelyt (vrt. Privacy Shield EU:n ja USA:n väliseen tiedonsiirtoon)