EU:n tietosuoja-asetus hyväksyttiin reilu vuosi sitten keväällä 2016, ja sitä aletaan soveltaa kahden vuoden siirtymäajan jälkeen 25.5.2018. Asetus koskee lähtökohtaisesti kaikkea henkilötietojen käsittelyä EU:n jäsenmaissa. Se korvaa vuonna 1995 käyttöön otetun tietosuojadirektiivin, joka ei vastaa enää nykypäivän teknologioiden tarpeisiin.
– Kyseessä on todella laaja hanke, joka koskettaa kattavasti kaikkia yhteiskunnan osalohkoja ja sektoreita. Sama lainsäädäntö koskettaa yhtä lailla Facebookia kuin vaikkapa kansallisarkistoa, oikeusministeriön lainsäädäntöneuvos Anu Talus toteaa.
Talus on ollut mukana EU-tasolla tehtävässä tietosuoja-asetuksen valmistelutyössä. Hänen mukaansa asetuksen tavoitteena on yhdenmukaistaa EU:n jäsenvaltioiden tietosuojasääntelyä ja helpottaa palvelujen tarjoamista kansallisten rajojen yli. EU:n tietosuoja-asetusta sovelletaan Suomessa sellaisenaan, eikä rinnakkaista kansallista lainsäädäntöä voida jatkossa enää käyttää. Siksi kansallista henkilötietolakiamme tullaan muuttamaan.
– EU:n tietosuoja-asetuksella halutaan yhdenmukaistaa lakia ja sen tulkintaa. Aika näyttää, miten sitä sovelletaan. Koska kyse on asetuksesta, kansallista liikkumavaraa ei lähtökohtaisesti ole, mutta jonkinlainen lainsäädäntöön liittyvä kansallinen jousto kuitenkin sallitaan. Esimerkiksi sosiaalisen median palvelujen käyttöikäraja voidaan asettaa kansallisesti 13–16 ikävuoden välille. Tätä nuoremmat voivat käyttää sosiaalista mediaa vanhempiensa suostumuksella. Asetuksessa ikärajaksi on kirjattu 16 vuotta, Talus kertoo.
Rekisterinpitäjälle osoitusvelvollisuus
Rekisterinpitäjän näkökulmasta merkittävin muutos tulee olemaan se, että tietosuoja-asetuksen noudattaminen pitää pystyä osoittamaan. Käytännössä tämä edellyttää organisaation ylläpitämän henkilötietorekisterin ja siihen liittyvien toimenpiteiden tarkkaa dokumentointia. Tällä hetkellä tietosuojarikkomuksen todistusvelvollisuus on viranomaisella.
Rekisterinpitäjällä tulee olla myös oikeudellinen peruste kaikkeen henkilötietojen käsittelyyn liittyvään toimintaan.
– Rekisteröidyn henkilön näkökulmasta olennaisin muutos on oikeus saada rekisterinpitäjältä itseään koskevat tiedot uudelleen käytettävässä muodossa. Näin rekisteröity voi toimittaa tiedot myös toiseen rekisteriin ja toisen palvelun käyttöön. Tietojen siirrettävyys on asia, jonka merkittävyys on teknologisen kehityksen vuoksi tullut yhä tärkeämmäksi. Muilta osin rekisteröidyn oikeudet vastaavat hyvin pitkälti nykyisiä oikeuksia, Talus sanoo.
Myös tietosuojalainsäädännön valvontamekanismit muuttuvat. EU:n yhteisellä, eri maiden itsenäisistä tietosuojaviranomaisista koostuvalla tietosuojaneuvostolla (European data protection board, EDPB) on jatkossa oikeus antaa sitovia päätöksiä henkilötietojen käsittelyyn liittyvissä kysymyksissä. Tietosuojarikkomukset eivät kuitenkaan välttämättä päädy tietosuojaneuvoston käsittelyyn. Kansallisen tason päätöksistä vastaavat kansalliset tietosuojaviranomaiset ja monikansallisetkin asiat käsitellään ensisijaisesti uudessa yhteistyömenettelyssä, One Stop Shopissa.
– One Stop Shopiin osallistuvat tietosuojaviranomaiset niistä jäsenvaltioista, joita kyseinen asia koskee. Jos esimerkiksi Suomessa, Ruotsissa ja Tanskassa toimivan yrityksen ruotsalainen asiakas kokee tietosuojaansa loukatun, One Stop Shopiin kokoontuvat kaikkien kolmen maan tietoturvaviranomaiset. Asiasta voidaan päättää tässä instanssissa, jos kaikkien maiden tietosuojaviranomaiset ovat yksimielisiä. Yksikin eriävä mielipide siirtää asian tietosuojaneuvoston käsiteltäväksi, Talus kertoo.
Tietosuojavaltuutettu: ajattelu- ja toimintatapojen muutos edessä
Suomen tietosuojavaltuutetun Reijo Aarnion mukaan tietosuoja-asetus vaikuttaa kansalaisiin, rekisterinpitäjiin, EU:n toimintaympäristöön ja viranomaistoimintaan.
– Uudistus vahvistaa kansalaisten oikeuksia ja lisää rekisterinpitäjien vastuita sekä velvollisuuksia. Toisaalta asetus tuo yrityksille myös merkittäviä liiketoimintamahdollisuuksia, sillä EU:n yhtenäinen tietosuojakäytäntö helpottaa toiminnan aloittamista uusilla markkina-alueilla. Muutoksen ansiosta EU-alueen tietosuoja paranee ja Euroopan rooli globaalien tietosuojakäytänteiden kehitystyössä vahvistuu. Yhtenäinen tietosuoja-asetus vankistaa jatkossa myös viranomaistoimintaa, Aarnio luettelee.
Tietosuoja-asetus vaatii organisaatioita tekemään merkittäviä muutoksia omaan toimintaansa. Muutosten vaatimat resurssit riippuvat siitä, millainen on yrityksen lähtötilanne.
– Kovin suurista kustannuksista ei ole kyse. Ennemminkin asetus vaatii organisaatioita muuttamaan ajatus- ja toimintatapojaan. Nykyisin yritykset tuntuvat jämähtäneen vanhoihin toimintamalleihin, vaikka puheissa korostetaan digitaalista ja sähköistä liiketoimintaa. Muutokset pitäisi nähdä kustannusten sijaan investointeina yrityksen toimintaan. Jos suomalaiset yritykset eivät lähde kehittämään verkkoliiketoimintaansa, joku muu valtaa markkinan. Kannattaa muistaa, että hyvä tietosuoja on yritykselle yksi menestystekijä, Aarnio sanoo.
Nykyisin yritykset tuntuvat jämähtäneen vanhoihin toimintamalleihin, vaikka puheissa korostetaan digitaalista ja sähköistä liiketoimintaa.
Toimialajärjestöjen tuki tulee tarpeeseen
Vaikka tietosuoja-asetuksen siirtymäaika umpeutuu vajaan vuoden päästä, moni suomalainen yritys on tietosuojakysymyksissä vielä lähtökuopissa.
– Isoilla yrityksillä asiat ovat paremmissa kantimissa. Pk-yrityksissä mahdollisuudet tarvittavien muutosten tekemiseen ovat heikommat. Tässä tarvittaisiinkin toimialajärjestöjä avuksi. Toki yritysten käytettävissä on myös kattava, koko ajan täydentyvä viranomaisohjeisto. Lisäksi tietosuojakysymyksiin erikoistuneita palveluntarjoajia on tullut markkinoille, Aarnio sanoo.
Aarnion mukaan tietosuoja-asetuksen soveltamista, valvontaa ja sanktiointia koskevat tarkemmat yksityiskohdat ovat vielä avoinna. Oleellinen muutos on hallinnollisten sanktioiden käyttöönotto. Nykykäytännöstä poiketen sanktiot voidaan kohdistaa yksityisen henkilön sijaan rekisteriä ylläpitävälle organisaatiolle. Hallinnollisilla sanktioilla voi olla merkittävä vaikutus organisaation toimintaan, sillä ne voivat nousta useisiin miljooniin euroihin.
– Ensin toki pyritään käyttämään kaikki muut keinot, ja vasta pakottavassa tilanteessa annetaan sakko. Ensisijaisesti pyrimme neuvomaan ja tarvittaessa annamme huomautuksen. Yritysten on tärkeä muistaa, että ne ovat aina vastuussa omista rekistereistään. Näin siitäkin huolimatta, että tietojärjestelmän toimitus ja ylläpito olisi ulkoistettu. Mahdolliset hallinnolliset sanktiot kohdistetaan rekisterinpitäjään, Aarnio muistuttaa.