Uudet tietosuojasäännöt digitaaliajan tarpeisiin

Euroopan parlamentti hyväksyi viime viikolla EU:n tietosuojalainsäädännön historiallisen uudistuksen.

Tähän tavoitteeseen pääsemiseksi on kuljettu pitkä taival tammikuusta 2012, jolloin Euroopan komissio esitti säädösehdotuksensa. Uusien sääntöjen suunnittelua varten on tehty lujasti työtä kansallisten hallitusten, Euroopan parlamentin jäsenten, yritysten, tiedeyhteisön ja kansalaisjärjestöjen kanssa, jotta saataisiin aikaan säännöt, jotka takaavat EU:n perusoikeuskirjassa vahvistetun tietosuojaa koskevan perusoikeuden kunnioittamisen ja joista on hyötyä sekä kansalaisille että yrityksille ja julkishallinnolle. Lisäksi säännöissä on otettava huomioon tulevaisuuden vaatimukset ja luotava edellytykset innovoinnille. Yhteistyön avulla onkin päästy erittäin hyvään tulokseen.

Uuden yleisen tietosuoja-asetuksen ansiosta ihmiset voivat taas itse valvoa henkilötietojensa käyttöä digitaaliaikana. Tämä tarkoittaa ennen muuta sitä, että he voivat saada entistä helpommin tietoa siitä, miten heidän henkilötietojaan käsitellään. Ihmisillä on myös oikeus saada tietää, jos heidän tietoihinsa on murtauduttu. Uusien sääntöjen ansiosta myös tietojen siirtäminen palveluntarjoajalta toiselle käy entistä sujuvammin. Lisäksi ”oikeutta tulla unohdetuksi” selkeytetään. Jo nyt on tietyin edellytyksin mahdollista pyytää hakukoneita poistamaan esimerkiksi linkit, jotka johtavat käyttäjän henkilötietoihin. Tämän oikeuden kunnioittamisen on oltava tasapainossa sananvapauden kanssa.

Myös talouselämä hyötyy merkittävästi tästä uudistuksesta, joka on digitaalisten sisämarkkinoiden keskeinen elementti. Yritysten kannalta uudistus vähentää kustannuksia ja parantaa oikeusvarmuutta, kun kaikkialla Euroopassa on käytössä yhdet yhteiset säännöt, joilla korvataan 28 erilaista kansallista lakia. Tietosuojavalvontaviranomaisten toimintaa koordinoidaan entistä tiiviimmin Euroopan tietosuojaneuvoston puitteissa. Eurooppalaiset yritykset saavat tasapuoliset toimintaedellytykset, sillä myös EU:n ulkopuolisten yritysten on noudatettava samoja sääntöjä, kun ne tarjoavat palveluja EU:n sisällä. Uudet säännöt sopivat myös innovointitoimintaan, sillä ne kannustavat käyttämään yksityisyydensuojaa edistäviä tekniikoita, kuten pseudonymisointia, salausta ja sisäänrakennettua tietosuojaa.

Uudistuksen toisen osan muodostaa poliisi- ja rikosoikeusviranomaisia koskeva tietosuojadirektiivi. Uudet säännöt hyväksytään aikana, jolloin kaikkialla Euroopassa on äärimmäisen tärkeää parantaa yhteistyötä terrorismin ja muiden vakavien rikosten torjumiseksi. Uusi direktiivi mahdollistaa sujuvan yhteistyön ja tietojenvaihdon jäsenvaltioiden poliisi- ja oikeusviranomaisten kesken yhteisten tietosuojanormien pohjalta. Säännöillä varmistetaan myös se, että esimerkiksi rikoksen uhrien tai todistajien henkilötietoja suojataan asianmukaisesti ja ettei kansalaisten henkilötietojen laajamittaista valvontaa tai valikoimatonta keruuta sallita.

Mitä tapahtuu seuraavaksi? Uusien sääntöjen soveltaminen alkaa kahden vuoden kuluttua, jotta yrityksillä ja viranomaisilla on riittävästi aikaa valmistautua. Euroopan komissio tekee tiivistä yhteistyötä jäsenvaltioiden, kansallisten tietosuojaviranomaisten ja sidosryhmien kanssa sen varmistamiseksi, että sääntöjä sovelletaan yhdenmukaisesti kaikkialla EU:ssa. Myös kansalaisten on tunnettava oikeutensa ja tiedettävä, miten puolustaa niitä, jos he katsovat, ettei niitä ole noudatettu. Tätä varten EU käynnistää tiedotuskampanjoita uusista tietosuojasäännöistä.

Uusista säännöistä on konkreettista hyötyä kaikille kansalaisille ja yrityksille eri puolilla EU:ta. Ne muodostavat yleisen normin perusoikeuksien suojelemiseksi digitaaliaikana. Tämä on saavutus, josta Eurooppa voi olla ylpeä.

ec-dsm2016-02

Jan Philipp Albrecht, Euroopan parlamentin kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunnan varapuheenjohtaja

Marju Lauristin, Euroopan parlamentin kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunnan jäsen

Věra Jourová, oikeus-, kuluttaja- ja tasa-arvoasioista vastaava komissaari

#Digisaatio on täällä!

Euroopan komission Suomen-edustusto, Euroopan parlamentin Suomen-tiedotustoimisto ja Basso proudly present: #digisaatio! Viisi viikkoa keskustelua EU:n digitaalisista sisämarkkinoista! Ensi viikolla, 29.2.-4.3. keskustellaan Basson aamuissa klo 10 digitaalisten sisämarkkinoiden eri osa-alueista virkamiesten, meppien, asiantuntijoiden, yrittäjien ja loppukäyttäjien voimin.

Mitkä digitaaliset sisämarkkinat – pitäisikö kiinnostaa?

Pitäisi. Joka päivä 315 miljoonaa eurooppalaista käyttää internetiä. Komission mukaan digitaaliset sisämarkkinat tuottaisivat EU:n taloudelle jopa 415 mrd. € lisätuloja vuosittain, satojatuhansia uusia työpaikkoja ja vireän osaamisyhteiskunnan. Siksi tarvitaan laajoja uudistuksia, jotka ulottuvat uudesta tekijänoikeuskehyksestä pakettitoimituksiin ja televiestintään.

Komissio esitti viime toukokuussa strategian, joka on EU:n suunnitelma vapaiksi ja turvallisiksi digitaalisiksi sisämarkkinoiksi, joilla ihmiset voivat tehdä ostoksia rajojen yli ja yritykset voisivat käydä kauppaa koko EU:ssa – sijainnistaan riippumatta. Strategialla halutaan laajentaa EU:n digitaalitaloutta, tarjota kuluttajille parempia palveluja edullisemmin hinnoin sekä auttaa yrityksiä kasvamaan.

Digitaalisten sisämarkkinoiden strategiassa on 16 toimenpidettä. Ne on jaoteltu kolmeen päätavoitteeseen, jotka komissio aikoo toteuttaa vuoden 2016 loppuun mennessä.

  1. helpottaa verkkotuotteiden ja -palvelujen saantia kuluttajille ja yrityksille koko Euroopassa
  2. parantaa digitaaliverkkojen ja -palvelujen kasvun ja menestyksen edellytyksiä
  3. edistää Euroopan digitaalitalouden kasvua

Digitaalisten sisämarkkinoiden tarkoitus on purkaa epäyhtenäisestä sääntelystä johtuvat raja-aidat ja yhdistää 28 kansallista markkina-aluetta yhtenäisiksi sisämarkkinoiksi.

Kuulostaako byrokraattiselta? Ei hätää, olemme valinneet radiokeskusteluiden teemoiksi sinuakin koskettavia juttuja, eli tietoturvan, pilvipalvelut, tekijänoikeudet ja geoblokkauksen eli maaestot. Eli tilaatko eurooppalaisia tuotteita amerikkalaisesta verkkokaupasta, koska se on halvempaa? Yrititkö katsoa Euroopan-lomalla Netflixistä suosikkisarjaa ja se ei onnistunut, koska olit ulkomailla? Vältteletkö puheluita matkalla, koska se on kallista? Tai jäikö ulkomaille muutto haaveeksi, koska etätyöt ovat mahdollisia vain kotimaassa?

EU:n uusista tietosuojasäännöistä päästiin sopuun viime joulukuussa. Nyt varmaan kysyt, että mikä muuttuu? Vastaamme: pääsy omiin tietoihin helpottuu, sinulla on oikeus siirtää tiedot järjestelmästä toiseen, oikeutesi “tulla unohdetuksi” vahvistuu ja sinulle tulee oikeus saada tietää, jos omiin tietoihin on murtauduttu. Lisää voit lukea täältä.

Digitaalisista sisämarkkinoista vastaava komission varapuheenjohtaja Andrus Ansip on blogiteksteissään kertonut seuraavaa:

Jokin aika sitten komissio antoi ensimmäiset kaksi digitaalisiin sisämarkkinoihin liittyvää ehdotusta: ensimmäinen koskee verkkokaupan sopimusehtojen yhdenmukaistamista EU:ssa ja toisella pyritään varmistamaan, että eurooppalaiset pääsevät käsiksi laillisesti hankkimiinsa verkkosisältöihin, eli esimerkiksi Netflixiin, myös muualla EU:ssa matkustaessaan.

Sisällön käytettävyys myös muissa EU-maissa liikuttaessa on erityisen tärkeä asia nyt kun verkkovierailumaksut ovat poistumassa: kesäkuun 2017 puolivälin jälkeen maksat matkapuhelimen käytöstä muissa EU-maissa saman verran kuin kotona.

Ihmiset haluavat matkustaessaan käyttää mobiililaitteellaan kotimaassaan maksamiaan palveluja. EU-sääntöjen pitäisi mahdollistaa juuri tämä.

Kunhan teknisen ja poliittisen tason neuvottelut ehdotuksistamme saadaan kunnolla käyntiin, tulemme käymään yksityiskohtaisia keskusteluja Euroopan parlamentin valiokunnissa ja täysistunnoissa ja luonnollisesti kaikkien EU-maiden kanssa.

Mikään ei tietenkään tapahdu hetkessä. On kuitenkin tärkeää saada homma liikkeelle: jos ehdotukset halutaan toteuttaa, erityisesti ennen tämän komission viisivuotiskauden loppua, ei ole varaa vitkasteluun. Digitaalitalous ei sekään jää meitä odottelemaan.

Loput digitaalisten sisämarkkinoiden kehittämisehdotukset tuodaan pöytään vielä tämän vuoden aikana. Kevään kuluessa on luvassa alan yrityksille ja viranomaisille suunnattu toimenpidepaketti. Siihen kuuluva ehdotus, joka kattaa 700 MHz taajuusalueen osoittamisen langattomaan mobiilikäyttöön, annettiin jo helmikuussa. Pilvipalvelujen hyödyntämisperiaatteet ja tieto- ja viestintätekniikan standardien kehittämissuunnitelma ovat putkessa seuraavina.

Sen jälkeen on vuorossa sähköisen kaupankäynnin paketti. Se sisältää muun muassa lainsäädäntöehdotuksen, jolla puututaan verkkopalvelujen perusteettomiin maarajoituksiin eli ns. geoblokkaukseen. Tämä uudistus on minulle henkilökohtaisesti erityisen tärkeä: olen vakaasti sitä mieltä, että ihmisten ja yritysten kaupankäyntiä verkossa ei pitäisi rajoittaa keinotekoisilla esteillä.

Vuoden aikana tullaan näkemään muitakin tärkeitä avauksia digitaalisten sisämarkkinoiden tueksi: EU:n televiestintäsäännöstöä nykyaikaistetaan, kyberturvallisuuskysymykset vaativat toimenpiteitä, datan, esimerkiksi tutkimusdatan, vapaata liikkuvuutta on edistettävä. Myös kuumia debatteja nostattavalla teollis- ja tekijänoikeuksien alalla on tiedossa parannusehdotuksia.

Tarkoituksemme on siis saada kaikki digimarkkinaehdotukset ulos ja käsittelyyn vuoden loppuun mennessä. Kiirettä pitää, mutta niinpä etenee digitalisaatiokin ympärillämme huimaa vauhtia. Palataan siis asiaan, asap.

 

Tietosuojan uudistus vai déjà-vu?

EU komissio antoi v. 2012 tietosuojalainsäädännön uudistamista käsittelevän ehdotuksen, josta kehittyi vajaassa kahdessa vuodessa uutiskynnyksen useaan otteeseen ylittänyt ilmiö.   Voidaan todeta, että unionin lähestyvistä parlamenttivaaleista huolimatta lainsäädännön päivittämistä 2.0-muotoon on yhä lupa odottaa. Vaikka tämä edellyttää toimenpiteitä mm. yrityselämältä, vaikuttaa myös siltä, että pääosa sääntelyn lähtökohdista säilyy ennallaan.

Komission ehdotukselle oli tarvetta. Tutkitusti harvalla kuluttajalla oli ehdotuksen laatimisen aikaan täysi kontrolli tai tietoisuus omien tietojensa käsittelystä erityisesti internetpalveluissa. Tietojenkäsittelyn volyymi eri sektoreilla oli sitä vastoin kasvanut. Oli kysyntää unionin laajuiselle sääntelylle, joka huomioisi sekä kuluttajien asemassa että teknologiassa henkilötietodirektiivin voimaantulon (1995) jälkeen tapahtuneen kehityksen. Tämä kehitys käsitti esim. tietoturvaan ja verkkorikollisuuteen sekä kuluttajien luottamukseen ja sähköiseen kaupankäyntiin liittyviä teemoja, jotka nostettiin osaksi EU:n digitaalista agendaa. Tarve uudelle sääntelylle konkretisoitui nyt käsiteltävänä olevassa ehdotuksessa yleiseksi tietosuoja-asetukseksi ja sitä täydentäväksi direktiiviksi, jotka ovat henkilötietodirektiivin säätämisen jälkeen massiivisin tietosuojasääntelyn yhtenäistämiseen tähtäävä projekti.

Lainopillisesta näkökulmasta asetusehdotus täsmentää nykyistä lainsäädäntöä henkilötietodirektiivin logiikan mukaisesti korostaen tietoja käsittelevien vastuuta rakentaa toimintansa lainmukaiseksi ja todentaa tämä. Se sisältää jo suomalaiselle tietosuojalainsäädännölle tuttuja periaatteita ja näistä johtuvia velvoitteita kuten oletusarvoisen ja sisäänrakennetun tietosuojan vaatimukset. Asetus loisi uuden tietosuojavastaavien ammattikunnan, joka on Suomessa syntynyt jo terveydenhuollon alalle. Se perustaisi asetuksen yhdenmukaisesta soveltamisesta vastaavan Euroopan tietosuojaneuvoston, joka tällä hetkellä tunnetaan Suomessa tietosuojalautakuntana.

Samalla ehdotus toimisi digitaalisen sisämarkkinapolitiikan välineenä. Asetus kehittäisi tietosuojasääntelyn rajat ylittäviä vaikutuksia myös EU:n ulkopuolisiin tahoihin kuten Yhdysvaltoihin. Se säätäisi nk. yhden luukun periaatteesta, jonka mukaan tietyn rekisterinpitäjän valvonnasta vastaisi yksi viranomainen. Se tehostaisi myös viranomaisten yhteistyötä, toimivaltaa ja säätäisi jopa velvollisuudesta sakottaa asetusvelvoitteita laiminlyöneitä toimijoita.

Asetustekstin lopullinen sisältö on vielä työn alla. Sitä käsitellään sekä Lissabonin sopimuksen seurauksena asemaansa vahvistaneessa Euroopan parlamentissa että neuvostossa. Siinä missä parlamentin raportoijan Jan Albrechtin esittelemä versio asetuksesta on ollut selkeästi kuluttajalähtöinen, neuvosto on ajanut joustavampaa ja riskilähtöisempää sääntelyä. Valmisteluun ovat kuitenkin vaikuttaneet myös poliittiset teemat kuten viime kesänä julkisuuteen tullut Yhdysvaltojen PRISM-ohjelma, joka on ollut esillä mm. Saksan sisäpolitiikassa vaatimuksina tietosuojan tiukentamisesta. Jää nähtäväksi, miten tämä muokkaa asetustekstin lopullista ulkoasua.

Parlamentin ja neuvoston vahvistettua omat kantansa uudistuksesta neuvotellaan niiden sekä komission kesken epämuodollisissa trilogineuvotteluissa, joiden pitäisi alkaa lokakuun aikana. Uudesta tietosuoja-asetuksesta on tarkoitus sopia vuoden 2014 alkuun mennessä. Uudistuspaketin laajuus, siihen tehdyt yli 3000 muutosehdotusta ja vahvat poliittiset intressit paketin yksityiskohdista ovat kuitenkin pitkittäneet uudistusta.

On ilmeistä, että ehdotuksen tausta ja pääasiallinen sisältö huomioiden tietosuoja periaatteena ei näytä muuttuvan. Sen yksityiskohdat sisältävät silti kaikkien toimijoiden kannalta olennaisia uudistuksia, joille itsessään on yhteiskunnallinen tilaus. Ennen kaikkea uudistukset edellyttävät yrityksiä panostamaan sääntelyn noudattamiseen. Olisi toivottavaa, että tämä panostus toimisi samalla myös kilpailuvalttina.

 

Iiro Loimaala

Ylitarkastaja

Tietosuojavaltuutetun toimisto


Lisätietoja:

Komission tietosuojauudistusta käsittelevä sivu

EUR-lex ja EU:n tietosuojalainsäädäntö

Tietosuojavaltuutetun toimisto