Uudet tietosuojasäännöt digitaaliajan tarpeisiin

Euroopan parlamentti hyväksyi viime viikolla EU:n tietosuojalainsäädännön historiallisen uudistuksen.

Tähän tavoitteeseen pääsemiseksi on kuljettu pitkä taival tammikuusta 2012, jolloin Euroopan komissio esitti säädösehdotuksensa. Uusien sääntöjen suunnittelua varten on tehty lujasti työtä kansallisten hallitusten, Euroopan parlamentin jäsenten, yritysten, tiedeyhteisön ja kansalaisjärjestöjen kanssa, jotta saataisiin aikaan säännöt, jotka takaavat EU:n perusoikeuskirjassa vahvistetun tietosuojaa koskevan perusoikeuden kunnioittamisen ja joista on hyötyä sekä kansalaisille että yrityksille ja julkishallinnolle. Lisäksi säännöissä on otettava huomioon tulevaisuuden vaatimukset ja luotava edellytykset innovoinnille. Yhteistyön avulla onkin päästy erittäin hyvään tulokseen.

Uuden yleisen tietosuoja-asetuksen ansiosta ihmiset voivat taas itse valvoa henkilötietojensa käyttöä digitaaliaikana. Tämä tarkoittaa ennen muuta sitä, että he voivat saada entistä helpommin tietoa siitä, miten heidän henkilötietojaan käsitellään. Ihmisillä on myös oikeus saada tietää, jos heidän tietoihinsa on murtauduttu. Uusien sääntöjen ansiosta myös tietojen siirtäminen palveluntarjoajalta toiselle käy entistä sujuvammin. Lisäksi ”oikeutta tulla unohdetuksi” selkeytetään. Jo nyt on tietyin edellytyksin mahdollista pyytää hakukoneita poistamaan esimerkiksi linkit, jotka johtavat käyttäjän henkilötietoihin. Tämän oikeuden kunnioittamisen on oltava tasapainossa sananvapauden kanssa.

Myös talouselämä hyötyy merkittävästi tästä uudistuksesta, joka on digitaalisten sisämarkkinoiden keskeinen elementti. Yritysten kannalta uudistus vähentää kustannuksia ja parantaa oikeusvarmuutta, kun kaikkialla Euroopassa on käytössä yhdet yhteiset säännöt, joilla korvataan 28 erilaista kansallista lakia. Tietosuojavalvontaviranomaisten toimintaa koordinoidaan entistä tiiviimmin Euroopan tietosuojaneuvoston puitteissa. Eurooppalaiset yritykset saavat tasapuoliset toimintaedellytykset, sillä myös EU:n ulkopuolisten yritysten on noudatettava samoja sääntöjä, kun ne tarjoavat palveluja EU:n sisällä. Uudet säännöt sopivat myös innovointitoimintaan, sillä ne kannustavat käyttämään yksityisyydensuojaa edistäviä tekniikoita, kuten pseudonymisointia, salausta ja sisäänrakennettua tietosuojaa.

Uudistuksen toisen osan muodostaa poliisi- ja rikosoikeusviranomaisia koskeva tietosuojadirektiivi. Uudet säännöt hyväksytään aikana, jolloin kaikkialla Euroopassa on äärimmäisen tärkeää parantaa yhteistyötä terrorismin ja muiden vakavien rikosten torjumiseksi. Uusi direktiivi mahdollistaa sujuvan yhteistyön ja tietojenvaihdon jäsenvaltioiden poliisi- ja oikeusviranomaisten kesken yhteisten tietosuojanormien pohjalta. Säännöillä varmistetaan myös se, että esimerkiksi rikoksen uhrien tai todistajien henkilötietoja suojataan asianmukaisesti ja ettei kansalaisten henkilötietojen laajamittaista valvontaa tai valikoimatonta keruuta sallita.

Mitä tapahtuu seuraavaksi? Uusien sääntöjen soveltaminen alkaa kahden vuoden kuluttua, jotta yrityksillä ja viranomaisilla on riittävästi aikaa valmistautua. Euroopan komissio tekee tiivistä yhteistyötä jäsenvaltioiden, kansallisten tietosuojaviranomaisten ja sidosryhmien kanssa sen varmistamiseksi, että sääntöjä sovelletaan yhdenmukaisesti kaikkialla EU:ssa. Myös kansalaisten on tunnettava oikeutensa ja tiedettävä, miten puolustaa niitä, jos he katsovat, ettei niitä ole noudatettu. Tätä varten EU käynnistää tiedotuskampanjoita uusista tietosuojasäännöistä.

Uusista säännöistä on konkreettista hyötyä kaikille kansalaisille ja yrityksille eri puolilla EU:ta. Ne muodostavat yleisen normin perusoikeuksien suojelemiseksi digitaaliaikana. Tämä on saavutus, josta Eurooppa voi olla ylpeä.

ec-dsm2016-02

Jan Philipp Albrecht, Euroopan parlamentin kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunnan varapuheenjohtaja

Marju Lauristin, Euroopan parlamentin kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunnan jäsen

Věra Jourová, oikeus-, kuluttaja- ja tasa-arvoasioista vastaava komissaari

Tietosuojan uudistus vai déjà-vu?

EU komissio antoi v. 2012 tietosuojalainsäädännön uudistamista käsittelevän ehdotuksen, josta kehittyi vajaassa kahdessa vuodessa uutiskynnyksen useaan otteeseen ylittänyt ilmiö.   Voidaan todeta, että unionin lähestyvistä parlamenttivaaleista huolimatta lainsäädännön päivittämistä 2.0-muotoon on yhä lupa odottaa. Vaikka tämä edellyttää toimenpiteitä mm. yrityselämältä, vaikuttaa myös siltä, että pääosa sääntelyn lähtökohdista säilyy ennallaan.

Komission ehdotukselle oli tarvetta. Tutkitusti harvalla kuluttajalla oli ehdotuksen laatimisen aikaan täysi kontrolli tai tietoisuus omien tietojensa käsittelystä erityisesti internetpalveluissa. Tietojenkäsittelyn volyymi eri sektoreilla oli sitä vastoin kasvanut. Oli kysyntää unionin laajuiselle sääntelylle, joka huomioisi sekä kuluttajien asemassa että teknologiassa henkilötietodirektiivin voimaantulon (1995) jälkeen tapahtuneen kehityksen. Tämä kehitys käsitti esim. tietoturvaan ja verkkorikollisuuteen sekä kuluttajien luottamukseen ja sähköiseen kaupankäyntiin liittyviä teemoja, jotka nostettiin osaksi EU:n digitaalista agendaa. Tarve uudelle sääntelylle konkretisoitui nyt käsiteltävänä olevassa ehdotuksessa yleiseksi tietosuoja-asetukseksi ja sitä täydentäväksi direktiiviksi, jotka ovat henkilötietodirektiivin säätämisen jälkeen massiivisin tietosuojasääntelyn yhtenäistämiseen tähtäävä projekti.

Lainopillisesta näkökulmasta asetusehdotus täsmentää nykyistä lainsäädäntöä henkilötietodirektiivin logiikan mukaisesti korostaen tietoja käsittelevien vastuuta rakentaa toimintansa lainmukaiseksi ja todentaa tämä. Se sisältää jo suomalaiselle tietosuojalainsäädännölle tuttuja periaatteita ja näistä johtuvia velvoitteita kuten oletusarvoisen ja sisäänrakennetun tietosuojan vaatimukset. Asetus loisi uuden tietosuojavastaavien ammattikunnan, joka on Suomessa syntynyt jo terveydenhuollon alalle. Se perustaisi asetuksen yhdenmukaisesta soveltamisesta vastaavan Euroopan tietosuojaneuvoston, joka tällä hetkellä tunnetaan Suomessa tietosuojalautakuntana.

Samalla ehdotus toimisi digitaalisen sisämarkkinapolitiikan välineenä. Asetus kehittäisi tietosuojasääntelyn rajat ylittäviä vaikutuksia myös EU:n ulkopuolisiin tahoihin kuten Yhdysvaltoihin. Se säätäisi nk. yhden luukun periaatteesta, jonka mukaan tietyn rekisterinpitäjän valvonnasta vastaisi yksi viranomainen. Se tehostaisi myös viranomaisten yhteistyötä, toimivaltaa ja säätäisi jopa velvollisuudesta sakottaa asetusvelvoitteita laiminlyöneitä toimijoita.

Asetustekstin lopullinen sisältö on vielä työn alla. Sitä käsitellään sekä Lissabonin sopimuksen seurauksena asemaansa vahvistaneessa Euroopan parlamentissa että neuvostossa. Siinä missä parlamentin raportoijan Jan Albrechtin esittelemä versio asetuksesta on ollut selkeästi kuluttajalähtöinen, neuvosto on ajanut joustavampaa ja riskilähtöisempää sääntelyä. Valmisteluun ovat kuitenkin vaikuttaneet myös poliittiset teemat kuten viime kesänä julkisuuteen tullut Yhdysvaltojen PRISM-ohjelma, joka on ollut esillä mm. Saksan sisäpolitiikassa vaatimuksina tietosuojan tiukentamisesta. Jää nähtäväksi, miten tämä muokkaa asetustekstin lopullista ulkoasua.

Parlamentin ja neuvoston vahvistettua omat kantansa uudistuksesta neuvotellaan niiden sekä komission kesken epämuodollisissa trilogineuvotteluissa, joiden pitäisi alkaa lokakuun aikana. Uudesta tietosuoja-asetuksesta on tarkoitus sopia vuoden 2014 alkuun mennessä. Uudistuspaketin laajuus, siihen tehdyt yli 3000 muutosehdotusta ja vahvat poliittiset intressit paketin yksityiskohdista ovat kuitenkin pitkittäneet uudistusta.

On ilmeistä, että ehdotuksen tausta ja pääasiallinen sisältö huomioiden tietosuoja periaatteena ei näytä muuttuvan. Sen yksityiskohdat sisältävät silti kaikkien toimijoiden kannalta olennaisia uudistuksia, joille itsessään on yhteiskunnallinen tilaus. Ennen kaikkea uudistukset edellyttävät yrityksiä panostamaan sääntelyn noudattamiseen. Olisi toivottavaa, että tämä panostus toimisi samalla myös kilpailuvalttina.

 

Iiro Loimaala

Ylitarkastaja

Tietosuojavaltuutetun toimisto


Lisätietoja:

Komission tietosuojauudistusta käsittelevä sivu

EUR-lex ja EU:n tietosuojalainsäädäntö

Tietosuojavaltuutetun toimisto