GDPR-asetus tulee – entä sen jälkeen?

Asianajajatoimisto Castrén & Snellmanin Tietosuoja ja yksityisyydensuoja -palvelun vetäjä Eija Warma muistuttaa, että asetuksen määräykset koskettavat ihan kaikkia toiminnan kokoon ja muotoon, toimialaan ja käsiteltäviin henkilötietoihin katsomatta.

– Jokainen on sääntelyn kohteena ja jokaisen pitää tehdä jotakin. Mutta mitä se jotakin on, vaihtelee toimijan koon ja käsiteltävien tietojen myötä. Kylillä puhutaan, että asetus muuttaa kaiken ja mikään ei ole kuin ennen. Se ei pidä paikkaansa. Meillä on säännelty henkilötietojen käsittelyä jo 30 vuoden ajan.

Vuoden 1999 henkilötietolaissa on paljon samankaltaisuuksia uuden asetuksen kanssa.

– Asetus tuo lakiin tiettyjä lisävelvoitteita. Paljon isompi juttu on, että harvalla toimijalla henkilötietojen käsittely vastaa liki 20 vuotta voimassa olleen lain vaatimuksia, ja tämä vaje on nyt kurottava umpeen.

Harvalla toimijalla henkilötietojen käsittely vastaa liki 20 vuotta voimassa olleen lain vaatimuksia.

Konsultointia, sopimista, riitoja

Asetus edellyttää oman toiminnan läpikäyntiä: henkilötietojen käyttötilanteiden ja -tarpeiden tunnistamista ja dokumentointia. Henkilöstöä pitää myös ohjeistaa ja kouluttaa. Se tarjoaa työsarkaa myös juristeille.

– Yksi asetuksen edellyttämä uusi vaatimus on kirjallisten tietojenkäsittelysopimusten tekeminen eri palveluntarjoajien kanssa. Käynnissä on useita massiivisia sopimushankkeita, sillä isoilla toimijoilla voi olla jopa tuhansia yhteistyökumppaneita, joiden sopimukset on päivitettävä, Warma kertoo.

– Asetuksen myötä tietosuoja-asiat ovat alkaneet kiinnostaa aikaisempaa enemmän myös yritysjärjestelyissä ja pääomasijoituksissa, ja arviointiosaamisen kysyntä on selvästi lisääntynyt. Myös useammassa riita-asiassa käsitellään parhaillaan henkilötietoon liittyviä kysymyksiä.

Parempaa ohjelmistoarkkitehtuuria

Asetuksen vaatimuksia on vaikea rakentaa vanhoihin vuosikymmenien takaa periytyviin tietojärjestelmiin. Uudistuksen todellinen pihvi onkin henkilötietojen lainmukaisen käsittelyn nivominen alusta asti hankkeisiin, joissa toteutetaan uusia tietojärjestelmiä ja sähköisiä alustoja.

Asetuksen vaatimuksia on vaikea rakentaa vanhoihin vuosikymmenien takaa periytyviin tietojärjestelmiin.

– On hyvä katsoa jo projektien alkuvaiheessa, miten suunniteltu uusi tekeminen näyttäytyy henkilötietojen käsittelyn näkökulmasta. Se on varmasti kasvava asia, johon konsultoivat juristit joutuvat jatkossa ottamaan kantaa, Warma sanoo.

– Juridinen osaamisen lisäksi siinä tarvitaan myös vahvaa ymmärrystä sähköisen palvelun tai järjestelmän toteuttamisesta ekosysteemeineen ja ympäristöineen. On tiedettävä, miten eri teknologiat käyttäytyvät, jotta ne pystytään istuttamaan lainsäädännön ja tekemisen kehyksiin. Ja se on todella iso haaste teknologian ja palveluiden kehittyessä kiihtyvällä nopeudella.

Parempaa jatkuvuudenhallintaa

Sääntelyn kipupisteet eroavat voimakkaasti sen mukaan, onko yritys algoritmeillaan kilpaileva kuluttajabisneksen toimija vai perinteistä teollisuutta edustava yritys, jonka tarvitsee käsitellä vain työntekijöidensä henkilötietoja. Warma muistuttaa, että hyvä ja vastuullinen henkilötietojen käsittely varmistavat myös liiketoiminnan jatkuvuutta.

– Tulossa olevia hallinnollisia seuraamusmaksuja merkittävämpi seuraus voi olla viranomaisen mahdollisuus määrätä käyttökieltoon tiedot, joiden käsittely ei ole asianmukaista. Esimerkiksi asiakasrekisterin joutuminen käyttökieltoon voi tarkoittaa yrityksen toiminnan alasajoa. Asetuksessa vaadittu tietovarantoihin liittyvä riskienarviointi kannattaa siis tehdä kunnolla.

Sen sijaan, että tyytyisi täyttämään asetuksen minimivaatimukset, Warma kehottaa tekemään prosessista positiivisen tekemisen ajurin ja kilpailuvaltin.

– Toimenpiteillä selvennetään IT-arkkitehtuuria ja tunnistetaan käyttämättömiä järjestelmiä. Asiakaskokemuksen ja luottamuksen parantuessa asiakkaat myös voivat antaa palvelun kehittämiseksi tarvittavia tietojaan. Myös yrityksen tietämys omista tarpeista ja tekemisistä kasvaa, Warma sanoo.

– Ja on vain ajan kysymys, milloin yritys on tietomurron kohteena. Silloin on hyvä tietää valmistautuneensa murtoihin tekemällä tarpeelliset tietoturvaparannukset ja rajaamalla sen, mistä järjestelmästä mitäkin tietoa löytyy. Se parantaa toipumiskykyä ja mahdollistaa mahdollisimman täsmällisen ja nopean reagoinnin ja tiedottamisen tietomurron laajuudesta, jolloin vahinkoja päästään minimoimaan ja niistä toipumaan mahdollisimman nopeasti.

Lisää sääntelyä tulossa

Julkisoikeuden professori Tomi Voutilainen Itä-Suomen yliopistosta pelkää, että lisääntyvä ja epäselvä tietosuojaan liittyvä sääntely vie kilpailukyvyn eurooppalaisilta digitaalisilta palveluilta. EU-säädösten valmistelu voisi olla myös kansallisesti avoimempaa.

EU:n yleinen tietosuoja-asetus on saamassa rinnalleen sähköisen viestinnän tietosuoja-asetuksen.

Toukokuussa voimaan astuva EU:n yleinen tietosuoja-asetus on saamassa rinnalleen sähköisen viestinnän tietosuoja-asetuksen, ja digitaalisiin palveluihin vaikuttavaa sääntelyä on tulossa muutenkin lisää. Sähköisen viestinnän tietosuoja-asetuksen voimaantulosta ja sisällöstä ei kuitenkaan ole vielä täyttä varmuutta. Siirtymäaikoineen sen tulo voi siirtyä vielä parin vuoden päähän.

– Asetusluonnoksesta on hirveän huonosti saatavissa tietoa. Kuten muussakin EU-sääntelyssä, valmistelua ei tehdä avoimesti eikä se siten takaa kansalaisille lain heille säätämää perusoikeutta vaikuttaa itseensä kohdistuvaan päätöksentekoon ja sääntelyyn, Voutilainen sanoo.

– Vastaavia ongelmia oli tietosuoja-asetuksen valmistelussa EU:ssa samoin kuin siihen liittyvän kansallista liikkumavaraa sisältävän tietosuojalain valmistelussa. Säädösvalmistelua ei voida pitää tältä osin millään muotoa edes tyydyttävänä.

Valmisteltaessa isoja EU-tasoisia asetuksia ja direktiivejä tarvittaisiin kansallinen seurantaryhmä.

Valmisteltaessa tällaisia isoja EU-tasoisia asetuksia ja direktiivejä, tarvittaisiin sääntelyn kohteiden edustajista koottava kansallinen seurantaryhmä, joka seuraisi prosessia ja käynnistäisi tarvittaessa laajempaa yhteiskunnallista keskustelua.

– Kun EU-säädös on annettu, kansallisesta keskustelusta ei ole enää juuri hyötyä. Asetusta sovelletaan yleensä lähes sellaisenaan, ja direktiivitkin alkavat olla monissa tilanteissa aika tarkkarajaisia.

Sääntelymalli on takaperoinen: neuvottelut käydään komission, neuvoston ja parlamentin kesken, ja yksittäiset virkamiehet ministeriöissä valmistelevat asiaa kansallisella tasolla.

– Vaikka osin on kyse myös neuvottelusalaisuuksista, hallinnon pitäisi kertoa nykyistä läpinäkyvämmin tehdyistä linjauksista ja siitä, mistä kulloinkin EU:n toimielimissä keskustellaan. Yksittäiset tahot pyrkivät lobbaamaan oman ryhmänsä etuja, eikä eri tahojen intressien kokonaisuus hahmotu järjestelmällisesti. Hämärälobbaus ei kuulu demokratiaan.

Täsmennyksiä, päivityksiä

Sähköisen viestinnän tietosuoja-asetus näyttäisi olevan aikaisemman lainsäädännön täsmennystä ja päivittämistä. Asetus pitää sisällään pitkälti samoja asioita, mitä sähköisen viestinnän tieto- suojadirektiivissä on tähän asti säädetty. Sitä sovelletaan kansallisesti Tietoyhteiskuntakaaressa, jonka nimi muuttuu kesäkuun alussa laiksi sähköisen viestinnän palveluista.

Komission ehdotuksessa on jonkin verran uutta käsitteistöä. Jos ehdotukset etenevät, suostumuksen käyttöä ollaan lisäämässä ja avoimissa luetteloissa julkaistavia tietoja aletaan hieman rajoittaa.

– Joidenkin asioiden kohdalla on kuitenkin pakko kysyä, ymmärretäänkö EU-toimielimissä oikeasti, mikä tietoverkko on. Kohta sovellettavaksi tulevaan tietosuoja-asetukseen on esimerkiksi jätetty kansallinen liikkumavara sen suhteen, mihin ikään asti lapsen huoltajalta on pyydettävä suostumus jonkin kaupallisen digitaalisen palvelun käyttämiseksi, Voutilainen ottaa esimerkin absurdista digipalveluihin kohdistuvasta sääntelystä.

– Ikärajaa on mahdollista säätää kansallisesti 13–16 ikävuoden välille. Sen johdosta palveluntarjoajan pitäisi aina pystyä kontrolloimaan, minkä ikäinen palvelua käyttävä henkilö on ja minkä maan lainsäädäntöä häneen sovelletaan. Lisäksi huoltajalta on hankittava luotettavalla tavalla suostumus digipalvelun käyttöön. Se edellyttäisi vahvaa tunnistusta niin lapsen kuin vanhemmankin osalta, johon 13-vuotiaalla ei ole mitään mahdollisuutta. Euroopassa ei myöskään ole keskitettyä järjestelmää lapsen ja huoltajan tietojen yhdistämiseen.

Jos halutaan lisätä yksilön suojelua, sen pitäisi lähteä kansainvälisistä sopimuksista, jotka koskevat kaikkia.

Kilpailukyky uhattuna

Kun puhutaan teknisistä asioista, liian yksityiskohtainen sääntely kääntyy vain itseään vastaan ja pahimmassa tapauksessa estää palvelujen kehittämisen ja innovaatiotoiminnan.

– Puitesääntely olisi parempi lähestymistapa, kunhan perusoikeudet voidaan turvata riittävässä määrin.

Tietoverkoissa oleville palveluille tulee jatkossa entistä enemmän uusia säädöksiä. Tulollaan ovat esimerkiksi sinänsä perustellut ja kansainvälisiin sopimuksiin perustuvat verkkosivustojen ja mobiilisovellusten saavutettavuus- ja esteettömyysdirektiivit, jotka tulevat kokonaisuudessaan koskemaan yksityistä ja julkista sektoria.

– Digipalveluille jo tulleen ja vielä tulevan EU-sääntelyn yhteinen hintalappu on sadoissa miljoonissa. Säädöksiä tarvitaan, mutta valittujen keinojen pitäisi olla jossain suhteessa niihin hyviin tarkoituksiin, joita tällä sääntelyllä edistetään, Voutilainen pohtii.

– Lisäämällä hallinnollista taakkaa liian yksityiskohtainen sääntely heikentää EU:ssa toimivien elinkeinonharjoittajien kykyä kilpailla yhteismarkkina-alueen ulkopuolella toimivien yritysten kanssa. Internetissä toimitaan globaalisti. Jos halutaan lisätä yksilön suojelua, sen pitäisi lähteä kansainvälisistä sopimuksista, jotka koskevat kaikkia.