Lausunto yleisen tietosuoja-asetuksen toimivuudesta ja sen soveltamiseen liittyvistä kokemuksista

Oikeusministeriö on pyytänyt FiComilta lausuntoa yleisen tietosuoja-asetuksen toimivuudesta ja sen soveltamiseen liittyvistä kokemuksista. FiCom kiittää mahdollisuudesta tulla kuulluksi ja esittää kunnioittavasti seuraavaa:

Mitkä ovat olleet yleisen tietosuoja-asetuksen merkittävimpiä hyötyjä?

Tietosuoja-asetuksen myötä yhtenevä lainsäädäntö ja sen saama julkisuus ovat helpottaneet tietosuojaan liittyvää kommunikointia rekisteröityjen ja yhteistyökumppanien suuntaan. Asioiden ratkaisu ei välttämättä ole sen helpompaa, mutta yhteinen käsitteistö sekä vaatimusten ja tavoitteiden ymmärtäminen helpottavat keskustelua.

Sisämarkkinoiden merkittävästä tehostumisesta tietosuoja-asetuksen ansiosta ei ole näyttöä. Huolimatta tavoitteena olleesta digitaalisten sisämarkkinoiden yhdenmukaistamisesta, kansallisessa sääntelyssä on edelleen runsaasti vaatimuksia, jotka poikkeavat eri jäsenmaiden kesken merkittävästi toisistaan.

Mitkä ovat olleet yleisen tietosuoja-asetuksen soveltamisessa ja toimivuudessa suurimpia haasteita?

Tietosuoja-asetuksen soveltamisessa on EU:ssa poikkeavia oikeuskäytäntöjä. Erilaiset asetuksen perusteella annetut tuomiot eri puolilla unionia ovat ristiriidassa keskenään ja esimerkiksi Saksan sisälläkin on annettu kahdenlaista tulkintaa tarkistusoikeuden ulottamisesta yrityksen sisäisiin asiakirjoihin ja yhteistyökumppaneihin (right of access vs. yrityksen asiakirjojen luottamuksellisuus). Erilaisesta oikeuskäytännöstä johtuen eri maiden viranomaisten antaman ohjeistuksen ja kannanottojen sitovuudesta ja soveltamisesta esimerkiksi Suomessa vallitsee epävarmuus. Lisäksi paikalliset viranomaiset voivat vaatia asetuksen vaatimuksia ylittäviä menettelytapoja, kuten tietosuojavaltuutetun toimiston erittäin yksityiskohtainen ja laaja henkilötietojen tietoturvaloukkauksen ilmoituslomakkeen tietosisältö.

Yleisen tietosuoja-asetuksen soveltamisessa haasteena on myös siinä annettujen monien yksityiskohtaisten velvollisuuksien käytännön toteuttaminen. Esimerkiksi sopimusvelvoitteissa vaatimukset on tuotu liian yksityiskohtaisiksi, mikä aiheuttaa joillekin jäsenillemme käytännön haasteita olemassa olevissa ja tietosuojan näkökulmasta jo tarkoituksenmukaisesti toimivissa palveluissa. Epäselvää esimerkiksi on, täyttävätkö komission mallilausekesopimukset artiklan 28 velvoitteet sellaisenaan. Sisämarkkinoiden tehostaminen asianmukainen tietosuoja huomioiden ei edellytä kaikissa tilanteissa yksityiskohtaista, erittäin räätälöityä sopimista tietosuojasta, minkä osoittaa jo se, ettei kuluneessa ajassa ole saavutettu toimivaa markkinakäytäntöä tietosuojan yksityiskohtaisen sopimisen toteuttamisesta.

Toisaalta jotkin toimijat voisivat hyötyä uusien mallilausekkeiden julkaisemisesta esimerkiksi EU:ssa toimivan käsittelijän ja EU:n ulkopuolisen alikäsittelijän tai EU:ssa toimivan käsittelijän ja EU:n ulkopuolisen rekisterinpitäjän välisiin suhteisiin. Mallilausekkeiden tulisi kuitenkin olla vapaaehtoisia, jolloin käsittelijä ja rekisterinpitäjä voisivat tietosuoja-asetuksen velvoitteiden täyttyessä sopia tietosuojan toteuttamisesta halutessaan myös vapaammin.

Epätarkoituksenmukaisen tarkaksi velvoitteeksi koetaan myös määräaika henkilötietojen tietoturvaloukkauksista ilmoittamiseen. 72 tunnin määräaikavelvoite estää poikkeamatilanteessa tapahtuneen kannalta tarkoituksenmukaisen tutkinnan ja toiminnan sekä johtaa monesti vääriin tulkintoihin ja tarpeettomiin ilmoituksiin.

Sähköisten viestintäpalveluiden osalta ePrivacy-direktiivin täytäntöönpanon (laki sähköisen viestinnän palveluista) ja yleisen tietosuoja-asetuksen aiheuttama epäselvyys soveltamisessa aiheuttaa myös haasteita alan toimijoille. Lisäksi epäselvyys tulevan ePrivacy-asetuksen sisällöstä ja aikataulusta heikentää toimijoiden kykyä valmistautua tuleviin vaatimuksiin etukäteisesti.

Kaikilla yrityksillä ei välttämättä ole kykyä vastata kaikkiin tietosuoja-asetuksen perusteella tai jopa täysin perusteetta tehtyihin yksilöiden vaatimuksiin. Suurilla yrityksillä on sekä kompetenssi että resurssit keskustelujen hoitamiseksi, mutta varsinkin pienten yritysten kohdalla osa vaatimuksista lähentelee jopa haitan- tai kiusantekoa.

Onko yleisen tietosuoja-asetuksen mahdollistamaa sääntelyliikkumavaraa käytetty Suomessa tarkoituksenmukaisella tavalla?

Suomen tietosuojalakiin ei ole kirjattu kaikkia aikaisempia ja tietosuojallisesti tarkoituksenmukaisia käsittelyperusteita. Lainsäädännössä on tältä osin kehitettävää. Tietosuojalain osuus tutkimuskäytöstä on myös epäselvä eikä paranna kansallisten tutkimushankkeiden mahdollisuuksia, vaikka se olisikin ollut liikkumavaran puitteissa mahdollista toteuttaa selventämällä lakia.

Suomessa ei ole resursoitu riittävästi asetuksen aiheuttamaan neuvontaan ja valvontaan, mikä näkyy tietosuojavaltuutetun toimiston pitkissä käsittelyajoissa. Tämän lisäksi valvonnassa ei ole huomioitu suhdetta julkisuuslakiin eikä TSV:n sivuilla esimerkiksi ohjeisteta, miten loukkausilmoituksessa tulisi ilmoittaa liikesalaisuudet tai muu salassa pidettävä tieto mahdollisten tietopyyntöjen varalta. Esimerkiksi Ruotsin Datainspektionenin sivuilla on selkeä ilmoitus tietojen julkisuudesta, minkä lisäksi viranomainen tekee erillisen luottamuksellisuusarvion tietopyynnön yhteydessä.

Toimivaltuuksia määritellessä julkisyhteisöjen immuniteetti seuraamusmaksuilta on jo nyt osoittanut piittaamattomuutta tietosuojan vaatimuksenmukaisuuden toteuttamiseksi. Tästä esimerkkinä HUS:n Apotti -järjestelmän käyttöönoton yhteydessä annetut lausunnot, joissa tietosuojavaltuutetun korjausta vaativasta kannasta huolimatta käyttöönottoa edistänyt taho aikoi jatkaa käyttöönottoa.