Blogissa: Tietosuojaneuvotteluissa sorvataan sopua – mitä on jäämässä käteen?

03.12.2015

Pian neljä vuotta työn alla olleesta EU:n tietosuojasääntelyn uudistuksesta käydään viimeisiä ratkaisevia neuvotteluja. Tavoitteena on, että joulukuun puolivälissä kaikki olisi sovittuna.

Saavutetaanko tavoite, on edelleen auki. Sääntelyuudistusten valmistelu EU:ssa noudattaa varsin monipolvista prosessia,  ja syksyn aikana käydyistä Euroopan parlamentin, neuvoston ja komission välisistä neuvotteluista on tihkunut erittäin vähän tietoa.

Valmistelun avoimuus on ollut hämmentävän niukkaa ottaen huomioon, että sääntelyuudistus on paitsi elinkeinoelämälle myös koko yhteiskunnalle erittäin merkittävä. Esimerkiksi lähes kaikki yksityiset ja julkiset organisaatiot, muun muassa yritykset, kunnat ja yhdistykset, käsittelevät henkilötietoja.

Elinkeinoelämä on korostanut koko neuvottelujen ajan, että uusi sääntely ei saa hankaloittaa tai rajoittaa mahdollisuuksia käsitellä henkilötietoja tehokkaasti nykytilaan verrattuna. Sääntelyn on tärkeää olla joustavasti sovellettavissa erilaisissa tietojen käsittelyn tilanteissa.

Keskeistä on myös, että uudistus ei johda kohtuuttomaan sääntelytaakkaan yrityksille ja muille henkilötietoja käsitteleville tahoille eikä lisää henkilötietoja käsittelevien riskejä esimerkiksi suhteettoman ankarien hallinnollisten sakkojen muodossa.

Tavoitteiden saavuttaminen on tärkeää esimerkiksi, kun yrityksiä halutaan kannustaa hyödyntämään digitalisaation mahdollisuuksia nykyistä vahvemmin. Digitalisaation hyödyntäminen merkitsee monilla toimialoilla käytännössä datan, ml. henkilötietojen, tehokasta käsittelyä ja analysointia paremman asiakaskokemuksen ja kilpailuedun rakentamiseksi.

Uuden sääntelyn lopullinen sisältö lyödään lukkoon edelleen käynnissä olevissa neuvotteluissa. Isoista linjoista voi kuitenkin esittää arvioita parlamentin ja neuvoston kantojen sekä neuvotteluista tihkuneiden niukkojen tietojen perusteella.

EU vannoo paremman sääntelyn nimeen ja Suomen hallitus on linjannut säädösten sujuvoittamisen yhdeksi kärkitavoitteeksi. Vaikuttaa kuitenkin, että tämä sääntelyuudistus ei ole johtamassa vähempään, mutta parempaan, kevyempään ja mahdollistavampaan sääntelyyn.

Neuvotteluissa on esillä kiristyksiä yleisiin periaatteisiin ja käsittelyn perusteisiin, jotka määrittävät henkilötietojen käsittelyä.

Kaikki toimielimet ajavat sääntelyyn myös uusia velvollisuuksia henkilötietojen käsittelyyn.

Esillä on ollut esimerkiksi seuraavia muutoksia: Vastaisuudessa ei enää riittäisi, että henkilötietojen käsittelyssä noudatetaan sääntelyn vaatimuksia – hallinnollisen sakon uhalla noudattaminen pitäisi kyetä osoittamaan koko ajan.

Tietoturvaloukkauksista olisi ilmoitettava tietosuojavaltuutetulle tiukoissa määräajoissa. Sääntelyssä määritetyissä tilanteissa olisi tehtävä tietosuojavaikutusarviointi ja konsultoitava tietosuojavaltuutettua ennen henkilötietojen käsittelyn aloittamista.

Esillä on ollut myös kiristyksiä sanktioihin sääntelyn rikkomuksista. Esimerkiksi Euroopan parlamentti on katsonut, että sääntelyn rikkomuksista pitäisi voida määrätä suuruudeltaan enimmillään jopa 100 miljoonan euron hallinnollinen sakko tai sakko, joka vastaa 5 prosenttia yrityksen vuotuisesta globaalista liikevaihdosta – kumpi näistä vain johtaa suurempaan enimmäismäärään.

Tilanne ei siten vaikuta lupaavalta. Toivotaan kuitenkin yhä, että parlamentti, neuvosto ja komissio tekevät neuvottelujen loppumetreillä viisaita ja linjakkaita ratkaisuja.