Lausunto yleisen tietosuoja-asetuksen toimivuudesta ja sen soveltamiseen liittyvistä kokemuksista

17.9.2019 | Lausunnot

Dnro 32/2019

Lausuntopyyntönne: VN/5281/2019, 7.8.2019
LAUSUNTO YLEISEN TIETOSUOJA-ASETUKSEN TOIMIVUUDESTA JA SEN SOVELTAMISEEN LIITTYVISTÄ KOKEMUKSISTA

Mitkä ovat olleet yleisen tietosuoja-asetuksen merkittävimpiä hyötyjä?

Suomen Asianajajaliitto katsoo, että tietosuoja-asetuksella on ollut erittäin merkittävä vaikutus siihen, miten organisaatiot Suomessa suhtautuvat tietosuojaan ja tietosuojasääntelyyn. Tietosoisuus tietosuojan merkityksestä sekä henkilötietojen käsittelyyn liittyvistä riskeistä on kasvanut tietosuoja-asetuksen voimaantulon myötä aidosti ja tietosuojasta huolehtimiseen on kohdistettu olennaisesti enemmän huomiota niin yksityisellä kuin julkisellakin sektorilla. Käytännössä kehitys on tarkoittanut tietosuojavelvoitteiden entistä parempaa huomioimista sekä sitä kautta kansalaisten oikeuksien tehokkaampaa toteutumista ja tietosuojaan ja tietoturvaan kohdistuvien riskien ennalta torjumista aikaisempaa tehokkaammin. Erityisen selvä muutos on ollut kansainvälisesti toimivien suurten suomalaisyritysten kohdalla, jotka ovat myös käyttäneet merkittävästi resursseja tietosuojatoimintojensa kuntoon laittamiseen. 

Toisena merkittävänä hyötynä on korostettava tietosuoja-asetuksen ajankohtaisuutta sekä sen kytkeytymistä digitalisaatiosta seuraavaan liiketoiminnan ja datan käsittelyn murrokseen. Parhaimmillaan organisaatiot ovat tunnistaneet tietosuoja-asetuksen tavoitteina olevan digitaalista transformaatiota tukevan luonteen sekä tästä seuraavat liiketoiminnalliset ja toiminnalliset hyödyt. Julkishallinnon puolella tietosuoja näyttää ymmärretyn entistä todennäköisemmin keskeiseksi osaksi kansalaisille tarjottavien palveluiden perusvaatimuksia ja ominaisuuksia.

Muutoksen taustalla ovat muun muassa tietosuoja-asetuksen myötä kasvaneet organisaatioiden taloudelliset riskit ja vastuut henkilötietojen käsittelystä, mukaan lukien erityisesti tietosuojariskien toteutumisesta todennäköisesti usein seuraavan mainehaitan merkitys. Tietosuoja-asetuksen asettamat potentiaalisesti hyvin tiukat seuraamukset ovat olleet merkittävä vaikuttaja sen suhteen, että tietosuoja on noussut organisaatioiden ylimmän johdon agendalle ja että siihen suhtaudutaan nykyisin suuremmalla vakavuudella kuin ennen. 

Kolmas merkittävimmistä tietosuoja-asetuksen hyödyistä liittyy sen luonteeseen yhteisenä yleiseurooppalaisena sääntelynä. Tietosuoja-asetuksen tavoitteena on harmonisoida tietosuojasääntely EU:n alueella, minkä on muun muassa tarkoitus vahvistaa henkilötietojen vapaata liikkuvuutta EU:ssa sekä vähentää riskiä tietosuojasääntelyyn liittyvien kansallisten erityispiirteiden vaikutuksista ja niistä seuraavista liiketoiminnan rajoitteista. Toteutuessaan aikanaan tosiasiallisesti harmonisoinnista on merkittävä hyöty jäsenvaltioihin sijoittautuneille organisaatioille. Yhdenmukaisesta sääntelystä on ajateltu perustellusti olevan monia hyötyjä, kuten rajat ylittävän liiketoiminnan kustannusten pieneneminen, EU:n laajuisen liiketoiminnan aloittamisen helpottuminen ja kansallisten säännösten välisten ristiriitojen vähentyminen. Muutos direktiivistä asetukseen on jo itsessään askel kohti yhteneväisempää sääntelyä EU:ssa. 

Mitkä ovat olleet yleisen tietosuoja-asetuksen soveltamisessa ja toimivuudessa suurimpia haasteita?
Jotta harmonisoinnin tavoite ja siitä seuraavat hyödyt toteutuvat tarkoituksenmukaisella tavalla, on myös tietosuoja-asetuksen tulkinnan ja soveltamisen myös kehityttävä yhdenmukaiseksi. Yhteiseurooppalaisen lainsoveltamis- ja valvontakäytännön saavuttaminen edellyttää kuitenkin merkittävää panosta tietosuojaviranomaisilta. Se edellyttää ennen kaikkea tiivistä yhteistyötä ja dialogia kansallisten viranomaisten kesken, EU:n tietosuojaneuvoston aktiivista johtajuutta ja määrätietoista pyrkimystä ja sitoutumista yhdenmukaisuuteen.

Käytännössä tietosuoja-asetus on sitä soveltavien organisaatioiden näkökulmasta yksityiskohtainen ja vaikeaselkoiseksi koettu normikokonaisuus, joka jatkuvasti herättää lukuisia kysymyksiä sen tulkinnasta ja soveltamisesta. Asetuksen periaatelähtöisyys tekee siitä vaikeasti sovellettavaa käytännön tasolla. Asetuksen abstrakteiksi ja osin hyvin epäkäytännöllisiksi koetut velvoitteet ovat asettaneet merkittäviä haasteita soveltamiselle ja johtaneet epätietoisuuteen soveltamispiirissä olevien organisaatioiden keskuudessa. Vaikka tietosuoja-asetus jossakin määrin selvensikin oikeustilaa kodifioimalla sitovaksi sääntelyksi aiempaa käytäntöä, on jatkuvasti yhä hyvin merkittävä määrä henkilötietojen käsittelyyn liittyviä kysymyksiä, joihin vastauksia näyttää olevan pakko odottaa vielä pitkään ilman mahdollisuutta saada tulkintakysymyksiin oikeusvarmuutta.

Erityisesti kritiikkiä ovat saaneet osakseen viranomaisohjeistuksen ja -ohjauksen puute. Organisaatiot ovat odottaneet Suomessa valvovan viranomaisen, tietosuojavaltuutetun, taholta aktiivisempaa roolia erityisesti tietosuoja-asetuksen ensimmäisen soveltamisvuoden aikana. Tietosuojavaltuutettu on julkisissa puheenvuoroissaan korostanut yhdenmukaisen soveltamisen ja myös valvonnan tärkeyttä. Lisäksi tietosuojavaltuutettu on esiintymisissään muistuttanut, että yhdenmukaisen soveltamisen varmistaminen on ensisijaisesti Euroopan tietosuojaneuvoston vastuulla. Yhdenmukainen viranomaistulkinta edellyttää kuitenkin myös kansallisilta viranomaisilta aktiivisuutta sekä tiivistä yhteistyötä. 

Asetuksen abstraktiuden luoman epätietoisuuden yhdistettynä ohjeistuksen, ohjauksen ja tulkintakäytännön niukkuuteen on varsin laajasti katsottu johtaneen siihen, että sääntelyn yhdenmukainen tulkitseminen tai soveltaminen ei toteudu toivotulla tavalla edes kansallisella tasolla. Tällä seikalla on katsottu olevan myös kilpailua vääristävää vaikutusta. Lisäksi uuden sääntelyn myötä markkinoille on tullut useita uusia toimijoita, jotka ovat konsultointipalveluidensa yhteydessä esittäneet tulkintoja myös tietosuoja-asetuksen sisällöstä. Juridisen osaamisen taso neuvoa antavien toimijoiden keskuudessa on osoittautunut vaihtelevaksi, mikä on joissakin tapauksissa johtanut jopa ilmeisen vääriin tulkintoihin. Vaikutus on näin ollen ollut oikeusvarmuuden kehittymisen kannalta negatiivista.

Organisaatiot valmistautuivat tietosuoja-asetuksen soveltamiseen päivittämällä sopimuksia ja sisäisiä käytäntöjään, mikä vaati organisaatioilta merkittäviä resursseja ja investointeja. Mikäli nämä muutokset osoittautuvat myöhemmin virheellisiksi, käytännöt ja sopimukset joutuvat uudelleen arvioinnin kohteeksi, mikä edellyttää organisaatiolta jälleen uusia investointeja. Jälkimmäinen tilanne voi aktualisoitua, vaikka tietosuojalainsäädännön tulkinta ei sinänsä olisi ollut puutteellista. Koska monissa muissa EU-maissa valvontaviranomaisten toiminta on ollut aktiivisempaa kuin Suomessa, on tällä hetkellä myös havaittavissa markkinoille syntyneen paikoin jälleen vääristynyt kuva siitä, miten tietosuoja-asetusta pitää myös tosiasiassa noudattaa. Valvontaviranomaisten tulevaisuudessa tekemät linjaukset ja antamat ohjeistukset saattavat osoittautua merkittäviä muutoksia edellyttäviksi ja olla siten selvässä ristiriidassa niiden tulkintojen ja käsitysten kanssa, jotka ovat nyt muotoutumassa. Viranomaisvalvonnan etupainotteisuus sekä tietosuojavaltuutetun aiemmassa toiminnassa vakiintunut tapa mahdollistaa dialogi käytännössä epäselvistä ja merkittäviä linjauksia tarkoittaneista asioista olisivat näissä olosuhteissa omiaan lisäämään kiusalliseksi koettua epävarmuutta.

On selvää, että Suomessa tietosuojavaltuutetun passiivisuutta on selittänyt toimivaltuuksien ja resurssien rajallisuus. Tietosuoja-asetusta täydentävä tietosuojalaki tuli valitettavasti voimaan suunniteltua myöhemmin, vasta 1.1.2019, jolloin myös tietosuojavaltuutetusta vasta tuli virallisesti valvontaviranomainen tietosuoja-asetuksen tulkinnassa. Vasta tietosuojalain voimaantulon myötä tietosuojavaltuutetulla on yhdessä seuraamuskollegionsa kanssa ollut toimivalta määrätä hallinnollisia sakkoja. Tietosuojavaltuutetun lisäksi seuraamuskollegioon kuuluvat kaksi apulaistietosuojavaltuutettua, joiden virat täytettiin vasta kevään 2019 loppupuolella. Kansallisen sääntelyn voimaantulon viivästyminen, resurssien puute ja tietosuojavaltuutetun toimiston sisäiseen uudelleenorganisoitumiseen kuluva aika ovat siis oletetusti olleet keskeisimpiä syitä edellä kuvatulle oikeusvarmuutta koskevalle huolelle, ja joka tapauksessa tekijä, mikä on aiheuttanut haasteen uuden sääntelyn tehokkaalle omaksumiselle ja soveltamiselle. Vaikuttaa ilmeiseltä, että sama vaikutus on yksityisen sektorin rekisterinpitäjien lisäksi kohdistunut myös julkisen sektorin viranomaisiin, joista moni on näyttäytynyt tietosuoja-asetuksen soveltamisen alun jälkeen hämmentävän passiivisena odottaessaan oman alakohtaisen erityislainsäädännön kehittymistä sekä tietosuojavaltuutetun aktivoitumista.

Kansallisten valvontaviranomaisten aktiivisuuden taso vaihtelee maittain EU:ssa. Sakkoja on määrätty jo lähes kaikissa jäsenvaltioissa, joista toistaiseksi suuruudeltaan merkittävin on Ranskan valvontaviranomaisen Googlelle tammikuussa 2019 antama 50 miljoonan euron hallinnollinen sakko. Kyseinen päätös sai osakseen kritiikkiä muun muassa siinä tehdystä one-stop-shop -menettelyyn liittyvästä tulkinnasta. One-stop-shop -menettelyn tarkoituksena on keskittää valvontatoimenpiteet yhden jäsenmaan valvontaviranomaiselle, niin sanotulle johtavalle valvontaviranomaiselle. Menettelyn tarkoituksena on ennakoivasti välttää rajat ylittävän käsittelyn joutuminen useamman kansallisen valvontaviranomaisen valvontatoimien kohteeksi. Tämä tapaus onkin esimerkki tilanteesta, jossa kansallisen viranomaisen toiminta näyttää tapahtuneen vastoin EU-tason koordinointia ja yhteistä näkemystä. Jotta tietosuojaviranomaiset pystyisivät vastaamaan kuvattuun oikeusvarmuutta koskevaan keskeiseen haasteeseen, on asetelmassa ymmärrettävä myös tarve tietosuojaviranomaisten aktiivisuudelle ja koordinoidulle, tehokkaalle yhteistyölle myös rajat ylittäen. Mikäli kansalliset viranomaiset tulkitsevat ja soveltavat tietosuoja-asetusta toisistaan poikkeavasti, jää harmonisoinnin tavoite toteutumatta ja tietosuoja-asetuksen keskeisimpiin hyötyihin laskettu yhdenmukaisuuden vaikutus saavuttamatta. 

Lähtökohdan viranomaisten soveltamiskäytännöille tulisi muodostaa ymmärrys siitä, että suurin osa tietosuoja-asetukseen liittyvästä epäselvyydestä ja tiedontarpeesta on kuitenkin yhteistä kaikille jäsenmaille. Ei ole poissuljettua, vaan jopa todennäköistä, että yllä kuvatut tulkintaepäselvyydet sekä Euroopan tietosuojaneuvoston ja kansallisten viranomaisten ohjeistuksen niukkuus vaikuttavat negatiivisesti innovaatioiden syntyyn ja liiketoiminnan kehittämiseen kaikkialla EU:n alueella. Jos kansainväliset, innovaatioita kehittävät yritykset ovat epätietoisia EU:n tietosuojalainsäädännön sisällöstä ja vaatimuksista, ne saattavat uudelleen sijoittautua EU:n sijaan sellaisiin maihin, joissa lainsäädännön asettamat vaatimukset ovat selkeämmät. Vaikeaselkoinen ja passiivisesti vailla riittävää ennustettavuutta sovellettu sääntely ei mahdollista ihanteellista ympäristöä innovaatioiden synnylle tai liiketoiminnan kehittämiselle. 

Onko yleisen tietosuoja-asetuksen mahdollistamaa sääntelyliikkumavaraa käytetty Suomessa tarkoituksenmukaisella tavalla?

Suomessa tehdyt linjaukset sääntelyvaran käyttämisen osalta ovat olleet Suomen Asianajajaliiton näkemyksen mukaan periaatteellisella tasolla oikeita. 

Harmonisaation tavoitteen toteutumisen näkökulmasta jokaisen jäsenvaltion tulisi pyrkiä käyttämään tietosuoja-asetuksen mahdollistamaa kansallista liikkumavaraa mahdollisimman maltillisesti ja ennen kaikkea pyrkien välttämään asetelmaa, jossa kansalliset erityispiirteet saattaisivat Suomen, digitaalisia palveluita käyttävät Suomen kansalaiset tai suomalaisen elinkeinoelämän epäedullisempaan asemaan muihin EU-jäsenvaltioihin verrattuna. Tietosuojalaissa hyödynnettävän kansallisen liikkumavaran käytön lähtökohdaksi otettiin lain esitöissä todetun linjauksen mukaan nykytilan säilyttäminen mahdollisimman laajasti. Tätä lähtökohtaa voidaan jälkeenkin päin puoltaa siltä osin, kun sen ajatellulla tavalla katsottiin voivan vahvistaa aiemman lainsäädännön ja sen vakiintuneiden tulkintakäytäntöjen mahdollistamat tietojenkäsittelytilanteet ilman, että niiden välille kuitenkaan muodostuu ristiriitaa tietosuoja-asetuksen kanssa.

Tietosuoja-asetuksen myötä mahdollisuus kansallisille erityispiirteille on väistämättä monin osin vähentynyt, mutta asetuksen mahdollistama kansallinen liikkumavara erityisesti työelämän sääntelyn piirissä on johtanut käytännössä paikoin ongelmallisiin seurauksiin. Erityisesti yksityisyyden suojasta työelämässä annetun lain 4 §:än tekemättä jätetyt muutokset – kuten kyseisen lain muutoinkin tarkempi uudelleenarviointi muista EU-maista poikkeavan sääntelyn tarpeellisuuden osalta – on aiheuttanut kestämättömän tilanteen, jossa suomalainen sääntely on mahdollisesti ristiriidassa tietosuoja-asetuksen kanssa ja jossa Suomi ainoana EU-maana rajoittaa sekä yksityisellä että julkisella sektorilla olennaisen tarpeellista ja perustelluksi katsottua henkilötietojen käsittelyä väärinkäytöksien ilmoittamista varten luotuihin ilmiantokanaviin ja compliance- sekä vastuullisuuspolitiikkojen valvontaan liittyen.

Liikkumavaran tarvetta olisi suositeltavaa uudelleenarvioida ilman pidempää viivytystä, mikä muodostunee todennäköisesti tarpeelliseksi jo EU:n sähköisen viestinnän tietosuoja-asetuksen sisällön vahvistuessa.

Keskeinen sisällöllinen kritiikki on työelämän tietosuojalainsäädännön epätarkoituksenmukaisten erityispiirteiden lisäksi kohdistettava tietosuojalain ratkaisuun, jossa tietosuoja-asetuksen sakkoja päädyttiin olemaan soveltamatta julkishallinnon toimijoihin.

Viranomaisten ja julkishallinnon elimien vapauttaminen tietosuoja-asetuksen hallinnollisen seuraamusmaksun riskistä ei ole ollut Suomen Asianajajaliiton näkemyksen mukaan perusteltua. Tietosuoja-asetuksen 83 artiklan määrittelemä sakkoriski on keskeinen osa tietosuoja-asetuksen sääntelyjärjestelmää. Tietosuoja-asetusta säädettäessä huomattavan taloudellisen sanktion (jopa 20 000 000 euroa tai, yrityksen kohdalla, 4 % sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi) tarkoituksena on ollut vahvistaa sääntelyn vaikuttavuutta, ja varmistaa, että kussakin yksittäisessä tapauksessa valvovalla viranomaisella on käytettävissään sanktio, joka tekee valvonnasta 83 artiklan 1 kohdan mukaisesti tehokasta, oikeasuhteista ja varoittavaa.

Niissä jäsenvaltioissa, joissa tietosuojaviranomaisella on jo tietosuoja-asetusta edeltävän kansallisen tietosuojasääntelyn nojalla ollut käytettävissään hallinnollisen seuraamusmaksun mahdollistama toimivalta, on tästä sanktiotoimivallan harkitusta käytöstä muodostunut vaikuttavuudeltaan tehokkain valvonnan keino. Sanktioita on myös kohdistettu ja kohdistetaan yhtä lailla tietosuojavelvoitteitaan laiminlyöneisiin yksityisen kuin julkisenkin sektorin toimijoihin. Suomessa tietosuojalain 25 § 2 momentilla tehty ratkaisu on kuitenkin jättänyt keskeisen osan viranomaisia ja julkishallinnon elimiä hallinnollisen seuraamusmaksun riskin ulkopuolelle.

Seuraavassa eriteltävät viisi syytä osoittavat tehdyn ratkaisun ongelmallisuuden. Nämä syyt, joiden johdosta Suomen ei olisi tullut saattaa yksityisen ja julkisen sektorin toimijoita sakkoriskin osalta eriarvoiseen asemaan, ovat erityisesti:

(i) On kyseenalaista, täyttävätkö hallinnollisen seuraamusmaksun sijasta hallituksen esityksessä sanktiokeinona kuvatut rikosoikeudellinen virkavastuu ja uhkasakko tietosuoja-asetuksen rekisteröityjen oikeusturvan suojaksi edellyttämän tehokkaan, oikeasuhteisen ja varoittavan seuraamusjärjestelmän vaatimuksen.

(ii) Rikosoikeudellinen virkavastuu suhteutuu rinnakkaisena ja vaihtoehtoisena sanktiokeinona erittäin huonosti hallinnolliseen seuraamusmaksuun: rikosoikeudellisen vastuun langettamisesta voi päättää vain tuomioistuin, eli eri viranomainen; sen kohteena on aina yksilö, ei organisaatio, mikä voi johtaa yksilön kannalta kohtuuttomaan tilanteeseen; ja rikosoikeudellisen vastuun toteutumiskynnys on näyttö- ja lakimääräisistä vaatimuksista johtuen huomattavasti korkeampi kuin tietosuojavaltuutetun langettaman hallinnollisen seuraamusmaksun.

(iii) Viranomaisten budjettirahoituksen niukkuus ei saa johtaa siihen, että kansalaisten henkilötietojen käsittelyä sekä tietojärjestelmiä ei kehitetä tietosuojavaatimusten mukaisiksi vastaavalla tavalla kuin yksityisellä sektorilla on investoitu tällaiseen tarpeelliseksi havaittuun muutostyöhön. Sanktion olemassaolo luo organisaatioille välittömästi hahmottuvan investointien vaihtoehtoiskustannuksen, mikä on ollut tietosuoja-asetuksen sääntelyn taustalähtökohtana.

(iv) Päätös sääntelyliikkumavaran käytöstä on saattanut julkisen ja yksityisen sektorin toimijat totaalisen eriarvoiseen asemaan suhteessa huomattavaan sanktioriskiin. Siltä osin, kun esimerkiksi suunniteltu sote-uudistus johtaa asetelmaan, jossa yksityiset ja julkiset palveluntarjoajat paikoin kilpailevat samoilla markkinoilla terveyden- ja sosiaalihuollon palveluiden tuottamisesta ja tarjoamisesta, ovat yksityisen sektorin toimijat tässä kilpailuasetelmassa eriarvoisessa asemassa. Tämä aiheutuu jo siitä syystä, että rationaalisen markkinatoimijan tulisi laskea mahdollista huomattavaa sakkoa, vaikka hyvinkin epätodennäköistä sellaista, koskeva riskivaraus, millä on tyypillisesti välitön vaikutus palveluiden hinnoitteluun (jota vastaavalla julkisen sektorin toimijalla ei olisi, vaikka molemmat tahot käsittelisivät samoja potilastietoja tietojärjestelmissään).

(v) Tilanteissa, joissa valtio, kunta tai muu viranomainen – käytännössä hyvin tavanomaisella tavalla – on ulkoistanut tietojen käsittelytoimintojaan yksityisen sektorin yritykselle, syntyy toimijoihin vaikuttava seuraamusjärjestelmän eriytyminen. Jos mainittu toimintojaan ulkoistanut viranomainen tulee laiminlyöneeksi tietosuoja-asetuksesta seuraavat velvoitteensa ohjeistaa, seurata ja valvoa tietojenkäsittelyä, syntyy asetelma, jossa tietosuojavaltuutettu valvovana viranomaisena voisi kohdistaa sanktiotoimivaltaansa vain esimerkiksi palvelun toteuttamiseen osallistuneen teknisen virheen tehneen yksittäisen työntekijän työnantajayritykseen. Samanaikaisesti ulkoistuksen toteuttaneen viranomaisen ylin johto voisi päätyä rikostutkinnan kohteeksi. Vaikka yksittäisen virkamiehen rikosvastuun toteutumiskynnys onkin edellä todetulla tavalla korkea, ei ole tarkoituksenmukaista, että sama vahinkotapahtuma johtaisi kahteen totaalisesti toisistaan poikkeavaan ja erilliseen prosessiin, jossa asian käsittely jo tutkintavaiheesta alkaen olisi eriytynyttä ja siten myös tehottomampaa. Jos kyseessä olisi yksityisen sektorin ulkoistus, tietosuojavaltuutettu olisi molempien organisaatioiden laiminlyöntejä tutkiva ja vastuuta arvioiva viranomainen, ja asia voitaisiin käsitellä yhtenä hallintoasiana.
Tehtyyn valintaan liittyvät hallituksen esityksen perustelut ovat viranomaisten ja julkishallinnon elimien vapauttamisen osalta ylimalkaiset eivätkä ota kantaa useimpiin edellä esitettyihin kyseisestä sääntelyratkaisusta seuranneisiin ongelmiin.

Kommentit yleisen tietosuoja-asetuksen I lukuun – Yleiset säännökset

Tietosuoja-asetuksen käsitteet “rekisterinpitäjä”, “käsittelijä” ja “yhteisrekisterinpitäjä” ovat osoittautuneet haasteellisiksi käytännön soveltamisessa. Roolitusten määrittäminen voi monesti olla toimeksiantojen yksi haasteellisimmista kysymyksistä. Erityisesti ero yhteisrekisterinpitäjän ja kahden erillisen/itsenäisen rekisterinpitäjän välillä on monesti organisaatioille haastavaa. Se, että asetuksen tekstissä tai muussa virallisaineistossa tuotaisiin esille rinnakkaisten, suhteessa toisiinsa itsenäisten rekisterinpitäjien mahdollisuus saman datasisällön rekisterinpitäjinä, toisi selkeyttä mahdollisten roolien hahmottamiseen sekä vahvistaisi markkinoilla vakiintuneen käsityksen.

Käsittelyperusteen määrittäminen asetelmissa, joissa mahdollisia käsittelyperusteita on useita, tai kun mikään tietosuoja-asetuksessa määritetyistä käsittelyperusteista ei näyttäisi soveltuvan, on koettu käytännössä ongelmalliseksi. Erityisesti kysymyksellä on merkittävä vaikutus arvioitaessa, miten tulee suhtautua useampaan kuin yhteen, rinnakkaisesti soveltuvaan käsittelyperusteeseen. Asian selkeyttäminen ja siitä seuraavat muutostarpeet käytäntöihin olisi arvokasta selventää, sillä soveltuvalla käsittelyperusteella on muun muassa vaikutus rekisteröidylle kuuluvien oikeuksien tulottuvuuteen.

Kommentit yleisen tietosuoja-asetuksen II lukuun – Periaatteet

Tietosuoja-asetuksen periaatelähtöisyys on yllä kuvatun mukaisesti tuonut haasteita tietosuoja-asetuksen soveltamiseen käytännössä. Periaatelähtöinen lähestymistapa sääntelyyn mahdollistaa sen joustavuuden ja teknologianeutraaliuden, mikä edesauttaa sitä, että lainsäädäntöä ei tarvitsisi jatkuvasti päivittää. Toisaalta periaatelähtöisyys tarkoittaa usein abstrakteja ilmaisuja ja edellyttää selkeitä tulkintaohjeita. Saavuttaakseen toivotun lopputuloksen tällainen tietosuoja-asetuksen kaltainen sääntely edellyttää erityisesti Euroopan tietosuojaneuvostolta, mutta myös kansallisilta viranomaisilta, aktiivisuutta tietosuoja-asetuksen tulkitsemisessa ja käytännön soveltamisessa. Epäselvä sääntely heikentää oikeusvarmuutta, eikä myöskään palvele tietosuoja-asetuksen perimmäistä tavoitetta suojella luonnollisten henkilöiden perusoikeuksia.

Kommentit yleisen tietosuoja-asetuksen III lukuun – Rekisteröidyn oikeudet

N/A

Kommentit yleisen tietosuoja-asetuksen IV lukuun – Rekisterinpitäjä ja henkilötietojen käsittelijä

Vastuut henkilötietojen käsittelystä ovat tietosuoja-asetuksen myötä muuttuneet. Tietosuoja-asetus on tasapuolistanut rekisterinpitäjän ja henkilötietojen käsittelijän välisiä vastuita käsittelytoimista. Tämä on johtanut siihen, että rekisterinpitäjän ja käsittelijän välisten sopimusten merkitys on korostunut. Muutos vastuunjaossa on johtanut myös siihen, että organisaatiot ovat joutuneet uusimaan ja uudelleenneuvottelemaan sopimuksiaan. 

Haasteeksi sopimusten osalta on osoittautunut se, että rekisterinpitäjänä toimivalla organisaatiolla on hyvin harvoin näkyvyyttä käsittelijöiden, tai alikäsittelijöiden, suorittamaan henkilötietojen käsittelyyn. Palveluntarjoajien, jotka toimivat käsittelijöinä, huolellinen valinta onkin noussut entistä keskeisemmäksi. Muutosten läpivieminen ilman välitöntä toiminnallista tai kaupallista perustetta on kuitenkin hankalaa käytännössä.

Erityinen havaittu haaste liittyy 28 artiklan noudattamiseen ketjutetun käsittelyn tilanteissa ja/tai käytettäessä pilvipalveluita, jolloin palveluiden toimitusketjussa – eli erillisinä henkilötietojen käsittelijöinä, toimii monia erillisiä yrityksiä, joilla ei ole luontevaa yhteyttä palveluita ostavaan rekisterinpitäjään. Esimerkiksi rekisterinpitäjän laajaksi määritellyn auditointioikeuden ulottaminen kaikkiin käsittelijän käyttämiin alikäsittelijöihin ei ole käytännössä mitenkään mahdollista. 

Kommentit yleisen tietosuoja-asetuksen V lukuun – Henkilötietojen siirrot kolmansiin maihin tai kansainvälisille järjestöille

Tietosuoja-asetuksessa on ainoastaan otettu huomioon ne tilanteet, joissa henkilötietoja siirretään kolmansiin maihin rekisterinpitäjältä käsittelijälle tai vaihtoehtoisesti toiselle rekisterinpitäjälle. Sen sijaan käsittelijöiden toteuttamille siirroille ei ole tietosuoja-asetuksen 5 lukua vastaavia mekanismeja. Tietosuoja-asetus ei esimerkiksi määrittele, millä ehdoilla henkilötietoja voi siirtää EU:ssa sijaitsevalta käsittelijältä toiselle käsittelijälle, joka puolestaan sijaitsee EU:n ulkopuolella. 

Kommentit yleisen tietosuoja-asetuksen VI lukuun – Riippumattomat valvontaviranomaiset

N/A

Kommentit yleisen tietosuoja-asetuksen VII lukuun – Yhteistyö ja yhdenmukaisuus

Rajat ylittävään tietosuoja-asetuksen valvontaan liittyy merkittäviksi koettuja epävarmuustekijöitä. On esimerkiksi katsottu ongelmalliseksi, että samasta loukkauksesta sanktioiminen useassa eri jäsenvaltiossa voi herkästi aktualisoitua, mutta saattaa olla yleisestä näkökulmasta hyvin epätoivottavaa langettaessaan vaikeasti ennustettavan erityisriskin. 

Kommentit yleisen tietosuoja-asetuksen VIII lukuun – Oikeussuojakeinot, vastuu ja seuraamukset

Vahingonkorvausvastuuta suhteessa rekisteröityyn koskevaan 82 artiklan tulkintaan kohdistuu kysymys artiklassa perustettavan rekisterinpitäjän ja käsittelijän välisen vastuunjakonormin pakottavuudesta: onko säännös dispositiivinen vai indispositiivinen? Voidaanko siis regressivastuusta sopia toisin kuin asetus määrää? Lisäksi erimielisyyttä on havaittu liittyvän kysymykseen siitä, voiko rekisterinpitäjä sopimusehdoin velvoittaa käsittelijän maksamaan rekisterinpitäjälle langetetut sakot.

Kommentit yleisen tietosuoja-asetuksen IX lukuun – Tietojenkäsittelyyn liittyviä erityistilanteita koskevat säännökset

Tietosuoja-asetuksen 88 artiklan mukaan jäsenvaltio voi antaa yksityiskohtaisempia sääntöjä työntekijöiden henkilötietojen käsittelystä. Kansallisella lainsäädännöllä ei asetuksen sanamuodon mukaan saada muuttaa asetuksen sisältöä vaan ainoastaan täsmentää sitä. Tähän artiklaan liittyen Suomessa näyttää lain yksityisyyden suojasta työelämässä osalta olevan sivuutettu kysymys siitä, onko kyseisessä laissa säädetty työntekijän suostumuksen mitättömyys (lain 3 §:n 2 momentti) yhdenmukainen asetuksen lähtökohtana olevan ja tietosuoja-asetuksen 6 artiklaan kirjatun henkilön itsemääräämisoikeuden kanssa. Lisäksi lain yksityisyyden suojasta työelämässä 4 §:ssä säädetty poikkeukseton velvollisuus pyytää työntekijän suostumus häntä koskevien henkilötietojen keräämiseen (esimerkiksi asiakaspalaute) muilta kuin henkilöltä itseltään saatetaan katsoa tietosuoja-asetuksen vastaiseksi.

Tietosuoja-asetuksen ja lain työelämän tietosuojasta välisen suhteen Suomessa toistaiseksi tehdyissä lainsäädäntöratkaisuissa tapahtunut sivuuttaminen aiheuttaa epätoivottavaa epävarmuutta. Voiko esimerkiksi asetuksen vastaisen lain yksityisyyden suojasta työelämässä säännöksen noudattamatta jättämisestä aiheutua asetuksen mukainen vahingonkorvausvastuu tai muita seuraamuksia? Asetuksen kanssa mahdollisesti poikkeavista kansallisista erityissäännöksistä aiheutuu myös ristiriita tietosuoja-asetuksen harmonisointitavoitteen kanssa, kuten Suomen Asianajajaliitto on lausuntonsa yleisessä osassa yksityiskohtaisemmin esittänyt. Laki yksityisyyden suojasta työelämässä ei sisällä alueellista soveltuvuutta koskevaa kansainvälisen yksityisoikeuden säännöstä, ja mahdollisesti ristiriitaisten säännösten soveltaminen rajat ylittävissä tilanteissa lisää sisällön tulkintaan liittyvää perusteetonta ja mahdollisesti vaikutuksiltaan merkittävää epävarmuutta.

Helsingissä syyskuun 17. päivänä 2019

SUOMEN ASIANAJAJALIITTO

Jarkko Ruohola
Suomen Asianajajaliiton puheenjohtaja, asianajaja

LAATI
Asianajaja Jukka Lång, Dittmar & Indrenius Asianajotoimisto Oy, Helsinki

 

Suomen Asianajajaliiton lausunnot valmistellaan oikeudellisissa asiantuntijaryhmissä, joiden toiminnassa on mukana noin 120 asianajajaa. Tämä lausunto on valmisteltu teknologia, viestintä ja tietosuoja -asiantuntijaryhmässä.