Lausunto yleisen tietosuoja-asetuksen toimivuudesta ja sen soveltamiseen liittyvistä kysymyksistä

6.9.2023 | Lausunnot

Oikeusministeriö
 
Dnro L2023-43
 
Lausuntopyyntönne: VN/23585/2023, 14.8.2023
LAUSUNTO YLEISEN TIETOSUOJA-ASETUKSEN TOIMIVUUDESTA JA SEN SOVELTAMISEEN LIITTYVISTÄ KOKEMUKSISTA
 
Pyydettynä lausuntona Suomen Asianajajaliitto (jäljempänä ”Asianajajaliitto”) esittää seuraavat vastaukset lausuntopyynnössä yksilöityihin kysymyksiin.
 
Mitkä ovat olleet yleisen tietosuoja-asetuksen soveltamiseen liittyvät merkittävimmät hyödyt ja haasteet?
 
Asianajajaliitto viittaa edelliseen samaa asiaa – Euroopan unionin yleisen tietosuoja-asetuksen (“tietosuoja-asetus”) toimivuutta ja sen soveltamiseen liittyviä kokemuksia – koskevaan aiempaan, vuoden 2019 lausuntopyyntöön VN/5281/2019 perustuvaan lausuntoonsa. Tuolloin vasta lyhyen aikaa soveltavaa oikeutta olleesta tietosuoja-asetuksesta esittämässään lausunnossaan Asianajajaliitto totesi yleisenä näkemyksenään, että tietosuoja-asetuksella on ollut erittäin merkittävä vaikutus siihen, miten organisaatiot Suomessa suhtautuvat tietosuojaan ja tietosuojasääntelyyn. Tämä yleinen käsitys voidaan nyt entistä vahvempana uudistaa.
 
Asetuksen ansiosta tietosuojavelvoitteet huomioidaan niin yksityisellä kuin julkisella sektorilla aiempaa selvästi paremmin. Asianajajaliitto toteaa, että kehitys kuluneiden viiden vuoden aikana on myös ollut jatkuvasti etenevää, mutta merkittävin uuden lainsäädännön luoma insentiivi parantaa käytäntöjä näyttäytyy asetuksen ensimmäisten vuosien jälkeen menettäneen merkitystään kansallisen tietosuojaviranomaisen varsin näkymättömän valvontatoiminnan seurauksena.
 
Merkittävimpänä hyötynä tietosuoja-asetuksesta voidaan kuitenkin pitää kansalaisten oikeuksien entistä tehokkaampaa toteutumista ja yksilöiden tietosuojaan kohdistuvien riskien aiempaa parempaa hallintaa sekä tietoisuuden lisääntymistä tietosuojavelvoitteista ainakin yleisellä tasolla.
 
Merkittävimmät haasteet taasen liittyvät Asianajajaliiton näkemyksen mukaan tietosuoja-asetuksen digitaalisen liiketoiminnan sekä julkisen sektorin digitalisaatiota epätarkoituksenmukaisella tavalla rajoittavaan ohjausvaikutukseen. Osittain tämän voidaan katsoa johtuvan myös tietosuoja-asetusta täydentävästä kansallisen tason tietosuojasääntelystä. 
 
Onko tietosuojalaki koettu yleisesti toimivaksi? Minkälaisia haasteita sen soveltamisessa on ilmennyt? 
 
Tietosuojasääntely koetaan organisaatioiden näkökulmasta vaikeaselkoiseksi kokonaisuudeksi, jota on haastavaa soveltaa käytännössä. Myös viranomaisohjeistuksen ja -ohjauksen puute on myös saanut osakseen perusteltua kritiikkiä. Nämä seikat yhdessä johtavat siihen, että sääntelyn yhdenmukainen tulkitseminen tai soveltaminen ei toteudu toivotulla tavalla edes kansallisella tasolla.
 
Kansallisella tietosuojalailla tavoiteltiin osaltaan selkeyttä ja helppoutta asetuksen soveltamiseen. Valitettavasti Asianajajaliitto katsoo, että tässä tavoitteessa ei olla onnistuttu, osin kansallisen sääntelyliikkumavaran rajoittumisen sekä toisaalta viranomaistulkintojen vähäisen määrän vuoksi. Ongelmallista tietosuojalain osalta on myös sen vaikutukset tietosuoja-asetuksella tavoiteltuun harmonisaatioon. Kansallisten räätälöintien sijaan myös kansallisella tasolla olisi lähtökohdaksi harmonisaatiotavoite huomioiden suositeltavampaa ottaa mahdollisimman yhdenmukainen ja tehokas eurooppalainen tietosuojasääntely, jossa kansalaisten perustavanlaatuiset oikeudet olisi tarkoituksenmukaisella tavalla tasapainotettu asetuksen sisämarkkinaoikeudellisiin tavoitteisiin.
 
Onko yleisen tietosuoja-asetuksen mahdollistamaa sääntelyliikkumavaraa käytetty EU:ssa ja Suomessa tarkoituksenmukaisella tavalla? Jos ei, miten ja minkälaisia tilanteita varten tietosuoja-asetuksen sääntelyliikkumavaraa tulisi käyttää eri tavoin kuin on tehty?
 
Asianajajaliitto katsoo, että Suomen sääntelyliikkumavaran käytön suhteen tekemät ratkaisut ovat valitettavasti käytännön kokemuksen perusteella osoittautuneet monilta osin epäonnistuneiksi.
 
Merkittävimmät ongelmat liittyvät työelämän sääntelyyn, mihin liittyen suomalainen sääntely osin mahdollisesti ylittää sallitun sääntelyliikkumavaran ja on siten mahdollisesti ristiriidassa tietosuoja-asetuksen kanssa (viittaamme Mia Eklundin väitöstutkimukseen Integritet och övervakning i arbetslivet – juridiska perspektiv på arbetsgivarens rätt arr övervaka arbetstagare, 2021). Kyseinen ristiriita on tullut viime vuosien aikana entisestään näkyvämmäksi, ja nostetaan näin ollen myös jäljempänä esiin tässä Asianajajaliiton lausunnossa.
 
Millä toimialoilla yleistä tietosuoja-asetusta on pantu täytäntöön tehokkaasti ja onnistuneesti huomioiden asetukselle asetetut tavoitteet edistää rekisteröityjen oikeuksien ja vapauksien toteutumista sekä edistää tiedon vapaata liikkuvuutta EU-alueella?
 
Asianajajaliitolla ei ole lausuttavaa tältä osin.
 
Minkälaisia haasteita on ilmennyt yleisen tietosuoja-asetuksen ja kansallisen lainsäädännön tai muun EU-lainsäädännön yhteensovittamisessa eri soveltamistilanteissa?
 
Asianajajaliiton näkemyksen mukaan haasteeksi yhteensovittamisessa osoittautuu kansallisten erityislakien pistemäisyys ja hajanaisuus sekä tietosuojan osalta säilytetyt kansalliset räätälöinnit ja lisävaatimukset. Tämä on omiaan luomaan esimerkiksi negatiivisia vaikutuksia kansainvälisten yritysten sijoittautumisratkaisuihin.
 
Asianajajaliitto katsoo, että erityisesti työelämän tietosuojalain ja tietosuoja-asetuksen soveltamiseen liittyy merkittäviä ristiriitoja. Teknologisten innovaatioiden myötä työntekijöiden henkilötietojen käsittelyn tarvetta liittyy nykyisin myös välittömästi liiketoiminnan harjoittamiseen. Tällainen asetelma on käsillä esimerkiksi puettavan teknologian tuotekehitykseen liittyen. Osana kehitystyötä tuotekehityksessä työskentelevien työntekijöiden olisi välttämätöntä kyetä itse testaamaan kehittämiään tuotteita ja teknologiaa. Käsiteltävät henkilötiedot ovat tällaisessa kontekstissa työntekijöiden terveydentilaa kuvaavina pidettäviä tietoja, kuten sydämen sykettä ja kehon rasitusta koskevia tietoja.
 
Kansallinen lainsäädäntömme näyttää tällaisissa yhteyksissä estävän kokonaisuudessaan työntekijöiden terveydentilaa koskevien tietojen käsittelyn, mukaan lukien työntekijöiden suostumuksella tai omasta aloitteesta tapahtuvan terveydentilaa koskevan teknisen datan keräämisen ja käsittelyn tilanteissa. Tämän seurauksena osa terveysteknologian tuotekehityksestä on alkanut rajautua pois Suomesta. Vaihtoehtoisesti esille nousee riski lainsäädännön rikkomisesta merkittävine taloudellisine sanktioineen. Tätä ei voida pitää Suomen kansallisen innovaatiopolitiikan ja kilpailukykytavoitteiden kannalta tarkoituksenmukaisina ja oikeasuhtaisina. Ongelmallisuutta lisää entisestään se, että Suomen lainsäädäntö poikkeaa rajoittavuudessaan tältä osin kaikkien muiden EU-jäsenvaltioiden tilanteesta. Lisäksi Asianajajaliitto toteaa, että kansallinen työelämän tietosuojalainsäädäntömme saattaa olla tältä osin ristiriidassa pakottavan EU-sääntelyn kanssa.
 
Työelämän tietosuojalain 5 §:n mukaan työnantajalla on oikeus käsitellä työntekijän terveydentilaa koskevia tietoja, jos tiedot on kerätty työntekijältä itseltään tai hänen kirjallisella suostumuksellaan muualta ja tietojen käsittely on tarpeen muun ohella sairausajan palkan tai siihen rinnastettavien terveydentilaan liittyvien etuuksien suorittamiseksi. Näin ollen säännös supistaa työntekijän suostumuksen soveltamisalaa terveystiedon käsittelyperusteena, eikä myöskään mahdollista terveystiedon käsittelyedellytyksistä poikkeamista edes työntekijän suostumuksella. 
 
Mia Eklundin 13.3.2021 julkaistu väitöstutkimus Integritet och övervakning i arbetslivet – juridiska perspektiv på arbetsgivarens rätt arr övervaka arbetstagare on tuottanut vastaavia havaintoja akateemisen tutkimuksen muodossa. Tutkimuksessa todetaan, että ristiriita Suomen työelämän tietosuojasääntelyn ja tietosuoja-asetuksen säännösten välillä syntyy tietyissä tilanteissa, joissa Suomen sääntely edellyttää työntekijän suostumusta joko henkilötietojen käsittelyn perusteena tai käsittelyn lisävaatimuksena, jotta työnantaja voi valvontansa yhteydessä käsitellä työntekijän henkilötietoja. Tällainen työelämän tietosuojasääntely vaikuttaisi Eklundin tutkimuksessaan yksilöimällä tavalla olevan tietosuoja-asetuksen mahdollistaman kansallisen sääntelyvaran ulkopuolella. 
 
Kun myös Euroopan komissio on tuonut lausuntopyynnössä viitatussa vuoden 2020 tiedonannossaan esille aikomuksensa edistää ja tukea tietosuojakehyksen yhdenmukaista soveltamista uusiin teknologioihin innovoinnin ja teknologisen kehityksen edistämiseksi, olisi suositeltavaa, että Suomessa kiinnitetään viipymättä huomiota kansallisesta sääntelystä aiheutuviin tietosuojasääntelyn rajoittaviin vaikutuksiin.
 
Suomalaisissa lainsäädäntöratkaisuissa tietosuoja-asetuksen soveltamistilanteissa nousee usein esille myös kansallisten suostumusvaatimusten tulkinta suhteessa tietosuoja-asetuksessa säädettyyn suostumukseen käsittelyperusteena. Keskeinen ja markkinakäytäntöjen valossa Asianajajaliiton käsityksen mukaan osittain epäselvä kysymys on, tuleeko tietosuoja-asetuksen suostumukselle asetettuja kriteereitä soveltaa myös näihin kansallisiin suostumusvaatimuksiin, joita työelämän tietosuojalain lisäksi on säädetty erityisesti myös potilastietolainsäädännössä. Sama kysymys koskee tilanteita, joissa käsittelyperuste tietosuoja-asetuksen valossa voisi olla muukin kuin suostumus, esimerkiksi oikeutettu etu? Edelleen on epäselvää, onko tällaisessa tilanteessa esimerkiksi sijaintitietoja käsiteltäessä tarpeen kuitenkin saada sähköisen viestinnän palveluista annetun lain (917/2014) edellyttämällä tavalla myös 160 §:n mukainen yksilön suostumus tavalla, joka täyttää tietosuoja-asetuksen suostumukselle asetetut vaatimukset?
 
Erillisenä huomionaan Asianajajaliitto kiinnittää huomiota EU-lainsäädäntö- ja valvontainstituutioissa vallalla olevaan käytäntöön painottaa tietosuojaa suhteessa muihin perusoikeuksiin. Tendenssi näyttäytyy erityisen vahvana Euroopan unionin yleisen tuomioistuimen ratkaisukäytännössä. 
 
Vastaavaa lähestymistapaa ei ole yleisesti havaittavissa Suomessa, ja lainsäädännön vaikutus viranomaisiin ja tuomioistuimiin voi ja tuleekin olla vain välillistä eli tietosuoja-asetuksen sisällöllisten vaatimusten muutosten kautta vaikuttavaa.
 
Asianajajaliitto katsoo, että riski tietosuoja-asetuksen ja kansallisen sääntelyn epätarkoituksenmukaisen sovittamisen asetelmista ei rajaudu vain tietosuoja-asetusta ennen voimassa olleen kansallisen sääntelyn epäonnistuneeseen/kesken jääneeseen sovittamiseen vaan tulee kokemuksemme mukaan jatkuvasti esille myös uutta sääntelyä voimaan saatettaessa, ja erityisesti silloin, kun tietosuoja-asetuksen merkittävää vaikutusta ei tunnisteta. Esimerkiksi lakiin oikeushallinnon valtakunnallisesta tietovarannosta säädettiin tiedotusvälineiden oikeus saada tuomioistuinten diaaritietoja journalistisiin tarkoituksiin. Hankkeen esivalmistelussa ei kuitenkaan arvioitu lainkaan asianajajien vastaavaa tiedonsaanti-intressiä ja -oikeutta, eikä kuulemisvaiheessa annetun Asianajajaliiton lausunnon jälkeenkään asianajajien oikeuksien sisällyttäminen osaksi lakia mahdollistunut siitä syystä, että asiaa ei valmistelevan ministeriön puolesta ollut riittävän varhaisessa vaiheessa tunnistettu. 
 
Onko eri jäsenvaltioiden tietosuojalainsäädäntöjen eroavaisuuksiin ja täytäntöönpanoon liittyen tunnistettu haasteita? Jos on, minkälaisia haasteita?
 
Asianajajaliitto katsoo, että tietosuoja-asetuksen kieliversioita tulisi tarkastella ja yhdenmukaistaa. Kieliversioiden eriävä sisältö aiheuttaa käytännön haasteita asetuksen soveltamisessa.
 
Esimerkiksi tietosuoja-asetuksen suomenkielisessä versiossa yritykseen viitataan samalla yritys-termillä läpi asetuksen, mutta englanninkielisessä versiossa yrityksestä käytetään termejä “enterprise” ja “undertaking”. Tältä osin asetuksen kieliversioiden yhdenmukaistaminen helpottaisi etenkin rekisterinpitäjinä ja henkilötietojen käsittelijöinä toimivia yrityksiä ymmärtämään, kuinka vastuu hallinnollisista seuraamusmaksuista kohdentuu, sekä ennakoimaan sääntelyn tulkintaa. (Viittaamme tältä osin myös artikkeliin Tietosuojavastuun kohdentuminen, Lång, Jukka – Kalliokoski, Toni – El Asry, Eila, Defensor Legis 1/2022 s. 170–191).
 
Eriävistä kieliversioista syntynyt haaste on perustellusti tunnistettu myös valvovan viranomaisen Liikenne- ja viestintäviraston päätöksessä Traficom/12698/09.00.01/2021: toisin kuin asetuksen englanninkielisessä tai ruotsinkielisessä versiossa, asetuksen suomenkielisen version johdanto-osan 42 kappaleessa oleva ylimääräinen sana “myöhemmin” aiheuttaa merkittäviä tulkintaongelmia.
 
Ovatko Euroopan tietosuojaneuvoston antamat ohjeet auttaneet käytännön soveltamistilanteisiin liittyvien ratkaisujen tekemisessä? Mitä yleisen tietosuoja-asetuksen tulkintaa koskevia ohjeita vielä tarvittaisiin?
 
Vaikka ohjeet ovat tämän lausunnon alussa tunnistetulla tavalla markkinatoimijoiden näkökulmasta tarpeellisia ja tervetulleita, ovat ne GDPR:n resitaalien tapaan neuvoa-antavia, eikä niillä ole oikeuslähteinä sitovaa vaikutusta. Tämä on käytännössä tärkeä näkökohta tunnistaa, sillä monin paikoin erityisesti Euroopan tietosuojaneuvosto näyttäisi ohjeillaan pyrkineen laventamaan asetuksen tulkintaa sekä painottamaan tulkintatilanteissa rekisteröityjen oikeuksia tietosuoja-asetuksen muiden tavoitteiden kustannuksella. Tietosuoja-asetuksen uudelleenarvioinnissa olisikin syytä erityisesti EU:n uudet, data- ja digisäätelyä koskevat hankkeet (datasäädös, tekoälyasetus etc.) ja niiden tavoitteet huomioiden arvioida, voisiko tietosuojan ja näiden säädösten keskinäisestä yhteensovittamisesta säätää lainsäädännön tasolla mahdollisimman selkeästi siten, että mahdolliset Euroopan tietosuojaneuvoston tai muiden viranomaisten päätöksenteon piirissä syntyvät, osin vastakkaisia tavoitteita voimakkaasti edistävät linjaukset voitaisiin ennaltaehkäistä.
 
Esimerkkinä ohjeiden mahdollisesti harhaan johtavasta hyödyntämisestä on tietosuojavaltuutetun Postiin kohdistama seuraamusmaksu ja siitä seurannut hallinto-oikeusprosessi, jossa yhdeksi syyksi sakon poistamiselle katsottiin hallinto-oikeuden toimesta tietosuojavaltuutetun liian tiukka Euroopan tietosuojaneuvoston ohjeiden tulkitsemisesta.
 
Onko edustamanne organisaatio ollut mukana laatimassa yleisen tietosuoja-asetuksen 40 artiklan mukaisia käytännesääntöjä tai harkinnut niiden laatimista? Mitkä ovat käytännesääntöjen laatimiseen liittyviä merkittävimpiä hyötyjä ja haasteita?
 
Kyllä. Asianajajaliitto käynnisti ensimmäisenä organisaationa Suomessa hankkeen, jonka tarkoituksena oli laatia ja voimaansaattaa käytännesäännöt henkilötietojen käsittelystä asianajotoimeksiantojen hoitamista koskevassa toimeksiantotyössä. 
 
Asian valmistelu aloitettiin Asianajajaliitossa jo vuosina 2018 ja 2019 asianajajakunnalle suunnattujen taustakyselyiden sekä tietosuojavaltuutetun toimiston kanssa käytyjen keskustelujen muodossa. Tämän jälkeen asiaa valmisteltiin intensiivisesti vuosina 2020–2021, jolloin Asianajajaliitto sai valmiiksi ja toimitti tietosuojavaltuutetun toimistolle henkilötietojen käsittelyyn asianajajan toimeksiantotyössä sovellettavat käytännesäännöt. Valmistelussa tehtiin yhteistyötä tietosuojavaltuutetun toimiston kanssa muun muassa keskeisten linjaustarpeiden osalta. Asianajajaliiton käytännesääntöhanke ei kuitenkaan toistaiseksi ole johtanut käytännesääntöjen käyttöönottoon tai hyväksymiseen. Valmistelussa tuli ilmeiseksi, että tietosuoja-asetuksen tunnistamien käytännesääntöjen luonne on muuttunut siitä, mitä käytännesäännöt olivat aikaisemmin henkilötietolain voimassaollessa. Voimaansaattamisen prosessissa oli tapahtunut merkittävä muutos verrattaessa henkilötietolain aikaiseen tietosuojavaltuutetun kanssa tehtyyn yhteistyöhön sekä ylipäänsä käytännesääntöjen käyttöönottomahdollisuuksiin. Ennen tietosuojavaltuutettu saattoi olla kiinteästi mukana käytännesääntöjen laatimisessa, mutta valvontaviranomaisen roolistaan johtuen tietosuojavaltuutettu on sittemmin katsonut tämän mahdollisuuden poistuneen. 
 
Vaikeutuneen voimaansaattamisprosessin ohella käytännesäännöiltä edellytetty valvontamekanismi ja valvontaelimen akkreditointimenettely näyttäytyvät Asianajajaliiton työryhmän yleisen kokemuksen perusteella varsin vaativilta toteuttaa suhteessa käytännesäännöillä saavutettaviin etuihin. Sen, että käytännesääntöjä ei olla viiden vuoden aikana saatettu Suomessa voimaan yksiäkään, voidaan katsoa kertovan osa-alueen jäämisestä marginaaliin tietosuojan toteuttamisessa. Kun verrataan tilannetta henkilötietolain aikaiseen varsin vireään käytännesääntötoimintaan, voidaan käsillä olevaa asetelmaa pitää hyvin valitettavana. Käytännesääntöjen valvontaelintä ja valvontaa koskevat akkreditointiohjeet hvyäksyttiin 29.1.2021, jonka jälkeen Asianajajaliitto valmisteli, mahdollisiin valvontaelimeen kohdistuvista vaativista edellytyksistä huolimatta, hakemuksen käytännesääntöjen valvontaelimen akkreditoimiseksi. Asianajajaliitto jätti hakemuksen liitteineen asiasta tietosuojavaltuutetun toimistolle 15.3.2021. Tämän jälkeen asiaan ei ole palattu, ja Asianajajaliiton hakemus on edelleen käsittelyssä. 
 
Onko yleisen tietosuoja-asetuksen täytäntöönpanoon liittyvä seuraamusjärjestelmä Suomessa tehokas ja tarkoituksenmukainen? Mitä merkittävimpiä hyötyjä ja haasteita seuraamusjärjestelmään liittyy?
 
Seuraamusjärjestelmää ei Suomessa käytännössä erikoiseksi koetulla tavalla pitkään käytetty, kunnes vuoden 2020 toukokuussa langetettiin ensimmäiselle neljälle yritykselle seuraamusmaksu tietosuojavelvoitteiden rikkomisesta. Näistäkin tosin ainoastaan Kymen Vesi Oy:lle määrätty 16 000 euron seuraamusmaksu on tähän mennessä toteutunut täysimääräisenä lainvoimaisella päätöksellä. Jaakko-Tuote Oy:n seuraamusmaksu kumottiin, ja Taksi Helsinki Oy:n sekä Posti Group Oyj:n asiat ovat vielä vireillä KHO:ssa. Nämä päätökset merkitsivät kuitenkin väistämättä tietynlaisen epävarmuuden poistumista ja uuden valvontakäytännön alkua suomalaisessa tietosuojakentässä. Keskeisin viesti seuraamusjärjestelmällä onkin Asianajajaliiton näkemyksen mukaan se, että tietosuojavaatimuksilla on todella merkitystä, ja että ne edellyttävät asianmukaista, rekisterinpitäjäkohtaista arviointia sekä toimenpiteitä. 
 
Verratessa nykytilannetta sekä erityisesti suurten yritysten ja jossain määrin myös pk-yritysten tietosuojavelvoitteista huolehtimiseksi suorittamia toimenpiteitä nykyistä seuraamusjärjestelmää edeltävään aikaan on tehtävissä johtopäätös seuraamusjärjestelmän olemassaolon olennaisesta vaikutuksesta tietosuojavelvoitteiden käytännön toteutumiseen.
 
Merkittävin ongelma seuraamusjärjestelmän soveltamisessa Suomen oloissa kohdistuu Asianajajaliiton näkemyksen mukaan siihen, että julkisen sektorin toimijat rajautuvat nykyisellään seuraamusmaksuriskin ulkopuolelle. Eriytetty seuraamusjärjestelmä, jossa julkisella sektorialla vastuunkantajaksi jäisi yksittäisen virkamies virkavastuunsa perusteella voidaan myös perustellusti kokea kohtuuttomaksi. Petteri Orpon hallituksen ohjelmaan 20.6.2023 on tätä silmällä pitäen kirjattu maininta hallituksen toteuttamasta tietosuojalainsäädännön kokonaisuudistuksesta, jonka yhteydessä säädetään hallinnolliset seuraamusmaksut tietosuojaloukkauksista koskemaan sekä julkista että yksityistä sektoria yhtäläisesti. Asianajajaliitto pitää muutoksen toteuttamista kannatettavana ja sitä puoltavat myös erinäiset juridis-tekniset perusteet.
Esimerkiksi, on tunnistettavissa riski siitä, että vastuu tietosuojavelvoitteen rikkomisesta saattaa ulottua varsinaisen loukkaukseen tai laiminlyöntiin syyllistyneen tahon lisäksi myös sen emoyhtiöihin. Yrityskauppojen osalta vastuu seuraamusmaksusta voi puolestaan seurata myyjän omaisuuserien mukana, vaikka osapuolet eivät olisi sopineet siitä tai olisivat nimenomaisesti sopineet sitä vastaan. Tämä ongelma juontuu siitä, että EUT:n ratkaisulinja on toistaiseksi epäselvä sen suhteen, tulkitseeko se tietosuoja-asetuksen mukaista vastuunjakoa samantyyppisesti kuin kilpailuoikeudellista vastuuta. Kilpailuoikeudellinen lähestymistapa korostaa yhtiöitä taloudellisina yksiköinä, jossa emoyhtiöt voidaan melko helposti saattaa rikkomuksista yhteisvastuuseen tytäryhtiönsä kanssa, vaikka emoyhtiö ei olisi todellisuudessa edes osallistunut rikkomuksiin tai edes tiennyt niistä. Näin ollen, jos vastuun kohdentuminen muotoutuu tietosuojan kohdalla samankaltaiseksi kuin kilpailuoikeudessa, vastuuta voi jatkossa olla vaikea kohdistaa vain varsinaisen tietosuojaloukkauksen tehneeseen yrityksen ja sen omaisuuteen. (Viittaamme tältä osin myös artikkeliin Tietosuojavastuun kohdentuminen, Lång, Jukka – Kalliokoski, Toni – El Asry, Eila, Defensor Legis 1/2022 s. 170–191).
 
Edellä todettua ja seuraamusjärjestelmän huolellista arviointitarvetta korostava oikeustapaus on parhaillaan vireillä Euroopan unionin tuomioistuimessa (C-807/21). Julkisasiamies otti asiaan kantaa toteamalla, että yritystä ei ole seuraamuksen määräämistilanteissa pidettävä muodollisena oikeushenkilönä vaan taloudellisena kokonaisuutena, jolloin määrä määräytyy seuraamusmaksun “adressaatin todellisen tai aineellisen taloudellisen kapasiteetin perusteella”, ja jonka vuoksi sakon laskemisessa on käytettävä aineellista tai taloudellista yrityksen käsitettä tiukan muodollisen käsitteen sijaan. Julkisasiamiehen ratkaisuehdotuksessa todetaan, että GDPR-sakkojen määrän määrittämisessä käytetään siis kilpailuoikeudelle ominaista tosiasiallista tai aineellista määritelmää, ja soveltaminen ei näin ollen estä soveltamasta analogian kautta kilpailuoikeuden seuraamusjärjestelmän yleisiä periaatteita. Myös Euroopan tietosuojaneuvoston toukokuussa 2023 julkaistun uuden sakko-ohjeen sivuilla 35–38 viitataan kilpailuoikeuden periaatteisiin.
 
Suomen on Asianajajaliiton näkemyksen mukaan syytä huomioida tämä tuore EU-tasoinen kehitys arvioidessaan seuraamusjärjestelmän selkeyttä ja toimivuutta erityisesti julkisen sektorin toimijoiden vastuun näkökulmasta.
 
Merkittävin seuraamusjärjestelmän ongelma liittyy Asianajajaliiton näkemyksen mukaan kuitenkin rekisteröityjen oikeussuojaan ja sen toteutumatta jäämiseen. Vastaamo-tapaus on surullinen esimerkki siitä, kuinka rekisteröidyt ovat suurella todennäköisyydellä jäämässä ilman heille tietosuoja-asetuksen takaamaa oikeutta vahingonkorvaukseen. Keskeinen ongelma tässä suhteessa ovat prosessuaalis-käytännölliset syyt, joihin olisi kuitenkin mahdollisuus vaikuttaa sääntelyllä. Tietosuojalain hallituksen esityksessä todetulla tavalla olisi syytä palata arvioimaan ryhmäkanteen käyttömahdollisuutta tietosuojavahinkojen käsittelyn osalta.
 
Ryhmäkanne olisi, jo asetuksen valmistelun yhteydessä EU:n tasolla todetulla tavalla erityisen sopiva juuri tietosuoja-asetuksen rikkomistilanteiden käsittelyyn, etenkin kun oikeusjärjestyksessämme on jo toisaalla tällaisesta mahdollisuudesta säädetty. Tietosuojavaltuutetun toimiston resursseja ja toimintakäytäntöjä ajatellen ryhmäkanteen ajamismahdollisuutta ei kuitenkaan tulisi rajata yksinomaan viranomaislähtöisiin prosesseihin.
Ovatko yleisen tietosuoja-asetuksen kansainväliset tiedonsiirtomekanismit toimivia vai tulisiko niitä kehittää edelleen ja miten niitä tulisi kehittää edelleen? Mitkä ovat olleet kansainvälisiin tiedonsiirtoihin liittyvät merkittävimmät hyödyt ja haasteet?
 
Asianajotoiminnassa syntyneiden kokemusten perusteella määräytyvän Asianajajaliiton kannan mukaan kansainvälisiä tiedonsiirtoja tulisi helpottaa. Tiedonsiirtoriskien arviointikriteeriksi olisi suositeltavaa hyväksyä riskiperusteisuus erityisesti huomioitaessa tilanteet, joissa siirtyy vain yksityisyyden suojalle muodostuvan riskin kannalta epäolennaista tai vähämerkityksellistä, triviaalia henkilötietoa. 
 
Haasteita EU:n ja Yhdysvaltojen väliselle tiedonsiirrolle on luonut erityisesti Schrems II -tuomio vuonna 2020. Tuomiolla mitätöitiin ns. Privacy Shield -mekanismi, joka aiemmin mahdollisti henkilötietojen siirrot EU:sta Yhdysvaltoihin Euroopan komission tekemän riittävyyspäätöksen nojalla. EU:n näkökulmasta riskinä on nähty se, että Yhdysvaltojen viranomaiset ovat voineet saada pääsyn EU:sta Yhdysvaltoihin siirrettyihin henkilötietoihin. Privacy Shieldin mitätöinti ajoi eurooppalaiset yritykset turvautumaan vaihtoehtoisiin siirtomekanismeihin laillistaakseen tiedonsiirron Yhdysvaltoihin. Samalla Schrems II -tuomio painotti, että tällaiset vaihtoehtoiset siirtomekanismit vaatisivat osakseen perusteellista tarkastelua henkilötietojen suojan tason takaamiseksi. Yhdysvaltojen välinen tiedonsiirto näytti näin ollen muodostuvan tarpeettoman raskaaksi. Kun lukuisat eri oikeushenkilöt joutuivat eri puolilla Eurooppaa toteuttamaan vastaavia arviointeja samanaikaisesti ja rinnakkain (päätyen ilman tietosuojaviranomaisten julkiseksi tekemiä rajoitteita tyypillisesti samaan, siirrot mahdollistavaan tulokseen) kulutettiin kansantalouden näkökulmasta epätarkoituksenmukaisella tavalla eurooppalaisia resursseja.
 
Asianajajaliitto katsoo, että riskiperusteisen arvioinnin mahdollisuuden myötä tehdyt arvioinnit olisivat todennäköisesti johtaneet nyt toteutuneiden jäykän muodollisten linjausten sijaan olemassa olevia riskejä paljon tehokkaammin hallitseviksi.
 
Tilanne helpottui huomattavasti lokakuussa 2022, kun presidentti Joe Bidenin hallinto julkaisi toimeenpanomääräyksen uudesta EU:n ja Yhdysvaltojen välisestä tietosuojakehyksestä. Uudella mekanismilla pyritään korjaamaan Schrems II -tuomiossa yksilöidyt Privacy Shield -järjestelmän puutteet. Euroopan komission riittävyyspäätös asiassa tuli voimaan 10.7.2023 eli Yhdysvaltojen lainsäädäntöön tehdyt muutokset koetaan näin ollen riittäviksi.
 
Vaikka uusi tietosuojakehys on otettu hyvin myönteisesti vastaan markkinatoimijoiden keskuudessa, tilanne näyttäytyy tulevaisuudessa edelleen epävarmana. On välttämätöntä varautua siihen, että nykyinen Yhdysvaltojen tietosuojan riittävyyttä koskeva mekanismi saatetaan jälleen mitätöidä tai ettei sitä voida soveltaa tietyntyyppisiin siirtoihin. Tämän vuoksi vaihtoehtoisten siirtomekanismien varaan turvautuminen, ongelmistaan huolimatta, pysyy edelleen vähintäänkin vaihtoehtoisena toimintamallina tietojensiirtojen toteuttamiseen valmistautuessa.
Onko yleisen tietosuoja-asetuksen ns. laajennettu alueellinen soveltamisala, joka kattaa myös EU:n markkinoilla toimivien kolmansien maiden toimijoiden suorittaman henkilötietojen käsittelyn, toiminut tarkoituksenmukaisella tavalla? Olisiko yleisen tietosuoja-asetuksen täytäntöönpanoon liittyvää yhteistyötä kolmansien maiden kanssa tarpeen kehittää ja miten?
 
Asianajajaliiton käsityksen mukaan kolmansien maiden toimijoihin kohdistettavien tutkinta- tai valvontatoimenpiteiden sijaan kansalliset tietosuojaviranomaiset tapaavat – tämän mahdollisuuden käytettävissä olemisesta huolimatta – valita etenemistavan, jossa toimenpiteet kohdistetaan esimerkiksi yhdysvaltalaisen suuryrityksen sijaan sen kooltaan ja toimintamahdollisuuksilta paljon pienempään suomalaisasiakkaaseen. Asetuksella tavoiteltu laajennettu soveltamisala huomioiden tällaista viranomaiskäytäntöä ei voida pitää tarkoituksenmukaisesti ohjautuvana. Syynä toiminnalla saattaa olla vaihtoehtoisen tien koettu hankaluus, mutta kun vaikuttavuus tällaisella palveluntarjoaja-/ suuryrityslähtöisellä valvonnalla olisi Asianajajaliiton käsityksen mukaan oletettavasti merkittävästi tehokkaampaa, ei nykykäytäntöä voi pitää perusteltuna, ja asiaan tulisi kiinnittää huomioita.
 
Kommentit yleisen tietosuoja-asetuksen I lukuun – Yleiset säännökset
 
Henkilötiedon määritelmä on koettu sen laajuuden vuoksi haasteelliseksi käytännön soveltamistilanteissa. Nykyisellään henkilötiedoilla tarkoitetaan asetuksen 4 artiklan mukaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Esimerkiksi tilanteita, joissa käsitellään vain pseudonymisoitua dataa, olisi perusteltua helpottaa rajaamalla henkilötietojen liian laveaksi muodostunutta tulkintaa. Pseudonyymin datan käsitteen mukaan ottamisella tavoiteltiin mahdollisuutta säätää tällaisen datan käsittelystä muun henkilötiedon käsittelyä kevyemmin. Tämän tavoitteen toteuttamiseen tulisi tietosuoja-asetuksen uudistuksella pyrkiä.
 
Samalla olisi mahdollisuus puuttua Euroopan unionin tuomioistuimen tulkintakäytännössä jatkuvasti laventuvan henkilötietojen käsitteen ongelmallisuuteen.
 
Euroopan unionin tuomioistuimen pyrkimys laventaa tietosuoja-asetuksen soveltamisalaa näyttäytyy ilmeisenä. Kun samalla on kuitenkin tunnustettava, että tietosuojasääntelyn mahdollisuus vaikuttaa globaaliin teknologiakehitykseen on rajattua, voidaan epätarkoituksen lavealle soveltuvan tietosuojasääntelyn mielekkyys kyseenalaistaa. EUT:n entinen julkisasiamies Michal Bobek totesi asiaan C-245/20 6.10.2021 antamassaan ratkaisuehdotuksessa, että ”nykyinen lähestymistapa johtaa vähitellen siihen, että yleinen tietosuoja-asetus on yksi niistä EU:n oikeuden lainsäädäntökehyksistä, joita ei useimmiten tosiasiallisesti noudateta.” Asianajajaliitto katsoo, että sääntelyn nykyistä tarkoituksenmukaisempi rajaaminen aidosti yksityisyyden suojan ja siihen kohdistuvien riskien kannalta merkitykselliseen dataan olisi suositeltava reaktio todettuun riskiin vastaamisessa.
 
Kommentit yleisen tietosuoja-asetuksen II lukuun – Periaatteet
 
Henkilötietojen käsittelyperusteita olisi tarpeen laventaa nykyisestä ja käsittelyn mahdollistavia mekanismeja tulisi tuoda jo asetustasolle. Tämä tarkoittaa esimerkiksi rajatun käsittelyn hyväksymistä teknologian kehittämisen tarkoituksessa. Tästä olisi siis suositeltavaa säätää omana, rajoitettuna itsenäisenä uutena käsittelyperusteena. Mallia sääntelytekniselle ratkaisulle voisi hakea ex analogia myös vertailulla sähköisen viestinnän palveluista annettuun lakiin (917/2014), jossa on säädetty erillisestä oikeudesta toimenpiteisiin tietoturvan toteuttamiseksi (272 §). 
 
Myös rinnakkaisten käsittelyperusteiden olemassaolon mahdollisuus tulisi Asianajajaliiton näkemyksen mukaan vahvistaa, sillä soveltuva käsittelyperuste vaikuttaa muun muassa rekisteröidylle kuuluvien oikeuksien toteutumiseen, ja tällä hetkellä on epävarmaa, miten rinnakkaisten käsittelyperusteiden tilanteita tulisi tulkita. 
 
Olennainen kysymys liittyy myös henkilötietojen luovutettavuuteen. Nykyisellään kansalliset tulkinnat ja erityislakien säännökset rajoittavat tietojen luovutettavuutta ja luovat merkittävästi epäselvyyttä ja tehottomuutta. Henkilötietojen nykyistä selvempi ja laajempi luovutettavuus, esimerkiksi viranomaisyhteistyöhön liittyen, olisi näin ollen tarkoituksenmukaista säätää jo tietosuoja-asetuksen tasolla.
 
Lisäksi Asianajajaliitto katsoo, että tietosuoja-asetuksen 5 artiklaan sisällytetty vaatimus käyttötarkoitussidonnaisuudesta on nykyisellään epätarkoituksenmukaisen ankara. Lieventämällä käyttötarkoitussidonnaisuuden vaatimusta turvattaisiin samalla paremmin erilaisen uuden teknologian, kuten erityisesti tekoälyratkaisujen käyttömahdollisuuksien hyödyntäminen. Erityisesti datan muuttuvien käsittelytarpeiden vuoksi myös informointivelvollisuus koetaan nykymuodossaan epäkäytännöllisen joustamattomaksi, ja myös tätä tulisi muutoksen yhteydessä uudelleenarvioida. 
 
Compliance-taakkaa voisi yhtä lailla keventää pienempien organisaatioiden kohdalla. Velvoitteet voisi ainakin osittain suhteuttaa organisaatioiden kokoon toimialaan tai tietojenkäsittelyn laajuuteen. 
 
Rekisterinpitäjän osoitusvelvollisuus puolestaan toimisi käännetyn todistustaakan sijaan paremmin “comply or explain” -tyyppisenä velvoitteena. Osoitusvelvollisuus on säädetty tavalla, joka sopii Asianajajaliiton käsityksen mukaan huonosti pienten organisaatioiden tosiasiallisiin mahdollisuuksiin, ja siten vähentää asetuksen keskeisen sääntelyratkaisun painavuutta.
 
Kommentit yleisen tietosuoja-asetuksen III lukuun – Rekisteröidyn oikeudet
 
Asianajajaliitto katsoo, että rekisteröidyn oikeus tarkastaa käsiteltävänä olevat henkilötietonsa on säädetty tarpeettoman laajaksi. Nykyisenkaltainen sääntelytapa on luonut mahdollisuuden tarkastusoikeuden shikaaninomaiselle käytölle myös puhtaasti ns. häirintätarkoituksissa, ja moni organisaatio onkin joutunut käyttämään kohtuuttomasti resursseja näihin tilanteisiin vastatessaan. Markkinoilla on havaittavissa tapauksia, joissa rekisteröity esittää rekisterinpitäjälle hyvin laajan omien tietojen tarkastusvaatimuksen tilanteessa, jossa varsinainen syy liittyy täysin muuhun seikkaan, kun huoleen tietosuojaan liittyvien oikeuksien vaarantumisesta, esimerkiksi työntekijän työsuhteen päättymistilanteissa.
 
Ajatustapa siitä, että tarkastusoikeuden tulisi kattaa ”kaikki tiedot” luo käytännössä merkittävää epäselvyyttä vaatimuksen tosiasiallisesta ulottuvuudesta ja suhteesta esimerkiksi dokumentin saantioikeuteen, jota ei tarkastusoikeuden sääntelyllä voi olettaa tavoitellun. Nykyinen toteutustapa siis itsessään lisää Asianajajaliiton käsityksen mukaan riskiä oikeuden väärinkäytöstä, joten oikeutta olisi perusteltua rajoittaa nykyisestä. Asiaa tulisi lähestyä myös teknisten mahdollisuuksien ja tietojärjestelmien ominaisuuksien kautta. Sääntely, jonka tosiasialliseen sanamuodon mukaiseen toteuttamiseen sellaisenaan ei yhdelläkään organisaatiolla ole mahdollisuutta, on omiaan rapauttamaan käsitystä koko tietosuoja-asetuksen velvoittavuudesta.
Kommentit yleisen tietosuoja-asetuksen IV lukuun – Rekisterinpitäjä ja henkilötietojen käsittelijä
 
Asianajajaliitto katsoo, että tietoturvaloukkauksiin liittyviä vaatimuksia olisi hyödyllistä yhdenmukaistaa ja kohtuullistaa. Ilmoituskynnystä tulisi esimerkiksi alentaa ja ilmoitusten sisältövaatimuksia yhdenmukaistaa, sillä tällä hetkellä samanaikaisesti eri jäsenvaltioihin ilmoituksia tekevät yritykset joutuvat ilmoittamaan saman tietoturvaloukkaustapauksen perusteella osin merkittävästikin erilaisia tietoja eri jäsenvaltioihin. 
 
Myös tietoturvaloukkauksiin kytkeytyvät aikamääreet kaipaisivat käsityksemme mukaan uudelleenarviointia. Olisikin perusteltua ottaa arvioitavaksi, onko 72 tunnin ilmoitusaikavaatimuksella tavoitettu sille asetetut tavoitteet, vai poikkeavatko ne tästä toteutusmallista. 
 
Tietosuojavastaavan nimityskriteereihin liittyy myös tulkinnanvaraisuuksia ja epäselvyyksiä, joita tulisi selventää.
 
Asianajajaliitto katsoo myös, että asetukseen otetuttuihin erityismekanismeihin liittyvä tietosuojaviranomaisten edistämis- ja ratkaisuvalta mielletään epätarkoituksenmukaisen laajaksi. Tätä ulottuvuutta olisi paikallaan supistaa esimerkiksi alentamalla käytännesäännöiltä edellytettäviä vaatimuksia sekä sertifiointien kynnystä. Tietosuoja-asetuksessa on tällä haavaa joukko toimimattomia sertifiointimekanismeja, ja muutoinkin tätä ohjausta on asetuksen piirissä tapahtunut hyvin vähäisessä mittakaavassa, eivätkä tietosuojaviranomaiset ole hyödyntäneet heille tämän ulottuvuuden osalta suotuja mahdollisuuksia. Kansallisella tasolla ratkaistavaksi jääkin huomion kiinnittäminen siihen, ettei tietosuojaviranomaisen toimintakäytännöt näyttäytyisi liian rajoittuneina ja passiivisina.
 
Kommentit yleisen tietosuoja-asetuksen V lukuun – Henkilötietojen siirrot kolmansiin maihin tai kansainvälisille järjestöille
 
Asianajajaliitolla ei ole lausuttavaa tältä osin.
 
Kommentit yleisen tietosuoja-asetuksen VI lukuun – Riippumattomat valvontaviranomaiset
 
Asianajajaliitolla ei ole lausuttavaa tältä osin.
 
Kommentit yleisen tietosuoja-asetuksen VII lukuun – Yhteistyö ja yhdenmukaisuus
 
Asianajajaliitolla ei ole lausuttavaa tältä osin.
 
Kommentit yleisen tietosuoja-asetuksen VIII lukuun – Oikeussuojakeinot, vastuu ja seuraamukset
 
Asianajajaliitto katsoo, että vastuun ja kontrollin tulisi seurata paremmin toisiaan eri roolien, kuten rekisterinpitäjän, yhteisrekisterinpitäjän, rinnakkaisen rekisterinpitäjän, käsittelijän, alikäsittelijän ja satunnaisen käsittelijätahon välillä. Roolitusta tulisi järkeistää siten, että kussakin tilanteessa huomioitaisiin paremmin eri roolien tosiasialliset asetelmat, jotta vastuut ja velvollisuudet kohdistuisivat oikealle taholle. Esimerkiksi tietosuoja-asetuksen 28 artiklan noudattaminen on erityisen haasteellista ketjutetun käsittelyn tilanteissa ja/tai käytettäessä pilvipalveluita, jolloin palveluiden toimitusketjussa – eli erillisinä henkilötietojen käsittelijöinä – toimii monia erillisiä yrityksiä, joilla ei ole luontevaa yhteyttä palveluita ostavaan rekisterinpitäjään.
 
Rekisterinpitäjän ja käsittelijän välinen vastuunjakonormi tulisi asettaa pakottavaksi tämänkaltaisten neuvotteluvoimaltaan ylivoimaisten käsittelijätahojen vallan rajoittamiseksi ja nykyisen vinouman korjaamiseksi. Käytännössä tällä puututtaisiin yhdysvaltalaisten suuryritysten asemaa, jossa niillä on usein ylivoimaisen neuvotteluaseman lisäksi, selkeä etumatka digiteollisuuden kentällä.
 
Tietosuoja-asetuksen 80 artikla on tarjonnut mahdollisuuden ryhmäkannetyyppiseen kansalliseen sääntelyyn. Muun ohella ryhmäkannelakia muuttanut hallituksen esitys HE 111/2022 vp toikin viimein mahdollisuuden ryhmäkanteen nostamiseen myös tietosuojaa koskevissa asioissa. Tämä lisää uuden elementin rekisteröidyn oikeussuojakeinojen joukkoon, ja olisi ollut kaivattu tukipilari esimerkiksi Vastaamo-tapauksen uhrien oikeuksien turvaamiseksi. 
 
Tietosuoja-asetuksen 82 artiklaan kohdistuu epäselvyyttä. Markkinakäytäntöjen valossa on tulkinnanvaraista, onko rekisterinpitäjän ja henkilötietojen käsittelijän vahingonkorvausvastuuta rekisteröityyn nähden käsittelevä säännös dispositiivinen vai indispositiivinen eli voisiko regressivastuusta sopia toisin kuin asetus määrää. Toinen kysymys on se, voisiko rekisterinpitäjä pätevästi sopimusehdoin velvoittaa käsittelijän maksamaan rekisterinpitäjälle langetetut seuraamusmaksut. 
 
Edellä seuraamusjärjestelmän toimivuutta koskien esitetyt huomiot rekisteröityjen oikeussuojan riittämättömyydestä nykytilanteessa on Asianajajaliiton näkemyksen mukaan syytä myös huomioida tässä yhteydessä.
 
Kommentit yleisen tietosuoja-asetuksen IX lukuun – Tietojenkäsittelyyn liittyviä erityistilanteita koskevat säännökset
 
Asianajajaliitolla ei ole lausuttavaa tältä osin.
 
Helsingissä 6. päivänä syyskuuta 2023
 
SUOMEN ASIANAJAJALIITTO
 
Niko Jakobsson
Suomen Asianajajaliiton pääsihteeri
 
 
LAATI
Asianajaja Jukka Lång, Helsinki
 
 
Suomen Asianajajaliiton lausunnot valmistellaan oikeudellisissa asiantuntijaryhmissä, joiden toiminnassa on mukana noin 120 asianajajaa. Tämä lausunto on valmisteltu arvopaperimarkkina- ja rahoitusoikeuden asiantuntijaryhmässä.