Tulostusversio

4/2012

Uusi tietosuojalainsäädäntö: Yhteisille säännöille kyllä, byrokratialle ei

Teksti: Päivi Männikkö

Yritysten mielestä EU:n tietosuoja-asetusehdotuksessa on kannatettavia periaatteita, mutta niiden toteuttamisen pelätään lisäävän merkittävästi hallinnollista taakkaa yrityksissä.

Brysselin hallintokortteleiden käytävillä käydään nyt kovaa vääntöä komission ehdottaman tietosuojalainsäädännön uudistuspaketin sisällöstä. Euroopan komissio antoi ehdotuksen yleisestä tietosuoja-asetuksesta tammikuussa 2012. Asetusehdotusta käsitellään neuvostossa ja Euroopan parlamentissa vuonna 2013.

Komission asetusehdotusta on luettu yrityksissä vaihtelevin reaktioin. Asetuksen tärkeimpiä tavoitteita ovat sääntelyn yksinkertaistaminen ja yhdenmukaistaminen sekä hallinnollisen taakan keventäminen. Yritysten mukaan ehdotus johtaisi yritysten sisäisen byrokratian kasvuun tuomatta vastaavasti merkittäviä uusia hyötyjä.

Yhden luukun periaate saa kehuja

Kärjistetysti EU:ssa on nyt 27 hieman erilaista mallia, joilla henkilötietodirektiivin vaatimuksia toteutetaan kansallisessa lainsäädännössä ja viranomaistyössä. Asetusehdotuksella komissio pyrkii siihen, että tietosuojan pelisääntöjä toteutettaisiin joka maassa samalla tavalla. Asetus on EU-maita suoraan velvoittavaa lainsäädäntöä.

Useaan jäsenvaltioon sijoittautuneet yritykset toimivat ehdotuksen mukaan pääasiassa yhden maan tietosuojaviranomaisen kanssa, jolla on oikeus valvoa organisaation henkilötietojen käsittelyä kaikissa EU-maissa. Viranomaislinjan yhtenäistämiseksi jäsenmaiden tietosuojaviranomaiset tekevät yhteistyötä ja vaihtavat tietoja entistä tiiviimmin.

Yhden luukun periaate saa yrityksiltä kiitosta.

“Säännösten yhdenmukaistaminen ja yhden toimivaltaisen viranomaisen malli tekevät EU:ssa toimimisen helpommaksi”, sanoo internetyhtiö Googlen policy manager Martin Ruby.

Paljon uusia pykäliä

Komissio haluaa yksinkertaistaa tietosuojasääntelyä, mutta asetusehdotus saattaa elinkeinoelämän mukaan johtaa päinvastaiseen lopputulokseen.

”Ehdotus sisältää nykyistä henkilötietodirektiiviä ja kansallista henkilötietolakia merkittävästi yksityiskohtaisempaa sääntelyä”, huomauttaa Elinkeinoelämän keskusliiton asiantuntija Niina Harjunheimo.

”Henkilötietodirektiivissä on reilut 30 artiklaa, komission ehdotuksessa reilut 90 artiklaa sekä runsaasti valtuussäännöksiä, joiden nojalla komissio voisi antaa vielä asetusta yksityiskohtaisempaa sääntelyä.”

Harjunheimon mukaan byrokratiaa on vähennettävä neuvottelujen aikana.

”Tavoitteena tulee olla helposti sovellettavat yleissäännökset, kuten oikeusministeriökin on linjannut.”

Tilivelvollisuuden toteutus turhan säänneltyä

Uutuutena ehdotuksessa edellytetään, että rekisterinpitäjät noudattavat tilivelvollisuuden periaatetta. Rekisterinpitäjän on kyettävä itse todentamaan, että henkilötietojen käsittelyn jokainen vaihe tehdään lainsäädännön mukaisella tavalla. Käytännössä henkilötietojen käsittely pitää dokumentoida ja arvioida, toteutuvatko asetuksen velvoitteet.

Puhelinyhtiö Nokian tietosuojalakimiehen Mikko Nivan mielestä tilivelvollisuuden käsitettä tulkitaan ehdotuksessa liian jäykästi: ratkaisevaa näyttäisi olevan rekisterinpitäjän koko, ei niinkään tietojenkäsittelyn luonne. Esimerkiksi tietosuojavastaavan nimeämistä vaaditaan vain vähintään 250 työntekijän organisaatiolta.

”Esimerkiksi sovelluskehittäjällä ei välttämättä ole 250 työntekijää, mutta siellä voi kuitenkin olla kymmenien tai satojen miljoonien käyttäjien henkilötietoja.”

”Meidän mielestämme rekisterinpitäjällä pitää olla organisaation luonteen huomioiva sekä käsiteltävän tiedon laatuun ja riskeihin sovitettu, johdonmukainen lähestymistapa tietosuojaan”, Niva tiivistää.

Hän peräänkuuluttaa lisää joustavuutta siihen, miten rekisterinpitäjä järjestää sisäisen toimintansa. Tietosuojavelvoitteet tulisi kirjata asetukseen selvästi mutta jättää käytännön toteutus rekisterinpitäjien huoleksi. Viranomaisen tehtävä on neuvoa ja valvoa.

Hallinnollinen taakka siirtyy yrityksille

Komission tavoitteena on keventää rekisterinpitäjien hallinnollista taakkaa vähentämällä viranomaiselle tehtäviä etukäteisilmoituksia. Yritysten mukaan uudet menettelyt, vaikutustenarviointi ja ennakkohyväksyntä, kuitenkin lisäävät yritysten sisäistä hallinnollista työtä.

Jos henkilötietojen käsittelyyn liittyy erityisiä riskejä, esimerkiksi arkaluonteisten tietojen käsittelyä, rekisterinpitäjän tulee tehdä arvio käsittelyn vaikutuksista. Sen perusteella tietosuojaviranomainen voi ehdottaa parannuksia tai kieltää käsittelyn.

Yrityksiä uudet menettelyt ja niistä laaditut pykälät kummastuttavat, koska vastuulliset yritykset ovat ennenkin arvioineet vaikutuksia osana henkilötietolain suunnittelu- ja huolellisuusvelvoitetta.

Ehdotuksen mukaan vaikutustenarviointiin on myös pyydettävä rekisteröityjen näkemyksiä suunnitellusta henkilötietojen käsittelystä.

”Ajatuksena kaunis mutta käytännössä johtaa hirveään byrokratiaan”, kommentoi lakimies Saara Lifflander tavaratalokonserni Stockmannista.

”Myös ennakkohyväksynnät tuovat todella paljon byrokratiaa, josta piti päästä eroon.”

Tuotekehityksen vaatimuksia ei ole huomioitu

Nokian ja muiden paikkatietoja hyödyntävien yritysten kannalta erityisen tärkeää on, vaatiiko tuleva asetus vaikutustenarviointia ja ennakkohyväksyntää paikkatietojen käsittelylle.

”Melkein kaikki älypuhelimen sovellukset käyttävät paikkatietoja. Eihän yhdelläkään tietosuojavaltuutetulla riitä resurssit, jos pelkkä paikkatiedon käsittely jo johtaisi ennakkohyväksyntämenettelyyn”, Mikko Niva korostaa.

”Ylipäätään ehdotuksen taustalla on selvästi ollut perinteinen näkemys, jossa tuotekehityshanke etenee kuukausien ajan tiettyjen selvien vaiheiden kautta, ja kaikki dokumentoidaan. Informaatioteknologian tuotekehityssyklit voivat kuitenkin olla todella nopeita ja joustavia, ja se tuo tietosuojan suunnittelulle erityisiä vaatimuksia. Se täytyisi myös asetuksessa ymmärtää.”

Korkeat sakot ihmetyttävät

Asetusehdotuksessa tietosuojaviranomaiset saavat oikeuden määrätä sakkoja tietosuojaa laiminlyönneille rekisterinpitäjille. Summat vaihtelevat 250 000 eurosta tai 0,5 prosentista maailmanlaajuisesta liikevaihdosta aina miljoonaan euroon tai 2 prosenttiin liikevaihdosta asti.

”Taloudelliset seuraamukset vaikuttavat ylimitoitetuilta”, sanoo lakimies Jaakko Lindgren IT-palveluyritys Tiedosta.

”Suomessa lähdetään yleensä siitä, että seuraamukset ovat linjassa aiheutetun vahingon kanssa. Tässä seuraamukset ovat osin irronneet tästä periaatteesta.”

Saara Lifflander arvostelee sitä, ettei viranomaisille jätetä harkintavaltaa. Sakkoa rapsahtaa niin inhimillisen erehdyksen kuin tahallisen piittaamattomuuden aiheuttamista laiminlyönneistä.

Mikko Niva pohtii myös, onko seuraamusten painopiste asetettu oikein, kun se näyttäisi olevan viranomaisten kanssa toimimiseen liittyvissä laiminlyönneissä.

”Se ohjaa riskienhallintaan vakavasti suhtautuvia yrityksiä varmistamaan, että kaikki mahdollinen paperi kulkee viranomaiselle.”

 

Euroopan tietosuojaviranomaisten työryhmän lausunto tietosuojalainsäädännön uudistuspaketista >>

Lue myös

Uusi tietosuojalainsäädäntö: ”Profiloinnista on tehty mörkö” »
Uusi tietosuojalainsäädäntö: Oikeus tulla unohdetuksi ei ulotu kauas »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.