Myrskyn jälkeen on bisnessää - GDPR tuli – mitä seuraavaksi? - IT Insider

Digitalisaatio | Suositellut | Sytyke | Tietosuoja

Myrskyn jälkeen on bisnessää – GDPR tuli – mitä seuraavaksi?

Tietosuojasääntelyn kruununjalokivenä yleinen tietosuoja-asetus toi Brysselin keskiöön mitä tulee internetin pelisääntöihin ja henkilötietojen käsittelyyn.

Tuomas Huokuna

27.10.2023

eu_flag

Toimialasta ja tehtävästä riippumatta olemme viime vuosina kohdanneet eurooppalaisen tietosuoja- ja informaatio-oikeudellisen sääntelyn lisääntymisen.

Digitaalinen maisemamme, jossa analytiikkaperhoset pörräsivät ja tietovirrat solisivat vapaasti, nettipalvelujen polut mutkittelivat vapailla mailla ja tiedon valtaväylää kuljettiin mieli keveänä, on muuttunut pysyvästi huomattavasti säädellymmäksi ympäristöksi.

Tietosuojasääntelyn kruununjalokivenä yleinen tietosuoja-asetus (tästedes GDPR) toi Brysselin keskiöön mitä tulee internetin pelisääntöihin ja henkilötietojen käsittelyyn.

Samaan aikaan monimutkaistuva, digitalisoituva ja muuttuva maailmamme vaatii enemmän sähköisiä palveluja. Toisaalta mitä edemmän digitalisaatio etenee, sitä voimakkaammin se näkyy yksilön arjessa – monella asiassa aiemmin digitaalinen vaihtoehto on asettumassa ainoaksi vaihtoehdoksi.

Merkittävä osa palveluista on yhteiskunnan ydintoimintoja tai jokapäiväisiä palveluja, joita jokainen voi tarvita kuten sähköiset hakemuskanavat, taksisovellukset, asiakaspalvelutilanteet ja pankkipalvelut. Ei puhuta enää vain edelläkävijöiden murheesta, vaan tilannetta on ainakin lainsäätäjän tarkasteltava myös saavutettavuuden ja yhdenvertaisen käytettävyyden kannalta.

Tietosuojalainsäädännön maisemaa hallitsi jonkin aikaa yksi iso, ehkä tavoittamattomaksikin koettu huippu – GDPR. Aiemman sääntelyn puitteissa kevyesti kulkeneet rekisterinpitäjät joutuivat tietosuoja-asetuksen jyrkänteille, ja askeleet täytyy nykyään sovittaa tarkemmin kuin aikaisemmin.

Tietosuojan lisäksi Unioni lainsäätäjänä on kääntänyt katseensa tekoälyn, digitaalisen ja digitaalisten palvelujen yhteismarkkinanⁱ sekä digitaalisen tiedon hyödyntämisen suuntaan. Digi- ja internetlainsäädäntö laajenee henkilötietojen ohi muidenkin tietoalustojen ja -varantojen suuntaan.

Muuttuva säädösympäristö ja laajeneva sääntelyn fokus tarjoaa kuitenkin mahdollisuuksia, kuten digimarkkinasääntely, joka on suunnattu tuomaan yhteismarkkinan mahdollisuudet paremmin myös pienempien kaupallisten toimijoiden ulottuville. Digital Services Act ja Digital Markets Act pakottavat ”portinvartijat” – alustapalvelut, tiedonkerääjät, ekosysteemien omistajat – avaamaan pääsyä tietoon ja sen hyödyntämiseen myös pienemmille toimijoille – yksilön oikeudet ja vapaudet muistaen.

Yhtenä kannustimena viilata prosesseista turhaa käsittelyä ja päällekkäisyyttä pois, sekä mahdollistaa mahdollisimman sujuvaa tiedonkäsittelyä voinee nähdä myös vastuullisuuskysymykset; jo nykyään digitaalisen toiminnan energiankulutus nousee toisinaan keskusteluun. Sujuvat tietoprosessit ovat tehokkaita ja sikäli tukevat myös ESG-ohjelmien toteuttamista.

Sääntelyyn valittu malli ei kuitenkaan ole ongelmaton. GDPR:n osalta monelle tulivat tutuksi sanktioita koskevat kirjaukset. Hallinnollinen seuraamusmaksu asetusta tehostamassa ei sinänsä ole uusi keksintö, vaan seuraamusmaksut ovat Unionin oikeutta seuraavalle tuttuja jo kilpailuoikeuden puolelta.

Kilpailuoikeudellista järjestelmää voi jossain määrin pitää myös verrokkina sille, miten tietosuojasääntely kehittyy: vuosikymmenten oikeuskäytäntö ja määrätietoinen lainsäädäntötyö ovat kehittäneet Unionin kilpailuoikeuden suhteellisen ennustettavaksi järjestelmäksi.

Tietosuojaan ja digitaalisiin palveluihin liittyy kuitenkin kilpailuoikeudellisesti vähemmän korostunut sudenkuoppa: palveluja on helppo hankkia mistä vain.

Digitaaliset palvelut ovat siis alttiina eri valtioiden tietosuojaa valvovien viranomaisten tutkimuksille. Säädöskehikko on sama Unionin laajuisesti, mutta valvovien viranomaisten suhtautuminen ja toimintatapa voivat erota, mikä asettaa haasteita rajat ylittävän toiminnan suhteen.

Toisena lainsäädäntöhankkeita yhdistävänä haasteena on se, että teknologianeutraalin sääntelyn sijaan säännellään yksittäisiä teknologioita – kuten tekoälyä. Toisaalta sääntely, joka asettaa vain periaatteellisia rajoja, ei sekään ole kovin helppo pähkinä purtavaksi, kuten GDPR:n muotoilut monin paikoin osoittavat.

Teknologiakohtainen sääntely on altis aukoille ja sille, että se ei yksinkertaisesti pysty huomioimaan uusia teknologioita. Esimerkiksi 2023 kevään aikana suureen tietoisuuteen murtautunut ChatGPT on hyvä esimerkki teknologiasta, jonka kontrolloiminen lainsäädännöllä on vaikeaa. Italiassa se päädyttiin hetkellisesti kieltämään tietosuojassa olleiden puutteiden perusteella.ⁱⁱ

Liiketoiminnan näkökulmasta haasteena on se ristiveto, joka vallitsee GDPR:n hyvin laajan ja helposti relevantiksi tulevan henkilötiedon ja käsittelyn määritelmien ja toisaalta suojatoimien monimutkaisuuden mukaan. Väinö Linnan Lammiota mukaillen voisi todeta että ”tietosuojalainsäädäntö astuu voimaan kaikessa ankaruudessaan” hyvin kevyin perustein.

Ankarien tietosuojavastuiden neuvotteleminen sopimuksiin tilanteissa, joissa esimerkiksi konsultti saattaa nähdä asiakkaan yhteyshenkilöiden tietoja – tallentamatta tai tiedolla mitään tekemättä, ja todennäköisesti vartissa ne jo unohtaneena – ei ole omiaan vahvistamaan kokemusta sääntelyn noudattamisen mielekkyydestä. Tietosuoja, kuten muukin turvallisuus, syntyy pohjimmiltaan pienistä asioista ja perusteiden alituisesta ja tinkimättömästä huomioimisesta, minkä takia sääntelyn olisi näyttäydyttävä aina perusteltuna ja oikein kohdentuvana.

Samalla kun yhtiöt puurtavat käsittelyperiaatteidensa kanssa kukin resurssiensa rajoissa parhaansa mukaan, on maisemassamme eräs myrskyrintama, joka tuntuu palaavan aina takaisin – tiedonsiirrot kolmansiin maihin.

Määritelmällisesti tämä sisältää myös kolmannesta maasta omistetun pilvipalvelun käyttämisenⁱⁱⁱ. Kolmansiin maihin (Yhdysvallat olennaisimpana) siirtyy paljon tietoa.

Tässäkin laajat määritelmät tuovat haasteita erityisesti sen arvioimisessa mitä täydentäviä suojatoimia tarvitaan. Aiheeseen liittyen on ollut mielenkiintoista seurata Itämeren rannoilla Tukholman ja Helsingin jossain määrin toisistaan poikkeavaa suhtautumista asiaan.

Tiedonsiirtojen osalta ennustettavaa on lähinnä se, että tilannetta ratkotaan ”paikkaa paikan päälle”-ratkaisuilla, jotka tietosuoja-aktiivit kaatavat EU:n tuomioistuimessa kotvasen kuluttua, jonka jälkeen epävarmuus taas jatkuu, kunnes poliittinen koneisto tuottaa seuraavan kompromissin. Tämän kirjoittamishetkellä EU-US Data Privacy Framework-sopimus EU:n ja Yhdysvaltojen välillä ottaa ensiaskeleitaan. On mielenkiintoista nähdä, miten pitkäikäiseksi se osoittautuu.

Lainsäädännön vaatimukset ovat luonteeltaan sellaisia, että liiketoiminnan pitäminen vaatimusten mukaisella tasolla vaatii jatkuvaa työtä. Jotta tietovirrat, käsittelypisteet, käsittelijäryhmät ja tietojen luovutukset pystytään vaatimusten mukaisesti kartoittamaan, analysoimaan, täytyy organisaation oikeasti tuntea nämä asiat.

Tarkoituksen – eikä vaatimusten! mukaista ei ole se, että tietosuojavastaava kammiossaan kirjaa haavekuvansa viralliseksi politiikaksi ja tilannetiedoksi. Digitaaliset palvelut ja niihin liittyvät prosessit ovat vahvasti osa liiketoimintaa melkein yhtiössä kuin yhtiössä, joten niiden aito ymmärtäminen tuottaa väistämättä tilannekuvaa myös liiketoiminnan prosesseista. Tieto on valtaa, ja lainsäädäntö pakottaa digitaaliset palvelut ja niiden toimijat tuntemaan itsensä ja kumppaninsa.

Eurooppalaisilla yhtiöillä on myös se etu, että kun ne noudattavat ”kotilainsäädäntönsä” vaatimuksia, ei yleensä tarvitse kehittää toimintaa uusille markkinoille siirryttäessä. Tutkimuksessa tätä kutsutaan ”Bryssel-efektiksi”: kansainvälisesti toimivat yhtiöt harmonisoivat globaalisti toimintamallinsa Euroopassa vaaditulle tasolle, koska Euroopassa toiminen edellyttää niin korkeatasoisten vaatimusten täyttämistä, että eurooppalaisesti hyväksyttävä toimintamalli täyttää vaatimukset muillakin alueilla.^iv

Kirjoittaja Tuomas Huokuna työskentelee IT-alan tietosuojan ja lakiasiain parissa sekä tekee väitöskirjaa tietosuojan ja yksityisoikeuden suhteesta Itä-Suomen yliopistossa

Lähteet:

i EU-asetukset 2022/1925 (Digital Markets Act) ja 2022/2065 (Digital Services Act)

ii https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9870847#english (31.8.2023)

iii EDPB Guidelines 05/2021, v 2.0, saatavilla https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052021-interplay-between-application-article-3_en

iv Anu Bradford: The Brussels Effect – How the European Union Rules the World. OUP 2020.

Artikkeli on ensimmäistä kertaa julkaistu Sytyke -lehdessä.
Lisätietoja www.sytyke.org

Suositellut

Apple: Lupaamme kehittää tekoälyä turvallisesti

26.7.2024 | Suositellut, Tekoäly

Applen lupaus ei ole lainsäädännöllisesti sitova, mutta se lohduttanee Yhdysvaltojen hallinnon verkkaista regulaatiokoneistoa, joka ei ole saanut tekoälylainsäädäntöään valmiiksi.

EU aikoo antaa Metalle sakot Marketplacen ja Facebookin linkittämisestä yhteen

25.7.2024 | Regulaatio, Suositellut

Facebook ohjasi käyttäjiä suoraan omalle markkinapaikalleen, mikä häiritsi reilua kilpailua.

EU aloitti jo kolmannen tutkinnan Metan hämärästä bisnesmallista

23.7.2024 | Regulaatio, Suositellut

EU:n mukaan Metan ”maksa tai suostu mainoksiin” -bisnesmalli on saattanut rikkoa digitaalimarkkinasäädöksen ja digitaalipalvelulain lisäksi EU:n kuluttajansuojalainsäädäntöä.

Uusimmat

Drooniskandaali järisyttää olympialaisia – Kanadan naisten jalkapallojoukkueen johto potkittu pihalle

26.7.2024 | Laitteet, Vapaa-aika

Kanadan naismaajoukkueen taustajoukot ovat vakoilleet vastustajien harjoituksia jo vuosien ajan drooneilla.

Apple: Lupaamme kehittää tekoälyä turvallisesti

26.7.2024 | Suositellut, Tekoäly

Applen lupaus ei ole lainsäädännöllisesti sitova, mutta se lohduttanee Yhdysvaltojen hallinnon verkkaista regulaatiokoneistoa, joka ei ole saanut tekoälylainsäädäntöään valmiiksi.

EU aikoo antaa Metalle sakot Marketplacen ja Facebookin linkittämisestä yhteen

25.7.2024 | Regulaatio, Suositellut

Facebook ohjasi käyttäjiä suoraan omalle markkinapaikalleen, mikä häiritsi reilua kilpailua.

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.

Necessary

Always Enabled

Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Others