Myrskyn jälkeen on bisnessää – GDPR tuli – mitä seuraavaksi? 
Tietosuojasääntelyn kruununjalokivenä yleinen tietosuoja-asetus toi Brysselin keskiöön mitä tulee internetin pelisääntöihin ja henkilötietojen käsittelyyn.
Tuomas Huokuna
27.10.2023

Toimialasta ja tehtävästä riippumatta olemme viime vuosina kohdanneet eurooppalaisen tietosuoja- ja informaatio-oikeudellisen sääntelyn lisääntymisen.

Digitaalinen maisemamme, jossa analytiikkaperhoset pörräsivät ja tietovirrat solisivat vapaasti, nettipalvelujen polut mutkittelivat vapailla mailla ja tiedon valtaväylää kuljettiin mieli keveänä, on muuttunut pysyvästi huomattavasti säädellymmäksi ympäristöksi.  

Tietosuojasääntelyn kruununjalokivenä yleinen tietosuoja-asetus (tästedes GDPR) toi Brysselin keskiöön mitä tulee internetin pelisääntöihin ja henkilötietojen käsittelyyn.

Samaan aikaan monimutkaistuva, digitalisoituva ja muuttuva maailmamme vaatii enemmän sähköisiä palveluja. Toisaalta mitä edemmän digitalisaatio etenee, sitä voimakkaammin se näkyy yksilön arjessa – monella asiassa aiemmin digitaalinen vaihtoehto on asettumassa ainoaksi vaihtoehdoksi.

Merkittävä osa palveluista on yhteiskunnan ydintoimintoja tai jokapäiväisiä palveluja, joita jokainen voi tarvita kuten sähköiset hakemuskanavat, taksisovellukset, asiakaspalvelutilanteet ja pankkipalvelut. Ei puhuta enää vain edelläkävijöiden murheesta, vaan tilannetta on ainakin lainsäätäjän tarkasteltava myös saavutettavuuden ja yhdenvertaisen käytettävyyden kannalta.  

Tietosuojalainsäädännön maisemaa hallitsi jonkin aikaa yksi iso, ehkä tavoittamattomaksikin koettu huippu – GDPR. Aiemman sääntelyn puitteissa kevyesti kulkeneet rekisterinpitäjät joutuivat tietosuoja-asetuksen jyrkänteille, ja askeleet täytyy nykyään sovittaa tarkemmin kuin aikaisemmin.

Tietosuojan lisäksi Unioni lainsäätäjänä on kääntänyt katseensa tekoälyn, digitaalisen ja digitaalisten palvelujen yhteismarkkinani sekä digitaalisen tiedon hyödyntämisen suuntaan.  Digi- ja internetlainsäädäntö laajenee henkilötietojen ohi muidenkin tietoalustojen ja -varantojen suuntaan. 

Muuttuva säädösympäristö ja laajeneva sääntelyn fokus tarjoaa kuitenkin mahdollisuuksia, kuten digimarkkinasääntely, joka on suunnattu tuomaan yhteismarkkinan mahdollisuudet paremmin myös pienempien kaupallisten toimijoiden ulottuville. Digital Services Act ja Digital Markets Act pakottavat ”portinvartijat” – alustapalvelut, tiedonkerääjät, ekosysteemien omistajat – avaamaan pääsyä tietoon ja sen hyödyntämiseen myös pienemmille toimijoille – yksilön oikeudet ja vapaudet muistaen.  

Yhtenä kannustimena viilata prosesseista turhaa käsittelyä ja päällekkäisyyttä pois, sekä mahdollistaa mahdollisimman sujuvaa tiedonkäsittelyä voinee nähdä myös vastuullisuuskysymykset; jo nykyään digitaalisen toiminnan energiankulutus nousee toisinaan keskusteluun. Sujuvat tietoprosessit ovat tehokkaita ja sikäli tukevat myös ESG-ohjelmien toteuttamista.  

Sääntelyyn valittu malli ei kuitenkaan ole ongelmaton. GDPR:n osalta monelle tulivat tutuksi sanktioita koskevat kirjaukset. Hallinnollinen seuraamusmaksu asetusta tehostamassa ei sinänsä ole uusi keksintö, vaan seuraamusmaksut ovat Unionin oikeutta seuraavalle tuttuja jo kilpailuoikeuden puolelta.

Kilpailuoikeudellista järjestelmää voi jossain määrin pitää myös verrokkina sille, miten tietosuojasääntely kehittyy: vuosikymmenten oikeuskäytäntö ja määrätietoinen lainsäädäntötyö ovat kehittäneet Unionin kilpailuoikeuden suhteellisen ennustettavaksi järjestelmäksi.

Tietosuojaan ja digitaalisiin palveluihin liittyy kuitenkin kilpailuoikeudellisesti vähemmän korostunut sudenkuoppa: palveluja on helppo hankkia mistä vain.

Digitaaliset palvelut ovat siis alttiina eri valtioiden tietosuojaa valvovien viranomaisten tutkimuksille. Säädöskehikko on sama Unionin laajuisesti, mutta valvovien viranomaisten suhtautuminen ja toimintatapa voivat erota, mikä asettaa haasteita rajat ylittävän toiminnan suhteen.

Toisena lainsäädäntöhankkeita yhdistävänä haasteena on se, että teknologianeutraalin sääntelyn sijaan säännellään yksittäisiä teknologioita – kuten tekoälyä. Toisaalta sääntely, joka asettaa vain periaatteellisia rajoja, ei sekään ole kovin helppo pähkinä purtavaksi, kuten GDPR:n muotoilut monin paikoin osoittavat.

Teknologiakohtainen sääntely on altis aukoille ja sille, että se ei yksinkertaisesti pysty huomioimaan uusia teknologioita. Esimerkiksi 2023 kevään aikana suureen tietoisuuteen murtautunut ChatGPT on hyvä esimerkki teknologiasta, jonka kontrolloiminen lainsäädännöllä on vaikeaa. Italiassa se päädyttiin hetkellisesti kieltämään tietosuojassa olleiden puutteiden perusteella.ii 

Liiketoiminnan näkökulmasta haasteena on se ristiveto, joka vallitsee GDPR:n hyvin laajan ja helposti relevantiksi tulevan henkilötiedon ja käsittelyn määritelmien ja toisaalta suojatoimien monimutkaisuuden mukaan. Väinö Linnan Lammiota mukaillen voisi todeta että ”tietosuojalainsäädäntö astuu voimaan kaikessa ankaruudessaan” hyvin kevyin perustein.

Ankarien tietosuojavastuiden neuvotteleminen sopimuksiin tilanteissa, joissa esimerkiksi konsultti saattaa nähdä asiakkaan yhteyshenkilöiden tietoja – tallentamatta tai tiedolla mitään tekemättä, ja todennäköisesti vartissa ne jo unohtaneena – ei ole omiaan vahvistamaan kokemusta sääntelyn noudattamisen mielekkyydestä. Tietosuoja, kuten muukin turvallisuus, syntyy pohjimmiltaan pienistä asioista ja perusteiden alituisesta ja tinkimättömästä huomioimisesta, minkä takia sääntelyn olisi näyttäydyttävä aina perusteltuna ja oikein kohdentuvana.  

Samalla kun yhtiöt puurtavat käsittelyperiaatteidensa kanssa kukin resurssiensa rajoissa parhaansa mukaan, on maisemassamme eräs myrskyrintama, joka tuntuu palaavan aina takaisin – tiedonsiirrot kolmansiin maihin.

Määritelmällisesti tämä sisältää myös kolmannesta maasta omistetun pilvipalvelun käyttämiseniii. Kolmansiin maihin (Yhdysvallat olennaisimpana) siirtyy paljon tietoa.

Tässäkin laajat määritelmät tuovat haasteita erityisesti sen arvioimisessa mitä täydentäviä suojatoimia tarvitaan. Aiheeseen liittyen on ollut mielenkiintoista seurata Itämeren rannoilla Tukholman ja Helsingin jossain määrin toisistaan poikkeavaa suhtautumista asiaan.  

Tiedonsiirtojen osalta ennustettavaa on lähinnä se, että tilannetta ratkotaan ”paikkaa paikan päälle”-ratkaisuilla, jotka tietosuoja-aktiivit kaatavat EU:n tuomioistuimessa kotvasen kuluttua, jonka jälkeen epävarmuus taas jatkuu, kunnes poliittinen koneisto tuottaa seuraavan kompromissin. Tämän kirjoittamishetkellä EU-US Data Privacy Framework-sopimus EU:n ja Yhdysvaltojen välillä ottaa ensiaskeleitaan. On mielenkiintoista nähdä, miten pitkäikäiseksi se osoittautuu.  

Lainsäädännön vaatimukset ovat luonteeltaan sellaisia, että liiketoiminnan pitäminen vaatimusten mukaisella tasolla vaatii jatkuvaa työtä. Jotta tietovirrat, käsittelypisteet, käsittelijäryhmät ja tietojen luovutukset pystytään vaatimusten mukaisesti kartoittamaan, analysoimaan, täytyy organisaation oikeasti tuntea nämä asiat.

Tarkoituksen – eikä vaatimusten! mukaista ei ole se, että tietosuojavastaava kammiossaan kirjaa haavekuvansa viralliseksi politiikaksi ja tilannetiedoksi. Digitaaliset palvelut ja niihin liittyvät prosessit ovat vahvasti osa liiketoimintaa melkein yhtiössä kuin yhtiössä, joten niiden aito ymmärtäminen tuottaa väistämättä tilannekuvaa myös liiketoiminnan prosesseista. Tieto on valtaa, ja lainsäädäntö pakottaa digitaaliset palvelut ja niiden toimijat tuntemaan itsensä ja kumppaninsa.  

Eurooppalaisilla yhtiöillä on myös se etu, että kun ne noudattavat ”kotilainsäädäntönsä” vaatimuksia, ei yleensä tarvitse kehittää toimintaa uusille markkinoille siirryttäessä. Tutkimuksessa tätä kutsutaan ”Bryssel-efektiksi”: kansainvälisesti toimivat yhtiöt harmonisoivat globaalisti toimintamallinsa Euroopassa vaaditulle tasolle, koska Euroopassa toiminen edellyttää niin korkeatasoisten vaatimusten täyttämistä, että eurooppalaisesti hyväksyttävä toimintamalli täyttää vaatimukset muillakin alueilla.iv 

Kirjoittaja Tuomas Huokuna työskentelee IT-alan tietosuojan ja lakiasiain parissa sekä tekee väitöskirjaa tietosuojan ja yksityisoikeuden suhteesta Itä-Suomen yliopistossa

Lähteet:

i EU-asetukset 2022/1925 (Digital Markets Act) ja 2022/2065 (Digital Services Act)

ii https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9870847#english (31.8.2023)

iii EDPB Guidelines 05/2021, v 2.0, saatavilla https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052021-interplay-between-application-article-3_en

iv Anu Bradford: The Brussels Effect – How the European Union Rules the World. OUP 2020.

Artikkeli on ensimmäistä kertaa julkaistu Sytyke -lehdessä.
Lisätietoja www.sytyke.org

Suositellut

Uusimmat