EU:n tietosuoja-asetus – miksi osa asioista on vielä auki?

Euroopan unionista on rantautunut Suomeenkin uusi laki, ns. EU:n tietosuoja-asetus, englanniksi General Data Protection Regulation (GDPR). Asetus astui voimaan 25.5.2016, ja on sellaisenaan voimassa kaikissa EU:n jäsenmaissa.

Vielä uutta lainsäädäntöä ei kuitenkaan ole pakko noudattaa, sillä käynnissä on 2 vuotta kestävä siirtymäaika. Yritysten, yhdistysten, julkishallinnon yksiköiden ja muiden yhteisöjen on muokattava toimintansa vastaamaan uutta sääntelyä viimeistään 25.5.2018.

Media ja internet ovat pullollaan tietosuoja-asetusta koskevia artikkeleita, palveluntarjoajien markkinointiviestintää ja koulutusmainoksia. Itsekin koulutan ja konsultoin aiheesta parhaillaan paljon, tiedonjano on kova.

Kaikkiin tietosuoja-asetusta koskeviin kysymyksiin ei kuitenkaan vielä ole varmoja vastauksia, miksi näin?

Asetus sisältää kohtia, joissa todetaan:

  • ”siirretään komissiolle valta antaa 92 artiklan mukaisesti delegoituja säädöksiä” (standardoidut kuvakkeet, sertifiointimekanismit, tietosuojasinetit & -merkit)
  • ”jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön yksityiskohtaisempia säännöksiä” ja ”jäsenvaltiot voivat määritellä tarkemmin” (tietojenkäsittely- ja muita toimenpiteitä koskevat erityiset vaatimukset; huoltajan suostumusta edellyttävä lapsen ikä; geneettiset, biometriset ja terveystiedot; voittoa tavoittelemattoman elimen, järjestön ja yhdistyksen valitusoikeus; henkilötunnuksen käsittelyedellytykset; työsuhteisiin liittyvä henkilötietojen käsittely; valvontaviranomaisten valtuudet suhteessa salassapitovelvollisuuksiin)

Yllä olevia toimenpiteitä ei vielä ole saatu valmiiksi, joten edellä listattujen teemojen osalta odotetaan edelleen komission ja jäsenvaltioiden tulevia päätöksiä.

Suomessa tehdään lisäksi parhaillaan isoa työtä sen osalta, mitä tulee tapahtumaan yli 600:lle suomalaiselle tietosuojasääntelyä sisältävälle laille. Oikeusministeriön alaisuudessa työskentelee tällä hetkellä työryhmä, joka perkaa kotimaista lainsäädäntöä ja tulee antamaan ehdotuksensa siitä, mitkä säädöksistä kumotaan, mitkä säilytetään ja mitä muutetaan tietosuoja-asetuksen seurauksena. Työryhmän on saatava mietintönsä valmiiksi 31.5.2017 mennessä ja sen pohjalta laadittava ehdotuksensa hallituksen esityksen muotoon. Työryhmän toimikausi päättyy 16.2.2018.

Eräs keskeinen toimielin eurooppalaisen tietosuojalainsäädännön tulkintakysymyksissä on jäsenmaiden tietosuojaviranomaisista koostuva ns. WP29 työryhmä. Työryhmän erikoinen nimi tulee sanoista ”working party” sekä EU:n aiemman tietosuojadirektiivin 29. artiklasta, jonka pohjalta työryhmä on aikanaan käynnistetty.

Työryhmä tulee käytännössä korvautumaan tietosuoja-asetuksen mukaisella tietosuojaneuvostolla, joka tulee mm. antamaan ”suuntaviivoja, suosituksia ja parhaita käytänteitä” asetuksen sisällöstä. Tietosuojaneuvosto ei kuitenkaan ole tuomioistuin, vaikka sillä tosin on muutamissa spesifeissä asioissa oikeus antaa sitovia päätöksiä (artikla 65). Viime kädessä Euroopan unionin tuomioistuin tulee ratkaisemaan tuomioissaan sen, kuinka tietosuoja-asetusta tulee soveltaa kussakin sen ratkaistavaksi tuodussa kiistassa.

Tietosuoja-asetusta lukeneet lienevät jo tiedostaneet, että asetuksessa on ylipäänsä runsaasti määritelmiä ja sääntelyä, jotka jättävät tulkinnanvaraa ja monta kysymystä ilmaan. Mielestäni on esimerkiksi mielenkiintoista, tai oikeastaan yllättävää, ettei asetuksessa käsitellä nimenomaisesti ”asiakkaita” ja heidän tietojensa käsittelyä. Asetus tulee kuitenkin vaikuttamaan olennaisesti asiakkaiden ja potentiaalisten asiakkaiden henkilötietojen käsittelyyn.

Siitä huolimatta, että EU:n tietosuoja-asetus on jo voimassa, on yllä kerrotuista syistä vielä odotettava useissa asioissa lopullista tietoa säädösten sisällöstä tai tulkinnasta.

 

 

 

Liity sähköpostiyhteisööni

Liittymällä sähköpostiyhteisööni saat:

  • ilmoituksen uusista blogijulkaisuista
  • kutsuja tapahtumiin
  • silloin tällöin muita osaamisalueisiini (juridiikka, asiakaskokemus, yrittäminen) liittyviä infoviestejä