Vuodesta 2010 valmistelussa olleesta uudesta EU:n tietosuoja-asetuksesta on päästy yhteisymmärrykseen Euroopan parlamentin, komission ja neuvoston neuvotteluissa 15.12.2015 Euroopan parlamentti äänestää asetuksesta vielä maalis-huhtikuussa 2016, jonka jälkeen asetus tulisi voimaan kahden vuoden siirtymäajan jälkeen. Asetuksen tavoitteena on edistää henkilötietojen suojaa, lisätä liiketoimintamahdollisuuksia digitaalisilla sisämarkkinoilla ja parantaa valvontakeinoja.

Asetus yhdenmukaistaa tietosuojaa koskevaa sääntelyä koko EU:n laajuisesti ja muuttaa sitä vastaamaan digitalisaation tarpeita. Yhdenmukaistettu sääntely on nähty olennaiseksi kuluttajien luottamuksen lujittamiseen digitaaliseen kauppaan ja rajat ylittävän verkkokaupan kehittymiselle. Asetus tuo mukanaan myös EU:n ulkopuolisille toimijoille velvollisuuden noudattaa samoja säännöksiä tarjotessaan tavaroita ja palveluilta EU:n kansalaisille. Valvonnan osalta viranomaisten sanktiomahdollisuudet kasvavat – sanktiot ulottuvat jopa 20 miljoonaan euroon tai 4 %:iin yrityksen globaalista liikevaihdosta. Lisäksi yritysten pitää nimetä tietosuojavastaava, jos ne käsitellevät suuremmissa määrin arkaluonteisia henkilötietoja tai keräävät tietoa suuresta joukosta henkilöitä.

Asetus antaa yksityishenkilöille paremmat mahdollisuudet kontrolloida luovuttamiaan henkilötietoja. Suomessa rekisteröidyillä on jo aiemmin ollut esimerkiksi tarkastus- ja korjausoikeus tietoihinsa, mutta jatkossa on mahdollisuus vaatia myös omien tietojen hävittämistä (right to be forgotten). Jo nyt monella yrityksellä on haasteita tietojen hävittämisen suhteen – kerääminen kun on usein paljon helpompaa. Verkkopalveluiden osalta haasteita tuo mukaan myös ikärajojen hallinta. Asetus asettaa 16 vuoden ikärajan tietojen rekisteröinnille ilman huoltajan erillistä suostumusta, mutta kansallisesti voidaan päättää alhaisemmasta ikärajasta, joka on kuitenkin vähintään 13 vuotta.

Positiivista on, että asetuksen mukaiset vastuut ja velvollisuudet huomioivat toimijan koon ja toiminnan laadun. Joissain tapauksissa tämä saattaa jopa karsia tiettyjä velvoitteita, esimerkiksi vaikutusarvion laatimisen. EU:n vision mukaan tietosuojan yhtenäistämisen jälkeen seuraavaksi voidaan purkaa tiedon liikkumisen esteitä, ja näin saada tehoa taloudelliseen ja viranomaistoimintaan – yksityisten henkilöiden oikeuksia vaarantamatta. Laadukkaat tietosuojastandardit voivat myös avata mahdollisuuksia esimerkiksi start-up -yrityksille, jotka toimivat Big Datan parissa.

Uuteen asetukseen on syytä perehtyä huolella, tehdä kattava vaikutusarviointi ja valmistautua asetuksen tuomiin uusiin velvoitteisiin. Valmistautuminen on syytä tehdä ajoissa, jotta tietoturva ja henkilötietojen suoja voidaan huomioida kokonaisvaltaisesti käytännön tasolla palvelu- ja järjestelmäarkkitehtuurissa (ja budjeteissa). Monien järjestelmien toiminnallisuudet eivät taivu edes nykyisen henkilötietolain vaatimuksiin. Best practices on aina tietosuoja-asioissa ehdoton kilpailuvaltti.

Annamme mielellämme lisätietoja: Markus Myhrberg