Uusi tietosuoja-asetus etenee

EU:ssa vuonna 2010 liikkeelle lähtenyt prosessi uuden tietosuoja-asetuksen aikaansaamiseksi nykyisen direktiivin sijaan alkaa viimein olla loppusuoralla. Tietosuoja-asetuksen tarkoituksena on EU:n laajuisen yhdenmukaistamisen lisäksi parantaa henkilötietosuojaa, lisätä liiketoimintamahdollisuuksia digitaalisilla sisämarkkinoilla ja parantaa valvonnan keinoja muun muassa sanktioiden avulla.

Jo viisi vuotta kestänyt prosessi on päässyt siihen vaiheeseen, että Euroopan unionin neuvosto hyväksyi kesäkuussa oman yleisnäkemyksensä, jonka jälkeen alkoi Euroopan parlamentin, neuvoston ja komission kolmikantaneuvottelu. Tämä oli tarpeellista, koska neuvoston yleisnäkemys eroaa siinä määrin parlamentin hyväksymästä versiosta. Julkilausuttuna tavoitteena on, että prosessi saataisiin vietyä loppuun kuluvan vuoden loppuun mennessä, jolloin asetus tulisi voimaan vuoden 2017 lopulla.

Sanktioiden maksimimäärät ovat erinomainen esimerkki niistä eroavuuksista, joita parlamentilla ja neuvostolla oli neuvotteluihin lähdettäessä. Neuvosto on pysynyt komission ehdotuksen maksimimäärissä, jossa suurin vaihtoehto oli yrityksille 2 prosenttia sen vuotuisesta maailmanlaajuisesta liikevaihdosta, kun taas parlamentti keväällä 2014 hyväksymässään tekstissä korotti maksimimäärää 100 000 000 euroon tai 5 prosenttiin vuotuisesta maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi niistä on suurempi.

Toisena mielenkiintoisena esimerkkinä, jonka tulosta odotetaan kolmikantaneuvotteluiden jäljiltä, on tietosuojavastaavan nimittämisen pakollisuus. Sekä komission ehdotus että parlamentin hyväksymä versio asettaa tietosuojavastaavan nimeämisen pakolliseksi, vaikkakin hieman erilaisin rajoin, mutta neuvoston yleisnäkemyksessä se on jätetty vapaaehtoiseksi, paitsi jos unionin tai jäsenvaltion lainsäädännössä niin vaaditaan.

Vaikka tarkka säädösteksti on vielä neuvotteluiden alla, on hyvä huomata, että Suomen nykyiseen tietosuojalainsäädäntöön verrattuna uudessa asetuksessa on yritysten kannalta erityisesti kaksi merkittävää asiaa:

Henkilötietoja käsittelevän on jatkossa pystyttävä osoittamaan, että tietosuojasäännökset huomioidaan sen toiminnassa. Käytännössä tämä tarkoittanee käännettyä todistustaakkaa: jos ongelmia ilmenee, on rekisterinpitäjän itse osoitettava toimineensa asetuksen mukaisesti. Ottaen huomioon kaikki asetuksen asettamat velvoitteet, on henkilötietojen kerääminen ja siihen käytettävä tietojärjestelmä suunniteltava huolellisesti. Hyvä, noudatettu tietosuojastrategia yhdistettynä toimivaan tietojärjestelmään antavat tarkastelun kohteeksi joutuneelle yritykselle parhaat edellytykset osoittaa toimineensa asetuksen mukaisesti.

Toinen merkittävä asia ovat rangaistussäännökset. Kolmikantaneuvotteluihin lähdettäessä alhaisemman näkökannan mukaan rangaistus voi pahimmillaan olla jopa kaksi prosenttia yrityksen edellisen vuoden maailmanlaajuisesta liikevaihdosta. Jopa tämän rangaistuksen pelotevaikutus on huomattava, sillä yritystä pidetään yleensä hyvin menestyvänä, jos se tuottaa voittoa 2-10 prosenttia liikevaihdostaan. Osakkeenomistajat tuskin kiittävät yrityksen johtoa, jos koko vuoden liikevoitto haihtuu ilmaan ennalta ehkäistävissä olleen syyn vuoksi. Käytännössä kovimmat rangaistukset lienevät kuitenkin suunniteltu suitsimaan markkinoiden suurimpia pelureita, kuten Facebookia ja Googlea.

Varaudu ajoissa

Mitä yritysten juuri nyt kannattaa tehdä? Kun asetus saadaan vietyä läpi, tulee yrityksen tehdä vähintään suunnitelma henkilötietojen käsittelystä. Erityisesti huomiota kannattaa kiinnittää siihen, että henkilötietojen käsittely ja siihen käytettävät tietojärjestelmät ovat siirtymäajan päättyessä asetuksen tasalla. Toimenpiteitä ei tule missään tapauksessa jättää aivan siirtymäajan loppuun, sillä osa asetuksen vaatimista muutoksista on helpompi tehdä pidemmän ajan kuluessa kuin viime hetken paniikissa.

Asetus tulee myös selkeyttämään ja helpottamaan yritysten rajat ylittävää liiketoimintaa, joka internetaikana on yhä useammalle yrittäjälle ajankohtaista. Erityisesti byrokratia eri maiden tietosuojaviranomaisten kanssa tulee vähenemään huomattavasti. Hetken aikaa yritykset joutuvat tietysti tuskastelemaan uuden lainsäädännön ja sen tulkinnan kanssa, mutta pidemmällä tähtäimellä hyödyt ylittävät kaikki haitat.

Lexia tulee jatkossakin seuraamaan asetuksen säätämisprosessia, sekä tiedottamaan ja avustamaan yrityksiä asetuksen siirtymäaikana ja sen jälkeen.

Annamme mielellämme lisätietoja: Markus Myhrberg