Kansainvälinen tietosuojapäivä on pian taas käsillä, joten nyt on oivallinen tilaisuus tiiviille retrospektiiville. Kokosimme poimintoja oikeusministeriön syksyllä 2023 toteuttamasta lausuntokierroksesta EU:n yleisestä tietosuoja-asetuksesta, josta meille on kertynyt käytännön kokemusta yli viideltä vuodelta. Asetus on erittäin ajankohtainen, sillä sitä sovelletaan jatkossa uusien datataloutta normittavien EU-asetusten, kuten muun muassa tekoäly- ja datasäädösten, kanssa rinnakkain.
Tietosuojaan kaivattua ryhtiliikettä
Yleisesti oikeusministeriön lausunnoista nousee esiin jonkin verran tyytyväistä palautetta. Positiiviseksi nähtiin Euroopan unionin kansalaisten tietojen käytön koko elinkaarta koskevat yhtenäiset pelisäännöt.
Asetus on erittäin ajankohtainen, sillä sitä sovelletaan jatkossa uusien datataloutta normittavien EU-asetusten, kuten muun muassa tekoäly- ja datasäädösten, kanssa rinnakkain.
Tämä on luonut aiempaa selkeämmät reunaehdot tunnisteellisen tiedon luettelointiin ja yhtenäiset vaatimukset kumppaneiden ohjeistamiseen sekä asiakkaiden informointiin. Tietosuoja-asetuksen riskilähtöinen ja henkilöiden oikeuksia korostava lähestymistapa on vaikuttanut positiivisesti myös varautumiseen ja riskienhallintaan, joka on kiristyneessä turvallisuustilanteessa erityisen toivottua.
Ohjausta ja ohjeistusta kaivataan
Positiivisten havaintojen lisäksi moitteitakin ilmenee lainsäätäjälle. Kansallinen lainsäädäntö on paikoin päällekkäistä, tai jopa ristiriitaista tietosuoja-asetuksen kanssa, eikä ole tietosuoja-asetuksen kanssa rinnakkain. Esimerkiksi sote- tai pankkisektorilla sovellettavien säädösten soveltamisjärjestys ei ole täysin selvä. Lainsoveltaja saa puolestaan pyyhkeitä tulkitessaan asetuksen dokumentaatiovaatimuksia ja oikeutta luovia säännöksiä tarpeettoman laveasti. Sitovien kannanottojen saaminen konkreettisiin tilanteisiin kestää myös pitkään, sillä viranomaisratkaisuihin on monin paikoin haettu muutosta ylemmistä oikeusasteista – joskus jopa EU-tuomioistuinta myöden.
Tietosuoja-asetuksen yhtenäinen soveltaminen koko EU-alueella edellyttäisi yhdenmukaista ohjeistusta. EU-tasolta saatava ohjeistus koetaan kuitenkin usein vaikeaselkoiseksi ja raskaslukuiseksi, eikä sitä aina edes ole saatavilla kansallisilla kielillä. Suomen tietosuojaviranomaisen toivottaisiinkin vapauttavan resurssejaan ohjaukseen ja neuvotaan sekä ennakkoon säädetyssä määräajassa annettaviin ja sitoviin kannanottoihin.
Pitkän ja lyhyen tähtäimen ratkaisuja
Lausuntokierroksen taustalla oleva EU-hanke liittyy tietosuoja-asetuksessa Euroopan komissiolle asetettuun velvoitteeseen, jonka mukaan komission pitää toimittaa joka neljäs vuosi arviointikertomus Euroopan parlamentille ja neuvostolle. Tämän jälkeen Euroopan komissio voi tarvittaessa esittää ehdotuksia asetuksen muuttamiseksi. Myös Suomessa nykyinen hallitusohjelma sisältää kirjauksen tietosuojan kokonaisuudistuksesta, johon lausuntopalautteesta saadaan luultavasti myös syötettä. Tietosuoja-asetuksen kanssa rinnakkain sovellettavien EU:n uusien datasäädösten myötä odotettavissa on myös, että lainsäädäntöä selkiyttäviä toimia nähdään jatkossakin.
Sillä välin kukin voi omassa organisaatiossaan pohtia heti toteuttamiskelpoisia ratkaisuja. Tässä muutamia ehdotuksia:
Tietosuoja-asetus on vahvistanut yksilöiden oikeuksia omien tietojensa käsittelyyn ja vaikuttanut positiivisesti yritysten ja muiden yhteisöjen käytäntöihin.
Jean-Tibor IsoMauno toimii Deloitten julkisen sektorin ja sosiaali- ja terveydenhuollon toimialan asiantuntijana. Hänen vastuualueensa ytimessä ovat sosiaali- ja terveydenhuollon organisaatioiden meneillään olevat muutoshankkeet strategisesta suunnittelusta käytännön läpivientiin. Jean-Tiborilla on miltei 20 vuoden kokemus lakimiestehtävistä yksityisellä ja julkisella sektorilla, joista viimeiset 15 vuotta sosiaali- ja terveydenhuoltoa koskevien kysymysten parissa. Jean-Tibor on kokenut johdon neuvonantaja ja projektijohtajana, ja hän pystyy johtamaan erikokoisia muutoksia strategian luonnista aina käytännön jalkautustyöhön saakka. Briefly in English Jean-Tibor IsoMauno works as an expert in Deloitte's public sector and social and health care industry. At the heart of his responsibilities are the ongoing transformation projects of social and healthcare organizations from strategic planning to practical implementation. Jean-Tibor has almost 20 years of experience as a lawyer in the private and public sectors, the last 15 years on social- and healthcare issues. Jean-Tibor is experienced as both a management consultant and a project manager, and is able to lead changes of various sizes from strategy creation to practical implementation work.
Oona työskentelee Deloitten riskienhallintayksikössä ja on vastuussa tietosuojapalveluiden tarjonnasta Suomessa. Hänellä on kokemusta niin julkisen kuin yksityisen sektorin tietosuojan kehittämiseen ja arviointiin liittyvistä toimeksiannoista yli 20 organisaatiossa. Konsultoinnin lisäksi Oona on toiminut kaksi vuotta in-house tietosuojapäällikkönä, ja vastasi työntekijöiden ja työnhakijoiden tietosuojasta metsäalan yrityksessä. Hän vastasi tietosuojahallinnon kehittämisestä yhtiön globaalissa HR:ssä, johti DPIA- ja PIA-prosesseja sekä osallistui uuden tietosuojanhallintatyökalun käyttöönottoon. Briefly in English: Oona is part of the Deloitte Risk Advisory's Cyber Risk team in Finland. At Deloitte Oona is responsible for the data privacy service offering in the Finnish market and advises clients on diverse privacy matters. During her time at Deloitte, Oona has worked in projects ranging from Data Protection Impact Assessments (DPIAs), GDPR internal audits, data inventory and was a team member in a cyber culture change and awareness program. In addition to consulting, Oona has experience in data privacy in an in-house role from the forest industry where she worked for 2 years. She was responsible for developing data privacy governance within the company’s global HR, lead DPIA and PIA processes and took part in implementation of a new data privacy management tool.