Effin lausunto lausuntopalvelussa
Asia: VN/5281/2019
Mitkä ovat olleet yleisen tietosuoja-asetuksen merkittävimpiä hyötyjä?
Tietosuoja-asetus pyrkii antamaan paremman suojan henkilötiedoille ja lisäämään keinoja hallita omien henkilötietojen käsittelyä. Yksi merkittävä konkreettinen hyöty on ollut se, että organisaatiot ovat vihdoin joutuneet tekemään inventaarion kaikesta keräämästään tiedosta. Ne ovat myös joutuneet miettimään kaiken keräämänsä tiedon käyttötarkoituksia, eivätkä ne voi kerätä tietoa enää kertomatta asiakkaalle mihin tietoa käytetään.
Mahdolliset, korkeatkin sakot ovat pakottaneet organisaatiot kunnioittamaan tietosuojaa Suomessakin enemmän. Vaikka meillä on ollut jo pitkään kohtuullisen edistynyt henkilötietolaki (1998), Suomen tietosuojavaltuutettu on ollut jossain määrin hampaaton, toimii pienin resurssein ja siksi lain noudattaminen on ollut jokseenkin lepsua.
GDPR:n myötä kansalaisten tietoisuus oikeuksistaan on myös parantunut.
Mitkä ovat olleet yleisen tietosuoja-asetuksen soveltamisessa ja toimivuudessa suurimpia haasteita?
Tietoyhteiskunnan keskeiseksi ongelmaksi on noussut, että sekä julkisten että yksityisten toimijoiden on ollut mahdoton vastustaa kiusausta rikkoa yksityisyyden suojaa, jonka laajamittainen loukkaaminen on tullut yhä helpommaksi. GDPR pyrkii korjaamaaan tilannetta, mutta tietojen käytön kieltäminen muihin kuin välttämättömiin tarkoituksiin on yhä liian vaikeaa tai mahdotonta.
GDPR:n ohjeistuksen mukainen evästeilmoitus verkkosivuilla on nykyään tavallinen ärsytyksen aihe. Sillä tunnutaankin usein kierrettävän niitä vastuita, joihin GDPR velvoittaa. Esimerkiksi vaihtoehtoa sivun käyttämiselle ilman seurantaa ei tunnu olevan hyvin monien verkkosivujenevästeilmoituksessa. Jos vaihtoehto esitetäänkin, se sijaitsee usein jollain toisella sivustolla, tai on muuten ylettömän hankala käyttää, jonka seurauksena ihmiset ovat alkaneet hyväksymään kaikki ehdot lukematta niitä, tai edes kokeilematta, voisiko seurannan kytkeä pois päältä. Valitettavasti useimmiten ei voi, ja palvelun käyttäminen ilman seurantaa voi olla vaikeaa jollei mahdotonta. Tämä ei ole ainakaan lain hengen mukaista, ja eurooppalaisten tietosuojavaltuutettujen olisi syytä puuttua tähän. Velvoite informoida rekisteröityä selkeästi ei mielestämme myöskään täyty.
Joissakin tapauksissa GDPR on johtanut myös siihen, että palvelu blokataan euroooppalaisilta käyttäjiltä, sen sijaan että toteutettaisiin GDPR:n vaatimukset. Tähän on toki vaikea puuttua. Martechin raportissa elokuussa 2018 yli 1000 yhdysvaltalaista sivustoa blokkasi eurooppalaisia käyttäjiä, ja esimerkiksi nyt 17.9.2019 Chicago Tribune ilmoittaa edelleen “Unfortunately, our website is currently unavailable in most European countries. We are engaged on the issue and committed to looking at options that support our full range of digital offerings to the EU market. We continue to identify technical compliance solutions that will provide all readers with our award-winning journalism.”
Organisaatioiden tapa varmistaa tietopyynnön tekijän henkilöllisyys vaihtelee, helpoimmillaan pyyntöön riittää henkilötunnus, joskus halutaan kopio henkilötodistuksesta ja joskus käytössä on jonkinlainen sähköinen tunnistautuminen.. Joissakin tapauksissa ihmisiä pyydetään jopa lähettämään kopio henkilötodistuksestaan organisaation tietosuojavastaavalle, joka ei selväkielisen sähköpostin mukana ole kovin turvallista, eikä perinteisen postin avulla maksutonta. Joskus tiedot saa vain käymällä paikan päällä. Pelkän henkilötunnuksen riittäminen voi mahdollistaa toisten tietojen urkintaa. Suositus tunnistautumisesta voisi olla hyödyllinen, jotta löydetään hyvä tasapaino riittävän turvalliseen mutta toisaalta riittävän helppoon tunnistautumiseen.
Onko yleisen tietosuoja-asetuksen mahdollistamaa sääntelyliikkumavaraa käytetty Suomessa tarkoituksenmukaisella tavalla?
Ei, esim. hallinnolllisia sakkoja tulisi voida kohdistaa myös viranomaisiin ja julkishallinnon elimiin. Nyt seuraamusmaksua ei voida määrätä valtion viranomaisille, valtion liikelaitoksille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille, tasavallan presidentin kanslialle eikä Suomen evankelis-luterilaiselle kirkolle ja Suomen ortodoksiselle kirkolle eikä niiden seurakunnille, seurakuntayhtymille ja muille elimille. Myös julkishallinnollisilla tahoilla on oltava riittävät kannustimet parantaa tietoturvaa ja tietosuojan tasoa, joten hallinnollisia sakkoja tulisi voida kohdistaa myös niihin. Perustelut hallinnollisen sakon määräämiselle eivät julkishallinnollisten tahojen osalta eroa yksityisistä tahoista.
Lisäksi erityisesti tietojen luovuttaminen eteenpäin kolmansille osapuolille pitäisi vähintään kertoa selkeämmin, mielellään myös tarjota mahdollisuus kieltäytyä tästä. Erilaisten automatisointi- ja tekoälyratkaisujen yleistyessä tarvitaan mahdollisesti selkeämpää
säätelyä siitä, missä tapauksissa automatisoidut yksittäispäätökset ja profilointi ovat Suomessa sallittuja. Suomessa on puhuttu paljon mm. verotuksen automatisoinnista, ja esimerkiksi pankit ja vakuutusyhtiöt hyödyntävät jo paljon automatiikkaa.
Tietosuoja-asetuksen 26 artiklassa säädetään yhteisrekisterinpitäjistä. EDRin tulkinnan mukaan tämän lainkohdan myötä yhteistyössä tietoja käsittelevät yritykset voivat keskenään järjestellä tietosuoja-asetuksen mukaiset vastuunsa (s. 23-24). Tällöin yhteisrekisterinpitäjät voivat itse valita sellaiset ”järjestelyt”, joiden kautta toimintaa voidaan harjoittaa vähiten vaativan
tietosuojajärjestelmän puitteissa. Tällainen mahdollisuus vaarantaa digitaaliset sisämarkkinat luomalla ”race to the bottom” -tyyppisen kilpailun, jonka myötä jäsenvaltiot kilpailevat yrityksistä joustamalla tietosuojasäännöksien tulkinnassa kansallisella tasolla. TATTI-työryhmän tulkinnan mukaan kansallisessa lainsäädännössä “voidaan määritellä rekisterinpitäjän vastuualueet siten, etteivät yhteisrekisterinpitäjät voi tästä keskinäisellä sopimuksella poiketa”. Näin tulisi tehdä.
Käytännössä tietosuojavirastolle jäisi myös mahdollisuus seurata Suomessa toimivien yhteisrekisterinpitäjien toimintaa tästä näkökulmasta.
Pidemmällä aikajänteellä törmätään todennäköisesti siihen, että säätelyä EU:n sisällä halutaan yhtenäistää. Nykyisellään Euroopan tietosuojaneuvosto toki tekee yhteisiä linjauksia.
Kommentit yleisen tietosuoja-asetuksen VIII lukuun – Oikeussuojakeinot, vastuu ja seuraamukset
Suomessa ei liene vielä annettu yksiäkään sakkoja GDPR:ään nojaten, Euroopassa ylipäänsä sakkoja on jo ehditty määrätä. Rikkomuksiin törmää edelleen tämän tästä. Tietoja on tuhottu, kun niitä on pyydetty nähtäväksi eivätkä kaikki yritykset tai muut tahot edes vastaa tietopyyntöihin.” Jatkossakin on suotavaa, että kansalaiset tekevät tietopyyntöjä ja raportoivat puutteista tietosuojavaltuutetun toimistoon. Tietojen tuhoamisen luovutuksen sijaan voisi jollain tavalla puuttua. Mahdollisuuksien mukaan tietosuojavaltuutetun on puututtava julkitulleisiin väärinkäytöksiin myös ilman erillistä ilmoitusta.