Yleisen tietosuoja-asetuksen toimivuus ja sen soveltamiseen liittyvät kokemukset 

Mitkä ovat olleet yleisen tietosuoja-asetuksen soveltamiseen liittyvät merkittävimmät hyödyt ja haasteet? 

Juristiliitto – Juristförbundet (rek. Suomen Lakimiesliitto – Finlands Juristförbund ry) kiittää oikeusministeriötä lausuntopyynnöstä yleisen tietosuoja-asetuksen toimivuudesta ja sen soveltamiseen liittyvistä kokemuksista ja lausuu seuraavaa: 

Henkilötietojen suojaa koskevaa sääntelyä voidaan tavoitteiltaan pitää toivottavana: digitaalisuudelle perustuvassa maailmassa on oltava säännöt yksilöiden suojaamiseksi tietojen väärinkäytöltä. Samassa yhteydessä Juristiliitto toteaa, että yhtenäisten sääntöjen luominen koko EU:n alueelle tällä merkittävällä oikeudenalalla on ymmärrettävästi erittäin haastavaa. Jo historiallisista syistä sääntelyn sovittaminen erilaisiin eurooppalaisiin toimintaympäristöihin aiheuttaa sääntelyn avoimuutta ja vaikeaselkoisuutta. 

Edellä mainitusta huolimatta Juristiliiton näkemyksen mukaan EU:n tietosuoja-asetus on esimerkki EU:n sääntelystä, joka ei ole onnistunutta. Asetus on kaikessa vaikeaselkoisuudessaan hyvin hankalaa ymmärtää jopa oikeustieteen ammattilaiselle. Tällaista sääntelyä ei sen hyvästä tarkoituksesta huolimatta tulisi hyväksyä: näin sekava sääntely altistaa täysin erilaisille tulkintakäytännöille ja sen soveltaminen jäsenvaltioissa tai eri toimijoiden välillä muodostuu tosiasiassa hyvinkin erilaiseksi. Jatkuva epävarmuus oikeista tulkinnoista pahimmillaan rasittaa koko järjestelmää. 

Suomessa asetuksen soveltaminen on keskittynyt henkilötietojen suojan tarkasteluun, eikä tietojen vapaaseen liikkuvuuteen nimellisestikään. Suomessa tietosuoja-asetusta on tulkittu monilta osin huomattavasti muita EU-maita tiukemmin. Tulkintakäytäntöä voidaan Suomen sisälläkin kuvailla erittäin vaihtelevaksi ja joiltain osin erittäin tiukaksi mahdollisesti siitä syystä, että sääntelyä ei ymmärretä. Suomessa on oltu liiankin varovaisia, ja noudatettu vaadittua tiukempia rajoituksia. Tämä saattaa aiheuttaa paitsi ylimääräisiä kustannuksia, myös vaikeuttaa viranomaisten, yritysten ja yksityisten kansalaisten toimintaa. Toimijoiden suhtautumista voidaan kuvata araksi, mikä saattaa johtaa ylitulkintoihin asetettujen vaatimusten osalta. Osittain ongelmia aiheuttaa esimerkiksi se, että Suomessa viranomaiset ovat siiloutuneita ja toimivalta on myös eriytynyttä. Tämä aiheuttaa merkittäviä haasteita muun muassa erityisesti tietojen luovuttamisessa viranomaisten välillä muun muassa tilanteissa, joissa tietosuoja-asetuksen asettamat velvollisuudet eivät ole kaikille toimijoille selviä. Tähän ongelmaan olisi tullut puuttua jo ennen tietosuoja-asetuksen voimaantuloa mahdollistamalla kansallisella sääntelyllä selvästi ja yksiselitteisesti tiedon liikkuminen viranomaisten välillä. Nyt tulkinnalliset epäselvyydet saattavat johtaa jopa kohtalokkaisiin puutteisiin tiedonkulussa, jos esimerkiksi sosiaaliviranomaisten ja terveydenhuollon välillä tietojen liikkuminen estyy. 

Juristiliitto katsoo, että jatkossa olisi syytä selvittää niitä syitä, millä perusteilla esim. eri viranomaisissa asetetaan lisävaatimuksia tai rajataan tiedonsaantia usein tiukemmin kuin EU-säännökset edellyttävät. 

Tässä lausunnossa Juristiliitolla ei ole tiukan aikataulun vuoksi ollut mahdollista käydä läpi kaikkia käytännössä esiintyviä tulkintaongelmia. Juristiliitto kuitenkin korostaa, että asetuksen osalta tulisi säännönmukaisesti seurata kehitystä ja varmistaa, että virheellisiin tulkintoihin puututaan. Säännöllisesti tulisi seurata myös muiden EU-maiden tulkintaa ja varmistaa, ettei Suomessa turhaan tiukenneta tulkintaa entisestään. Näin voidaan osaltaan huolehtia esimerkiksi suomalaisten yritysten kilpailuedun säilymisestä suhteessa muissa EU-maissa toimiviin yrityksiin. 

Onko tietosuojalaki koettu yleisesti toimivaksi? Minkälaisia haasteita sen soveltamisessa on ilmennyt? 

Juristiliitto toteaa, että tietosuojalain sääntelyä ei myöskään voida pitää selvänä ja yksiselitteisenä. Esimerkkinä tästä on jo lain soveltamisalaa koskeva säännös: “Tätä lakia sovelletaan tietosuoja-asetuksen 2 artiklan soveltamisalan mukaisesti. Tätä lakia ja tietosuoja-asetusta sovelletaan lisäksi, lukuun ottamatta asetuksen 56 artiklaa ja VII lukua, sellaiseen henkilötietojen käsittelyyn, jota suoritetaan mainitun 2 artiklan 2 kohdan a ja b alakohdassa tarkoitetun toiminnan yhteydessä, jollei muualla laissa toisin säädetä.” Tämän virkkeen ymmärtäminen ammattilaisenkaan toimesta ei ole helppoa. Koska kyseessä on yksityisten henkilöiden osalta merkittävä sääntelykokonaisuus, voidaan tällaista vaikeaselkoisuutta pitää erittäin ongelmallisena ja vaarantavan yksityisten henkilöiden oikeusturvan toteutumista. Sääntelyn tulisi olla mahdollisimman selkeää ja soveltamisen yhdenmukaista. Vaikeaselkoinen sääntely aiheuttaa ongelmia ja ylimääräisiä kustannuksia myös yrityksille ja johtaa helposti siihen, että velvoitteita yritetään toteuttaa erilaisten mallien avulla sen sijaan, että oikeasti keskityttäisiin sisällölliseen noudattamiseen ja tarkoituksen toteutumiseen. 

Onko yleisen tietosuoja-asetuksen mahdollistamaa sääntelyliikkumavaraa käytetty EU:ssa ja Suomessa tarkoituksenmukaisella tavalla? Jos ei, miten ja minkälaisia tilanteita varten tietosuoja-asetuksen sääntelyliikkumavaraa tulisi käyttää eri tavoin kuin on tehty? 

Juristiliitto katsoo, että tietosuoja-asetuksen mahdollistamaa sääntelyliikkumavaraa ei ole käytetty Suomessa tarkoituksenmukaisella tavalla. Suomessa on monin osin noudatettu vaadittua tiukempaa tietosuojaa. Lisäksi viranomaiset vetoavat EU:n tietosuoja-asetuksessa säädettyyn henkilötietojen suojaan silloinkin, kun sille ei ole perustetta tai tarvetta – tai edes oikeutusta. Juristiliitto pitää selvänä, että tämä johtuu ainakin osittain siitä, että edelleenkään esimerkiksi julkisuuslain ja tietosuoja-asetuksen keskinäinen yhteys ei ole selvä, eikä ongelmia näiden välillä ole yksinkertaista yrittää tulkinnallisesti ratkaista. Kuten edellä on todettu, on Suomessa myös oltu vähintään tulkintakäytännön osalta liiankin varovaisia, ja noudatettu vaadittua tiukempia rajoituksia. Lisäksi tulkintakäytännössä on eroavaisuuksia eri viranomaisten ja toisaalta saman viranomaisen eri toimipisteiden välillä. Esimerkiksi viranomaisten tuomio-, päätös- ja ratkaisutoiminnassa esiintyy sekä valtavaa vaihtelua että selviä väärinymmärryksiä päätösten käsittelyn ja niiden luovuttamisen osalta. Esimerkiksi tuomioiden luovuttamiskäytännöt vaihtelevat merkittävästi eri tuomioistuinten välillä, eikä tätä tilannetta voida pitää suotavana. Tämän lisäksi tapahtuu myös diaari- ja päätöstietojen salaamista, jolloin viittaaminen ratkaisutoimintaan saattaa estyä kokonaan. 

Juristiliitto toteaa, että tämä tarkoittaa ennen kaikkea sitä, että kansallisessa lainsäädännössä tulee selventää tietosuoja-asetuksen tarkoitusta ja sen soveltamista. Asetus sallii melko pitkällekin menevät täsmennykset kansallisessa lainsäädännössä, ja nämä keinot on otettava käyttöön, jotta soveltaminen on yhdenmukaista ja myös linjassa asetuksen tavoitteiden kanssa. Jos EU:n sääntely on epäselvää, on kansallisesti velvollisuus muodostaa kansallinen lainsäädäntökokonaisuus sellaiseksi, että asetusta on mahdollista soveltaa ilman merkittäviä tulkinnallisia ristiriitoja. Tämä ei ole ristiriidassa asetuksen suoran soveltamisen kanssa, vaan tosiasiassa mahdollistaa sen. 

Myös kansallisen ohjeistuksen tulisi olla selvää ja yksiselitteistä. Tällä hetkellä todellisuus näyttäytyy sellaisena, että esimerkiksi eri viranomaiset yrittävät selvitä asetusten asettamien velvoitteiden ymmärtämisestä ja tulkinnat muodostuvat erilaiseksi eri viranomaisten välillä. Juristiliitto katsoo, että jo pelkästään selvällä ohjeistuksella päästäisiin asiassa eteenpäin, mutta sellaista ei riittävässä määrin ole tarjolla. Epäselvä ja tulkinnanvarainen sääntely vaikeuttaa myös viranomaisten välistä yhteistyötä. 

Millä toimialoilla yleistä tietosuoja-asetusta on pantu täytäntöön tehokkaasti ja onnistuneesti huomioiden asetukselle asetetut tavoitteet edistää rekisteröityjen oikeuksien ja vapauksien toteutumista sekä edistää tiedon vapaata liikkuvuutta EU-alueella?  

Suomessa kansallinen sääntely osin tiukempaa kuin yleinen tietosuoja-asetus edellyttäisi. Tiukempi sääntely ja tulkinta vaikeuttaa toimintaa EU-maiden välillä. 

Minkälaisia haasteita on ilmennyt yleisen tietosuoja-asetuksen ja kansallisen lainsäädännön tai muun EU-lainsäädännön yhteensovittamisessa eri soveltamistilanteissa? 

– 

Onko eri jäsenvaltioiden tietosuojalainsäädäntöjen eroavaisuuksiin ja täytäntöönpanoon liittyen tunnistettu haasteita? Jos on, minkälaisia haasteita? 

Suomessa tietosuojalainsäädäntö on monin osin tiukempaa kuin EU-maissa keskimäärin. Esimerkiksi tietosuoja-asetuksen voimaantuloa odoteltaessa Suomessa valmisteltiin huomattavasti tiukempia tietosuojaselvityksiä kuin muissa EU-maissa. Suomessa ehdotettiin lisättävän useita kohtia ja tiukennuksia muiden EU-maiden noudattamaan malliin. Vaikuttaa siltä, että Suomessa ollaan liian varovaisia ja varmuuden vuoksi rajoitetaan tarvittavaa enemmän. Liiallinen varovaisuus puolestaan aiheuttaa ylimääräisiä kustannuksia ja hankaloittaa kansalaisten ja yrittäjien elämää. 

Ovatko Euroopan tietosuojaneuvoston antamat ohjeet auttaneet käytännön soveltamistilanteisiin liittyvien ratkaisujen tekemisessä? Mitä yleisen tietosuoja-asetuksen tulkintaa koskevia ohjeita vielä tarvittaisiin? 

Juristiliitto katsoo, että monet ohjeet ovat vaikeaselkoisia eivätkä anna käytännön tulkinta-apua. Kaikki Suomessa sovellettavaksi tulevat ohjeet olisi myös syytä kääntää suomeksi ja ruotsiksi. Monitulkintainen ja vaikeaselkoinen laki kaipaa selkeää, suomen- tai ruotsinkielistä ohjeistusta. Moni englanninkielinen termi eroaa vähintään suomenkielisestä vastineestaan ja jos ohje on vain englanniksi, lisää se väärinymmärryksen riskiä entisestään. 

Onko edustamanne organisaatio ollut mukana laatimassa yleisen tietosuoja-asetuksen 40 artiklan mukaisia käytännesääntöjä tai harkinnut niiden laatimista? Mitkä ovat käytännesääntöjen laatimiseen liittyviä merkittävimpiä hyötyjä ja haasteita? 

– 

Onko yleisen tietosuoja-asetuksen täytäntöönpanoon liittyvä seuraamusjärjestelmä Suomessa tehokas ja tarkoituksenmukainen? Mitä merkittävimpiä hyötyjä ja haasteita seuraamusjärjestelmään liittyy? 

– 

Ovatko yleisen tietosuoja-asetuksen kansainväliset tiedonsiirtomekanismit toimivia vai tulisiko niitä kehittää edelleen ja miten niitä tulisi kehittää edelleen? Mitkä ovat olleet kansainvälisiin tiedonsiirtoihin liittyvät merkittävimmät hyödyt ja haasteet? 

Tietosuoja-asetuksen voimaantulon yhteydessä painotettiin asetuksella saavutettavaa kilpailuetua ja sovellus- sekä palvelukehitystä EU-alueella. Tosiasiallisesti kilpailuetu on jäänyt saavuttamatta. Enemminkin erilaiset pilvipalvelutoimittajat ovat kyenneet menestymään taloudellisesti ja vahvistaneet asemiaan. Hallinnon eri tasoilla joudutaan nykyisin käyttämään runsaasti aikaa ja konsultointiapua varmistamaan palveluiden henkilötietojen käsittelyn lainmukaisuus. 

Onko yleisen tietosuoja-asetuksen ns. laajennettu alueellinen soveltamisala, joka kattaa myös EU:n markkinoilla toimivien kolmansien maiden toimijoiden suorittaman henkilötietojen käsittelyn, toiminut tarkoituksenmukaisella tavalla? Olisiko yleisen tietosuoja-asetuksen täytäntöönpanoon liittyvää yhteistyötä kolmansien maiden kanssa tarpeen kehittää ja miten? 

– 

Kommentit yleisen tietosuoja-asetuksen I lukuun – Yleiset säännökset 

Tietosuoja-asetuksen voimaantulon hyvänä puolena voidaan pitää yleisen tietoisuuden lisääntymistä ja sen voimaantulo on myös rajoittanut perusteettomien henkilötietojen keräämistä ja säilyttämistä. Myös kansalaiset osaavat paremmin kyseenalaistaa, onko pyydetyt tiedot tarpeen tai välttämättömiä tarkoituksen toteuttamiseksi. 

Kommentit yleisen tietosuoja-asetuksen II lukuun – Periaatteet 

Juristiliitto katsoo, että henkilötietojen käsittelyä koskevat periaatteet ovat pääosin riittävän selkeitä. 

Kommentit yleisen tietosuoja-asetuksen III lukuun – Rekisteröidyn oikeudet 

Rekisteröidyn oikeudet ovat kattavat, mutta ne olisi hyvä esittää selkeämmin ja yksinkertaisemmin. 

Kommentit yleisen tietosuoja-asetuksen IV lukuun – Rekisterinpitäjä ja henkilötietojen käsittelijä 

Rekisterinpitäjän ja henkilötietojen käsittelijän käsitteet eivät ole riittävän selkeät eivätkä ota riittävällä tavalla huomioon erilaisia toimintamalleja. Esimerkkinä tällaisesta tilanteesta voidaan pitää järjestelmän hallinnollisen omistajan näkökulmaa koskien sitä, mikä on palvelukeskuksen rooli rekisterinpitäjänä tai henkilötietojen käsittelijä esimerkiksi lokitietojen tai välitystietojen osalta. Tällaisten toimijoiden rooli on myös usein vaikea selvittää. 

Kommentit yleisen tietosuoja-asetuksen V lukuun – Henkilötietojen siirrot kolmansiin maihin tai kansainvälisille järjestöille 

Juristiliitolla ei ole kommentteja V lukua koskien tarkemmin. Juristiliitto pitää kuitenkin hyvänä, että asiasta on säädelty ja siinä on huomioitu myös tietoturvaa koskevat seikat. 

Kommentit yleisen tietosuoja-asetuksen IV lukuun – Riippumattomat valvontaviranomaiset 

Juristiliitto katsoo, että Suomessa riippumattomien valvontaviranomaisten osalta tilanne on kunnossa. On kuitenkin tärkeä muistaa, että valvontaviranomaisille on turvattava riittävät resurssit myös jatkossa, jotta he pystyvät vastaamaan alati digitalisoituvan, laajenevan ja monimutkaistuvan yhteiskunnan tarpeisiin. 

Kommentit yleisen tietosuoja-asetuksen VII lukuun – Yhteistyö ja yhdenmukaisuus 

Juristiliitto huomauttaa, että tietosuoja-asetuksen mukaista yhdenmukaisuutta tulisi kehittää edelleen yhtenäisellä ohjeistuksella. Jo nyt on huomattavissa kuten edellä on todettu, että viranomaisten tulkinta ja käytännöt vaihtelevat niin Suomen sisällä kuin verrattaessa muihin EU-jäsenvaltioihin ja esimerkiksi tiedonsaantia rajoitetaan jopa liikaa vain varmuuden vuoksi. 

Kommentit yleisen tietosuoja-asetuksen VIII lukuun – Oikeussuojakeinot, vastuu ja seuraamukset 

Juristiliiton mukaan sääntely on kunnossa tältä osin. 

Kommentit yleisen tietosuoja-asetuksen IX lukuun – Tietojenkäsittelyyn liittyviä erityistilanteita koskevat säännökset 

Yleisessä tietosuoja-asetuksessa edellytetty tietosuoja-asetuksen ja kansallisen lainsäädännön yhteensovittamista tältä osin. Juristiliitto katsoo, ettei yhteensovittamista Suomessa voida pitää onnistuneena. Yhteensovittaminen ei voi tapahtua vain luettelemalla tietosuojalaissa niitä säännöksiä, joita ei tietyissä tilanteissa ja tapauksissa sovelleta. Näin ollen sääntely on tältä osin vaikeaselkoista ja jättää liian paljon tulkinnanvaraa. 

Lisätiedot: Jenni Tuomainen, oikeus- ja koulutuspoliittinen asiantuntija, etunimi.sukunimi@juristiliitto.fi