Tietosuoja EU:ssa uudistuu – oletko jo valmistautunut?


2013-09-17, 08:44 Kirjoittanut Jani Ekqvist

Olemme Cybercomilla seuranneet kiinnostuksella tietosuojan kehittymistä EU:ssa viime vuosina. Käynnissä on monelle maalle melko perustavanlaatuinen myllerrys, vaikka vaikutukset ehkä Suomessa jäävätkin vähäisemmiksi.

Euroopan komissio julkaisi ehdotuksensa uudeksi tietosuoja-asetukseksi viime vuoden tammikuussa. Viimeisin päivitetty kompromissiehdotus saatiin tänä kesänä Irlannin puheenjohtajuuden lopulla, ja tavoitteena on käynnistää lopulliset neuvottelut parlamentissa ja Euroopan neuvostossa tänä syksynä sekä saada lainsäädäntö voimaan ensi vuonna.

Asetusehdotukseen tehdyt muutokset ovat muokanneet sitä tiukasti määritellyistä säännöistä riskilähtöisempään suuntaan ja samalla rajoittaneet Komissiolle delegoitua päätösvaltaa. Uusinta versiota voikin pitää käytännönläheisempänä ja bisneslähtöisempänä kuin alkuperäistä, mutta siitä huolimatta se asettaa useita velvoitteita yrityksille nykylainsäädäntöön verrattuna.

Uutena terminä korostuu pseudonyymi data eli henkilötieto, jota ei  voida yhdistää tiettyyn henkilöön ilman jotakin lisätietoa. Tällaisen tiedon käsittely on uudessa ehdotuksessa paljon vapaampaa kuin varsinaisen henkilöön yhdistetyn tiedon, eivätkä sitä koske esimerkiksi tiedonsaanti ja -oikaisuoikeudet.  Se mainitaan myös erikseen hyväksyttävänä tiedon suojauskeinona tätä käsittelevässä osiossa.

Riskilähtöisen tarkastelun seurauksena pakollinen valvonta vähenee ja sen korvaa asetuksessa auditointi ja sertifiointi. Yrityksillä ei ole enää ennakkohyväksyntävelvoitteita, sen sijaan vaikutusten arviointi toimii pääasiallisena työkaluna sen selvittämiseksi, mihin toimenpiteisiin on syytä ryhtyä. Vaikutusten arvioinnissa yritys itse määrittelee käsiteltävän tiedon ja siihen liittyvät riskit ja seuraukset. Myös pakollisesta tietosuojavaltuutetun tehtävästä yrityksissä on luovuttu ellei sellaista ole kansallinen lainsäädäntö määrännyt.

Ehdotus kohdistuu asetuksen alkuosiin, joten tiedonsiirtoon kolmansiin maihin, valvontaviranomaisen tehtäviin ja oikeudellisiin seuraamuksiin ei ole tullut muutoksia. Tietosuojaviranomainen on edelleen saamassa suoran sakotusoikeuden ja sanktiot on määritelty maksimissaan kahteen prosenttiin yrityksen globaalista liikevaihdosta.

Kaiken kaikkiaan vaikuttaa siltä että asetustyö etenee viivästyksistä ja ja yli 3000 muutosehdotuksesta huolimatta ja Eurooppaan saadaan lähivuosina yhtenäinen tietosuojalainsäädäntö. Edward Snowdenin paljastukset tiedustelukoneistojen toiminnasta internetissä ja yhteistyöstä amerikkalaisyritysten kanssa saattavat myös osaltaan helpottaa asetuksen  toteutumista kun eurooppalaiset poliitikot etsivät keinoja suojata kansalaisiaan.


comments powered by Disqus