Lausunto yhteisötilaajasääntelystä ja muista sähköisen viestinnän tietosuojadirektiivin kansallisista laajennuksista

Liikenne- ja viestintäministeriö
Lausuntopyynnön diaarinumero: VN/10660/2026

1. Yleisiä kysymyksiä SVPL:n yhteisötilaajia ja sijaintitietojen käsittelyä koskevasta sääntelystä

1.1. Pidättekö SVPL:n yhteisötilaajia ja muita viestinnän välittäjiä sekä sijaintitietojen suojaa koskeva sääntelyä yleisesti ottaen sisällöltään ja soveltamisalaltaan asianmukaisena, kun otetaan huomioon nykyinen toimintaympäristö ja muu soveltuva kansallinen ja EU-lainsäädäntö?

Liikenne- ja viestintäministeriö arvioi hankkeessaan (LVM018:00/2026) sähköisen viestinnän tietosuojadirektiivin (ePrivacy-direktiivin) kansallisia laajennuksia, erityisesti yhteisötilaajia koskevaa sääntelyä. Hankkeen tavoitteena on tunnistaa sääntelyn toimivuuteen liittyviä haasteita sekä arvioida mahdollisia kehittämistarpeita huomioiden samalla organisaatioiden edellytykset huolehtia tietoturvasta ja tietojensa suojaamisesta.

Suomen Yrittäjät kiittää mahdollisuudesta lausua asiassa.

Suomen Yrittäjät katsoo, ettei sähköisen viestinnän palveluista annetun lain (SVPL) sääntely enää kaikilta osiltaan ole tarkoituksenmukaista nykyisessä yritysten toimintaympäristössä. Sääntely perustuu pitkälti yli 20 vuotta sitten muodostettuihin lähtökohtiin, minkä jälkeen yritysten toimintaympäristö, tietojärjestelmät, viestintätavat sekä kyberuhat ovat muuttuneet merkittävästi.

Pk-yritysten näkökulmasta sääntely ei riittävästi huomioi sitä, että yritysten on nykyisin kyettävä suojaamaan liiketoimintaansa, asiakastietojaan, liikesalaisuuksiaan ja tietojärjestelmiään jatkuvasti kehittyviä kyberuhkia vastaan. Samalla sääntelyn tulisi mahdollistaa markkinoilla yleisesti käytössä olevien tietoturvaratkaisujen hyödyntäminen ilman raskaita kansallisia erityismenettelyjä.

EU:ssa on myös annettu useita muita säädöksiä, kuten yleinen tietosuoja-asetus ja NIS2-direktiivi, sekä kansallisesti kyberturvallisuuslaki. Suomen Yrittäjät pitää tarpeellisena SVPL:n kokonaisarviointia suhteessa nykyiseen EU-sääntelyyn, työelämän tietosuojalakiin sekä muuttuneeseen turvallisuusympäristöön.

Suomen Yrittäjät korostaa, että pk-yrityksillä ei useinkaan ole omia tietosuoja-, tietoturva- tai lakiasiantuntijoita. Tämän vuoksi sääntelyn tulisi olla erityisen selkeää, ennakoitavaa ja yhteensopivaa muualla Euroopan unionissa sovellettavien käytäntöjen kanssa. Kansallinen erityissääntely aiheuttaa suhteellisesti suuremman hallinnollisen rasituksen pk-yrityksille kuin suurille yrityksille.

1.2. Liittyykö SVPL:n ePrivacy-direktiiviä täydentävään sääntelyyn mielestänne piirteitä, jotka eivät asianmukaisesti huomioi nykyistä kyberturvallisuuden toimintaympäristöä, uusien digitaalisten palveluiden käytön ja tarjonnan muotoja tai uudempaa muuta kansallista ja EU-sääntelyä?

Suomen Yrittäjät katsoo, ettei sääntely huomioi riittävästi nykyisiä kyberturvallisuusuhkia eikä yritysten velvollisuuksia huolehtia tietoturvastaan. Erityisesti sisäiset uhkat, tahalliset tai tahattomat tietovuodot, toimitusketjuhyökkäykset, tekoälyyn liittyvät riskit sekä pilvipalveluympäristöt ovat jääneet sääntelyssä vähäiselle huomiolle.

Monet nykyiset tietoturvaratkaisut perustuvat käyttäjäkohtaisen toiminnan analysointiin, poikkeamien tunnistamiseen ja tietovuotojen estämiseen. Suomen Yrittäjien näkemyksen mukaan sääntely ei anna riittävän selkeitä edellytyksiä tällaisten ratkaisujen hyödyntämiselle.

1.3. Millaisia vaikutuksia SVPL:n ePrivacy-direktiiviä täydentävällä sääntelyllä on käsityksenne mukaan ollut käyttäjien yksityisyyden suojalle? Onko sääntely toteuttanut yksityisyyden ja henkilötietojen suojaa mielestänne tarkoituksenmukaisella tavalla?

Suomen Yrittäjät katsoo, että sääntely on tarjonnut erittäin vahvan suojan viestinnän luottamuksellisuudelle ja käyttäjien yksityisyydelle. Nykyisessä toimintaympäristössä tulisi kuitenkin arvioida nykyistä paremmin yksityisyyden suojan ja kyberturvallisuuden välistä tasapainoa. Sääntelyn ei myöskään tulisi estää yrityksiä toteuttamasta perusteltuja tietoturvatoimenpiteitä tai suojaamasta liikesalaisuuksiaan.

2. Kyberturvallisuuden riskienhallinta ja viestinnän ja välitystietojen käsittely

2.1. Pidättekö SVPL:n ePrivacy-direktiiviä täydentävää sääntelyä tarkoituksenmukaisena siltä osin kuin se sääntelee sellaista välitystietojen ja viestien käsittelyä, joka liittyy erilaisilta kyberuhkilta suojautumiseen? Millaisia vaikutuksia tällä sääntelyllä on ollut organisaatioiden ja käyttäjien kyberturvallisuuteen? Onko sääntely mielestänne mahdollistanut kyberturvallisuuden riskienhallinnan tarkoituksenmukaisella tavalla vai aiheuttanut sille rajoituksia?

Suomen Yrittäjät katsoo, että sääntely ei ole tältä osin kaikilta osin tarkoituksenmukaista. Pk-yritykset ovat yhä useammin kyberrikollisuuden kohteena. Niiden tietoturva perustuu usein valmiisiin pilvipohjaisiin tietoturvaratkaisuihin ja automatisoituihin valvontatyökaluihin. Nykyinen sääntely ei kuitenkaan aina mahdollista tällaisten ratkaisujen käyttöönottoa selkeällä tavalla. Sääntely on lisännyt epävarmuutta siitä, mitä tietoturvatoimenpiteitä voidaan toteuttaa ja millä oikeusperusteella.

Pk-yritykset hankkivat tietoturvapalvelunsa usein kansainvälisiltä palveluntarjoajilta valmiina palveluina. Jos suomalainen sääntely estää tai rajoittaa näiden ratkaisujen käyttöä enemmän kuin muissa jäsenvaltioissa, suomalaiset pk-yritykset joutuvat heikompaan asemaan suhteessa eurooppalaisiin kilpailijoihinsa.

2.2. SVPL 18 luvun (ns. Lex Nokia) mukaisia toimenpiteitä on käytetty vähemmän, kuin sääntelyn valmistelussa aikanaan ennakoitiin. Millaisia syitä arvioitte olevan sen taustalla, ettei toimenpiteitä ole otettu käyttöön? (SVPL 18 luvussa säädetään yhteisötilaajan oikeudesta käsitellä tietyin edellytyksin välitystietoja maksullisen tietoyhteiskunnan palvelun, viestintäverkon tai viestintäpalvelun luvattoman käytön taikka liikesalaisuuksien paljastamisen ehkäisemiseksi ja selvittämiseksi.)

Suomen Yrittäjien näkemyksen mukaan Lex Nokian vähäisen käytön keskeisiä syitä ovat mm. se, että sääntely on monimutkaista, menettelyvaatimukset ovat raskaita, ennakkoilmoitusvelvollisuus lisää hallinnollista taakkaa ja sääntelyn suhde tietoturvatoimenpiteisiin on epäselvä. Menettely on erityisen raskas pk-yrityksille, joilla ei ole käytettävissään omia tietosuoja- tai lakiasiantuntijoita.

2.3. Voiko SVPL:n tietoturvatoimenpiteistä säätävän 272 §:n ja SVPL 18 luvun muun muassa liikesalaisuuksien paljastamisen selvittämistä koskevan sääntelyn (Lex Nokia) suhde aiheuttaa mielestänne soveltamishaasteita? Millaisia?

Nykyisessä toimintaympäristössä tietoturvatoimenpiteiden ja liikesalaisuuksien suojaamisen välinen raja on usein häilyvä. Monet nykyaikaiset tietoturvaratkaisut tunnistavat samanaikaisesti sekä kyberuhkia että mahdollisia tietovuotoja. Käytännössä yrityksen on usein vaikea arvioida, kuuluuko tietty toimenpide 272 §:n vai 18 luvun soveltamisalaan. Tämä lisää oikeudellista epävarmuutta ja voi johtaa siihen, että hyödyllisiä tietoturvaratkaisuja jätetään ottamatta käyttöön.

2.4. Voiko SVPL:n ePrivacy-direktiiviä täydentävä sääntely estää organisaatioita käyttämästä viestinnän tai välitystietojen käsittelyä edellyttäviä riskienhallintatoimenpiteitä, jotka olisivat käsityksenne mukaan perusteltuja ja muun soveltuvan lainsäädännön mukaisia, tai rajoittaa niiden käyttöä? Mitä toimenpiteitä? Mistä SVPL:n vaatimuksesta tämä johtuu? Onko SVPL:n sääntely asettanut teille esteitä tai rajoituksia tällaisten toimenpiteiden käyttöön?

Suomen Yrittäjät pitää merkittävänä, että nykyinen sääntely voi estää tai ainakin merkittävästi rajoittaa esimerkiksi Data Loss Prevention -ratkaisujen käyttöä, tietovuotojen automaattista tunnistamista, poikkeamien analysointia ja tekoälypohjaisten tietoturvaratkaisujen käyttöönottoa. Tällaiset ratkaisut ovat monille pk-yrityksille ainoa realistinen tapa saavuttaa nykyaikainen tietoturvan taso.

Käytännössä kansallinen lisäsääntely voi johtaa tilanteeseen, jossa kansainvälisesti käytössä olevat tietoturvaratkaisut eivät ole Suomessa täysimääräisesti hyödynnettävissä tai niiden käyttöönotto edellyttää erillisiä kansallisia arviointeja ja menettelyjä. Tämä kasvattaa kustannuksia erityisesti pk-yrityksille ja voi heikentää niiden kykyä vastata nykyisiin kyberturvallisuusuhkiin.

3. Muu kuin kyberturvallisuuden riskienhallintaan liittyvä välitystietojen ja viestinnän käsittely

3.1. Pidättekö SVPL:n ePrivacy-direktiiviä täydentävää välitystietojen ja viestinnän käsittelyn sääntelyä tarkoituksenmukaisena siltä osin kuin tietojen käsittely liittyy muuhun kuin erilaisilta kyberuhkilta suojautumiseen? Onko sääntelyn mahdollistamat käsittelytilanteet määritelty tarkoituksenmukaisesti?

Suomen Yrittäjät katsoo, ettei sääntely ole tältä osin enää kaikilta osin tarkoituksenmukaista. Sääntely perustuu lähtökohtaan, jossa työnantajan mahdollisuudet käsitellä viestintään liittyviä tietoja ovat hyvin rajattuja ja poikkeuksellisia. Tällainen lähestymistapa on ymmärrettävä viestinnän luottamuksellisuuden suojaamisen näkökulmasta, mutta se ei kaikilta osin vastaa nykyistä työelämää, viestintäympäristöä eikä yritysten käytännön tarpeita.

Pk-yrityksissä työntekijöiden sähköpostit, viestintäjärjestelmät ja muut digitaaliset työvälineet sisältävät usein liiketoiminnan kannalta keskeistä tietoa, kuten asiakassuhteisiin, sopimusneuvotteluihin, tarjousprosesseihin, projektien toteuttamiseen ja laskutukseen liittyvää aineistoa. Yrityksen toiminnan jatkuvuuden kannalta voi olla välttämätöntä saada pääsy tällaisiin tietoihin esimerkiksi työntekijän poissaolon, työsuhteen päättymisen tai väärinkäytösepäilyn yhteydessä.

Nykyinen sääntely on rakentunut aikana, jolloin työntekijöiden henkilökohtainen sähköinen viestintä saattoi käytännössä tapahtua pitkälti työnantajan tarjoaman sähköpostin kautta. Yli kahdenkymmenen vuoden aikana tilanne on muuttunut olennaisesti. Työntekijöiden käytettävissä on nykyisin useita maksuttomia sähköpostipalveluita, pikaviestipalveluita ja muita viestintäkanavia henkilökohtaista viestintää varten. Työnantajan tarjoama sähköpostiosoite ja muut viestintävälineet ovat ensisijaisesti työvälineitä, joiden tarkoituksena on mahdollistaa työtehtävien hoitaminen.

Suomen Yrittäjät katsoo, että työnantajalla tulisi olla nykyistä laajemmat mahdollisuudet kieltää työsähköpostin käyttö henkilökohtaisiin tarkoituksiin sekä hallita työnantajan omistamia viestintävälineitä liiketoiminnan jatkuvuuden turvaamiseksi. Samalla tulisi arvioida kriittisesti, ovatko työnantajalle kuuluvien viestien käsittelyä koskevat menettelysäännökset edelleen tarkoituksenmukaisia nykyisessä toimintaympäristössä.

Nykyinen sääntely voi lisäksi käytännössä vaikeuttaa väärinkäytösten selvittämistä, liikesalaisuuksien suojaamista, sisäisiä tutkintoja sekä yrityksen oikeuksien toteennäyttämistä riitatilanteissa. Pk-yrityksille nämä tilanteet voivat olla erityisen merkittäviä, koska yksittäisen työntekijän hallussa oleva tieto voi muodostaa huomattavan osan yrityksen asiakassuhteisiin tai liiketoimintaan liittyvästä tiedosta.

Suomen Yrittäjien näkemyksen mukaan nykyisen sääntelyn mahdollistamat käsittelytilanteet ovat liian kapeita ja teknologiasidonnaisia. Sääntelyä tulisi kehittää teknologianeutraalimpaan ja riskiperusteisempaan suuntaan siten, että viestinnän luottamuksellisuus säilyy suojattuna, mutta samalla yrityksille annetaan riittävät mahdollisuudet huolehtia liiketoiminnan jatkuvuudesta, oikeusturvastaan sekä liikesalaisuuksiensa suojaamisesta.

Suomen Yrittäjät pitää ongelmallisena sitä, että suomalaisiin yrityksiin kohdistuu viestinnän käsittelyä koskevia rajoituksia, joita vastaavassa laajuudessa ei sovelleta useimmissa muissa jäsenvaltioissa. Tämä voi heikentää suomalaisten yritysten mahdollisuuksia hyödyntää samoja toimintamalleja, järjestelmiä ja menettelyjä kuin kilpailijat muualla Euroopan unionissa.

3.2. Onko ja millä tavoin SVPL:n sääntely edistänyt tai tukenut sellaisten muiden viestinnän tai välitystietojen käsittelyä edellyttävien toimenpiteiden käyttöönottoa, jotka eivät liity kyberuhkien torjumiseen? Millaisten toimenpiteiden?

Sääntely on luonut selkeän lähtökohdan viestinnän luottamuksellisuuden suojalle. Suomen Yrittäjien näkemyksen mukaan sääntelyn merkittävimmät vaikutukset ovat kuitenkin liittyneet käsittelyn rajoittamiseen eikä uusien toimintatapojen mahdollistamiseen.

3.3. Voiko SVPL:n sääntely mielestänne estää ottamasta käyttöön viestinnän tai välitystietojen käsittelyä edellyttäviä toimenpiteitä, jotka eivät liity kyberuhkien torjumiseen mutta olisivat käsityksenne perusteltuja ja muun soveltuvan lainsäädännön mukaisia, tai rajoittaa niiden käyttöä? Mitä toimenpiteitä? Mikä lainsäädännön vaatimus voi muodostua esteeksi? Onko SVPL:n sääntely estänyt teitä ottamasta jotakin tällaista toimenpidettä käyttöön?

Suomen Yrittäjät katsoo, että sääntely voi vaikeuttaa esimerkiksi väärinkäytösten selvittämistä, sisäisiä tutkintoja, liikesalaisuuksien suojaamista sekä työnantajan mahdollisuuksia valvoa omien järjestelmiensä asianmukaista käyttöä. Lisäksi sääntely rajoittaa työnantajan mahdollisuuksia hallita työntekijöille työtehtävien hoitamista varten annettuja viestintävälineitä.

Sääntely perustuu osin toimintaympäristöön, jossa työsähköposti oli usein myös työntekijän keskeinen henkilökohtainen viestintäväline. Nykyisin työntekijöiden käytettävissä on lukuisia maksuttomia sähköposti- ja viestintäpalveluja yksityiseen käyttöön, minkä vuoksi työnantajan tarjoamia viestintävälineitä tulisi voida tarkastella ensisijaisesti työvälineinä. Suomen Yrittäjät katsoo, että työnantajalla tulisi olla nykyistä laajemmat mahdollisuudet hallita työnantajan omistamia viestintävälineitä liiketoiminnan jatkuvuuden, liikesalaisuuksien suojan ja yrityksen oikeusturvan varmistamiseksi.

4. Hallinnollinen taakka ja lisäkustannukset sekä rajat ylittävät tilanteet

4.1. Millaisia hallinnollisia vaikutuksia SVPL:n ePrivacy-direktiiviä täydentävällä sääntelyllä on ollut organisaatioiden ja käyttäjien kannalta? Pidättekö sääntelyä tarkoituksenmukaisena tältä kannalta vai onko sääntely aiheuttanut mielestänne tarpeetonta hallinnollista taakkaa?

Suomen Yrittäjät katsoo, että ePrivacy-direktiivin ylittävä kansallinen lisäsääntely aiheuttaa merkittävää hallinnollista taakkaa erityisesti pk-yrityksille. Suurilla yrityksillä on usein omat lakiosastot, tietosuojavastaavat ja tietoturvaorganisaatiot. Pk-yrityksissä samat velvoitteet jäävät yrittäjän tai muun operatiivisen henkilöstön hoidettaviksi. Tämän vuoksi sääntelyn aiheuttama kustannusrasitus kohdistuu suhteellisesti voimakkaammin pk-yrityksiin.

4.2. Poikkeaako SVPL:n sääntely käsityksenne mukaan merkittävästi muiden EU-maiden sääntelystä? Millä tavoin?

Liikenne- ja viestintäministeriön teleregulaattoreille tekemän kyselyn mukaan ePrivacy-direktiivin kansallisten voimaanpanosäännösten soveltamisala vastaa direktiivin soveltamisalaa niissä jäsenvaltioissa, joista vastauksia saatiin (9 maata). Kyselyn tulos vahvistaa Suomen Yrittäjien käsitystä siitä, että vastaavaa kansallista soveltamisalan laajennusta koskemaan myös muita kuin teleyrityksiä (yhteisötilaajia) ei ole muissa unionin jäsenvaltioissa toteutettu. Suomen sääntelyä voidaan siten pitää monilta osin muita jäsenvaltioita yksityiskohtaisempana ja rajoittavampana erityisesti työnantajien mahdollisuuksien osalta käsitellä viestintään liittyviä tietoja.

Merkille pantavaa on myös, että työ- ja elinkeinoministeriön työelämän tietosuojalain muutostarpeita koskevan selvityksen mukaan muissa unionin jäsenvaltioissa ei ole yhtä kattavaa työelämän tietosuojalakia vastaavaa lainsäädäntöä kuin Suomessa. Muita jäsenvaltioita tiukemman kansallisen sääntelyn vaikutukset eivät rajoitu ainoastaan suuriin kansainvälisiin yrityksiin. Myös suomalaiset kasvuyritykset ja pk-yritykset joutuvat arvioimaan, kannattaako uusia palveluja, järjestelmiä tai tietoturvaratkaisuja ottaa käyttöön Suomessa, jos niiden käyttö edellyttää Suomessa erillisiä kansallisia menettelyjä tai oikeudellisia arvioita. Tämä voi hidastaa digitalisaatiota ja heikentää pk-yritysten kasvumahdollisuuksia.

Suomen Yrittäjät pitää huolestuttavana sitä, että suomalaiset yritykset joutuvat noudattamaan sääntelyä, joka ylittää ePrivacy-direktiivin vaatimukset laajemmin kuin useimmissa muissa jäsenvaltioissa. Tämä heikentää sisämarkkinoiden tasapuolisia kilpailuolosuhteita.

4.3. Millaisia vaikutuksia mahdollisilla eroilla sääntelyssä voi olla tai on ollut organisaatioiden toiminnan kannalta tai sijoittautumis- ja investointipäätöksiä tehtäessä?

Suomen Yrittäjät kiinnittää huomiota siihen, että ePrivacy-direktiivin vaatimukset ylittävä kansallinen sääntely lisää yritysten hallinnollista taakkaa, kasvattaa sääntelyn noudattamisesta aiheutuvia kustannuksia ja heikentää Suomen houkuttelevuutta investointiympäristönä.

Mikäli Suomessa sovelletaan viestinnän ja välitystietojen käsittelyyn muita jäsenvaltioita tiukempia tai laajempia vaatimuksia, suomalaiset yritykset eivät toimi samoilla kilpailuedellytyksillä kuin kilpailijansa muualla Euroopan unionissa. Tämä voi hidastaa uusien digitaalisten ratkaisujen käyttöönottoa, vaikeuttaa kansainvälisesti käytössä olevien tietoturva- ja viestintäratkaisujen hyödyntämistä sekä lisätä yritysten toimintakustannuksia. Vaikutukset korostuvat erityisesti pk-yrityksissä, joilla ei ole suuryritysten kaltaisia mahdollisuuksia hankkia oikeudellista asiantuntemusta tai räätälöidä järjestelmiään kansallisten erityisvaatimusten mukaisiksi. Kansallinen lisäsääntely voi siten heikentää pk-yritysten digitalisaatiota, kasvumahdollisuuksia ja kilpailukykyä suhteessa muiden jäsenvaltioiden yrityksiin.

Useassa jäsenvaltiossa toimivat yritykset joutuvat lisäksi toteuttamaan Suomea varten erillisiä menettelyjä ja toimintatapoja, mikä lisää hallinnollista taakkaa ja kustannuksia. Suomen Yrittäjät pitää tärkeänä, että jatkovalmistelussa arvioidaan perusteellisesti kansallisen lisäsääntelyn vaikutukset suomalaisten pk-yritysten toimintaedellytyksiin ja kilpailukykyyn Euroopan unionin sisämarkkinoilla.

4.4. Voiko SVPL:n sääntely aiheuttaa lisäkustannuksia otettaessa käyttöön viestinnän tai välitystietojen käsittelyä edellyttäviä riskienhallintatoimenpiteitä tai muita toimenpiteitä (esim. tietojärjestelmien tai prosessien muuttaminen Suomen lainsäädännön mukaiseksi)? Mistä syystä? Onko SVPL:n sääntely aiheuttanut teille tällaisia lisäkustannuksia?

Suomen kansalliset lisävaatimukset aiheuttavat yrityksille lisäkustannuksia muun muassa järjestelmien räätälöinnistä, oikeudellisista arvioinneista, dokumentoinnista, henkilöstön kouluttamisesta sekä tietoturvaprosessien erillisratkaisuista. Kustannuksia syntyy erityisesti tilanteissa, joissa kansainvälisesti käytössä olevia ohjelmistoja, pilvipalveluita tai tietoturvaratkaisuja joudutaan arvioimaan tai mukauttamaan Suomen kansallisen sääntelyn vuoksi. Useissa tapauksissa järjestelmät on suunniteltu vastaamaan EU:n yleisiä vaatimuksia, eikä niiden toimittajilla ole mahdollisuutta tai halua toteuttaa Suomea varten erillisiä ratkaisuja.

Vaikutukset korostuvat erityisesti pk-yrityksissä, joilla ei ole omia tietosuoja-, tietoturva- tai lakiasiantuntijoita. Tällöin yritykset joutuvat turvautumaan ulkopuoliseen asiantuntemukseen arvioidessaan, ovatko suunnitellut menettelyt tai järjestelmät Suomen sääntelyn mukaisia. Tämä lisää käyttöönoton kustannuksia ja voi viivästyttää tai jopa estää uusien digitaalisten ratkaisujen käyttöönottoa.

Suomen Yrittäjät katsoo, että kansallisesta lisäsääntelystä aiheutuvia kustannuksia ja kilpailuvaikutuksia tulisi arvioida erityisesti pk-yritysten näkökulmasta. Sääntelyn ei tulisi johtaa tilanteeseen, jossa suomalaiset yritykset joutuvat maksamaan samojen digitaalisten palveluiden tai tietoturvaratkaisujen käyttöönotosta enemmän kuin kilpailijansa muissa Euroopan unionin jäsenvaltioissa.

4.5. Voiko SVPL:n sääntely mielestänne estää tai rajoittaa muissa EU-maissa hyödylliseksi havaittujen järjestelmien, niiden toimintojen tai menettelyjen käyttöä Suomessa? Voiko sääntely edellyttää niiden merkittävää muokkaamista Suomen lainsäädännön mukaiseksi toimittaessa monikansallisessa toimintaympäristössä? (Esim. valmisohjelmistot, pilvipalvelut ja monikansallisen konsernin yhteiset viestintäjärjestelmät.) Mistä vaatimuksesta tämä voi johtua? Onko näin tapahtunut kohdallanne ja miten ratkaisitte tilanteen?

Suomen Yrittäjien näkemyksen mukaan sääntely voi estää tai vaikeuttaa kansainvälisesti yleisesti käytettyjen tietoturvaratkaisujen hyödyntämistä Suomessa. Tämä koskee erityisesti kansainvälisiä pilvipalveluita, konsernien yhteisiä tietoturvaratkaisuja sekä valmiita tietoturvatuotteita.

Erityisen haastavaa tämä on pk-yrityksille, joilla ei ole mahdollisuutta neuvotella järjestelmätoimittajien kanssa Suomea koskevista erityisratkaisuista. Käytännössä pk-yritys joutuu joko luopumaan ratkaisun käytöstä tai hyväksymään siitä aiheutuvat lisäkustannukset.

5. Välitystietoja ja viestintää koskevien säännösten suhde yleiseen tietosuoja-asetukseen

5.1. Oletteko havainnut erityisiä haasteita SVPL:n välitystietoja ja viestintää koskevan sääntelyn soveltamisessa yhdessä yleisen tietosuoja-asetuksen kanssa? Millaisia?

Suomen Yrittäjät näkee merkittävimmän haasteen liittyvän siihen, että yleinen tietosuoja-asetus perustuu riskiperusteiseen sääntelyyn ja useisiin mahdollisiin henkilötietojen käsittelyperusteisiin, kun taas SVPL sisältää yksityiskohtaisia kansallisia rajoituksia viestinnän ja välitystietojen käsittelylle. Tämä tekee sääntelykokonaisuudesta vaikeasti hahmotettavan ja voi johtaa tilanteisiin, joissa yleisen tietosuoja-asetuksen mahdollistama käsittely ei ole sallittua SVPL:n perusteella.

Suomen Yrittäjät pitää erityisen ongelmallisena työntekijän suostumuksen korostunutta asemaa tilanteissa, joissa työnantaja pyrkii huolehtimaan tietoturvasta, estämään väärinkäytöksiä, turvaamaan liiketoiminnan jatkuvuutta tai suojaamaan liikesalaisuuksiaan. Euroopan tietosuojaneuvosto on korostanut, että työntekijän suostumusta voidaan pitää ongelmallisena henkilötietojen käsittelyperusteena työntekijän ja työnantajan välisen valtaepätasapainon vuoksi. Tämä tulisi huomioida myös kansallisessa sääntelyssä nykyistä paremmin.

Suomen Yrittäjät katsoo, että henkilötietojen käsittelyä tulisi voida arvioida nykyistä laajemmin myös muiden yleisen tietosuoja-asetuksen mukaisten käsittelyperusteiden, kuten rekisterinpitäjän oikeutetun edun tai lakisääteisten velvoitteiden perusteella silloin, kun kyse on esimerkiksi tietoturvasta, väärinkäytösten ehkäisemisestä tai yrityksen oikeuksien ja omaisuuden suojaamisesta.

Kansallisen erityissääntelyn seurauksena yritysten on usein arvioitava samanaikaisesti useita osin päällekkäisiä sääntelykokonaisuuksia, kuten yleistä tietosuoja-asetusta, sähköisen viestinnän palveluista annettua lakia, työelämän tietosuojalakia sekä kyberturvallisuutta koskevaa sääntelyä. Tämä lisää oikeudellista epävarmuutta ja hallinnollista taakkaa erityisesti pk-yrityksissä, joilla ei ole käytettävissään jatkuvaa juridista tai tietosuojan erityisasiantuntemusta.

6. Sijaintitietojen käsittely

6.1. Onko SVPL:n ePrivacy-direktiiviä täydentävä sääntely edistänyt tai tukenut sijaintitietojen käsittelyä edellyttävien toimenpiteiden käyttöönottoa? Onko sääntely toteuttanut yksityisyyden ja henkilötietojen suojaa mielestänne tarkoituksenmukaisella tavalla? Millä tavoin?

Sijaintitietojen hyödyntäminen on muodostunut monilla toimialoilla keskeiseksi osaksi yritysten päivittäistä toimintaa. Suomen Yrittäjät katsoo, että sijaintitietojen hyödyntäminen on monissa yrityksissä tärkeä osa toiminnanohjausta, resurssien hallintaa, asiakaspalvelua, työturvallisuutta ja omaisuuden suojaamista. Sijaintitietojen käsittelyä koskevan sääntelyn suhdetta yleisen tietosuoja-asetuksen käsittelyperusteisiin tulisi arvioida uudelleen. Erityisesti työntekijän suostumukseen perustuva lähestymistapa ei vastaa yleisen tietosuoja-asetuksen suostumuksen edellytyksiä työnantajan ja työntekijän välillä vallitsevan epätasapainon vuoksi.

Suomen Yrittäjien näkemyksen mukaan sääntelyn tulisi nykyistä paremmin mahdollistaa myös muiden yleisen tietosuoja-asetuksen mukaisten käsittelyperusteiden hyödyntäminen tilanteissa, joissa paikantaminen on tarpeen esimerkiksi työn organisoinnin, työturvallisuuden, kaluston hallinnan, omaisuuden suojaamisen tai muiden hyväksyttävien liiketoiminnallisten tarpeiden vuoksi.

6.2. Pidättekö SVPL 20 luvun sijaintitietojen käsittelyä koskevan lainsäädännön soveltamisalaa selvänä suhteessa esimerkiksi työnantajien toteuttamaan työntekijöiden tai ajoneuvojen paikantamiseen? Minkälaisia haasteita sääntelyn soveltamisalan tulkintaan voi liittyä?

Suomen Yrittäjät näkee käytännön tulkintakysymyksiä syntyvän erityisesti työntekijän paikantamisen ja ajoneuvon paikantamisen välisessä rajapinnassa. Monilla toimialoilla, kuten kuljetus-, huolto-, asennus- ja logistiikka-aloilla, ajoneuvon paikantaminen merkitsee käytännössä samalla myös työntekijän paikantamista. Tällöin ei aina ole selvää, milloin kyse on ensisijaisesti kaluston, omaisuuden tai tuotantoresurssien hallinnasta ja milloin työntekijän paikantamisesta.

Tulkintaepävarmuutta voi syntyä myös tilanteissa, joissa paikannustietoja käytetään samanaikaisesti useisiin tarkoituksiin, kuten työn organisointiin, asiakaspalvelun parantamiseen, työturvallisuuden varmistamiseen, työajan todentamiseen, omaisuuden suojaamiseen tai kaluston tehokkaaseen käyttöön. Käytännössä samat paikannustiedot voivat palvella useita hyväksyttäviä liiketoiminnallisia tarkoituksia, jolloin sääntelyn soveltamisala ja oikea käsittelyperuste eivät ole aina helposti arvioitavissa.

Suomen Yrittäjät katsoo, että sääntelyn tulisi antaa nykyistä selkeämmät edellytykset erottaa toisistaan työntekijän henkilötietojen käsittely ja yrityksen ajoneuvojen, laitteiden tai muun omaisuuden hallintaan liittyvä paikannus. Tämä lisäisi oikeusvarmuutta erityisesti pk-yrityksissä, joilla ei ole käytettävissään jatkuvaa tietosuojaoikeudellista asiantuntemusta.

6.3. Voiko sijaintitietojen käsittelyä koskeva SVPL:n ePrivacy-direktiiviä täydentävä sääntely (kuten siihen liittyvä käyttäjän suostumuksen vaatimus) estää tai rajoittaa työpaikoilla toimenpiteitä, jotka olisivat käsityksenne mukaan perusteltuja ja muun soveltuvan lainsäädännön mukaisia? Mitä toimenpiteitä?

Suomen Yrittäjät katsoo, että sijaintitietojen käsittelyä koskevassa sääntelyssä tulisi arvioida kriittisesti työntekijän suostumuksen asemaa henkilötietojen käsittelyperusteena. Euroopan tietosuojaneuvosto on korostanut, että työntekijän suostumusta voidaan pitää ongelmallisena henkilötietojen käsittelyperusteena työntekijän ja työnantajan välisen epätasapainoisen aseman vuoksi.

Tästä syystä Suomen Yrittäjät pitää ongelmallisena sääntelyratkaisua, jossa työntekijän paikantamiseen liittyvä henkilötietojen käsittely perustuu ensisijaisesti työntekijän suostumukseen. Mikäli paikantaminen on tarpeen esimerkiksi työn organisoinnin, työturvallisuuden, omaisuuden suojaamisen, kaluston hallinnan, asiakaspalvelun tai muiden hyväksyttävien liiketoiminnallisten tarpeiden vuoksi, tulisi sääntelyssä nykyistä paremmin huomioida myös muut yleisen tietosuoja-asetuksen mukaiset käsittelyperusteet.

Suomen Yrittäjien näkemyksen mukaan työntekijän suostumukseen perustuva sääntely lisää tarpeettomasti oikeudellista epävarmuutta sekä työnantajien että työntekijöiden näkökulmasta. Selkeämpi ratkaisu olisi arvioida paikannuksen sallittavuutta yleisen tietosuoja-asetuksen riskiperusteisen sääntelyn sekä asianmukaisten suojatoimien kautta.

6.4. Voiko sijaintitietojen käsittelyä koskevan sääntelyn soveltamisala ja tulkinta aiheuttaa haasteita paikannettaessa muita kuin työntekijöitä, esimerkiksi tarjottaessa mobiililaitteen paikannusta hyödyntäviä palveluita yleisölle? Millaisia haasteita? Onko sääntelyn suhde evästeiden ja muiden päätelaitteiden tietojen käyttöä sääntelevään SVPL 205 §:ään mielestänne selvä?

Suomen Yrittäjät katsoo, että erityisesti päätelaitteesta saatavan sijaintitiedon, evästesääntelyn ja muun tietosuojasääntelyn välinen suhde voi olla tulkinnallisesti haastava. Käytännössä yritysten voi olla vaikea arvioida, milloin sovellettavaksi tulee sijaintitietoja koskeva erityissääntely, milloin päätelaitetietojen käsittelyä koskeva sääntely ja milloin käsittelyä arvioidaan ensisijaisesti yleisen tietosuoja-asetuksen perusteella.

Tulkintaepävarmuus voi korostua erityisesti mobiilisovelluksissa ja digitaalisissa palveluissa, joissa sijaintitietoja hyödynnetään esimerkiksi palvelun tarjoamiseen, palvelun personointiin, reititykseen, asiakaskokemuksen parantamiseen tai palvelun tekniseen toimintaan liittyviin tarkoituksiin. Samassa palvelussa voidaan käsitellä yhtä aikaa sekä päätelaitteeseen liittyviä tietoja että henkilötietoina pidettäviä sijaintitietoja, jolloin eri sääntelykokonaisuuksien välinen suhde ei ole aina helposti hahmotettavissa.

Sääntelyn tulisi olla nykyistä selkeämpää ja teknologianeutraalimpaa. Erityisesti pk-yrityksille on tärkeää, että paikannustietoja hyödyntävien digitaalisten palveluiden kehittämiseen ei liity tarpeetonta oikeudellista epävarmuutta tai kansallisesta erityissääntelystä johtuvia lisävelvoitteita verrattuna muihin Euroopan unionin jäsenvaltioihin. Selkeä ja ennakoitava sääntely tukee uusien digitaalisten palveluiden kehittämistä, käyttöönottoa ja kansainvälistä kilpailukykyä.

6.5. Oletteko havainnut erityisiä haasteita SVPL:n sijaintitietoja koskevan sääntelyn soveltamisessa yhdessä yleisen tietosuoja-asetuksen kanssa? Millaisia?

Haasteet liittyvät erityisesti eri käsittelyperusteiden väliseen suhteeseen sekä siihen, missä tilanteissa suostumus on välttämätön. Yleinen tietosuoja-asetus mahdollistaa henkilötietojen käsittelyn useilla eri käsittelyperusteilla, kun taas sijaintitietojen käsittelyä koskeva erityissääntely korostaa suostumuksen merkitystä. Tämä voi johtaa epäselvyyksiin siitä, millä perusteella paikannustietoja voidaan käsitellä eri tilanteissa.

Suomen Yrittäjät pitää erityisen ongelmallisena sitä, että työntekijän suostumukselle annetaan keskeinen rooli tilanteissa, joissa paikantaminen liittyy työn organisointiin, työturvallisuuteen, kaluston hallintaan, omaisuuden suojaamiseen tai muihin hyväksyttäviin liiketoiminnallisiin tarpeisiin. Euroopan tietosuojaneuvosto on korostanut, että työntekijän suostumusta voidaan pitää ongelmallisena henkilötietojen käsittelyperusteena työntekijän ja työnantajan välisen valtaepätasapainon vuoksi. Tämä tulisi huomioida myös sijaintitietoja koskevassa sääntelyssä.

Kansallisen erityissääntelyn seurauksena yritysten on usein arvioitava samanaikaisesti sekä yleisen tietosuoja-asetuksen että sähköisen viestinnän palveluista annetun lain vaatimuksia. Tämä lisää oikeudellista epävarmuutta erityisesti pk-yrityksissä, joilla ei ole käytettävissään jatkuvaa tietosuojaoikeudellista asiantuntemusta.

Suomen Yrittäjät katsoo, että sääntelyn tulisi nykyistä selkeämmin mahdollistaa myös muiden yleisen tietosuoja-asetuksen mukaisten käsittelyperusteiden hyödyntäminen silloin, kun paikantaminen on tarpeen perusteltujen liiketoiminnallisten, turvallisuuteen liittyvien tai työn organisointia koskevien tavoitteiden saavuttamiseksi.

7. Sääntelyn kehittämistä koskevat ehdotukset

7.1. Pidättekö SVPL:n ePrivacy-direktiiviä täydentävää välitystietojen, viestinnän ja sijaintitietojen käsittelyä koskevien sääntelyn kehittämistä tarpeellisena? Jos kyllä, millä tavoin havaitsemanne haasteet SVPL:n säännösten soveltamisessa tulisi mielestänne ratkaista? Tulisiko sääntelyn soveltamisala määrittää toisin kuin nykyisin tai sääntelyä muuttaa jollakin muulla tavoin? Mitkä arvioitte ehdotuksenne merkittävimmiksi vaikutuksiksi?

Suomen Yrittäjät pitää sääntelyn uudistamista tarpeellisena.

Suomen Yrittäjien näkemyksen mukaan kansallinen sääntely tulisi tuoda lähemmäksi ePrivacy-direktiivin soveltamisalaa ja arvioida kriittisesti tarvetta nykyiselle kansalliselle soveltamisalalaajennukselle yhteisötilaajiin. Nykyinen sääntely ei kaikilta osin vastaa muuttunutta toimintaympäristöä, yritysten tietoturvavelvoitteita eikä muuta myöhemmin voimaan tullutta EU-sääntelyä.

Sääntelyä tulisi kehittää siten, että se mahdollistaa tietoturvatoimenpiteiden toteuttamisen nykyistä riskiperusteisemmin, huomioi paremmin myös sisäiset uhkat ja mahdollistaa nykyaikaisten tietoturvaratkaisujen hyödyntämisen. Sääntelyn tulisi olla nykyistä teknologianeutraalimpaa sekä paremmin yhteensopivaa yleisen tietosuoja-asetuksen, NIS2-sääntelyn ja kansallisen kyberturvallisuuslainsäädännön kanssa.

Suomen Yrittäjät katsoo myös, että työntekijän suostumuksen merkitystä tulisi vähentää tilanteissa, joissa henkilötietojen käsittely liittyy tietoturvasta huolehtimiseen, väärinkäytösten ehkäisemiseen, liiketoiminnan jatkuvuuden turvaamiseen tai muiden lakisääteisten velvoitteiden toteuttamiseen. Sääntelyssä tulisi nykyistä paremmin huomioida myös muut yleisen tietosuoja-asetuksen mukaiset käsittelyperusteet sekä Euroopan tietosuojaneuvoston kannanotot työntekijän suostumuksen ongelmallisuudesta työsuhteessa.

Suomen Yrittäjät pitää tärkeänä myös kansallisen lisäsääntelyn vähentämistä ja sääntelyn lähentämistä ePrivacy-direktiivin mukaiseen soveltamisalaan. Nykyinen kansallinen erityissääntely lisää yritysten hallinnollista taakkaa, kasvattaa kustannuksia ja vaikeuttaa kansainvälisesti käytössä olevien digitaalisten palveluiden, viestintäratkaisujen ja tietoturvatyökalujen hyödyntämistä Suomessa.

Sääntelyn uudistamisessa tulee noudattaa Think Small First -periaatetta ja arvioida vaikutukset erityisesti pk-yritysten näkökulmasta. Suomen Yrittäjät pitää tärkeänä, että sääntelyn uudistamisen tavoitteena on turvata suomalaisille yrityksille vähintään vastaavat toimintaedellytykset kuin kilpailijoilla muissa Euroopan unionin jäsenvaltioissa. Kansallista lisäsääntelyä ei tule ylläpitää ilman selkeää ja osoitettavissa olevaa tarvetta. Sääntelyn merkittävimpinä vaikutuksina Suomen Yrittäjät näkee oikeusvarmuuden lisääntymisen, hallinnollisen taakan keventymisen, tietoturvan parantumisen sekä suomalaisten yritysten kilpailukyvyn vahvistumisen Euroopan unionin sisämarkkinoilla.

8. Muut huomiot

8.1. Tässä voitte esittää mahdolliset muut huomionne selvitystä varten.

Suomen Yrittäjät korostaa, että yhteisötilaajasääntelyä arvioitaessa tulee huomioida muuttunut turvallisuusympäristö sekä yritysten kasvaneet velvollisuudet huolehtia tietoturvasta.

Nykyinen sääntely on laadittu aikana, jolloin nykyisiä kyberuhkia, pilvipalveluita, etätyötä ja tekoälyä ei ollut. Yrityksillä on nykyisin sekä asiakkaidensa että yhteiskunnan näkökulmasta aiempaa suurempi vastuu tietojensa, palveluidensa ja toimintansa suojaamisesta.

Yrityksillä on myös oikeudellinen velvollisuus suojata liikesalaisuuksiaan ja muuta luottamuksellista liiketoimintatietoa. Sääntelyn tulisi mahdollistaa näiden velvollisuuksien toteuttaminen ilman tarpeettomia kansallisia rajoituksia. Sääntelyn tulisi mahdollistaa nykyaikaisten tietoturvaratkaisujen käyttö samalla, kun viestinnän luottamuksellisuus ja yksityisyyden suoja turvataan.

Suomen Yrittäjät korostaa, että kysymys ei ole ainoastaan tietosuojasta tai tietoturvasta, vaan myös suomalaisen yritystoiminnan kilpailukyvystä. Jos suomalaiset yritykset eivät voi hyödyntää samoja toimintamalleja, tietoturvaratkaisuja ja digitaalisia palveluja kuin kilpailijansa muualla Euroopan unionissa, kansallinen lisäsääntely muodostuu kilpailuhaitaksi suomalaisille yrityksille ilman, että sillä välttämättä saavutetaan vastaavaa lisähyötyä yksityisyyden suojan näkökulmasta.

Suomen Yrittäjien näkemyksen mukaan sääntelyn jatkovalmistelussa tulisi ensisijaisesti arvioida, ovatko kansalliset poikkeamat ePrivacy-direktiivin soveltamisalasta edelleen välttämättömiä ja oikeasuhtaisia muuttuneessa toimintaympäristössä sekä suhteessa suomalaisten yritysten kilpailukykyyn Euroopan unionin sisämarkkinoilla.

Kunnioittavasti

Suomen Yrittäjät