YRITTÄJÄ, tule mukaan omiesi pariin! Liity Yrittäjiin.

JÄSEN, oletko jo ladannut Yrittäjät-sovelluksen puhelimeesi? Lataa sovellus Androidille tai Applelle.

12.9.2019 klo 11:18
Lausunto

Lausunto yleisen tietosuoja-asetuksen toimivuudesta ja sen soveltamiseen liittyvistä kokemuksista

Oikeusministeriö

Oikeusministeriö selvittää yleisen tietosuoja-asetuksen soveltamiskokemuksia ja toimivuutta Suomessa. Suomen Yrittäjät esittää lausuntonaan seuraavaa.

1. Mitkä ovat olleet yleisen tietosuoja-asetuksen merkittävimpiä hyötyjä?

Tietosuoja-asetuksen voimaantulo on lisännyt sekä yritysten että kuluttajien tietoisuutta tietosuojan merkityksestä. Asetuksen voimaantulon myötä useimmat yritykset ovat panostaneet tietosuojaan liittyvien velvoitteiden noudattamiseen ja käyneet toimenpiteitään tarkemmin läpi. Tämä näkyi Suomen Yrittäjien neuvontaan soitettujen tietosuojaan liittyvien puheluiden määrän huomattavana kasvuna asetuksen voimaantulon aikoihin.

Myös kuluttajat osaavat todennäköisesti asetukseen liittyvän uutisoinnin ansiosta aiempaa enemmän vaatia hyvään tietosuojaan liittyviä käytänteitä.

2. Mitkä ovat olleet yleisen tietosuoja-asetuksen soveltamisessa ja toimivuudessa suurimpia haasteita?

Asetus on laadittu isojen yritysten toiminnan näkökulmasta, mikä tekee soveltamisen erityisen hankalaksi pk-yrityksille, joiden ydinliiketoimintaan ei kuulu henkilötietojen käsittely. Asetus on pääosin vaikeaselkoinen, eikä anna tulkinta-apua käytännön soveltamistilanteisiin. Julkaistut suuntaviivat sen sijaan selventävät artikloiden sisältöä, mutta eivät riittävästi auta pk-yrityksiä sääntöjen konkreettisessa soveltamisessa käytännön liike-elämässä. Tietosuojavaltuutetun toimiston julkaisemat ohjeistukset ovat kuitenkin vuoden aikana tarkentuneet ja helpottavat jonkin verran tietosuoja-asetuksen soveltamista Suomessa.

Ilman ulkopuolista asiantuntija-apua pk-yrityksen on lähes mahdotonta varmistua siitä, täyttävätkö yrityksen käytännöt ja asiakirjat täysimääräisesti tietosuoja-asetuksen vaatimuksia. Toisaalta jopa eri asiantuntijat antavat asetuksen soveltamisesta ristiriitaisia ohjeita. Tämän vuoksi pk-yrityksissä koetaan edelleen suurta epävarmuutta oikeista toimintatavoista. Osittain epävarmuus on johtanut ylilyönteihin, kun tietyistä toimintatavoista on varmuuden vuoksi kokonaan luovuttu. Kuluttajat ovat puolestaan kokeneet tämän palvelutason laskuna. Konkreettisia esimerkkejä ylilyönneistä voidaan mainita taloyhtiöiden nimitaulujen poistot tai eräässä terveydenhuollon yksikössä asiakkaan nimeltä kutsumisen lopettamisen.

Asetus onkin merkittävästi lisännyt pk-yritysten hallinnollista taakkaa ja kustannuksia. Asetuksen tulkintaan ja soveltamiseen ei tulisi olla välttämätöntä käyttää ulkopuolisia asiantuntijoita, vaan viranomaisen olisi panostettava ohjeistukseen ja yritysten neuvontaan. Tällä hetkellä viranomaisen neuvontaresurssit eivät kuitenkaan ole yritysten näkökulmasta riittävät. Tietosuojavaltuutetun toimiston puhelinneuvonta antaa yleistä ohjausta ja neuvontaa, mutta siinä ei voida antaa yksityiskohtaisia tai sitovia kannanottoja yksittäistapauksiin. Kyseistä neuvontaa on saatavilla ainoastaan kaksi tuntia arkipäivisin.

Pk-yritysten resurssi- ja osaamispulan vuoksi on todennäköistä, että soveltamisvirheitä sattuu, vaikka yritykset pyrkivätkin noudattamaan asetusta. Suomen Yrittäjät toivookin, että tämä otetaan huomioon asetuksen noudattamisen valvonnassa ja kun rikkomuksista määrätään sanktioita tulevaisuudessa.

Pk-yrityksissä ei ole riittävästi osaamista, tietoa tai resursseja seurata tietosuojavaatimusten kehitystä ja päivittää jatkuvasti dokumentaatiota osoittamisvelvollisuuden noudattamiseksi. Kun asetuksen voimaantulosta kuluu aikaa, on todennäköistä, että tietosuojaan liittyvien dokumenttien ja toimintatapojen jatkuvaan arviointiin ja päivittämiseen käytetään vähemmän aikaa. Asetuksen noudattaminen saattaakin alkaa rapautua tulevaisuudessa, jos yritysten neuvontaan ja viestintään ei panosteta.

Suomen Yrittäjät toivoo, että viranomainen viestii ja ohjeistaa aktiivisesti tietosuoja-asetuksesta myös tulevaisuudessa. Olisi tärkeää, että pk-yrittäjät saisivat konkreettisia ja kohdennettuja neuvoja tietosuoja-asetuksen soveltamisesta. Erityisesti perinteisillä aloilla pk-yritysten henkilötietojen käsittelyn laajuus ja käyttötarkoitukset eroavat merkittävästi suuryrityksistä tai yrityksistä, joilla tietovaranto ja datan hyödyntäminen on osa yrityksen ydinliiketoimintaa. Tämän vuoksi kohdennetun neuvonnon merkitys olisi tärkeää.

3. Onko yleisen tietosuoja-asetuksen mahdollistamaa sääntelyliikkumavaraa käytetty Suomessa tarkoituksenmukaisella tavalla?

Tietosuojalain 24 §:n mukaan tietosuoja-asetuksen 83 artiklassa säädettyä hallinnollista sakkoa eli seuraamusmaksua ei voida määrätä valtion viranomaisille, valtion liikelaitoksille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille, tasavallan presidentin kanslialle eikä Suomen evankelisluterilaiselle kirkolle ja Suomen ortodoksiselle kirkolle eikä niiden seurakunnille, seurakuntayhtymille ja muille elimille.

EU:n yleistä tietosuoja-asetusta täydentävän kansallisen lainsäädännön valmistelumateriaalissa (HE 9/2018 vp) seuraamusmaksun ulottamista viranomaisiin ei katsottu tarpeelliseksi, sillä Suomessa viranomaisia sitoo hallinnon lainmukaisuusvaatimus ja viranomaisten on myös muutoin noudatettava hallinnon yleislakeja. Viranomaisten henkilötietojen käsittelyä koskee myös rikosoikeudellinen virkavastuu ja vahingonkorvausvastuu. Viranomaisten toiminnasta voidaan tehdä myös hallintokanteluja.

Suomen Yrittäjät kokee, että sääntelyliikkumavaraa seuraamusmaksun suhteen ei ole käytetty tarkoituksenmukaisella tavalla. Julkisuudessa esillä olleet muun muassa kaupunkien, sairaanhoitopiirien ja verottajan merkittävät tietosuojaloukkaukset ja tietoturvavuodot osoittavat, että pelkkä virkavastuu ja hallinnon lainmukaisuusvaatimus ei aiheuta riittävää pelotevaikutusta tai riittävällä tavalla estä sitä, että viranomainen rikkoo asetusta.

Viranomaiset ja yritykset ovat epätasa-arvoisessa asemassa merkittävien rikkomusten sanktioinnin osalta, vaikka viranomaisella tulisi olla erityisesti pk-yrityksiin verrattuna huomattavasti paremmat mahdollisuudet ja resurssit varmistua asetuksen noudattamisesta. Valtakunnallisten julkisten toimijoiden osalta myös isommat tietomassat ja suuret asiakasryhmät voivat joutua alttiiksi väärinkäytöksille, jolloin valvonta ja sanktiointi tulisi kohdistua juuri myös suuriin julkisiin toimijoihin. Viranomaisten osalta asiakkaalla eli kansalaisella ei ole edes mahdollisuutta olla asioimatta tahon kanssa, jonka toiminta ei täytä tietoturva-asetuksen vaatimuksia.

Valittu kansallinen sääntely on lisäksi ongelmallinen ottaen huomioon yksityisen ja julkisen sektorin tasapuoliset kilpailuedellytykset. Julkinen sektori kilpailee osittain yksityisen sektorin kanssa erityisesti sote-sektorilla. Tällöin sekä julkisella että yksityisellä toimijalla tulisi olla samat vastuut ja velvollisuudet.

Näin ollen myös Suomen viranomaisia tulisi voida sakottaa merkittävistä tietosuojaloukkauksista samalla tavalla, kun on mahdollista yritysten osalta. Esimerkiksi Ruotsissa, Norjassa ja Saksassa tietosuoja-asetusta täydentävän kansallisen lainsäädännön valmistelussa on mahdollistettu hallinnollisten sakkojen määrääminen myös julkisen sektorin rekisterinpitäjille ja henkilötietojen käsittelijöille.

4. Muut kommentit

a. Yleiset säännökset

Tietosuoja-asetuksessa tulisi tarkemmin määritellä mitä tarkoitetaan tietosuoja-asetuksessa käytetyillä käsitteillä kuten laajamittainen, säännöllinen, järjestelmällinen ja ydintehtävä. Tietosuojatyöryhmä on ohjeistuksessaan määritellyt tekijöitä, joita on otettava huomioon esimerkiksi laajamittaista henkilötietojen käsittelyä arvioitaessa, mutta valitettavasti ohjeistus ei anna konkreettista vastausta arvioinnin tueksi. Määritelmät tai ohjeistus tulisi olla yksityiskohtaisempia ja ottaa lisäksi huomioon erikokoisten yritysten tai eri aloilla toimivien yritysten ominaispiirteet. Ks. tarkemmin myös kohta d.

b. Periaatteet

Pk-yritykset kannattavat yleisesti ottaen osoitusvelvollisuutta keinona välttää liiallisen byrokraattisia lupajärjestelmiä. Pk-yritysten näkökulmasta kyseisen periaatteen noudattamiseen on kuitenkin liittynyt soveltamisvaikeuksia ja lisääntyneitä hallinnollisia kustannuksia.

Yleisesti ottaen asetukseen sisällytetyt periaatteet on kuvattu liian yleisellä tasolla. Periaatteiden, kuten osoitusvelvollisuuden, laajuus on aina tapauskohtaista ja riippuu muun muassa organisaation koosta, henkilötietojen määrästä ja siitä, millaisia henkilötietoja rekisterinpitäjä käsittelee. Pk-yrityksillä onkin ollut vaikeuksia soveltaa asetukseen sisältyviä yleisiä periaatteita.

c. Rekisteröidyn oikeudet

d. Rekisterinpitäjä ja henkilötietojen käsittelijä

Seloste käsittelytoimista, 30 artikla

Asetuksen 30 artiklan mukaan rekisterinpitäjän tai käsittelijän on ylläpidettävä selostetta käsittelytoimista. Velvollisuus ei kuitenkaan koske yritystä, jossa on alle 250 työntekijää. Tätä pienemmän yrityksen on kuitenkin laadittava seloste, jos organisaation vastuulla oleva henkilötietojen käsittely todennäköisesti aiheuttaa riskin rekisteröidyn oikeuksille ja vapauksille, henkilötietojen käsittely ei ole satunnaista tai käsittely koskee erityisiin tietoryhmiin kuuluvia tietoja tai henkilötietoja, jotka koskevat rikostuomioita tai rikkomuksia.

Asetuksen sanamuodon mukaan selosteen ylläpitämisvelvollisuus koskee siten käytännössä kaikkia yrityksiä, myös pk- ja mikroyrityksiä, koska käytännössä kaikilla yrityksillä on työntekijöitä tai asiakasrekisteri. Artiklaan kirjattu oikeus poiketa velvollisuudesta jää siten epäselväksi ja sen merkitys kyseenalaiseksi. Olisi myös syytä pohtia, tuottaako käsittelytoimista laadittava seloste pienimpien yritysten tietosuojakäytänteiden osalta lisäarvoa vai aiheuttaako se ainoastaan turhaa hallinnollista taakkaa.

Tietosuojavastaava, 37-39 artiklat

Myös tietosuojavastaavan nimitysvelvollisuuden tulkinta ei ole ollut selvää pk-yritysten näkökulmasta. Tietosuojavastaava on nimitettävä, jos yritys mm. käsittelee laajamittaisesti arkaluontoisia tietoja tai yritys seuraa ihmisiä laajamittaisesti, säännöllisesti ja järjestelmällisesti. Mitä käsitteillä laajamittaisesti tai säännöllinen ja järjestelmällinen seuranta tarkoitetaan, ei kuitenkaan suoranaisesti määritellä asetuksessa.

Tietosuojatyöryhmä on ohjeistuksessaan määritellyt tekijöitä, joita on otettava huomioon laajamittaista henkilötietojen käsittelyä arvioitaessa. Tämäkään ohjeistus ei kuitenkaan anna riittävää tulkinta-apua kaikkiin tilanteisiin. Vaikka yksittäinen ammatinharjoittaja ei todennäköisesti ole tietosuojavastaavan nimeämisvelvollisuuden piirissä, yhdessä toisen kanssa harjoitettu toiminta saatetaan kuitenkin jo katsoa tiukan tulkinnan mukaan laajamittaiseksi. Näin ollen asetuksessa tai ohjeistuksessa pitäisi täsmällisemmin määritellä, milloin pienimpien yritysten ei ole nimitettävä tietosuojavastaavaa.

Tietosuojavastaavan asema ja tehtävät ovat asetuksen mukaan riippumattomia yrityksen koosta ja siitä, onko yrityksellä velvollisuus nimetä tietosuojavastaava. Mikäli yritys päättää vapaaehtoisesti nimetä tietosuojavastaavan, koskee asetuksen velvollisuudet täysimääräisesti vapaaehtoisesti asetettua tietosuojavastaavaa. Tämä ei kannusta yrityksiä nimeämään tietosuojavastaavaa tilanteessa, jossa asetus ei siihen nimenomaisesti velvoita. Olisi tärkeää arvioida, voitaisiinko vapaaehtoisesti asetetulla tietosuojavastaavalle sallia tiettyjä lievennyksiä aseman tai tehtävien osalta.

e. Henkilötietojen siirrot kolmansiin maihin tai kansainvälisille järjestöille

Ison-Britannian EU-eron tilanne on tällä hetkellä epäselvä. Jos yritys siirtää henkilötietoja Isoon-Britanniaan, käytettävä soveltuva siirtomekanismi on edelleen epäselvä yrityksille. Tilanteeseen kaivattaisiin konkreettisia lisäohjeita.

f. Riippumattomat valvontaviranomaiset

g. Yhteistyö ja yhdenmukaisuus

h. Oikeussuojakeinot, vastuu ja seuraamukset

Ks. kysymys 3.

i. Tietojenkäsittelyyn liittyviä erityistilanteita koskevat säännökset

Suomen Yrittäjät

Janne Makkula Marjut Viding
työmarkkinajohtaja asiantuntija