YRITTÄJÄ, tule mukaan omiesi pariin! Liity Yrittäjiin.
Lausunto yleisen tietosuoja-asetuksen toimivuudesta ja sen soveltamiseen liittyvistä kokemuksista
Oikeusministeriö
Lausuntopalvelu.fi
VN/23585/2023
Oikeusministeriö selvittää yleisen tietosuoja-asetuksen soveltamiskokemuksia ja toimivuutta Suomessa. Suomen Yrittäjät kiittää mahdollisuudesta lausua asiasta ja esittää lausuntonaan seuraavaa.
1. Mitkä ovat olleet yleisen tietosuoja-asetuksen soveltamiseen liittyvät merkittävimmät hyödyt ja haasteet?
Tietosuoja-asetuksen myötä sekä yritysten että henkilöiden tietoisuus tietosuojan merkityksestä on lisääntynyt. Yritykset kiinnittävät huomiota ja panostavat tietosuoja-asetuksen velvoitteiden noudattamiseen ja ovat käyneet henkilötietojen käsittelyn toimenpiteitään läpi.
Tietosuoja-asetuksen merkittävimpiä haasteita on kuitenkin se, että asetus on laadittu isojen yritysten toiminnan näkökulmasta. Tämän vuoksi asetuksen soveltaminen on erityisen hankalaa pk-yrityksille. Asetus on vaikeaselkoinen, eikä se anna tulkinta-apua käytännön soveltamistilanteisiin. Julkaistut suuntaviivat, sekä tietosuojavaltuutetun toimiston ohjeistukset helpottavat jonkin verran asetuksen soveltamista, mutta eivät kuitenkaan riittävästi auta pk-yrityksiä säännösten konkreettisessa soveltamisessa käytännön liike-elämässä.
Pk-yritys tarvitsee usein ulkopuolista asiantuntija-apua varmistuakseen siitä, että yrityksen käytännöt ja dokumentaatio täyttävät tietosuoja-asetuksen vaatimukset. Eri asiantuntijat antavat kuitenkin ristiriitaisiakin ohjeistuksia, minkä vuoksi pk-yrityksissä on yhä edelleen epävarmuutta oikeista toimintatavoista. Tietosuoja-asetus aiheuttaakin monille pk-yrityksille kohtuutonta hallinnollista taakka ja kustannuksia. Viranomaisen ohjeistus ja yritysten neuvonta ei ole edelleenkään yritysten näkökulmasta riittävää. Tietosuojavaltuutetun toimiston puhelinneuvonta antaa ainoastaan yleistä ohjeistusta ja neuvontaa, eikä anna yksityiskohtaista tai sitovia kannanottoja yksittäistapauksiin. Neuvonta on myös saatavilla ainoastaan kaksi tuntia kolmena arkipäivänä viikossa.
Siitä huolimatta, että yritykset pyrkivät noudattamaan tietosuoja-asetuksen velvoitteita, soveltamisvirheitä sattuu. Tämä johtuu resurssi- ja osaamispulasta. Pk-yrityksissä ei ole riittävästi osaamista, tietoa ja resursseja seurata tietosuojavaatimusten kehittymistä ja päivittää jatkuvasti dokumentaatiotaan osoittamisvelvollisuuden noudattamiseksi. Yritysten neuvontaan ja viestintään tulee panostaa, jotta asetusta noudatetaan myös tulevaisuudessa. Pk-yritysten tulee saada konkreettisia neuvoja tietosuoja-asetuksen soveltamisesta. Pk-yritysten käsittelemien henkilötietojen laajuus ja käyttötarkoitukset eroavat merkittävästi suuryrityksistä tai yrityksistä, joilla tietovaranto ja datan hyödyntäminen on osa yrityksen ydinliiketoimintaa.
Lisäksi tietosuoja-asetuksessa käytetyt käsitteet kuten laajamittainen, säännöllinen, järjestelmällinen ja ydintehtävä tulisi määritellä tarkemmin ottaen huomioon erikokoisten yritysten ja eri aloilla toimivien yritysten ominaispiirteet.
2. Onko tietosuojalaki koettu yleisesti toimivaksi? Minkälaisia haasteita sen soveltamisessa on ilmennyt?
–
3. Onko yleisen tietosuoja-asetuksen mahdollistamaa sääntelyliikkumavaraa käytetty EU:ssa ja Suomessa tarkoituksenmukaisella tavalla? Jos ei, miten ja minkälaisia tilanteita varten tietosuoja-asetuksen sääntelyliikkumavaraa tulisi käyttää eri tavoin kuin on tehty?
Tietosuojalain 24 §:n 4 momentin mukaan tietosuoja-asetuksen 83 artiklassa säädettyä hallinnollista sakkoa eli seuraamusmaksua ei voida määrätä valtion viranomaisille, valtion liikelaitoksille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille, tasavallan presidentin kanslialle eikä Suomen evankelisluterilaiselle kirkolle ja Suomen ortodoksiselle kirkolle eikä niiden seurakunnille, seurakuntayhtymille ja muille elimille.
Suomen Yrittäjät katsoo, että sääntelyliikkumavaraa seuraamusmaksun suhteen ei ole käytetty tarkoituksenmukaisella tavalla. Pelkällä virkavastuulla ja hallinnon lainmukaisuusvaatimuksella ei ole riittävää pelotevaikutusta eivätkä ne riittävällä tavalla estä sitä, että viranomainen rikkoo asetusta.
Viranomaiset ja yritykset ovat lisäksi epätasa-arvoisessa asemassa merkittävien rikkomusten sanktioinnin osalta, vaikka viranomaisella tulisi olla erityisesti pk-yrityksiin verrattuna huomattavasti paremmat mahdollisuudet ja resurssit varmistuakseen asetuksen noudattamisesta. Lisäksi valtakunnallisilla julkisilla toimijoilla on myös isommat henkilötietomassat, jonka myötä suuret asiakasryhmät voivat joutua alttiiksi väärinkäytöksille. Valittu kansallinen sääntely on lisäksi ongelmallinen yksityisen ja julkisen sektorin tasapuolisten kilpailuedellytysten näkökulmasta. Julkinen sektori kilpailee yksityisen sektorin kanssa erityisesti esimerkiksi sote-sektorilla. Julkisella ja yksityisellä toimijalla tulisi olla samat vastuut ja velvollisuudet. Näin ollen myös Suomen viranomaisia tulisi voida sakottaa merkittävistä tietosuojaloukkauksista, kuten tilanne on esimerkiksi Ruotsissa, Norjassa ja Saksassa.
Lisäksi tietosuojalain 24 §:n 5 momentissa säädetyn mukaisesti viranomainen voi määrätä tietosuoja-aseuksen 83 artiklan mukaisen hallinnollisen sakon eli seuraamusmaksun kunnes on kulunut kymmenen vuotta siitä, kun rikkomus tai laiminlyönti on tapahtunut. Tämä on ristiriidassa tietosuojarikoksen syyteoikeuden vanhentumisen kanssa, kun tietosuojarikos vanhenee rikoslain 38 luvun 9 §:n mukaisesti jo kahdessa vuodessa. On kohtuutonta, että elinkeinonharjoittajaan voi kohdistua tällainen hallinnollinen seuraamus vielä näinkin pitkään sen jälkeen, kun yritys on jo korjannut mahdollisen virheellisen toimintansa.
4. Millä toimialoilla yleistä tietosuoja-asetusta on pantu täytäntöön tehokkaasti ja onnistuneesti huomioiden asetukselle asetetut tavoitteet edistää rekisteröityjen oikeuksien ja vapauksien toteutumista sekä edistää tiedon vapaata liikkuvuutta EU-alueella?
–
5. Minkälaisia haasteita on ilmennyt yleisen tietosuoja-asetuksen ja kansallisen lainsäädännön tai muun EU-lainsäädännön yhteensovittamisessa eri soveltamistilanteissa?
Yksityisyyden suojasta työelämässä annetun lain 4 §:ssä säädetty työntekijän henkilötietojen keräämiseen liittyvä suostumusta koskeva edellytys on ristiriidassa tietosuoja-asetuksen sääntelyn kanssa. Jatkossa tulisikin kokonaisuutena tarkastella, että kyseinen suostumusta koskeva edellytys poistettaisiin laista kokonaan. Tietosuoja-asetukseen ei sisälly kyseessä olevan kaltaista sääntelyä, ja tämän vuoksi olisi perusteltua, että Suomessa sovellettaisiin tietosuoja-asetuksen mukaista sääntelyä jatkossa samalla tavoin kuin muualla Euroopassa.
6. Onko eri jäsenvaltioiden tietosuojalainsäädäntöjen eroavaisuuksiin ja täytäntöönpanoon liittyen tunnistettu haasteita? Jos on, minkälaisia haasteita?
–
7. Ovatko Euroopan tietosuojaneuvoston antamat ohjeet auttaneet käytännön soveltamistilanteisiin liittyvien ratkaisujen tekemisessä? Mitä yleisen tietosuoja-asetuksen tulkintaa koskevia ohjeita vielä tarvittaisiin?
Euroopan tietosuojaneuvoston laatimat ohjeet eivät auta pk-yrityksiä yrityselämän käytännön soveltamistilainteisiin liittyvien ratkaisujen tekemisessä. Tarve on erityisesti pk-yrityksille suunnatulle tietosuoja-asetuksen soveltamisen käytännön liike-elämän ohjeistukselle.
8. Onko edustamanne organisaatio ollut mukana laatimassa yleisen tietosuoja-asetuksen 40 artiklan mukaisia käytännesääntöjä tai harkinnut niiden laatimista? Mitkä ovat käytännesääntöjen laatimiseen liittyviä merkittävimpiä hyötyjä ja haasteita?
–
9. Onko yleisen tietosuoja-asetuksen täytäntöönpanoon liittyvä seuraamusjärjestelmä Suomessa tehokas ja tarkoituksenmukainen? Mitä merkittävimpiä hyötyjä ja haasteita seuraamusjärjestelmään liittyy?
Yleisen tietosuoja-asetuksen täytäntöönpanoon liittyvä seuraamusjärjestelmä vaikuttaa toimivalta. Haasteena on kuitenkin sääntelyn yksityiskohtaisuus, vaikeaselkoisuus ja pk-yritysten vaikeus soveltaa sääntelyä käytännön liike-elämässä. Tämä aiheuttaa yrityksille oikeudellista epävarmuutta ja kohtuuttoman riskin pk-yritykseen kohdistuvasta, mahdollisesta tahattomasta asetuksen tulkintavirheestä aiheutuvasta seuraamuksesta, johon yritys ei ole saanut tulkinta-apua tietosuojaviranomaiselta.
10. Ovatko yleisen tietosuoja-asetuksen kansainväliset tiedonsiirtomekanismit toimivia vai tulisiko niitä kehittää edelleen ja miten niitä tulisi kehittää edelleen? Mitkä ovat olleet kansainvälisiin tiedonsiirtoihin liittyvät merkittävimmät hyödyt ja haasteet?
–
11. Onko yleisen tietosuoja-asetuksen ns. laajennettu alueellinen soveltamisala, joka kattaa myös EU:n markkinoilla toimivien kolmansien maiden toimijoiden suorittaman henkilötietojen käsittelyn, toiminut tarkoituksenmukaisella tavalla? Olisiko yleisen tietosuoja-asetuksen täytäntöönpanoon liittyvää yhteistyötä kolmansien maiden kanssa tarpeen kehittää ja miten?
–
12. Kommentit yleisen tietosuoja-asetuksen I lukuun – Yleiset säännökset
Tietosuoja-asetuksen 4 artiklassa säädetyt määritelmät ovat tulkinnaltaan epäselviä. Esimerkiksi terveystiedon käsite on epäselvä ja liian laaja johtaen kohtuuttomiin tilanteisiin käytännön soveltamistilanteissa.
13. Kommentit yleisen tietosuoja-asetuksen II lukuun – Periaatteet
Asetuksessa kuvatut periaatteet on kuvattu liian yleisellä tasolla, sillä niiden laajuus on aina tapauskohtaista ja riippuu muun muassa organisaation koosta, henkilötietojen määrästä ja siitä millaisia henkilötietoja käsitellään. Pk-yritysten näkökulmasta yleisten periaatteiden noudattamiseen liittyy soveltamisvaikeuksia ja hallinnollisten kustannusten lisääntymistä.
14. Kommentit yleisen tietosuoja-asetuksen III lukuun – Rekisteröidyn oikeudet
–
15. Kommentit yleisen tietosuoja-asetuksen IV lukuun – Rekisterinpitäjä ja henkilötietojen käsittelijä
30 artikla, seloste käsittelytoimista
Tietosuoja-asetuksen 30 artiklassa säädetään rekisterinpitäjän tai käsittelijän velvollisuudesta ylläpitää selostetta käsittelytoimista. Artiklan 5 kohdassa säädetään poikkeuksesta selosteen laatimisvelvollisuudesta. Säännöksen sanamuodon mukaan selosteen ylläpitämisvelvollisuus koskee kuitenkin käytännössä kaikkia yrityksiä, mukaan lukien pk- ja mikroyrityksiä, koska käytännössä kaikilla yrityksillä on asiakasrekisteri tai työntekijöitä. Artiklaan kirjattu poikkeus jää siten epäselväksi ja sen merkitys kyseenalaiseksi. Käsittelytoimista laadittavan selosteen lisäarvo pienempien yritysten tietosuojakäytänteille sen aiheuttamaan hallinnolliseen taakkaan verrattuna on kyseenalainen.
37-39 artiklat, Tietosuojavastaava
Tietosuojavastaavan nimitysvelvollisuus on epäselvä pk-yritysten näkökulmasta. Asetuksen mukaan tietosuojavastaava on nimitettävä, jos yritys mm. käsittelee laajamittaisesti arkaluontoisia tietoja tai yritys seuraa ihmisiä laajamittaisesti, säännöllisesti ja järjestelmällisesti. Mitä käsitteillä laajamittaisesti tai säännöllinen ja järjestelmällinen seuranta tarkoitetaan, ei kuitenkaan suoranaisesti määritellä asetuksessa.
Tietosuojatyöryhmän ohjeistus ei anna riittävää tulkinta-apua kaikkiin tilanteisiin. Asetuksessa tai ohjeistuksessa pitäisi olla täsmällisemmin määriteltynä, milloin pienempien yritysten ei ole nimitettävä tietosuojavastaavaa.
Mikäli yritys kuitenkin päättää vapaaehtoisesti nimetä tietosuojavastaava, koskevat asetuksen velvollisuudet täysimääräisesti myös häntä yrityksen koosta ja nimeämisvelvollisuudesta riippumatta. Tämä ei kannusta yrityksiä nimeämään tietosuojavastaavia sellaisissa tilanteissa, joissa asetus ei siihen nimenomaisesti velvoita. Vapaaehtoisesti asetetuille tietosuojavastaaville tulisi sallia tiettyjä lievennyksiä aseman tai tehtävien osalta.
16. Kommentit yleisen tietosuoja-asetuksen V lukuun – Henkilötietojen siirrot kolmansiin maihin tai kansainvälisille järjestöille
Pk-yritysten, jotka pääsääntöisesti käyttävät tietojen käsittelyssä ja tallentamiseen eri palveluntarjoajin valmiita ohjelmistoratkaisuja, esimerkiksi pilvipalveluita, on käytännössä mahdotonta täyttää tietosuoja-asetuksessa asetetut velvoitteet koskien henkilötietojen siirtoja kolmansiin maihin.
17. Kommentit yleisen tietosuoja-asetuksen VI lukuun – Riippumattomat valvontaviranomaiset
–
18. Kommentit yleisen tietosuoja-asetuksen VII lukuun – Yhteistyö ja yhdenmukaisuus
–
19. Kommentit yleisen tietosuoja-asetuksen VIII lukuun – Oikeussuojakeinot, vastuu ja seuraamukset
Ks. kysymys 3.
20. Kommentit yleisen tietosuoja-asetuksen IX lukuun – Tietojenkäsittelyyn liittyviä erityistilanteita koskevat säännökset
Ks. kysymys 5.
Suomen Yrittäjät
Janne Makkula
johtaja
Sanna Lempiäinen
asiantuntija