Tietosuojaa turvataan eurooppalaisella yhteistyöllä

Tietosuojapäivän seminaari järjestetään tänään etänä. Kuten myös viime vuonna. Ehkä ensi vuonna pääsemme jälleen tapaamaan kollegoita ihan kasvotusten. Kansainvälinen tietosuojapäivä on oivallinen hetki tehdä katsaus viime vuoteen ja pysähtyä tarkastelemaan myös eurooppalaista kehitystä hieman laajemmalla perspektiivillä.

Tammikuussa tulee kuluneeksi kymmenen vuotta siitä, kun komissio antoi ehdotuksensa yleiseksi tietosuoja-asetukseksi. Jos 10 vuotta sitten kuuma peruna oli ”right to be forgotten” ja hallinnolliset seuraamusmaksut, on viime vuosina eurooppalaisilla ja kansainvälisillä foorumeilla puhuttanut valvontaviranomaisten välinen yhteistyö ja kansainväliset tiedonsiirrot. Hallinnolliset seuraamusmaksut pääsevät otsikoihin vain yltäessään miljoonatasolle. Väliin mahtuu Snowdenia, Cambridge Analyticaa ja niin edelleen. Täällä Suomessa on puolestaan viime aikoina puhuttanut Vastaamo ja silmälasiostokset. Sekä aina pinnalla oleva verotietojen julkisuus.

Kaikki tärkeitä asioita.

Missä olemme nyt, kymmenen vuotta komission ehdotuksen jälkeen?

Monia haasteita on jo selätetty.

Enää ei voida puhua ainoastaan GDPR:n jalkautuksesta käytännön tasolle, moni asia hakee kuitenkin edelleen vakiintunutta muotoaan. Nyt jo rutinoitunut ja hallinto-oikeudenkin siunaama menettely hallinnollisen seuraamusmaksun määräämisessä hioutuu entisestään. Ilmoitukset tietoturvaloukkauksista käsitellään uudessa, nopeutetussa menettelyssä ja valvontaviranomaisen uudet toimivaltuudet ovat täysimääräisesti käytössä. 

Viranomaisten hartioille on tullut leveyttä lisää. Meidän suomalaisten etuja valvoo tietosuojavaltuutetun lisäksi 27 eurooppalaista kollegaviranomaista. Eurooppalaisin hartioin on parempi tarttua isoihin asioihin. Ja isoja asioita tietosuojasääntelyssä riittää – digitalisaatio leikkaa läpi kaikkien yhteiskunnan alojen. On komission tekoälyhanketta, evästebannereita, Pegasusta, digitaalista euroa –tiedonsiirroista kolmansiin maihin puhumattakaan, vain muutamia mainitakseni.

Euroopan tietosuojaneuvoston antamat sitovat kiistanratkaisupäätökset tuovat yhteistyöhön myös hieman rekisteröidyille ja rekisterinpitäjillekin näkyvää konkretiaa. Tietosuojaneuvosto on antanut kaksi sitovaa päätöstä, joista toinen koski viime vuonna keskustelua herättänyttä WhatsAppin käyttöehtojen muutosta. Irlannin valvontaviranomainen havaitsi WhatsAppin toiminnassa vakavia läpinäkyvyyttä koskevia tietosuojarikkomuksia. Asiaa käsiteltiin tietosuojaviranomaisten välisessä yhteistyössä, sillä Irlannin valvontaviranomainen siirsi asian tietosuojaneuvoston kiistanratkaisumenettelyyn.

Aina Euroopassa tehty työ ei kuitenkaan näy meillä käydyssä keskustelussa. Esimerkiksi tuo heinäkuinen kiistanratkaisupäätös ei meillä juurikaan noussut esiin, vaikka toisaalta WhatsAppin kaavailemat käyttöehtojen muutokset kyllä puhuttivat. Myöskään Euroopassa kovasti puhuttanut jäsenvaltioiden valvontaviranomaisten välinen yhteistyö ei ole meillä juurikaan keskustelua herättänyt.

Eurooppalaisilla foorumeilla valvontaviranomaisten välinen yhteistyö kehittyy edelleen. On löydetty tapoja sovittaa yhteen jäsenvaltioiden erilaisia hallinnollisia menettelyitä tietosuojaneuvoston toimivuuden ja tehokkuuden varmistamiseksi ja yhteistyö tulee varmasti tiivistymään entisestään tulevien vuosien aikana. Näin päästään tietosuoja-asetuksen tavoitteisiin – yhtenäiseen eurooppalaiseen tietosuojalainsäädäntöön.

Kohti uutta tietosuojavuotta

EU-maiden rajat ylittävät asiat näkyivät myös tietosuojavaltuutetun toimiston arjessa. Annoimme heinäkuussa ensimmäisen päätöksen johtavana valvontaviranomaisena niin sanotussa rajatylittävässä asiassa. Kyse oli rekisteröidyn oikeuksien toteuttamisesta. Myös kansainvälisiä tiedonsiirtoja koskevat ohjeistukset ja käytännöt täsmentyivät vuoden aikana. Vakiintuneen lainsäädäntökehyksen myötä tietosuojavaltuutetun toimisto tehostaa ETA-maiden ulkopuolelle tehtävien henkilötietojen siirtojen valvontaa.

Aloitimme viime vuonna TIEKE Tietoyhteiskunnan kehittämiskeskus ry:n kanssa yhteisen GDPR2DSM-hankkeen mikro- ja pk-yritysten tietosuojatyökalun kehittämiseksi yhdessä yritysten kanssa. Työkalun ensimmäinen versio on julkaistu tänään tietosuojapäivänä.

Vaikka tasapainottelemme edelleen jutturuuhkien kanssa, osoitti viime keväänä teettämämme sidosryhmä- ja kansalaiskysely, että toimiston asiantuntevuutta ja luotettavuutta arvostetaan. Näitä arvoja vaalien suuntaamme myös kohti alkanutta vuotta. 

Hyvää tietosuojapäivää!

Anu Talus

​​​​​​​Tietosuojavaltuutettu