GDPR on vielä kapaloissaan

25.5.2020 11.48

Kolumni

Kun EU:n yleistä tietosuoja-asetusta, tuttavallisemmin Suomessakin GDPR:nä tunnettua, alettiin soveltaa kaksi vuotta sitten, esitettiin kaksi kommenttia. Ensimmäisen mukaan GDPR:ää olisi jo pitänyt uudistaa, oikeastaan ennen kuin siitä oli ehditty saada ensimmäisiäkään kokemuksia. Toisen kommentin mukaan kahden vuoden siirtymäaika oli puolestaan liian lyhyt.

Kun siirtymäajan riittävyyttä arvioidaan esimerkiksi Euroopan tietosuojaneuvoston työn perusteella, huomataan että melko pitkä jono asioita odottaa senkin työjonossa ratkaisuaan. Määrältään tuplaantuneiden prosessien opiskelu ja omaksuminen on vienyt paljon aikaa. Kaipaisimme kipeästi esimerkiksi tietojen siirrettävyyden parantamista, jotta kuluttajat voisivat hyödyntää paremmin GDPR:n suoman mahdollisuuden kilpailuttaa palveluntarjoajia ja saada myös taloudellista hyötyä itsemääräämisoikeudestaan. Odotamme edelleen myös turvallisten verkkopalveluiden oikeudellista laatua kuvaavien sertifikaattien ilmaantumista.

Maaliinkin on päästy. Aivan äskettäin tietosuojavaltuutetun toimistossa toimiva seuraamuskollegio määräsi ensimmäiset hallinnolliset seuraamusmaksut. Meidän vastuumme kollegiona on tunnistaa tilanteet, joissa seuraamusmaksun määrääminen on tehokasta, oikeasuhteista ja varoittavaa. Tähän liittyy voimakas tarve huolehtia siitä, että EU:n jäsenvaltioiden tietosuojaviranomaiset löytävät keinon varmistaa, että seuraamukset ovat mahdollisimman yhteneväiset joka maassa samanlaisissa tapauksissa.

Odottelemme komission ensimmäistä raporttia GDPR:n toimivuudesta. Tietosuoja-asetuksen 97 artiklan mukaan sellainen pitäisi julkaista 25.5.2020, mutta se taitaa vähän myöhästyä. Myös kauan odotettu ja kaivattu ePrivacy Regulation, sähköisen viestinnän tietosuoja-asetus, antaa edelleen odottaa itseään. Sen toivotaan selkeyttävän oikeusohjeita muun muassa viestinnän luottamuksellisuuden ja evästeiden käytön osalta. Apulaistietosuojavaltuutettu Anu Taluksen äskettäinen evästepäätös antaa tulkintaohjeen muihinkin tilanteisiin, joissa kysymys on ennen GDPR:n soveltamisen alkamista annettujen lakien ja direktiivien suhteesta sellaisenaan sovellettavaan GDPR:ään.

Rekisteröityjen kannalta GDPR on merkinnyt olennaista oikeuksien laajentumista, erityisesti rajat ylittävissä asioissa. Samalla kuitenkin oikeuksien saaminen on ainakin osittain loitontunut ja hidastunut. Loitontunut Brysseliin Euroopan tietosuojaneuvostoon, ja hidastunut, koska vireille tulleiden asioiden määrä ja resurssit eivät ole olleet tasapainossa. On myös huomioitava, että asioiden käsittelyjärjestykseen ei sovelleta enää yksin hallintolakia, vaan sen ohessa rajat ylittävissä asioissa OSS- ja yhdenmukaisuusmekanismia. Eurooppaan tarvittaisiinkin myös harmonisoitu hallintomenettely.

GDPR on ollut ottamassa roolia globaalina de facto -standardina. Nyt Covid-19-kriisi vaikuttaa myös siihen. Ainakin ennen kuin tiedeyhteisö keksii tehokkaan ja turvallisen rokotteen, elämme uuden normaalin aikaa. Kansalaisten perusoikeuksia ja -vapauksia on jouduttu rajoittamaan turvallisuussyistä. Tässä tilanteessa GDPR näyttäisi toimivan hyvin. Se mahdollistaa oikein sovellettuna tarvittavat, demokraattisessa yhteiskunnassa välttämättömät viranomaistoimet, mutta vain niiden edellyttämässä laajuudessa, tarkoituksessa ja rajattuna aikana. Tässä kohtaa emme saa myöskään unohtaa kaksivuotiasta turvallisuusalan ja rikosasioiden tietosuojadirektiiviä. Apulaistietosuojavaltuutettu Jari Råmanin johdolla toimistomme on toteuttanut alan toimijoihin kohdistuneen mittavan tarkastusprojektin.

Kaksivuotias GDPR on nousemassa yhä ylpeämmin seisomaan. Sitä on liian aikaista tuomita.