Mitä GDPR:n jälkeen?

4.6.2018 14.14
Kolumni
Mitä GDPR:n jälkeen?
Tietosuojavaltuutettu Reijo Aarnio

Olen kuullut otsikon kysymyksen jo nyt useamminkin. Se taitaa ilmentää osin sitä ahdistusta, jota toukokuun 25. päivän odotus piti sisällään, osin taas ihmetystä, kun elämä näyttääkin jatkuvan myös H-hetken jälkeen.

Ankara sähköpostiviestien tulva sai meidät kohottamaan kulmiamme. Näytti, että viestien motiivina ei ollut niinkään rekisteröityjen oikeuksien vahvistaminen, vaan rekisterinpitäjien ”itsepuolustus”. Katsotaan muuten, miten GDPR pärjää. Direktiivin 95/46/EY kanssa mentiin reilusti yli kaksikymmentä vuotta. Sinä aikana maailma muuttui todella paljon.

Otsikon kysymys on siis vähän outo, koska tuo historiaan jäänyt päivämäärä oli paremminkin alkuhetki, ei päätepiste. Asetuksen soveltaminen alkoi. Nyt vasta mitataan, miten olemme ja olette onnistuneet suunnittelussa, asiakasprosessien haltuunotossa, alihankintasuhteissa, avoimuudessa ja ennen kaikkea osoitusvelvoitteen toteuttamisessa.

Jotakin kuitenkin on jäänyt puuttumaan. Odottelemme vielä kansallista tietosuojalakia, jonka käsittely jatkuu eduskunnassa. Siellä esille on noussut ymmärrettävä huoli ”supermies”-ilmiöstä, tietosuojavaltuutetusta, joka sakottaisi yksin rekisterinpitäjiä hurjilla summilla, joskus jopa muistakin kuin tietosuojarikkomuksista. Asiantuntijoilta on kuitenkin jäänyt huomaamatta tässä hehkutuksessa asetuksen keskeiset ideat eli harmonisointi ja markkinahäiriöiden estäminen. Forum shoppingia ei hyväksytä. Kannatan lämpimästi esillä ollutta 1+2-monijäsenistä vaihtoehtoa. Senkin kädet ovat kuitenkin sanktioiden osalta eurooppalaisittain sidotut. Työnsä aloittaneessa Euroopan tietosuojaneuvostossa EDPB:ssä pohditaan vieläkin ohjeistusta meille lainvalvontaviranomaisille. Ohjeistusta tarvitaan sanktioiden samantasoisuuden varmistamiseksi.

EDPB näyttäisi muutenkin päässeen hyvin vauhtiin. Sen sihteeristö on valittu ja valmiina. Myös asianhallintajärjestelmä on pystyssä. Näitä koskeva yhteistoimintamuistio on solmittu EDPB:n ja EDPS:n kesken. Me neuvoston kansalliset jäsenet olemme eri maissa perehtyneet sisäisiin käsittelysääntöihimme. EDPB näyttäisi olevan valmis, arvattavaksi tässä vaiheessa jää, paljonko yhdenmukaisuusmekanismi ja neuvoston muut tehtävät tulevat sitä työllistämään. Tilannetta päivitetään 4.‒5.7. pidettävässä kokouksessa. Samalla kuulemme varmaankin lisää myös EU:n instituutioiden tietosuoja-asetuksesta. Se hyväksyttiin sopivasti ja kuin mallina muille 23.5.2018.

Meitäkin on jo testattu. Olemme vastaanottaneet joukon tietoturvaloukkausilmoituksia ja One Stop Shop -menettelyyn meneviä kanteluita. Tietosuojavastaavia koskevia ilmoituksia olemme saaneet jo satoja, mutta varmaan satoja vielä puuttuukin.

Kesän seuraamme tilanteiden kehittymistä, josta koitamme myös teitä tiedottaa. Ketterän kehityksen ja kokeilukulttuurin hengessä allokoimme resurssejamme ja rakennamme kokemusten perusteella organisaatiotamme. Syksy on sitten strategiatyön aikaa. Toivomukseni on, että onnistuisimme auttamaan rekisteröityjä oikeuksiensa toteuttamisessa ennaltaehkäisevällä tavalla, ja että kykenisimme auttamaan suomalaisia toimijoita kiristyvässä kilpailussa. Oma haasteensa tulee olemaan jo käynnistynyt erityislainsäädännön perkaaminen. Siinä on kysymys varsinaisista normienpurkutalkoista. Siksipä nostankin hattuni korkealle eduskunnan perustuslakivaliokunnan kohdalla. Se uudisti lausuntokäytäntöään rohkeasti ja oikeasuuntaisesti.