Vuosi GDPR:ää
Huomenna on kulunut vuosi siitä, kun EU:n yleistä tietosuoja-asetusta (GDPR) alettiin soveltaa. Monella on päällimmäisenä tunteena ehkä helpotus, sillä elämä näyttää jatkuvan myös GDPR:n jälkeen. Toisaalta olen kuullut myös ihmetyksen ääniä. Muuttuiko kaikesta kohkaamisesta huolimatta oikeasti mikään?
Kun työnsä lopettelevilta mepeiltä kysyttiin EU:n suurimmista saavutuksista, aika moni nosti esille GDPR:n. On aidosti nähty, että se voi toimia mallina globaaleille pyrkimyksille sovittaa yhteen rekisteröityjen ja rekisterinpitäjien oikeuksia. Se on toiminut myös tarpeellisena vastavoimana havaituille oikeudenloukkauksille.
Rekisterinpitäjien osalta kokemukset varmasti vaihtelevat, mutta ilahduttavan usein kuulemme esimerkkejä siitä, miten yritykset ovat hyötyneet tietosuoja-asioiden kuntoon laittamisesta. Tietoarkkitehtuuri on tullut organisaatioiden johdolle tutummaksi, sillä GDPR pakotti kiinnittämään huomiota tietosuojaan.
Organisaatioihin syntyi lisäksi uusi ammattikunta; tietosuojavastaavat. Meidän toimistoomme on tehty noin 1 600 ilmoitusta tietosuojavastaavasta. Ymmärtääkseni heidän keskinäinen verkostoitumisensa on lähtenyt liikkeelle paremmin kuin useissa verrokkimaissa.
Iskusana ”normienpurkutalkoot” jäi julkisessa keskustelussa havaintojeni mukaan vaalikauden lopulla hieman taka-alalle muiden lainsäädäntökiireiden johdosta. Kuitenkin kymmeniä kansallisia lakeja saatiin päivitetyksi GDPR:n mukaisiksi. Muutenkin Suomen eduskunta teki henkilötietojen suojan kannalta valtavan lainsäädäntötyön. Erityinen kiitos tästä kuuluu perustuslakivaliokunnalle, jolla oli rohkeutta jopa muuttaa omaa lausuntokäytäntöään.
Kansalaisten tietoisuus oikeuksistaan näyttää parantuneen. He myös käyttävät oikeuksiaan hanakasti. Kun meillä Suomessa vireille tulleiden asioiden määrä on edellisiin vuosiin verrattuna noin 2,5-kertainen, on asiamäärien kasvu EU:n jäsenmaissa keskimäärin 40–60 prosentin luokkaa.
GDPR:n myötä käsiteltäväksemme tuli kokonaan uusi asiaryhmä, tietoturvaloukkausilmoitukset. Niitä olemme käsitelleet palvelulähtöisesti; huomiomme on kiinnittynyt rekisteröityjen oikeuksien lisäksi rekisterinpitäjille annettavaan ohjaukseen ja kansallisen tilannekuvan luomiseen. Myös rajat ylittävien asioiden (OSS, yhdenmukaisuusmekanismi) osalta rekisteröidyille annettavat palvelut ovat parantuneet. Sen sijaan parantamisen varaa on edelleen tietojen siirrettävyyden suhteen. Tämän oikeuden tarkoituksenahan on auttaa kuluttajia kilpailuttamaan palveluntarjoajiaan. Vastaavasti osoitusvelvollisuuden täyttäminen antaa vielä odottaa itseään.
Euroopan tietosuojaneuvoston (EDPB) työ on lähtenyt oikein hyvin käyntiin. Neuvosto on hyväksynyt lainsäädännön tulkinnan harmonisointiin tähtääviä ohjeita 16 + 6 kappaletta, yhdenmukaisuusmekanismiin perustuvia lausuntoja 32 kappaletta ja lisäksi antanut lukuisia EU-sääntelyyn perustuvia lausuntoja. Huolenani on kuitenkin EDPB:n operatiivinen kyky ratkaista rajat ylittäviä asioita. Toivottavasti sinne ei pääse syntymään pullonkauloja.
Kansallinen lainsäädäntömme saatiin lopulta valmiiksi. Pääsimme uudistamaan organisaatiotamme ja suorittamaan lisääntyneiden resurssiemme mukaiset rekrytoinnit. Olen äärimmäisen iloinen ja tyytyväinen valtioneuvoston tekemistä apulaistietosuojavaltuutettujen nimityksistä. Voimme käynnistää hallinnollisia sanktioita käsittelevän kollegiomme työn. Saimme myös valmiiksi osaamisenhallintaan perustuneen projektimme.
Lumipallo on lähtenyt liikkeelle.