Euroopan unionin yleinen tietosuoja-asetus, lyhyemmin GDPR, tuli voimaan reilu vuosi sitten. Asetuksen myötä säädetty kansallinen tietosuojalaki on ollut voimassa puolestaan vuoden 2019 alusta. ”Lumipallo on lähtenyt liikkeelle”, tietosuojavaltuutettu Reijo Aarnio on kuvannut asetuksen voimaantulon jälkeistä aikaa.
Vaikka vilkkain tietosuojakeskustelu on jo rauhoittunut, henkilötietojen käsittelyä ja esimerkiksi tietoturvaa koskevat kysymykset ovat edelleen säännöllisesti esillä julkisessa keskustelussa. Euroopan komission 24.7.2019 antaman tiedonannon mukaan tietosuoja-asetus on tuottanut jo nyt merkittäviä tuloksia. Monet komission esittämistä huomioista ovat olennaisia myös suomalaisten yritysten näkökulmasta.
Komission tiedonannon mukaan EU-kansalaisten tietoisuus tietosuojaan liittyvistä säännöksistä ja oikeuksista on lisääntynyt. Yksityishenkilöt ovat aikaisempaa tietoisempia esimerkiksi rekisteröidyn tarkastus- ja kielto-oikeudesta. Suomalaisten yksityishenkilöiden tietoisuus kansallisesta tietosuojaviranomaisesta on noussut. Kovin yllättävää ei liene, että tietosuojavaltuutetun toimiston asiamäärät ovat kasvaneet GDPR:n voimaantulon jälkeen merkittävästi.
Lisääntynyt tietoisuus yhdistettynä lainsäädännön säätämiin velvoitteisiin on asettanut luonnollisesti vaatimuksia myös yritysten päivittäiselle toiminnalle. Tietosuojavaltuutetun toimistosta on arvioitu, että esimerkiksi tietoarkkitehtuuri on tullut yritysten johdolle tutummaksi, kun tietosuoja-asetus on pakottanut yritykset täyttämään asetuksesta seuraavat määräykset. Aikaisemmin voimassa olleesta henkilötietolaista huolimatta moni yritys on joutunut kiinnittämään aikaisempaa enemmän huomiota henkilötietojen käsittelyyn liittyviin prosesseihin ja toimintatapoihin.
Tietosuojaan liittyvät kysymykset on huomioitu yleisellä tasolla, joskin varsin niukasti, myös kesäkuussa 2019 julkaistussa hallituksen ohjelmassa. Ohjelmassa on asetettu tavoitteeksi muun muassa yksityisyyden suojaa, tietosuojaa ja tietojen julkisuutta koskevien lakien toimivuuden varmistaminen kokonaisuutena tietosuoja-asetuksen rajoissa. Myös kirjaus eettisesti, taloudellisesti ja sosiaalisesti kestävästä datapolitiikasta on huomionarvoinen.
Suomen heinäkuussa alkaneen EU-puheenjohtajakauden aikana myös tietosuojaliitännäiset kysymykset nousevat varmasti esiin. Puheenjohtajakauden ohjelmassa on asetettu yhdeksi tavoitteeksi Euroopan globaali johtoasema digitaalisessa taloudessa. Yhdenmukainen tietosuojasääntely unionin alueella on yksi keskeinen keino tämän päämäärän saavuttamiseksi. Yritysten mahdollisuudet toimia rajat ylittävästi ovat parantuneet yhdenmukaisen sääntelyn myötä. Suomalaisten yritysten on hyvä muistaa, että tietosuoja voi olla merkittävä kilpailuetu kiihtyvässä kansainvälisessä kilpailussa.
Puheenjohtajakauden ohjelmassa on tuotu esiin myös digitalisaation, data- ja alustatalouden sekä tekoälyn merkitys Euroopan tuottavuuden, kasvun ja työllisyyden mahdollistajina. Nämä tekijät ovat olennaisia myös Suomen menestymisen kannalta. Tässä suhteessa tietosuoja-asetus on osaltaan tukemassa uusia liiketoimintamahdollisuuksia. Asetuksesta ei ole muodostunut sellaista ”mörköä” kuin etukäteen joissakin puheenvuoroissa epäiltiin.
Tietosuoja koskee kaikkia yrityksiä. Tämä näkökohta on hyvä muistaa siitä huolimatta, että päivittäisessä uutisoinnissa suurimman huomion keräävät, luonnollisesti, Facebookin ja Googlen kaltaisten suurtoimijoiden tietosuoja-asiat ja mahdolliset tietoturvaloukkaukset. Oli organisaation koko mikä tahansa, jokaisen yrityksen on kriittisen tärkeää arvioida säännöllisesti ja mahdollisimman perusteellisesti omia toimintamallejaan – myös tietosuoja-asetuksen voimaantulon jälkeisenä aikana. Eri arvioiden mukaan suomalaisissa yrityksissä tietosuojakysymyksiin on havahduttu varsin hyvin. Keskuskauppakamarin ja Microsoftin laatima Tietosuojaopas yrityksille (2018) toimii hyödyllisenä apuvälineenä kaikenkokoisille organisaatioille.
Kirjoittaja: Erkko Meri, lakimies, Keskuskauppakamari
Lue lisää: