EU:n uusi tietosuoja-asetus: Tietosuojan evoluutio vai revoluutio?

Blogi 3.11.2017

Brysselistä tulee tasaisin väliajoin sääntelyä, joka saattaa näyttäytyä "tavalliselle kansalaiselle" merkityksettömältä tai jopa naurettavalta. Esimerkki tällaisesta oli surullisen kuuluisa liian käyriä kurkkuja koskeva laatuluokitusdirektiivi, joka kaikeksi onneksi kumottiin jo vuonna 2008. Aivan toista maata on toukokuusta 2018 alkaen sovellettava uusi tietosuoja-asetus. Viime vuosilta on vaikea löytää EU-sääntelyä, joka koskettaisi laajemmin unionin alueen kansalaisia ja toimijoita.

Miksi uutta sääntelyä ylipäätään kaivattiin? Syy löytyy paljon puhutuista megatrendeistä, kuten digitalisaatiosta ja globalisaatiosta. Muiden eurooppalaisten tapaan suomalaiset käyttävät ahkerasti esimerkiksi ulkomaisia vaateverkkokauppoja, jolloin henkilötiedot luovutetaan enempiä pohtimatta rajojen yli ulkomaiselle toimijalle. Kuluttajan (tietosuojatermein rekisteröidyn) on lähes ylivoimaisen vaikeaa varmistaa, että luovutettuja henkilötietoja käytetään asianmukaisesti saati löytää tehokkaita oikeussuojakeinoja, jos jotain menee pieleen. Tätä uutta tilannetta pyritään hallitsemaan luomalla moderni, vahva ja laajasti harmonisoitu tietosuojalainsäädäntö, jossa yksilöllä on aiempaa suurempi itsemääräämisoikeus omiin tietoihinsa.

Edellä mainittujen tietosuoja-asetuksen taustalla piilevien megatrendien voidaan kuitenkin havaita aiheuttavan kiusallisen paradoksin; tiukempaa ja yksilön oikeutta korostavaa tietosuojasääntelyä kaivataan, mutta samalla olisi edistettävä tiedon vapaampaa liikkuvuutta ja tähän perustuvia uusia innovaatioita. Jotta yhtälöstä ei tulisi mahdoton, tarvitaan uusien käytäntöjen ja uuden turvallisen teknologian lisäksi sekä yleisiä että sektorikohtaisia ohjeistuksia ja tulkintoja niille artikloille, jotka ovat tarkoituksellakin jätetty yleisluontoisiksi tai tulkinnanvaraisiksi. Kuten eräs arvostettu kollegani totesi: "Toteutus ei saa jäädä elämälle vieraaksi".

Mahdoton tehtävä?

Rekisterinpitäjille, käsittelijöille ja valvojille asetus tarkoittaa etenkin valmisteluvaiheessa lisätöitä. Toisin kuin lukuisista nettikirjoituksista voisi päätellä, kyse ei kuitenkaan ole mistään mahdottomasta tehtävästä. Asetus perustuu jo pari vuosikymmentä käytössä olleelle vankalle perustalle, jota Suomessa ilmentää toistaiseksi voimassa oleva henkilötietolaki. Hieman provosoivasti voisi todeta, että jos perusasiat olivat aiemmin kunnossa, asetuksen tuomien lisävelvoitteiden ei pitäisi aiheuttaa harmaita hiuksia. Raskaasti säännellyllä vakuutusalalla, jolla arkaluonteistenkin henkilötietojen käsittely on arkipäivää, on perusasioiden tietysti oltava kunnossa.

Yksi huomattavimpia tietosuoja-asetuksen aiheuttamia muutoksia on ns. osoitusvelvollisuuden ("tilivelvollisuuden") merkityksen kasvaminen. Enää ei riitä pelkkä lainsäädännön noudattaminen; lainkuuliaisuus on myös voitava aktiivisesti todistaa. Loppujen lopuksi kyse on kuitenkin luottamuksesta. Liike-elämän lainalaisuuksien mukaan maineen rakentaminen on pitkäjänteistä työtä, mutta sen voi menettää yhdessä yössä. Tietosuoja-asioiden huolellinen hoitaminen lisää asiakkaiden luottamusta sekä mahdollistaa datan käytön kehittämisen ja edelleen lisäarvon tuottamisen asiakkaalle.

Muiden toimijoiden tavoin myös Vakuutuskeskuksessa on käynnissä laajamittainen projekti, jolla varmistetaan valmiudet tietosuoja-asetuksen soveltamiseen. Projektin todennäköisesti työläin ja tärkein osuus on jo tehty eli on varmistettu, että prosessimme, rekisterimme ja järjestelmämme ovat pääosin kunnossa. Tehtävälista on edelleen pitkä ja se sisältää mm. selosteiden, sopimusten ja ohjeiden läpikäyntiä, viestintää ja koulutusta. Organisatorisilta muutoksiltakaan ei täysin vältytä, sillä tietosuojavastaavan viitan omaava henkilö tarvitaan varmistamaan, että asiat myös pysyvät kunnossa. Jollei hiki muuten nouse pintaan, voi tietosuojavaltuutetun toimiston nettisivuilta löytyvästä laskurista käydä katsomassa kuinka paljon valmistautumisaikaa vielä on. Tätä kirjoittaessa aikaa näyttäisi olevan 204 päivää, 1 tunti ja 14 minuuttia.

Visa Kronbäck

Visa toimii lakiasiainpäällikkönä Vakuutuskeskuksessa ja vastaa tällä hetkellä projektipäällikkönä Vakuutuskeskuksen tietosuoja-asetusprojektista.