Kysymyksiä ja vastauksia tietosuojauudistuksesta

5.4.2016

Euroopan parlamentti ja neuvosto ovat päässeet sopimukseen Euroopan komission ehdottamasta tietosuojauudistuksesta. Uudistus on tärkeä askel, kun vahvistetaan kansalaisten perusoikeuksia digitaaliajassa. Uudet säännöt helpottavat liiketoimintaa yksinkertaistamalla yrityksiä koskevia sääntöjä digitaalisilla sisämarkkinoilla.

Tietosuojauudistusta koskeva paketti sisältää yleisen tietosuoja-asetuksen ("asetus") sekä poliisi- ja rikosoikeusviranomaisia koskevan tietosuojadirektiivin.

Miksi komissio ehdotti EU:n tietosuojasääntöjen uudistamista?

EU:ssa vuonna 1995 säädetty henkilötietodirektiivi takaa kansalaisten perusoikeuksiin kuuluvan tehokkaan tietosuojan. Jäsenvaltioiden väliset erot lain toimeenpanossa ovat kuitenkin aiheuttaneet epätietoisuutta ja lisänneet hallinnollisia kustannuksia. Tämä puolestaan vaikuttaa ihmisten EU:ta kohtaan tuntemaan luottamukseen ja unionin taloudelliseen kilpailukykyyn.

Lisäksi voimassa olevat säännöt kaipaavat uudistamista, sillä ne otettiin käyttöön aikana, jolloin monia nykyisiä verkkopalveluja tai niiden tietosuojalle aiheuttamia haasteita ei ollut olemassa. Sosiaalisen median verkkosivustot, pilvipalvelut, sijaintiin perustuvat palvelut ja älykortit ovat johtaneet henkilötietojen käsittelyn räjähdysmäiseen kasvuun. Tarvitaan vankka säännöstö, joka varmistaa, että ihmisten oikeus henkilötietojen suojaan - joka tunnistetaan EU:n perusoikeuskirjan 8 artiklassa - pysyy voimassa myös digitaaliaikana. Tämä hyödyttää samalla digitaalisen talouden kehittämistä.

Mikä muuttuu asetuksen myötä?

Tietosuoja-asetus päivittää ja uudistaa periaatteita, joilla taataan oikeus henkilötietojen suojaan. Asetuksella vahvistetaan ihmisten oikeuksia ja EU:n sisämarkkinoita sekä sujuvoitetaan henkilötietojen kansainvälisiä siirtoja.

Muutokset antavat ihmisille paremmat edellytykset kontrolloida omia henkilötietojaan ja helpottavat tiedonsaantia omien henkilötietojen käsittelystä. Tarkoituksena on varmistaa, että ihmisten henkilötiedor ovat suojassa riippumatta siitä, missä ne lähetetään, käsitellään tai säilytetään - myös EU:n ulkopuolella, kuten internetissä usein on asian laita.

Mitkä ovat uudistuksen hyödyt kansalaisille?

Uudistus tarjoaa työkalut, joilla ihmiset voivat kontrolloida henkilötietojaan, joiden suojaaminen on yksi Euroopan unionin perusoikeuksista.

Kymmenestä eurooppalaisesta yhdeksän on huolestunut mobiilisovelluksista, jotka keräävät tietoja ilman heidän suostumustaan, ja seitsemän kymmenestä on huolissaan siitä, mihin yritykset voivat käyttää tietoja.

Uudet säännöt vastaavat näihin huolenaiheisiin seuraavasti:

Oikeus tulla unohdetuksi: Kun käyttäjä ei enää halua, että hänen tietojaan käsitellään, tiedot poistetaan, paitsi jos on olemassa jokin laillinen peruste säilyttää ne. Tarkoitus on taata kansalaisten yksityisyydensuoja, ei hävittää menneitä tapahtumia tai rajoittaa lehdistönvapautta.

Tiedonsaanti helpottuu: Ihmiset saavat tietoa siitä, miten heidän tietojaan käsitellään, ja tämä tieto on annettava heille selkeällä ja ymmärrettävällä tavalla. Oikeus siirtää omat tietonsa tietojärjestelmästä toiseen helpottaa henkilötietojen siirtämistä palveluntarjoajalta toiselle.

Oikeus saada tieto tietoturvaloukkauksesta: Yritysten ja organisaatioiden on raportoitava kansalliselle tietosuojaviranomaiselle tietoturvaloukkauksista. Käyttäjille on ilmoitettava vakavista loukkauksista mahdollisimman pian, jotta nämä voivat ryhtyä tarvittaviin toimiin,.

Sisäänrakennettu ja oletusarvoinen tietosuoja: Tietosuojatakeet otetaan huomioon tuotteissa ja palveluissa jo suunnitteluvaiheessa, ja yksityisyydensuojaa edistävät oletusarvot (asetukset) ovat automaattisesti käytössä esimerkiksi sosiaalisessa mediassa ja mobiilisovelluksissa.

Tiukemmat seuraukset rikkomuksista: tietosuojaviranomaiset voivat antaa EU-sääntöjä rikkovalle yritykselle sakon, joka on jopa neljä prosenttia yhtiön maailmanlaajuisesta liikevaihdosta.


Oikeus tulla unohdetuksi - Miten se toimii?

Nykyinenkin direktiivi antaa ihmisille mahdollisuuden saada tietonsa poistetuiksi erityisesti silloin, kun tietoja ei enää tarvita.

Jos henkilö on antanut suostumuksen tietojensa käsittelyyn tiettyä tarkoitusta varten, kuten näytettäväksi sosiaalisen median sivustolla, mutta ei halua käyttää kyseistä palvelua enää, ei ole mitään syytä säilyttää tietoja järjestelmässä. Kun etenkin lapset ovat antaneet itsestään tietoja ymmärtämättä täysin tämän seurauksia, he eivät saa jäädä tekemänsä valinnan vangiksi loppuiäkseen.

Tämä ei tarkoita, että käyttäjän kaikki henkilötiedot olisi poistettava heti ja lopullisesti jokaisen pyynnön perusteella. Jos tietojen säilytys on välttämätöntä esimerkiksi sopimuksen tai lakisääteisen velvollisuuden takia, tiedot voidaan säilyttää kyseistä tarkoitusta varten niin pitkään kuin on tarpeen.

Säännökset, jotka koskevat oikeutta tulla unohdetuksi ovat hyvin selkeät: niissä suojataan ilmaisunvapaus sekä historiallinen ja tieteellinen tutkimus.

Esimerkiksi poliitikot eivät saa aikaisempia puheenvuorojaan poistetuksi verkosta. Näin muun muassa uutissivustot voivat jatkaa toimimista aiempien periaatteiden mukaisesti.


Tarjoaako uudistus erityistä suojaa lapsille?

Lasten henkilötietoja on erityisesti suojattava, koska he eivät ehkä ole täysin tietoisia henkilötietojen käsittelyä koskevista riskeistä. He hyötyvät esimerkiksi selkeämmästä oikeudesta tulla unohdetuksi.

Asetuksen mukaan suostumus lapsen tietojen käsittelyyn on saatava vanhemman vastuussa olevalta henkilöltä. Jäsenvaltiot voivat määritellä suostumusta edellyttävän ikärajan 13 ja 16 ikävuoden välille.

Tämän erityissäännöksen tarkoitus on suojata lapsia painostukselta jakaa henkilötietojaan ilman täyttä ymmärrystä seurauksista. Se ei estä teinejä käyttämästä nettiä tietojen, neuvojen tai vastaavien hakemiseen. Lisäksi asetuksessa määritetään, että vanhemman vastuussa olevan henkilön suostumus ei ole välttämätön, jos on kyse suoraan lapselle tarjottavista ennaltaehkäisy- tai neuvontapalveluista.


Mitkä ovat uudistuksen hyödyt yrityksille?

Uudistus selkeyttää ja yhdenmukaistaa sovellettavia sääntöjä sekä palauttaa kuluttajien luottamusta, jotta yritykset voivat hyötyä täysimääräisesti digitaalisen sisämarkkinan tarjoamista mahdollisuuksista.

Tieto on nykyisen digitaalisen talouden valuutta. Kaikkialla maailmassa kerätyistä, analysoiduista ja siirretyistä henkilötiedoista on tullut taloudellisesti erittäin tärkeä hyödyke. Lainsäätäjät luovat liiketoimintamahdollisuuksia nostamalla Euroopan jo ennestään korkeaa tietosuojan tasoa.

Tietosuojan uudistaminen auttaa digitaalisia sisämarkkinoita toteuttamaan nämä mahdollisuudet seuraavien periaatteiden avulla:

Yksi maanosa, yksi lainsäädäntö: Euroopassa otetaan käyttöön yksi tietosuojan sääntökokonaisuus, joka korvaa kansallisten lakien tilkkutäkin. Yritykset toimivat 28 lain sijasta yhden lain mukaan. Tästä kertyy vuodessa komission arvion mukaan 2,3 miljardin euron säästöt.

Yhden luukun järjestelmä: Yrityksille suunnattu yhden luukun järjestelmä merkitsee, että yritysten tarvitsee ottaa yhteyttä vain yhteen tietosuojaviranomaiseen 28:n viranomaisen sijasta.Tämä tekee liiketoiminnan harjoittamisesta EU:n alueella halvempaa ja mutkattomampaa.

Samat säännöt kaikille yrityksille sijaintimaasta riippumatta: Nykyään eurooppalaisten yritysten on noudatettava tiukempia normeja kuin EU:n ulkopuolelle sijoittuneiden yhtiöiden, jotka harjoittavat liiketoimintaa sisämarkkinoillamme. Uudistuksen myötä Euroopan ulkopuolelle sijoittuneiden yritysten on sovellettava samoja EU:n sääntöjä, kun ne tarjoavat tavaroita tai palveluja EU-markkinoilla. Tämä luo tasavertaiset kilpailumahdollisuudet.


Mikä on yhden luukun periaate?

Tietojen sisämarkkinoilla ei riitä, että säännöt ovat paperilla yhdenmukaisia. Sääntöjä on myös sovellettava samaan tapaan kaikkialla. Yhden luukun periaate tehostaa tietosuojaviranomaisten välistä yhteistyötä kysymyksissä, joilla on vaikutusta koko Eurooppaan. Yritysten saamia hyötyjä ovat nopeammat päätökset, yksi neuvottelukumppani (ei enää yhteydenottoja lukuisiin eri tahoihin) ja byrokratian väheneminen.


Yksilöt saavat paremmat edellytykset kontrolloida tietojaan. Miten se auttaa liiketoimintaa?

Uusi oikeus siirtää tiedot järjestelmästä toiseen sallii yksilöiden siirtää henkilötietonsa palveluntarjoajalta toiselle. Startup-yritykset ja pienet yhtiöt pääsevät digitaalisten jättien hallitsemille datamarkkinoille ja houkuttelevat enemmän asiakkaita yksityisyydensuojaa edistävillä ratkaisuillaan. Tämä tekee Euroopan talouselämästä kilpailukykyisemmän.

Esimerkki: Hyötyjä yksilöille, hyötyjä yrityksille
Uusi pieni yritys haluaa päästä markkinoille tarjoamalla verkossa toimivan sosiaalisen median sivuston. Markkinoilla on jo isoja pelureita, joilla on suuri markkinaosuus. Nykyisten sääntöjen mukaan kunkin uuden asiakkaan on mietittävä uudelleen, mitkä henkilötiedot hän haluaa luoda uudelle verkkosivustolle. Tämä voi saada jotkut luopumaan aikeestaan siirtyä uuteen palveluun.
Tietosuoja-asetuksen myötä:
Oikeus siirtää tiedot järjestelmästä toiseen helpottaa henkilötietojen siirtämistä palveluntarjoajalta toiselle. Tämä auttaa asiakkaita hallitsemaan henkilötietojaan sekä edistää kilpailua ja rohkaisee markkinoilla toimivia uusia yrityksiä.

Mitkä ovat uudistuksen hyödyt pk-yrityksille?

Tietosuojauudistuksen tarkoitus on edistää talouskasvua vähentämällä kustannuksia ja byrokratiaa myös pieniltä ja keskisuurilta yrityksiltä (pk-yritykset).

Kun säännöstöjä ei ole 28:aa vaan vain yksi, EU:n tietosuojauudistus auttaa pk-yrityksiä pääsemään uusille markkinoille. Monissa tapauksissa rekisterinpitäjien ja tietojen käsittelijöiden velvollisuuksista säädetään yrityksen koon ja/tai käsiteltävien tietojen luonteen mukaan. Esimerkiksi:

Yrityksen tarvitsee nimittää tietosuojavastaava vain, jos yrityksen ydintoiminnot edellyttävät rekisteröityjen säännöllistä ja järjestelmällistä valvontaa tai jos yrityksen ydintoiminnot muodostuvat esimerkiksi rekisteröidyn rodullista tai etnistä alkuperää tai uskonnollista vakaumusta koskevien henkilötietojen laajamittaisesta käsittelystä. Tietosuojavastaavan ei tarvitse olla yrityksen työntekijä vaan hän voi olla konsultti, josta ei aiheudu yhtä suuria kustannuksia.

• Yritysten ei tarvitse ilmoittaa kaikista tietoturvaloukkauksista yksityishenkilöille, jos murtoei aiheuta suurta vaaraa näiden oikeuksille.


Miten uudet säännöt säästävät rahaa?

Asetuksen myötä Euroopassa otetaan käyttöön yksi tietosuojalaki, jolloin yritykset voivat toimia 28 lain sijasta vain yhden lain mukaan. Uusista säännöistä kertyy arviolta 2,3 miljardin euron vuosittaiset säästöt.

Esimerkki: Kustannusten leikkaaminen
Myymäläketjulla on pääkonttori Ranskassa ja franchising-myymälöitä 14 muussa EU-maassa. Kukin myymälä kerää asiakkaitaan koskevia tietoja ja siirtää ne Ranskassa sijaitsevaan pääkonttoriin lisäkäsittelyä varten.
Nykyisten sääntöjen mukaan:
Ranskan tietosuojalainsäädäntöä sovellettaisiin pääkonttorin suorittamaan käsittelyyn, mutta yksittäisten myymälöiden olisi silti toimitettava raportit kansalliselle tietosuojaviranomaiselleen vahvistaakseen, että ne käsittelevät tietoja sijaintimaansa kansallisten lakien mukaisesti. Tämä tarkoittaa, että yrityksen pääkonttorin olisi konsultoitava kaikkien myymälöidensä paikallisia lakimiehiä varmistaakseen, että lakia noudatetaan. Kaikkien maiden raportointivaatimusten yhteenlasketut kustannukset voisivat olla yli 12 000 euroa.
Tietosuoja-asetuksen myötä:
Kaikissa esimerkkitapauksen EU-maissa olisi sama tietosuojalaki —yksi Euroopan unioni —yksi laki.Tämä poistaa tarpeen konsultoida paikallisia lakimiehiä sen varmistamiseksi, että franchisingmyymälät noudattavat paikallisia lakeja. Tuloksena on suoria kustannussäästöjä ja oikeusvarmuus.


Miten tietosuoja-asetus rohkaisee innovointia ja massadatan käyttöä?

Joidenkin arvioiden mukaan eurooppalaisten kansalaisten henkilötietojen vuosittainen arvo voi nousta lähes biljoonaan euroon vuoteen 2020 mennessä. Uudet EU-säännöt tarjoavat joustavuutta yrityksille ja samalla suojaavat ihmisten perusoikeuksia.

Sisäänrakennetusta ja oletusarvoisesta tietosuojasta tulee keskeinen periaate. Se kannustaa yrityksiä kehittämään uusia ideoita, toimintatapoja ja tekniikoita henkilötietojen turvallisuutta ja suojaamista varten. Henkilötietojen suojaamiseksi tietosuoja-asetus edistää sellaisia tekniikoita kuin anonymisointi (henkilökohtaisesti tunnistettavien tietojen poisto sieltä, missä niitä ei tarvita), pseudonymisointi (henkilökohtaisesti tunnistettavan materiaalin korvaaminen keinotekoisilla tunnisteilla). Tämä rohkaisee niin sanotun "massadatan" analytiikan käyttöön anonymisoidun tai pseudonymisoidun datan avulla.

Yritysten tulee pystyä ennakoimaan massadatan mahdollisia käyttöjä ja hyötyjä sekä informoimaan ihmisiä niistä, vaikka analyysin tarkkoja yksityiskohtia ei tiedettäisikään. Lisäksi yritysten tulee harkita, voidaanko dataa anonymisoida tulevaa käsittelyä varten.

Uudet tietosuojasäännöt tarjoavat yrityksille tilaisuuden hälventää luottamuspulaa, joka voi vaikuttaa ihmisten sitoutumiseen henkilötietojen innovatiiviseen käyttöön. Selkeä ja tehokas tiedottaminen siitä, mihin tarkoitukseen henkilötietoja kerätään, auttaa rakentamaan luottamusta analytiikkaan ja innovointiin.


Miten uudet säännöt toimivat käytännössä?

Esimerkki: monikansallisella yhtiöllä on useita tytäryhtiöitä EU:n jäsenvaltioissa sekä verkossa toimiva Euroopan laajuinen navigointi- ja karttajärjestelmä. Tämä järjestelmä kerää kuvia kaikista yksityisistä ja julkisista rakennuksista ja saattaa ottaa kuvia myös yksityishenkilöistä.

Nykyisten sääntöjen mukaan:
Rekisteröidyn oikeudet vaihtelevat oleellisesti jäsenvaltiosta toiseen. Yhdessä jäsenvaltiossa tämän palvelun käyttöönotto johti voimakkaaseen julkiseen ja poliittiseen paheksuntaan, ja sen joidenkin ominaisuuksien katsottiin olevan lainvastaisia. Tämän jälkeen yhtiö neuvotteli asiasta toimivaltaisen tietosuojaviranomaisen kanssa ja tarjosi tietosuojaa koskevia lisätakeita kyseisessä jäsenvaltiossa asuville ihmisille. Yhtiö ei kuitenkaan suostunut tarjoamaan muissa jäsenvaltioissa asuville ihmisille samoja lisätakeita.
Nykyään valtionrajojen yli toimivilta rekisterinpitäjiltä kuluu aikaa ja rahaa lainopilliseen neuvontaan ja vaadittavien lomakkeiden tai asiakirjojen laadintaan, jotta ne voivat noudattaa erilaisia ja joskus keskenään ristiriitaisia velvoitteita.
Uusien sääntöjen myötä:
Uudet säännöt luovat yhden tietosuojan sääntökokonaisuuden, joka korvaa kansalliset lait. Kaikkien yritysten on sovellettava EU:n tietosuojalainsäädäntöä, jos ne haluavat tarjota palvelujaan EU:n sisällä, riippumatta siitä, onko yrityksen sijaintimaa EU:n jäsen.

Esimerkki: pieni mainosalan yritys haluaa laajentaa toimintaansa Ranskasta Saksaan.

Nykyisten sääntöjen mukaan: Yrityksen tietosuojatoimintoihin sovelletaan eri sääntöjä Saksassa ja sen on toimittava uuden valvontaviranomaisen kanssa. Lainopillisen neuvonnan ja liiketoimintamallien sopeuttamisen aiheuttamat kustannukset voivat estää yritystä laajentumasta uusille markkinoille. Jotkin jäsenvaltiot esimerkiksi veloittavat ilmoitusmaksuja tietojen käsittelemisestä.
Uusien sääntöjen myötä:
Uusien tietosuojasääntöjen myötä kaikista ilmoitusvelvoitteista ja niihin liittyvistä kustannuksista luovutaan kokonaan. Tietosuoja-asetuksen tarkoitus on poistaa rajat ylittävän kaupankäynnin esteitä.


Tietosuojadirektiivi

Tietosuojapaketin toinen puoli on tietosuojadirektiivi, jota sovelletaan henkilötietojen käsittelyyn rikosten torjumista, tutkimista, selvittämistä ja syytteeseenpanoa tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten.

Direktiivin tavoitteena on EU:n jäsenvaltioiden rikosoikeudellisen yhteistyön ja poliisiyhteistyön varmistamiseksi taata yksilöiden henkilötietojen korkeatasoinen ja johdonmukainen suoja ja helpottaa henkilötietojen vaihtoa jäsenvaltioiden toimivaltaisten viranomaisten kesken.

Tietosuojadirektiivi korvaa puitepäätöksen, jota sovelletaan henkilötietojen käsittelyyn rikosasioissa tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön aloilla. Kyseisen puitepäätöksen soveltamisala rajoittuu jäsenvaltioiden keskenään siirtämien tai saataville asettamien henkilötietojen käsittelyyn.

Uusi tietosuojadirektiivi kattaa sekä jäsenvaltioiden rajat ylittävän että pelkästään kotimaassa tapahtuvan henkilötietojen käsittelyn.


Milloin uusia lakeja ryhdytään soveltamaan?

Tietosuoja-asetusta ryhdytään soveltamaan kahden vuoden kuluttua siitä, kun Euroopan parlamentti ja komissio ovat muodollisesti hyväksyneet sen. Komissio tekee yhteistyötä jäsenvaltioiden ja tietosuojaviranomaisten kanssa varmistaakseen, että uusia sääntöjä sovelletaan yhdenmukaisella tavalla.

Tietosuojadirektiivi on pantava täytäntöön kahden vuoden kuluttua sen voimaantulosta.

(Euroopan komission 21.12.2015 julkaiseman tiedotteen pohjalta käännetty ja muokattu teksti)

 
Julkaistu 7.4.2016