EU:ssa on toista kertaa menossa tarkastelu GDPR:n toimivuudesta. Ensimmäinen kierros vuonna 2020 oli melko kevyt lopputulokseltaan, EU-komission loppuraportti oli aika ohut ja perustyytyväisyyttä huokuva. Nyt on siis menossa toinen kierros ja siinä tarkoituksessa oikeusministeriö keräsi juuri palautetta Suomesta GDPR:n toimivuudesta ja sai lausuntopalveluunsa yli 60 lausuntoa yhteiskunnan eri sektoreilta. ASML oli luonnollisesti yksi lausunnonantajista, tietosuoja kun on toimintamme ja arkemme ytimessä. Jäsenistössämme on Suomen suurimpia rekisterinpitäjiä ja datapalvelun tarjoajia, konsultoimme päivittäin jäsenyhteisöjämme tietosuojan saralla ja meillä on yli 260 hengen Tietosuojafoorumi.
Monissa lausunnoissa kerrottiin aivan oikein GDPR:n kohentaneen rekisteröityjen asemaa, parantaneen datan käsittelyn systemaattisuutta, riskien ymmärtämistä ja tietoturvatyötä datan elinkaaren eri vaiheissa. Iso osa lausuntojen sisällöstä keskittyi GDPR:n haasteisiin ja ongelmiin. Oikeusministeriö tekee vielä lausunnoista varmasti oman koosteensa mutta alle on koostettu tiivis kattaus eri tahojen kokemista GDPR-haasteista. EU:n tietosuoja-asetusta markkinoidaan maailmalle leviävänä säädösmallina ja esikuvana. Näin osaltaan onkin mutta juhlapuheiden ylätasolta ja hyötyjen ääreltä on perusteltua tehdä myös katsausta siihen, minkälaisia haasteita ja ongelmia GDPR:n äärellä toimijakentässä koetaan. EU on kova tekemään uutta sääntelyä mutta ei niin ahkera tai ketterä korjaamaan jo markkinoilla olevia “pykälätuotteitaan”. On toki todettava, että GDPR ei ole vain yksi säädös vaan siihen liittyvät myös valvonta, ohjeistukset, linjaukset, oikeustapaukset ja muut elementit joista yhdessä muodostuu GDPR-kokonaisuus arjessa.
GDPR:n haasteita, ongelmia ja valuvikoja
GDPR:n ja erityislainsäädännön välinen yhteiselämä nähtiin monissa lausunnoissa toimimattomaksi. Myös jäsenvaltioiden väliset hankalat tulkinta- ja soveltamiserot olivat monen lausunnonantajan huomion kohteena. Liiallinen ja tarpeeton hallinnollinen taakka tuotiin esiin useasti.
Useissa lausunnoissa nostettiin esiin liian tiukkojen viranomaistulkintojen kielteiset vaikutukset palveluiden, tuotekehityksen ja hallinnon kehittämiseen. Silmiinpistävää oli myös julkisen sektorin näkemykset tietosuojasääntelyn hankaluuden/toimimattomuuden olemisesta esteenä tietojärjestelmien ja palveluiden kehittämiselle. Myös tarve päivittää ja modernisoida työelämän tietosuojalakia nousi monen toimesta esiin.
Koottuja nostoja
Otetaan vielä muutama teemoitettu poiminta, joissa näkyy samalla myös tahoja jotka ovat painottaneet kyseistä asiaa lausunnoissaan:
GDPR on vaikeaselkoinen tai tulkinnanvarainen – Käytännössä lähes kaikki lausunnonantajat olivat tätä mieltä. Tietosuoja-asetusta ei moneltakaan osin pidetä laadultaan oivallisena säädöstuotteena. Useissa lausunnoissa nousi esiin GDPR:n vaatimuspatteriston käytännössä lähes mahdoton noudattaminen pienille toimijoille.
Tietosuojaviranomaisilta ei saa riittävästi ohjeistusta tai neuvontaa – Asianajajaliitto, ASML, EK, Eläketurvakeskus, Energiateollisuus, Finanssiala, Hyvinvointiala HALI, Juristiliitto, Kela, Keskuskauppakamari, Museovirasto, Ruokavirasto, Suomen Yrittäjät.
EU:n tietosuojaneuvoston EDPB:n ohjeistukset eivät ole toimivia, ovat liian pitkiä ja sisältävät perusteettomia tiukennuksia – Asianajajaliitto, ASML, EK, Energiateollisuus, Finanssiala, Juristiliitto, Kansallisgalleria, Keskuskauppakamari, Tuomioistuinvirasto.
Henkilötiedon käsitettä tulkittu turhaan liian laajasti /anonymisointi ja pseudonymisointi tulkittu liian ahtaasti – Asianajajaliitto, ASML, Digi- ja väestötietovirasto, EK, FiCom, Finanssiala, Helsingin kaupunki, Helsingin yliopisto, HUS-Yhtymä, Lääketeollisuus, Museovirasto, Ruokavirasto, THL.
GDPR:n ydinperiaatteisiin kuuluva riskiperusteinen tulkinta ei toteudu riittävästi – ei synny tarpeellisia ja perusteltuja joustoja ja hyötyjä – ASML, EK, FiCom, Finanssiala, Hyvinvointiala HALI, LVM, Tulli.
Otetaan loppuun vielä muutama suora sitaatti:
”Liian tiukka sääntelykehikko uhkaa siirtää tutkimustoiminnan Euroopasta muihin maan osiin.” (Lääketeollisuus)
”…työelämän tietosuojalain ja tietosuoja-asetuksen soveltamiseen liittyy merkittäviä ristiriitoja.” (Asianajajaliitto)
”… käsittelysääntöjen dokumentointiin ja julkaisuun liittyvä velvoite on luonteeltaan raskas menettely ja nämä velvoitteet rajaavatkin automaattisten hallintopäätösten käyttöalaa.” (Helsingin kaupunki)
”Vaikuttaa siltä, että Suomessa ollaan liian varovaisia ja varmuuden vuoksi rajoitetaan tarvittavaa enemmän.” (Lakimiesliitto)
”Suomessa tietosuojaviranomainen katsoo, ettei se voi neuvoa rekisterinpitäjiä, koska se on valvontaviranomainen.” (Finanssiala)
”Terveysrekistereitä ja terveystietoja koskeva tutkimus toimi tehokkaammin ennen tietosuoja-asetusta.” (THL)
”Asiakas, sopimus, asiakaskokemus ja asiakasymmärrys on jäänyt kokonaisuudessa hämmentävällä tavalla katveeseen.” (ASML)
”Toivomme, että kansallisesti valvonnan lisäksi luodaan viranomainen, jonka tehtävänä olisi etukäteisohjeistus ja neuvonta.” (Kuntaliitto)