Sitran lausunto Euroopan komissiolle yleisen tietosuoja-asetuksen toimivuudesta

Yleinen tietosuoja-asetus Yleinen tietosuoja-asetus on erinomainen vientituote, ja Euroopasta on tullut tietosuoja-asioiden globaali edelläkävijä. Asetus on luonut yhdenmukaisia käytäntöjä niin julkiselle kuin yksityiselle sektorille.

Lausunto annettu 29.4.2020.

Suomen itsenäisyyden juhlarahasto Sitran lausunto Euroopan komissiolle yleisen tietosuoja-asetuksen tiekartasta

Keskustelussa yleisestä tietosuoja-asetuksesta on tähän mennessä korostunut sen asettamat rajoitukset ja kustannukset eurooppalaisille yrityksille. Vähemmälle huomiolle on jäänyt sen luomat mahdollisuudet datan paremmalle käytettävyydelle. Suomen itsenäisyyden juhlarahasto Sitra korostaa, että jatkossa komission tulee keskittyä yleisen tietosuoja-asetuksen luomien uusien liiketoimintamallien ja näiden käyttöönottoon liittyvien insentiivien vahvistamiseen.

Yleisen tietosuoja-asetuksen merkittävimmät hyödyt

Sitra pitää positiivisena, että yleinen tietosuoja-asetus on selkeyttänyt käytäntöjä niin kansalaisten, yritysten kuin päätöksentekijöiden keskuudessa sekä Euroopan sisämarkkinoilla.

EU muodostaa tärkeän sisämarkkinan ja on merkittävä osapuoli kauppasopimusten neuvottelijana. Tämän vuoksi muulla maailmalla on ollut motivaatiota säätää omaa lainsäädäntöään yhteensopivaksi EU:n lainsäädännön kanssa. Epäilyksistä huolimatta yleisestä tietosuoja-asetuksesta on muodostunut erinomainen vientituote, ja Euroopasta on tullut tietosuoja-asioiden globaali edelläkävijä.

Sitra korostaa, että yleinen tietosuoja-asetus on parantanut myös yritysten kyvykkyyttä. Sitran neljässä maassa tekemän yritystutkimuksen mukaan tietosuoja-asetuksen mahdollisuutena nähneet yritykset ymmärtävät omat datavarantonsa entistä paremmin ja ovat valmiita luomaan uudenlaisia datapohjaisia tuotteita ja palveluita (Sitra: Eurooppalaisten yritysten tulevaisuus datataloudessa – kyselytutkimus neljässä maassa). Tietosuoja-asetus on myös ohjannut rekisterinpitäjiä käymään systemaattisesti läpi henkilötietojen käsittelyyn liittyviä prosessejaan sekä luomaan tarkempaa ohjeistusta tietosuojakysymyksistä. Asetus on luonut yhdenmukaisempia käytäntöjä niin julkiselle kuin yksityiselle sektorille.

Sitra katsoo, että yleisen tietosuoja-asetuksen kiistattomia hyötyjä on, että eurooppalaiset tuntevat entistä paremmin oikeutensa heitä itseään koskevaan tietoon ja tietosuoja-asetus on myös lisännyt yksilön oikeuksia ja vaikutusmahdollisuuksia. Sitran neljässä Euroopan maassa toteuttaman tutkimuksen mukaan yli puolet vastaajista tunsi oikeutensa tietojensa poistamiseksi sekä oikeuden saada tietoa henkilötietojensa käsittelystä (Sitra: Digitaalisten palveluiden käyttö – Kyselytutkimus neljässä maassa). Sitra pitää tärkeänä, että kansalaisten tietoisuuden lisäämiseen satsataan edelleen. Silloin kun kuluttajat tuntevat oikeutensa, he ovat myös innokkaita käyttämään niitä.

Tietosuoja-asetuksen soveltamisen ja toimivuuden suurimmat haasteet

Sitra haluaa korostaa, että vaikka Euroopassa on onnistuttu suunnittelemaan ja toteuttamaan vakaa ja innovatiivinen oikeudellinen viitekehys, nyt edessä on vaikein osuus, soveltaminen.

Yleisen tietosuoja-asetuksen tulkinnanvaraisuus ja epäselvyys ovat vaikeuttaneet sen soveltamista ja aiheuttaneet kustannuksia muun muassa yrityksille. Vaikka yleinen tietosuoja-asetus jättää tarkoituksella tilaa tulkinnalle, Sitra korostaa, että säädösten noudattamisen tulee olla mahdollisimman helppoa. Tähän tarvitaan henkilödatan käsittelyyn liittyvien parhaiden käytäntöjen ja ohjeiden luomista. European Data Protection Boardin tulee huolehtia näiden yhteisten suuntaviivojen ja ohjesääntöjen kehittymisestä.

Myös kansallisen erityislainsäädännön päivittäminen on ollut jäljessä, mikä on vaikeuttanut tietosuoja-asetuksen käytännön soveltamista. Sitra pitää tärkeänä, että kansallisesti lainsäädäntöresurssit turvataan, jotta lainsäädännön ristiriitaisuus ei vaikeuta datan liikkuvuutta ja hyödyntämistä. Komission tulee seurata tämän toteutumista.

Datan kerääjien ja hyödyntäjien monimutkaisen verkoston takia tietosuoja-asetuksen toimivuus on läpinäkyvyyden kannalta riittämätön. Kyseinen tietosuoja-asetuksen ongelma liittyy laajaan datatalouden ekosysteemiin ja siihen, ettei käyttäjä tiedä, missä hänen datansa on, eikä pysty hallitsemaan sen kulkua. Koska loppukäyttäjä ei tunne palveluiden kolmansia osapuolia, hän ei voi myöskään kohdistaa asetuksen mahdollistamia toimia niihin. Palvelun käyttäjä ei voi esimerkiksi tarkistaa, perustuuko hänestä muodostettu profiili oikeisiin tietoihin eikä käyttäjillä ei ole näkyvyyttä siihen, millä tavoin data kulkee osapuolelta toiselle. Palveluiden käyttäjien on luotettava vahvasti yleistäviin, vaikeasti luettaviin, eväste- ja tietosuojaselosteisiin sekä käyttöehtoihin. Sitra korostaa, että kansalaiset tarvitsevat toimivia työkaluja oman datansa hallintaan ja tiedon kulun läpinäkyvyyttä tulee lisätä.

Kokemuksia Kansallisen sääntelyliikkumavaran hyödyntämisestä

Samaan aikaan kun on tärkeää luoda yhteisiä tulkintoja ja lisätä jäsenmaiden välistä yhteistyötä, on varmistettava, että kansallista sääntelyliikkumarajaa on riittävästi. Esimerkiksi Suomessa asetusta on täydennetty kansallisella mahdollistavalla lainsäädännöllä. Siitä hyvä esimerkki on sosiaali- ja terveystietojen toissijaisesta käytöstä annettu laki (ns. toisiolaki).  Kyseisen lain avulla tämän lainsäädäntöalueen säännökset saatettiin vastaamaan tietosuoja-asetuksen vaatimuksia. Kansallinen lainsäädäntö mahdollistaa kansainvälisesti ainutlaatuisten tietovarantojen hyödyntämisen tutkimukseen, kehittämiseen ja innovaatiotoimintaan ja luo pelisäännöt sote-rekisteridatan toissijaiseen hyödyntämiseen. Samalla lainsäädäntö edellyttää aiempaa parempaa tietosuojan ja tietoturvan huomioonottamista tietojenkäsittelyssä asettamalla vaatimukset tietoturvallisille käyttöympäristöille yksilöiden arkaluontoisen tiedonkäsittelyyn.

Sitra pitää tärkeänä, että asetuksen mahdollistamaa kansallista liikkumavaraa käytetään, yksilön tietosuojavaatimukset ottaen huomioon, mahdollistamalla kansallisella lainsäädännöllä parempia ja vaikuttavampia palveluita kansalaisille niin julkisella kuin yksityisellä sektorilla. Sitra ehdottaa, että asetusta täydentävistä kansallisista lainsäädännöistä koottaisiin EU-tasoista tietopankkia, sillä esimerkiksi eri henkilötiedon käsittelyyn liittyvien käsitteiden (kuten pseudonymisointi ja anonymisointi) käytännöntulkinnoissa on vielä paljon ristiriitaisuuksia eri Euroopan maiden välillä.

Kommentit yleisen tietosuoja-asetuksen III lukuun – Rekisteröidyn oikeudet

Sitra pitää tärkeänä, että yleinen tietosuoja-asetus on vahvistanut ja harmonisoinut yksilön oikeuksia kokonaisuudessaan EU:n alueella. Sitra haluaa muistuttaa, että asetuksen liian tiukka soveltaminen uhkaa kansalaisten muita perusoikeuksia ja EU:n kilpailukykyä, koska EU-tasoiset soveltamisohjeet puuttuvat toistaiseksi. Liian tiukka yksilönsuojan korostaminen kansallisessa lainsäädännössä datan käytössä saattaa vaarantaa kansalaisen muita perusoikeuksia kuten esimerkiksi oikeutta hyvään terveydenhuoltoon.

GDPR:n ytimessä on käyttäjän suostumus. Rekisteröidylle pitäisi kertoa lyhyesti ja ymmärrettävästi tietosuoja-asetuksen edellyttämät tiedot, mutta käytännössä tämä on haastavaa. Nykyiset pitkät käyttöehdot ja rekisteriselosteet, joilla organisaatiot pyrkivät noudattamaan asetusta, eivät ole käyttäjälähtöinen tapa toteuttaa tietosuoja-asetuksen mukaisuutta. Sitra katsoo, että tarvitsemme uusia suostumuksen antamisen ja hallinnan keinoja, jotka helpottavat kaikkien dataoikeuksien käyttöä, mutta myös auttavat yrityksiä lähestymään käyttäjiä datan uusia käyttötapoja koskevilla pyynnöillä. Sitra haluaa muistuttaa, että suuri osa datatieteen innovaatioista on syntynyt käyttämällä olemassa olevaa dataa uusiin tarkoituksiin.

GDPR:n keskeinen innovaatio on yksilön oikeus siirtää tietoja organisaatioiden välillä (artikla 20). Artikla edellyttää datan hallinnoijien jakavan dataa kolmansien osapuolten kanssa koneellisesti luettavassa muodossa, jos käyttäjä niin haluaa. Oikeus siirtää tiedot järjestelmästä toiseen ei kuitenkaan käytännössä toteudu, koska yhteiset käytännön työkalut puuttuvat. Sitra painottaa, että nimenomaan tiedon digitaalinen siirrettävyys on keskeistä joustavassa datapohjaisten palvelujen kehittämisessä ihmislähtöisesti. Sitran kanta on, että yksilön pitää pystyä luvittamaan itsestään kertynyttä tietoa helposti.

GDPR:n 20. artikla mahdollistaa tietojen siirron suoraan palvelujen välillä silloin, kun alkuperäisen tiedon keruun ja käsittelyn perusteena on joko ihmisen itsensä antama suostumus tai sopimus. Julkisella sektorilla on kuitenkin runsaasti henkilötietojen käsittelyä, jota tiedon siirrettävyyden velvoite ei koske. Sitra suosittelee, että julkinen sektori näyttää mallia datankäytössä ja esimerkiksi noudattaa vapaaehtoisesti GDPR:n 20. artiklan mukaista tiedon siirrettävyyttä.

Sitra korostaa, että siirrettävyyttä tulee vahvistaa ja suosittelee että luonnostelussa oleva Data Act pitää sisällään vaatimuksen mahdollisimman ajantasaisesta datan siirrettävyydestä. Sen saavuttamiseksi tulee käyttää avoimia rajapintoja.

Kommentit yleisen tietosuoja-asetuksen V lukuun – Henkilötietojen siirrot kolmansiin maihin tai kansainvälisille järjestöille

Sitra kiinnittää huomiota siihen, että minkä tahansa monikansallisen palveluntarjoajan palveluiden käyttö johtaa henkilötietojen potentiaaliseen siirtämiseen EU/ETA-alueen ulkopuolelle. Vaikka henkilötietojen käsittelijänä toimiva palveluntarjoaja itse toimisi EU/ETA-alueella, käyttää tämä todennäköisesti IT-jättien (Microsoft, Amazon, Google etc.) alustapalveluita, joissa siirtoja voi tapahtua varsinkin virhetilanteissa tai tukipyyntöjen yhteydessä. Käytännössä pilvipalvelujen käyttäminen johtaa aina henkilötietojen siirtoon EU:n/ETAn ulkopuolelle ja edellyttää asetuksen vaatimia lisätoimenpiteitä.

Kommentit yleisen tietosuoja-asetuksen IV lukuun – Riippumattomat valvontaviranomaiset

Laajan ja osittain vaikeasti hallittavan sääntelykokonaisuuden vuoksi Sitra pitää tärkeänä, että valvontaviranomaisella on riittävät resurssit tarjota rekisterinpitäjille yksityiskohtaista neuvontaa ja ohjausta. Nykyinen yleisluontoinen neuvonta ei turvaa riittävällä tavalla yhtenäisten tulkintakäytäntöjen muodostumista eikä tietosuojasääntelyn yhdenmukaista soveltamista yksittäisissä ongelmatilanteissa.