Antti Häkkänen: Tiedon sääntely ratkaisee taloudessa, turvallisuudessa ja demokratiassa -Tietosuoja-asetus tänään voimaan

 fi | sv

Tieto on uuden ajan öljyä. Tieto ja sen hyödyntäminen nousevat ratkaisevan tärkeään rooliin tulevina vuosina uuden liiketoiminnan ja talouskasvun, turvallisuuden, demokratian ja arkisten palvelujen kannalta. Oikeusvaltion tulee kyetä samaan aikaan mahdollistamaan tiedon laaja käyttö ja uudet innovaatiot sekä kansalaisten yksityisyyden suoja. Olemme Euroopassa ottamassa datapolitiikassa johtajuuden. USA:ssa ja Aasiassa tätä tasapainoa ei ole vielä edes yritetty hakea.  

Kirjainyhdistelmä GDPR – general data protection regulation - tuntuu olevan näinä päivinä kaikkien huulilla. Tietosuoja ei ole uusi asia, sillä ensimmäiset kansalliset lait säädettiin Euroopassa jo 70 -luvulla. Suomessa tietosuojasta on säädetty ensisijaisesti henkilötietolailla ja sitä edeltäneellä henkilörekisterilailla.

EU:ssa hyväksyttiin yleinen tietosuoja-asetus (GDPR) kaksi vuotta sitten. Julkisessa keskustelussa oli alkuun tapetilla huoli asetuksesta seuraavista uusista velvoitteista. Viime aikoina keskustelu on saanut uusia sävyjä maailmalta kantautuneiden tietosuojaskandaalien myötä.

Cambridge Analytican tapaus selvensi meille kaikille, mitä tiedoillamme voidaan tehdä ja avasi samalla silmiämme EU:n tietosuoja-asetuksen tavoitteista. Meillä tulee olla tieto siitä, miten eri toimijat tietojamme käsittelevät. Toisin sanoen henkilötietojen käsittelyn tulee olla läpinäkyvää.

Asetus myös korostaa yksilön oikeutta päättää omien henkilötietojensa käytöstä. Tietosuojauudistus voikin toimia suunnannäyttäjänä maailmalle ja antaa muille mallia tietosuojaan liittyvien ongelmien ratkaisemisessa. Oikeus omiin tietoihin ja läpinäkyvyys ovat avainasemassa.

Suuri osa tietosuoja-asetuksen mukaisista oikeuksista on voimassa jo nykyisen henkilötietolain nojalla. Esimerkiksi oikeus korjata virheelliset tiedot, tarkastaa tiedot ja saada itseään koskevat tiedot ovat olleet olemassa jo pitkään.

Selvä ja hyvä muutos kansalaisen kannalta on se, että tietosuoja yhtenäistyy Euroopassa.  Kansalaisella on samat oikeudet riippumatta siitä, missä rekisterinpitäjä sijaitsee. Hän voi jatkossa asioida oman jäsenvaltionsa tietosuojaviranomaisen kanssa, vaikka väitetty rikkomus olisi tapahtunut jossain muualla.

Tietosuojauudistuksen eri puolia on käsitelty monilla foorumeilla kiitettävän aktiivisesti. On myös nostettu esiin sellaisia huolenaiheita, joiden voidaan onneksi todeta olleen turhia. Taloyhtiöiden saunalistat ovat mahdollisia jatkossakin (samoin saunominen) ja nimitaulutkin voivat jäädä paikoilleen.

Käyty keskustelu on kuitenkin ollut aivan paikallaan ja onkin ollut hyvin ilahduttavaa havaita, kuinka useilla eri tahoilla pohditaan, ovatko nykykäytännöt kaikilta osin asianmukaisia.

Toki pientä tarkistamisen varaakin nykykäytännöistä saattaa löytyä. Jos esimerkiksi lasten harrastusseurassa vasta nyt havahdutaan siihen, että lasten terveyttä koskevia tietoja on käsitelty turhan leväperäisesti, on hyvä aika muuttaa käytäntöjä ja varmistaa, että tällaiset tiedot ovat vain niiden käytössä, jotka niitä tarvitsevat tehtäviensä hoitamiseksi.

Vaikka pieniä puutteitakin nykykäytännöissä havaittaisiin, miljoonasakoista ei tarvitse ihan heti olla peloissaan. Valvontaviranomainen voi yleisen tietosuoja-asetuksen nojalla antaa myös esimerkiksi seuraamusluonteisen huomautuksen.

Jättisakoista puhuttaessa on hyvä muistaa, että asetus koskee myös Cambridge Analytican tyyppisiä toimijoita.

Henkilötietojen suojan merkitys korostuu nykymaailmassa myös siksi, että yhä useammat uudet liiketoiminnot rakentuvat henkilötietojen käyttämisen varaan. Tällöin on entistä paremmin huolehdittava tasapainosta henkilötietojen suojan ja liiketoiminnan toimintamahdollisuuksien välillä.

Rekisterinpitäjien eli yritysten ja yhteisöjen on huolehdittava tietosuojaperiaatteiden noudattamisesta henkilötietojen käsittelyn kaikissa vaiheissa. Tämä edellytys on ollut laissa jo aiemminkin.

Se merkitsee, että henkilötietoja on käsiteltävä lainmukaisesti, turvallisesti ja läpinäkyvästi. Tietoja saa kerätä ja käsitellä vain tiettyä laillista tarkoitusta varten ja vain tarpeellisessa määrin. Virheet on viipymättä oikaistava. Lisäksi tiedot on säilytettävä muodossa, josta henkilö on tunnistettavissa vain niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten.

Perjantaina 25.5.2018 on h-hetki, jolloin yleisen tietosuoja-asetuksen soveltaminen alkaa. Asetusta sovelletaan, vaikka kansallinen tietosuojalaki ei ole voimassa.

Tällä ei kuitenkaan ole vaikutusta yleisen tietosuoja-asetuksen soveltamiseen. Asetus on jäsenvaltioissa suoraan sovellettavaa oikeutta, eikä se näin ollen edellytä täytäntöönpanevaa kansallista lainsäädäntöä.

Lopuksi vielä muutama nyrkkisääntö tietosuoja-asetuksen tulkintaan: 1) Asetuksen tavoitteena ei ole estää henkilötietojen käsittelyä tai teknologian kehitystä, vaan luoda pelisäännöt sille. 2) Asetuksen keskeisten periaatteiden sisäistäminen toimii lukuohjeena läpi koko asetustekstin. 3) Maalaisjärki toimii monessa tilanteessa.    

------------------------------------------

Kirjoittaja on oikeusministeri.