Yrityksen paras taloushallinto

Tietosuoja-asetus – mörkö vai jotain ihan muuta?

Toukokuun 25. päivä taivas putoaa – vai putoaako sittenkään?

EU:n tietosuoja-asetus on aikaansaanut pyörremyrskyn yrityksille kohdennetussa uutisoinnissa ja palvelujen tarjoamisessa. Herättely on ollut ehdottoman tarpeellista, mutta sitä on leimannut kautta linjan myrskyvaroitukseen liittyvä epäluulon ja uhkakuvien painottuminen.

Tietosuojasääntely ei ole uusi asia EU:ssa. Voimassa oleva henkilötietolakimme perustuu henkilötietodirektiiviin, joka on jo yli 20 vuotta vanha. Kansallinen lainsäädäntömme on jo nyt tietosuojan saralla kattavaa ja laadukasta. Kokonaisuus kestää mallikkaasti kansainvälisen vertailun. Vähäiselle huomiolle jäänyt seikka tarkoittaa sitä, että monella muulla unionin jäsenvaltiolla tai unionin alueella toimivalla yrityksellä onkin Suomeen verrattuna varsin mittava haaste edessään.

Uuden tietosuoja-asetuksen tausta ja tarve juontaa juurensa vanhan direktiivin kirjavaan kansalliseen soveltamiseen jäsenvaltioissa, epäyhtenäiseen tietosuojan tasoon ja digitalisaation hurjaan kehityskulkuun. Toisin kuin vanha direktiivi, asetus on suoraan sovellettavaa oikeutta jäsenvaltioissa ja yhtenä sen keskeisistä tavoitteista on harmonisoida tietosuojaa koskevat säännökset 500 miljoonan ihmisen eurooppalaisilla markkinoilla. Panoksia on siis kovennettu, mutta miksi?

Kaikkialle levinnyt digitalisaatio on paitsi suuri mahdollisuus, myös todellinen riski yksityisyyttämme kohtaan. Teknologiakehityksen rattaissa pyörivät mittavien etujen lisäksi yksityisyyden suojaan liittyvät uhkakuvat ja juuri siihen tietosuoja-asetus pyrkii vastaamaan.

Sääntelemätön organisaatiokeskeinen henkilötietojen kerääminen, jakaminen ja hyödyntäminen verkkoyhteiskunnassa on äärimmäinen uhka yksityisyydensuojalle, sillä tietoa meistä kaikista totisesti riittää. Mittakaava on valtava ja syntyvän informaation tempo omaa luokkaansa. Teemme esimerkiksi minuutissa noin neljä miljoonaa Google-hakua ja lähes saman määrän Facebook-postauksia. Näiden tietojen yhdistely, analysointi, jakaminen ja profilointi voi äärimmillään johtaa täysin hallitsemattomaan tilanteeseen, jossa perus- ja ihmisoikeutena suojattu oikeus yksityisyyteen on enemmän kuin vaarassa. Merkittävänä uhkana näyttäytyvät myös organisaatioiden ulkopuolelta tuleva henkilötietoja hyödyntävä verkkorikollisuus ja identiteettivarkaudet. Esimerkit olivat suuryrityksiä, mutta tietovarannot koskettavat kaikkia toimijoita – uhkineen ja mahdollisuuksineen.

Kun tähän näkökulmaan lisätään tietosuoja-asetuksen tavoitteet nimenomaisesti edistää digitalisaatiota, lisätä luottamusta verkkoyhteiskuntaan, parantaa tuottavuutta ja samalla taata yksilön henkilötietojen suoja sekä jokaiselle kuuluva itsemääräämisoikeus, pitäisi asetuksen näyttäytyä pikemminkin positiivisena kokonaisuutena. Tunnelma yrityksissä on kuitenkin epäluuloinen ja kaikkea muuta kuin positiivinen. Mistä tilanne johtuu?

Tietosuojasääntely on väistämättä kokonaisuus. Se sisältää periaatteita ja runsaasti käsitteitä, joiden ymmärtäminen on välttämätöntä kokonaisuuden hallitsemisessa. Aiheeseen liittyvä keskustelu on toistanut itseään ja hieman kärjistetysti käsitellyt, joka yksittäistä käsitettä tietosuoja-asetuksen tärkeimpänä seikkana, tai keskittynyt päivittelemään asetuksen mullistavia, mutta hämäräksi jääneitä vaikutuksia yritysten toimintaan. Kun tähän ainakin osittain pinnalliseksi ja yksipuoliseksi jääneeseen informaatioon yhdistetään uhkailu merkittävillä hallinnollisilla sanktioilla alkaa soppa olla valmis. Mikä siis neuvoksi?

Microsoftin teknologiajohtaja Aki Siponen on kiteyttänyt tietosuoja-asetuksen keskeisen sisällön mallikkaasti – se tuo laatujärjestelmäajattelun tiedonhallintaan. Tiivistystä on perusteltua tarkentaa vielä vastuun kohdentumisella, sillä tietosuoja-asetuksessa se osoittaa sinne missä käytettävistä tietovarannoista pitäisi olla paras tieto – yrityksiin itseensä. Sääntelyn perusteella yrityksen tulee itse määritellä, suunnitella ja toteuttaa tarvittava tietosuojan taso. Kun tähän vielä lisätään velvollisuus tarvittaessa osoittaa yrityksen tietosuojan toteutuminen, ollaan mielestäni tietosuoja-asetuksen ytimessä.

Tietosuojaosaamisensa varmistanut organisaatio saa imagohyötyä ja nauttii luottamusta markkinoilla, mutta on samalla varmistanut tärkeät tietovarantoihin liittyvät tuotantotekijät. Toimiva ja oikein mitoitettu tietosuoja on organisaatioille menestystekijä. Sen toteutus ja haasteeseen asennoituminen on kiinni meistä itsestämme.

Lopuksi on hyvä muistaa, että tietosuoja-asetus on vasta kehys verkkoyhteiskunnan kestävälle tietovarantojen hyödyntämiselle. Lopullinen kuva asetuksesta tarkentuu tulkinnan ja oikeuskäytännön perusteella. Henkilötietodirektiivin osalta tulkintalinjauksia tehdään yhä, yli 20 vuotta direktiivin hyväksymisen jälkeen.

Markus Malmivaara

Juriser Oy

Kirjoittaja tekee oikeustieteen graduaan Lapin yliopistoon EU:n tietosuoja-asetuksesta.  Hän on aiemmin toiminut 10 vuotta poliisina Oulussa. 

markus.malmivaara@juriser.fi