28.5.2019

Hyvää syntymäpäivää GDPR!

Lauantaina tuli kuluneeksi vuosi siitä, kun EU:n yleinen tietosuoja-asetus eli GDPR tuli voimaan. GDPR:n ensimmäinen vuosi näyttää olleen ainakin kiireinen, merkityksellinen ja historiallinen.

Suomessa tietosuojavaltuutettu raportoi  että vuonna 2018 tietosuojavaltuutetun toimistossa kirjattiin vireille tulleeksi 9.617 asiaa, kun vuonna 2017 vastaava luku oli 3.957! Vuonna 2018 vireille tulleista asioista 6.716 asiaa ratkaistiin. Käsittelyaika tietosuojavaltuutetun toimistossa on n. 38 päivää, mikä on mielestäni hurjan nopea vauhti. Kiitos siis tietosuojavaltuutetun toimistolle!

Osaltaan edellä mainitut luvut, lähinnä lukujen nousu aikaisempiin vuosiin verrattuna, osoittavat sen, että GDPR:llä on ollut suuri vaikutus yhteiskunnassamme. Nyt rekisteröidyt ja rekisterinpitäjät (sekä henkilötietojen käsittelijät) pelaavat kaikki samojen sääntöjen mukaan. Rekisteröidyt saivat uusia oikeuksia, josta syystä heidän asemansa parani olennaisesti aikaisempaan verrattuna, ja toisaalta rekisterinpitäjät saivat uusia velvoitteita, joiden vuoksi niiden toiminnasta henkilötietojen käsittelyn suhteen on tullut läpinäkyvämpää ja turvallisempaa. Vaikka rekisterinpitäjille onkin nyt säädetty enemmän velvollisuuksia kuin aikaisemmin, väitän, että nämä eivät ole olleet niin suuria muutoksia eikä varsinkaan sellaisia muutoksia, joita yritykset eivät enää haluaisi noudattaa. Tähän on vaikuttanut käsittääkseni yleinen ilmapiiri: yritykset pystyvät hyödyntämään hyvää tietosuojan tasoa markkinoinnissaan ja muutenkin asiakassuhteissaan, sillä rekisteröidyt eivät enää tunge henkilötietojaan mihin tahansa.

Ennen GDPR:n voimaantuloa mahdollisista hallinnollisista seuraamusmaksuista ”peloteltiin” (mielestäni ei ole pelottelua, kun ko. uusista seuraamuksista informoidaan). Historiankirjoihinkin on GDPR:llä päästy: ensimmäiset GDPR:n aikaiset hallinnolliset seuraamusmaksut on jo annettu ensimmäisen toimintavuoden aikana, tosin ei Suomessa, mutta muissa jäsenvaltioissa kyllä. Seuraamusmaksut ovat olleet melko maltillisia, joka osittain johtunee siitä, että GDPR on hyvin nuori ja ratkaisukäytäntöä vielä luodaan. On kuitenkin selvää, että kun GDPR:ssä seuraamusmaksu on mahdolliseksi seuraamukseksi luotu, tullaan sitä myös jatkossakin käyttämään. Pelottelu ei siis ollut turhaa tältä osin, ja miksi olisikaan ollut, kun se on asetuksessa mainittu ihan oikea seuraamus. Finanssivalvonta antoi näihin seuraamusmaksuihin ja niiden vakuuttamiseen tulkintaohjeen viime vuoden aikana: on hyvän vakuutustavan vastaista vakuuttaa sellaisia riskejä, joiden vakuuttaminen saattaisi edistää toimijoiden piittaamattomuutta sääntelyn noudattamista kohtaan ja jonka riskin vakuuttamisella kyseenalaistetaan toimijoiden velvollisuus noudattaa sitä koskevaa sääntelyä. Ei siis ole jatkossa mahdollista vakuuttaa hallinnollisten sakkojen ja seuraamusmaksujen varalta. Toisaalta, kenties pahempi seuraamus GDPR:n rikkomisesta on se, että viranomainen määrää käyttökieltoon henkilötiedot, joiden käsittely ei ole asianmukaista. Tämäkin on GDPR:n eräs mahdollinen seuraamus GDPR:n rikkomisesta.

Vuosi aikamääreenä on uuden lainsäädännön suhteen lyhyt aika. Ensimmäinen vuosi olikin varmasti kaikille uuden opettelua. Toisena vuonna tavoitteeksi voisi asettaa GDPR:n ottamisen tavaksi. Sen tulisi olla osa kaikkia liiketoiminta-alueita automaattisesti ja oletusarvoisesti, eikä vain sivujuonteena juristin huomautettua asiasta. Siis hyvää syntymäpäivää vielä GDPR ja kiitos olemassaolostasi!

Laura Jaatinen

asianajaja