Kirjaudu MaRan jäsensivuille

Tietosuoja-asetus pettymys elinkeinoelämälle

18.03.2016 I JÄSENUUTINEN

Uuden tietosuoja-asetuksen mukainen sääntely on entistä monimutkaisempaa, mutta toimialan pahimmat uhkakuvat eivät toteutuneet.

EU on saanut vuosia valmistellun mittavan tietosuojasääntelyuudistuksen pakettiin, ja tänä keväänä hyväksyttävä asetus astuu näillä näkymin voimaan kahden vuoden päästäkeväällä 2018. Tietosuoja-asetus on suoraan sovellettavaa oikeutta kaikissa EU:n jäsenvaltioissa. Sääntely koskettaa kaikkia toimialamme yrityksiä, jotka liiketoiminnassaan käsittelevät asiakkaidensa henkilötietoja ja ylläpitävät asiakasrekistereitä.

Tietosuoja-asetus on pitkällisten ja vaikeiden neuvottelujen tulos, jonka sisältöä voidaan pitää elinkeinoelämän näkökulmasta pettymyksenä. Sääntely on nykyistä monimutkaisempaa, osin tulkinnanvaraista ja sen noudattaminen merkitsee yrityksille lisää dokumentointivelvoitteita ja kustannuksia. Tietoturvaloukkausten ilmoituskäytäntö kiristyy nykyisestä, ja tietosuoja-asetuksen rikkomisesta voidaan määrätä yritykselle sakkoja, joiden rahallinen määrä saattaa nousta Suomen oikeusjärjestelmän näkökulmasta suhteettoman suureksi.

Rekisteröidyn oikeudet lisääntyvät

Asetuksen astuttua voimaan yritysten pitää ottaa aikaisempaa tarkemmin huomioon rekisteröidyn henkilön oikeuksien toteutuminen. Rekisteröity voi vaatia tietoja automatisoidusti käsittelevältä rekisterinpitäjältä itseään koskevat ja toimittamansa tiedot yleisesti käytössä olevassa koneluettavassa muodossa. Asetus lisää rekisteröidyn mahdollisuuksia siirtää tietojaan järjestelmästä toiseen.

Rekisteröidyllä on entistä laajemmat oikeudet kieltää tietojensa käsittely ja saada tietonsa poistettua rekisteristä. Asetuksessa säännellään myös yksityiskohtaisesti, miten henkilötietoja voi hyödyntää profilointitarkoituksiin.

Ei pakollista tietosuojavastaavaa

Toimialan kannalta positiivista on, että pahimmat uhkakuvat eivät toteutuneet. Suurin niistä liittyi tietosuojavastaavan nimittämisen pakollisuuteen. Komission alkuperäisen ehdotuksen mukaan kaikkiin yli 250 henkilöä työllistäviin yrityksiin olisi tullut nimittää tietosuojavastaava. Parlamentin kanta oli tätäkin tiukempi: 5 000 henkilön asiakastietoja vuodessa käsittelevän yrityksen olisi tullut nimittää tietosuojavastaava. Suomen kanta neuvostossa perustui tietosuojavastaavan nimittämisen vapaaehtoisuuteen. Elinkeinoelämän huolet otettiin huomioon ja tietosuojavastaavan nimittäminen kytkettiin vain joihinkin tietojenkäsittelytilanteisiin. Tietosuojavastaava ei tullut siis pakolliseksi mara-toimialoille.

Huojentava tieto on myös se, että henkilötietojen käsittelyn lailliset perusteet säilyvät pitkälti nykyisenlaisina eikä käytännön elämälle vieraita ehdotuksia hyväksytty itse asetustekstiin. Tällainen oli muun muassa parlamentin käsittelyssä esille tullut vaatimus standardisoidusta informaatiokäytännöistä, joiden nojalla yritykset olisivat joutuneet asettamaan nettisivuilleen sekä yrityksiä että asiakkaita hämmentäviä kryptisiä ikoneja.

MaRa puolusti jäsenyritystensä intressejä

MaRa vaikutti aktiivisesti siihen, että toimialan yritysten liiketoimintaa haittaavia ratkaisuja ei hyväksyttäisi. Liitto toi esille Suomen kannanmuodostuksesta neuvostossa vastanneille oikeusministeriön neuvottelijoille, Suomen pysyvälle edustustolle EU:ssa ja parlamentin suomalaisille jäsenille kantansa tietosuoja-asetukseen ja alan kattojärjestön Hotrecin näkemykset. MaRa oli mukana myös EK:n Suomen elinkeinoelämän kantoja tietosuoja-asetukseen muodostavassa työryhmässä.

MaRa tiedottaa myöhemmin tarkemmin asetuksen sisällöstä ja sen tuomista velvoitteista. MaRa tulee myös järjestämään koulutuksia tietosuoja-asetuksesta.  


Yhteistyökumppanit

Fennia Hartwall Hartwa Trade Valio Saarioinen Accountor Metos Santa Maria Paulig Winpos Läntmannen Unibake