21.3.2018

Lakimies-blogi: GDPR:n kahdet kasvot

Perjantaina 25.5.2018 alkaa EU:n yleisen tietosuoja-asetuksen (GDPR) soveltaminen.

Seuraavat kaksi kuukautta tulevat olemaan hyvin tietosuoja painotteisia toimijoiden keskittyessä vielä teknisten ja organisatoristen prosessiensa läpikäyntiin ja muutoksiin GDPR-näkökulmasta - näin myös Securitaksella. Olemme keskittyneet ja panostaneet henkilöstön toimintaan ja osaamiseen GDPR-asioissa. Pidämme nimenomaan henkilön toimintaa yhtenä keskeisenä asiana tietosuojaa ajatellen ja tähän olemme pyrkineet vaikuttamaan mm. ohjeistuksella sekä vastuuhenkilöiden koulutuksilla.

Kirjallinen sopimus rekisterinpitäjän ja henkilötietojen käsittelijän välillä

Tulevalla tietosuoja-asetuksella on nähtävissä kaksi puolta, joista toinen ei ehkä ollut täysin suunniteltu. Asetus edellyttää rekisterinpitäjältä ja henkilötietojen käsittelijältä tiettyjen periaatteiden sekä siinä määriteltyjen velvoitteiden noudattamista. Asetus edellyttää myös kirjallista sopimusta henkilötietojen käsittelystä rekisterinpitäjän ja henkilötietojen käsittelijän välillä. Asetuksen mukaan rekisterinpitäjän tulee varmistua, että henkilötietojen käsittelijä antaa riittävät takeet siitä, että henkilötietojen käsittely tapahtuu asetuksen mukaisesti.

Henkilötietojen käsittelysopimuksella käsittelijä sitoutuu noudattamaan asetuksessa edellytettyjä periaatteita sekä velvoitteita. Se, että käsittelijä tähän yksityisoikeudellisella sopimuksella sitoutuu, on jo tavallaan tuplavarmistusta, koska käsittelijänhän jo tulee automaattisesti noudattaa asetusta ja toimia sen mukaisesti.

Ylireagointia sanktioiden pelossa?

Käsittelysopimus on sinällään yksinkertainen, mikäli mennään asetuksessa sopimukselle asetetun minimisisällön mukaan, mutta nyt on toimijoiden keskuudessa ollut nähtävissä asetuksen toinen ja ehkä ikävämpi puoli. Mitä me toimijat tulemme vaatimaan ja edellyttämään toinen toisiltamme, kun kyse on henkilötietojen käsittelystä? Aiheuttaako tämä mm. sen, että 1) asetuksen ympärillä ollut keskustelu on ehkäpä liiaksi keskittynyt mittaviin sanktioihin ja 2) soveltamiskäytäntöä sanktioiden määräämisestä ei vielä ole se, että jokainen toimijoista haluaa varautua pahimpaan ja mm. tätä kautta ylimitoittaa vaatimuksensa toista toimijaa kohtaan. Olemme tavallaan tilanteessa, jossa helposti saatamme luoda tietosuoja-asetuksen lisäksi itsellemme ns. ”varjoasetuksen”, joka menee vielä virallista asetusta pidemmälle. On kyseenalaista, onko tämä kenenkään etu ja mielestäni tämä suunta pitäisi tiedostaa ja sitä tulisi tarkastella kriittisesti.

Toimijoiden keskuudessa asetus ja sen molemminpuolinen noudattaminen pitäisi olla lähtökohtana ja kannattaa pohtia, haluammeko todellisesti viedä asian pidemmälle ja luoda toimijoiden keskuuteen vaatimuksia, jotka pahimmillaan voivat johtaa siihen, että yhteistyö henkilötietojen käsittelyssä tulee mahdottomaksi. Asetuksen yhtenä keskeisenä tavoitteena on ollut edistää henkilötietojen vapaata liikkuvuutta unionin sisällä ja täten helpottaa toimijoiden yhteistyötä henkilötietojen käsittelyssä. Tietosuojan taso ja toimintaperiaatteet henkilötietojen käsittelyssä on Suomessa ollut jo nyt hyvällä tasolla ja varmistaessamme jokainen osaltamme asetuksen noudattamisen, uskon että kestämme hyvin kansainvälisen vertailun. Tietosuoja on yhteinen asiamme ja varotaan ”varjoasetuksen” luomista, sillä se ei ole kenenkään etu.

Mikko Kemppainen
lakimies, OTM / Lawyer

Takaisin