Chemin de navigation

Left navigation

Additional tools

Euroopan komissio

TIEDOTE

Bryssel 28. tammikuuta 2013

Tietosuojauudistuksen nykytilanne

Vuosi sitten Euroopan komissio ehdotti vuodelta 1995 peräisin olevien EU:n tietosuojasääntöjen kattavaa uudistusta. Tarkoituksena on vahvistaa yksityisyydensuojaa verkkoympäristössä ja antaa lisäpotkua Euroopan digitaalitaloudelle (IP/12/46). Teknologian kehitys ja globalisoituminen ovat perin pohjin mullistaneet tavan, jolla henkilötietoja kerätään ja käytetään. Lisäksi vuoden 1995 tietosuojasäännöt on pantu täytäntöön EU:n 27 jäsenvaltiossa eri tavoin, mikä on johtanut eroavuuksiin niiden käytännön soveltamisessa. Uuden yhtenäisen lainsäädännön myötä päästään eroon vallitsevasta hajanaisuudesta ja kalliista hallintorasituksesta. Näin yrityksiltä säästyy vuosittain noin 2,3 miljardia euroa. Uudistus lujittaa osaltaan kuluttajien luottamusta verkkoympäristöön ja tukee siten Euroopassa kipeästi kaivattua talouskasvua, työllisyyttä ja innovaatiota.

Miten tietosuojauudistus edistää talouskasvua?

Tietojen jakamisesta on tullut talouskasvun kannalta välttämätöntä. Yksityisyydensuoja ja tietojen vapaa liikkuvuus eivät ole keskenään ristiriidassa, vaan täydentävät toisiaan.

Menestyäkseen digitaalitalous edellyttää luottamusta. Monet suhtautuvat varoen henkilötietojensa antamiseen verkkoympäristössä eivätkä sen vuoksi mielellään käytä internetpalveluja ja muuta uutta teknologiaa. Erään tutkimuksen (GSMA study) mukaan yhdeksän kymmenestä älypuhelimen käyttäjästä on huolissaan siitä, että puhelimen sovellukset keräävät heidän tietojaan ilman heidän suostumustaan. He haluavat tietää, milloin älypuhelimen tietoja toimitetaan kolmansille osapuolille.

Selkeät, luotettavat ja johdonmukaisesti sovelletut säännöt tekevät tietojenkäsittelystä turvallisempaa ja edullisempaa ja lujittavat käyttäjien luottamusta. Luottamus taas edistää kasvua. Tämä viesti on helppo ymmärtää kaikkialla maailmassa. Yhdysvaltojen 25 suurta kuluttajajärjestöä ilmoitti Euroopan parlamentille lähettämässään kirjeessä tukevansa tietosuojauudistusta, koska ”yksityisyydensuojan lujittaminen Euroopassa hyödyttää kuluttajia kaikkialla maailmassa”.

Mitä uudistus merkitsee yrityksille?

Ehdotettu EU:n tietosuojasääntöjen uudistus edistää yritysten kasvua kolmella tavalla:

Ensinnäkin se vähentää kustannuksia ja parantaa oikeusvarmuutta, kun nykyinen hajanainen lainsäädäntö korvataan yhtenäisellä sääntökokonaisuudella, joka on sama kaikissa EU:n 27 jäsenvaltiossa.

Byrokratia vähenee, kun yritykset voivat hoitaa asiansa sääntelyviranomaisten kanssa yhden palvelupisteen välityksellä. Jatkossa yritysten tarvitsee asioida ainoastaan sen EU-maan tietosuojaviranomaisten kanssa, johon ne ovat sijoittautuneet.

Yritysten ei myöskään tarvitse enää ilmoittaa kaikista tietojenkäsittelytoimista kansallisille sääntelyviranomaisille erikseen.

Näin yrityksiltä säästyy vuosittain noin 2,3 miljardia euroa.

Toiseksi uudistus luo kasvua, koska siinä otetaan huomioon vaatimusten noudattamatta jättämisestä aiheutuvat kustannukset. Tietosuojasääntöjen rikkominen voi tulla hyvin kalliiksi. Esimerkiksi Sonyyn kohdistunut tietosuojahyökkäys, jonka yhteydessä murtauduttiin 100 miljoonan käyttäjän tietoihin, aiheutti 1–2 miljardin dollarin kustannukset. Kun asiakkaat saavat nopeasti tiedon siitä, että esimerkiksi heidän luottokorttitietonsa ovat joutuneet vääriin käsiin, heidän on helpompi luottaa verkkokauppaan.

Kolmanneksi komission ehdotuksessa annetaan yrityksille uusia keinoja osoittaa, että ne täyttävät tiukat suojeluvaatimukset siirtäessään henkilötietoja EU:n ulkopuolelle. Luettelo on pitkä. Globaalisti toimivat yritykset hyötyvät selkeistä säännöistä, joissa säädetään, miten yritykset voivat soveltaa niitä koskevia sitovia sääntöjä ja sopimusten vakiolausekkeita varmistaakseen tietojensiirron turvallisuuden.

Ehdotuksessa myös poistetaan useita raskaita ennakkolupamenettelyjä. Tiettyjen edellytysten täyttyessä tietoja voidaan siirtää EU:n ulkopuolelle pelkästään käytännesääntöjen pohjalta. Tietojen siirtoa Yhdysvaltoihin koskevat ns. Safe Harbor ‑periaatteet eivät muutu.

Tietojen keräämisen asianmukaisuutta koskevissa uusissa EU-säännöissä otetaan täysimääräisesti huomioon muissa maissa sovellettava yksityisyydensuoja. Kaikilla ei tarvitse olla samanlaista järjestelmää kuin EU:ssa – olennaista on se, että käytännössä voidaan varmistaa tietosuojan yhdenmukainen taso. Kokemukset osoittavat, että tämä menettelytapa toimii.

Mitä uudistus merkitsee kansalaisille?

Ehdotus EU:n uudeksi tietosuojasäännöstöksi edistää kolmella tavalla yksilöiden oikeutta hallita tietojaan ja auttaa lujittamaan heidän luottamustaan verkkopalveluihin.

Ensiksikin uuden EU:n lainsäädännön tarkoituksena on vahvistaa ”oikeutta tulla unohdetuksi” eli oikeutta pyytää tietojen poistamista sitten, kun niiden säilyttämiseen ei ole enää perusteltua syytä. Näin käyttäjien on helpompi hallita riskejä, jotka liittyvät tietosuojaan verkkoympäristössä. Lisäksi käyttäjien on entistä helpompi tutustua omiin tietoihinsa ja siirtää tietonsa palveluntarjoajalta toiselle.

Toiseksi, jos tietojenkäsittely edellyttää rekisteröidyn suostumusta, hänen on annettava se nimenomaisesti. Pelkkä olettamus ei enää riitä, kuten vielä nykyään joskus tapahtuu. Rekisteröidyn suostumus on nyt – ja myös ehdotetun uudistuksen jälkeen – vain yksi useista perusteista, joiden nojalla tietojenkäsittely voidaan laillisesti hyväksyä. Muita perusteita ovat esimerkiksi sopimuksen täytäntöönpano, laillinen velvoite, yleinen etu tai rekisterinpitäjän oikeutettu etu. Silloin kun tietojenkäsittely edellyttää rekisteröidyn suostumusta, se on ilmaistava nimenomaisesti: vaikeneminen ei ole myöntymisen merkki.

Nimenomaista suostumusta tietojenkäsittelyyn ei välttämättä tarvitse esittää kirjallisesti, vaan sen voi tehdä klikkaamalla verkkosivulla olevaa kuvaketta tai panemalla rastin ruutuun. Sitäkään ei tarvitse tehdä yhä uudestaan, vaan suostumus voidaan antaa yhdellä kertaa useisiin eri tietojenkäsittelytoimiin.

Kolmanneksi uudet säännöt auttavat vähentämään tietosuojaloukkauksia. Kun rekisteröityjen tietoja katoaa tai niitä varastetaan tai niihin tunkeudutaan luvatta, uhreille olisi ilmoitettava tietosuojaloukkauksesta mahdollisimman nopeasti. Nopea toiminta tietosuojaloukkausten selvittämiseksi on suunnattu rikollisia, ei laillisia yrityksiä vastaan. Miksei tietosuojaloukkauksista voisi ilmoittaa 24 tunnin kuluessa, jos se suinkin on mahdollista? Muuta komission ehdotuksessa ei vaadita. Tilastot osoittavat, että maissa, joissa ilmoitus on tehtävä välittömästi, tietosuojaloukkauksia tapahtuu vähemmän kuin muualla. Tätä koskevat tiukat säännöt selvästikin kannustavat yrityksiä suojaamaan henkilötiedot paremmin.

Mitä ”oikeus tulla unohdetuksi” todella tarkoittaa?

”Oikeus tulla unohdetuksi” ei ikävä kyllä auta pyyhkimään luottohistoriaa puhtaaksi.

Komission ehdotus perustuu jo nyt olemassa olevaan oikeuteen vaatia henkilötietojen poistamista, jos niitä ei enää tarvita mihinkään lailliseen tarkoitukseen. Tämä liittyy monenlaisiin arkipäivän tilanteisiin. Esimerkiksi lapset eivät välttämättä ymmärrä, mitä riskejä henkilötietojen levittämiseen liittyy, ja joutuvat joskus katumaan sitä varttuessaan aikuisiksi. Heidän olisi halutessaan voitava poistaa tällaiset tiedot.

Kirjoitetaanko historia uusiksi tämän oikeuden myötä?

Oikeus tulla unohdetuksi ei tarkoita myöskään historian uudelleenkirjoittamista. Komission ehdotuksella (17 ja 80 artikla) suojataan nimenomaisesti ilmaisunvapaus ja tiedotusvälineiden vapaus sekä historiallinen ja tieteellinen tutkimus.

Henkilötietoja voidaan myös säilyttää niin kauan kuin niitä tarvitaan esimerkiksi sopimuksen tai jonkin lakisääteisen velvoitteen täyttämiseen. Oikeus tulla unohdetuksi ei siis ole absoluuttinen.

Myös yritysten oikeuksia suojataan. Jos henkilötiedot, joiden poistamista pyydetään, on julkistettu (esimerkiksi internetissä), yrityksen on parhaansa mukaan huolehdittava siitä, että poistamispyyntö tulee myös kolmansien osapuolten tietoon. Mikään yritys ei tietenkään pysty pyyhkimään pois kaikkia hakukoneisiin jääneitä jälkiä, eikä sitä tässä säädösehdotuksessa vaaditakaan. Yritysten olisi kuitenkin pyrittävä varmistamaan kaikin kohtuullisin keinoin, että kolmannet osapuolet, joille tieto on siirretty, saavat tiedon siitä, että asianomainen on pyytänyt tietojensa poistamista. Useimmissa tapauksissa tähän riittää yksi sähköpostiviesti.

Antaako tietosuojauudistus komissiolle vapaat kädet sääntelyn alalla?

Komissiolle tietosuojauudistuksessa annettavat täytäntöönpanovaltuudet eivät merkitse avointa valtakirjaa. Komissio voi näiden täytäntöönpanovaltuuksien nojalla tehdä lainsäädäntöön ainoastaan teknologian kehityksen edellyttämiä vähäisiä mukautuksia Euroopan parlamentin ja ministerineuvoston valvonnassa. Ilman tällaista joustavuutta uusi lainsäädäntö olisi väistämättä liian rajoittava eikä pysyisi innovaatioiden perässä vaan vanhentuisi nopeasti. Kuten muillakin aloilla komissio käyttää valtuuksiaan vasta sidosryhmiä kuultuaan.

EU:n lainsäädännössä säädetään tällaisista täytäntöönpanovaltuuksista hyvin perustein – tavoitteena on varmistaa, että EU:n sääntöjen teknisiä yksityiskohtia voidaan mukauttaa nopeasti uusimpaan kehitykseen ilman, että uuden lainsäädännön hyväksymiseen tarvittavaa pitkällistä lainsäädäntömenettelyä tarvitsee käydä läpi kokonaisuudessaan.

Heikentävätkö uudet säännöt rikoksentorjuntaan liittyvää kansainvälistä yhteistyötä?

Uudet säännöt eivät vaikeuta tietojenvaihtoa lainvalvontaviranomaisten välillä. Uudelleentarkastelun kohteeksi joutuvat vain sopimukset, jotka edellyttävät sellaisten henkilötietojen vaihtamista, joille ei ole annettu riittäviä tietosuojatakeita.

Mitä seuraavaksi?

EU:n lainsäätäjien eli Euroopan parlamentin ja jäsenvaltioiden ministereistä muodostuvan ministerineuvoston on nyt hyväksyttävä säädösehdotus. Euroopan parlamentissa esittelijät (tietosuojauudistuksesta vastaavat parlamentin jäsenet) ovat jo laatineet alustavat mietintönsä (MEMO/13/4), joita on käsiteltävä asianomaisissa valiokunnissa. Euroopan parlamentin on määrä äänestää ehdotuksesta huhtikuun 2013 lopussa.

Irlanti, joka toimii EU:n ministerineuvoston puheenjohtajana vuoden 2013 alkupuoliskolla, on asettanut tietosuojauudistuksen erityistavoitteeksi ja pyrkii parhaansa mukaan varmistamaan, että siitä päästäisiin poliittiseen yhteisymmärrykseen ennen kuin Irlannin puheenjohtajakausi päättyy kesäkuun lopussa 2013. Asiassa päästiinkin hyvään alkuun oikeusministerien epävirallisessa tapaamisessa 18. tammikuuta 2013 (ks. SPEECH/13/29).

Euroopan komissio jatkaa tiivistä yhteistyötä Euroopan parlamentin ja neuvoston kanssa tukeakseen parlamenttia ja puheenjohtajana toimivaa Irlantia niiden pyrkimyksissä saada tietosuojauudistus hyväksyttyä tämän vuoden loppuun mennessä.

Lisätietoja

Tietosuojauudistusta koskeva tietopaketti lehdistölle

Euroopan komissio - tietosuoja

Komission varapuheenjohtajan, oikeusasioista vastaavan komissaarin Viviane Redingin kotisivu

Oikeusasioiden pääosaston uutissivut

Varapuheenjohtaja Reding Twitterissä


Side Bar