EU:n yleinen tietosuoja-asetus (GDPR) ja sen tulevaisuus: Innovaatioiden ja yksityisyydensuojan tasapaino

GDPR on tunnettu maailman tiukimpana tietosuojalainsäädäntönä. Se on kunnianhimoinen projekti, joka vahvistaa perusoikeuksia ja palauttaa yksilölle kontrollin omista tiedoistaan. Kuitenkin se on myös tuonut mukanaan uudenlaisen täytäntöönpanokulttuurin. Valvontaviranomaiset ovat tulkinneet henkilötietojen käsittelyn lainmukaisuutta tiukasti.

Nyt asetelma on muuttumassa. Euroopan komission Digital Omnibus -paketti pyrkii keventämään ja selkeyttämään EU:n digisääntelyä, mukaan lukien GDPR:ää. Tämä muutos on tarpeen, sillä nykyinen sääntely koetaan liian raskaaksi ja innovaatioita jarruttavaksi. Herää kysymys: siirrymmekö perusoikeuslähtöisestä varovaisuudesta toiseen ääripäähän, jossa kilpailukykyargumentit ajavat tietosuojan ohi? Vai onko viimein löytymässä tasapaino, jossa innovaatiot ja yksityisyydensuoja voivat olla sovitettavissa yhteen?

Tiukka tulkinta kaventanut mahdollisuuksia innovoida

Henkilötiedon määritelmän tulkinta on keskeistä arvioitaessa GDPR:n soveltuvuutta. Euroopan unionin tuomioistuimen Breyer v. Saksan liittotasavalta (C-582/14) ratkaisuissa punnittiin, olivatko verkkopalvelun lokitiedostoihin tallentuvat dynaamiset IP-osoitteet henkilötietoja. Palveluntarjoaja ei voinut tunnistaa käyttäjää ilman teleoperaattorilta saatavia lisätietoja. Ratkaisussa todettiin, että tieto voi olla henkilötietoa, vaikka tunnistamiseen tarvittavat lisätiedot ovat kolmannen osapuolen hallussa.

Olennaista oli, että rekisterinpitäjällä on kohtuullisesti käytettävissään keinoja saada tuo lisätieto. Vaikka itse ratkaisu antaa mahdollisuuksia pohtia tapauskohtaisesti, onko rekisterinpitäjällä kohtuullisia laillisia keinoja tunnistamiseen, viranomaisten ja yritysten tulkintalinja on kääntynyt varovaisemmaksi. Tunnistamisen mahdollisuuden ei tarvitse olla todennäköinen; riittää, että se ei ole täysin poissuljettu. Tällöin GDPR:n kaikki velvollisuudet astuvat voimaan tarpeettoman laajasti. Tämä vie huomion pois niistä tilanteista, joissa on todellinen riski yksityisyydensuojalle.

Varovainen tulkintalinja on tarkoittanut, että monet organisaatiot ovat jättäneet potentiaalisesti hyödyllisiä datanhyödyntämishankkeita tekemättä. Ne eivät ole uskaltaneet tulkita esimerkiksi käsittelyperusteita joustavasti. Elinkeinoelämän tutkimuslaitos Etlan mukaan tiukka tietosuojasääntely on vähentänyt merkittävästi lääke- ja bioteknologiayritysten tutkimus- ja kehitysinvestointeja. Kun yritykset miettivät, voiko ne hyödyntää potilasdataa, asiakasdataa tai IoT-dataa uusien palveluiden ja tuotteiden kehittämisessä, varovaisuus sanktioiden pelossa voittaa usein. Tämä ei ole vain tietosuojalainsäädännön kirjaimen syytä, vaan johtuu pitkälti siitä, miten lainsäädäntöä on viranomaisten taholta tulkittu.

Eurooppalaiset päättäjät ovat heränneet siihen, että EU on rakentanut maailman vahvinta tietosuojajärjestelmää, mutta se on jäänyt jälkeen Yhdysvalloista ja Kiinasta datavetoisen liiketoiminnan ja tekoälyn kehityksessä. Mario Draghin raportti Euroopan kilpailukyvystä on muistuttanut tästä. Komissioon on kohdistunut kasvavaa painetta "pehmentää" digisääntelyä.

Omnibusilla onneen?

Komission 19.11.2025 julkaiseman Digital Omnibus -paketin tavoitteena on "yksinkertaistaa sääntelyä", "vähentää kustannuksia" ja "parantaa EU:n kilpailukykyä". Käytännössä tämä näkyy esimerkiksi evästekäytäntöjen keventämisessä. Tavoitteena on vähentää jatkuvaa suostumusklikkailua. Käyttäjä voisi asettaa laajempia selaintason tai pidempään voimassa olevia suostumusasetuksia. Toinen näkyvä muutos olisi se, että tekoälysäädöksen tiukimpien velvoitteiden voimaantuloa halutaan siirtää eteenpäin. Tämä antaisi yrityksille enemmän aikaa sopeuttaa korkean riskin tekoälyjärjestelmiä sääntelyyn.

Lisäksi GDPR:n ytimeen ehdotetaan täsmämuutoksia, jotka rajaisivat henkilötiedon määritelmää. Tämä luo enemmän tilaa käyttää henkilötietoja tekoälymallien kouluttamiseen muun muassa oikeutetun edun perusteella. On ymmärrettävää, että sääntelyä halutaan selkeyttää ja päällekkäisyyksiä purkaa. Nykyinen digitaalinen sääntelykehikko, kuten GDPR, datasäädös, DSA, DMA, NIS2 ja tekoälysäädös, on paisunut mosaiikiksi. Sen hallinta on vaikeaa jopa suurille toimijoille, pienemmistä puhumattakaan.

Kritiikki on kuitenkin ollut äänekästä. Kansalaisjärjestöt ja tietosuoja-asiantuntijat ovat kuvanneet ehdotettuja muutoksia "tuhannen pienen viillon" strategiana. Tämä ei ehkä poista koko asetusta, mutta heikentää sen tehoa kriittisissä kohdissa, kuten AI-mallien koulutuksessa käytettävän henkilötiedon käsittelyperusteiden osalta. Kriittinen kysymys on, missä määrin ongelma on itse GDPR:n tekstissä ja missä määrin sen soveltamiskulttuurissa.

Jo ennen Digital Omnibus -avausta Euroopan tietosuojaneuvosto (EDPB) on tunnistanut tarpeen käytännön tason yksinkertaistamiselle. Niin sanotussa Helsinki Statementissa EDPB on linjannut, että se haluaa helpottaa erityisesti pk-yritysten mahdollisuuksia noudattaa GDPR:ää käytännössä. Tavoitteena on lisätä vuoropuhelua sidosryhmien kanssa ja vahvistaa sääntelyn johdonmukaisuutta, kuitenkaan heikentämättä yksilön perusoikeuksia. Tämä kertoo siitä, että myös valvontaviranomaiset näkevät, että GDPR:n soveltaminen on ollut tarpeettoman raskasta. Yritysten compliance-työtä tulee helpottaa muun muassa erilaisten työkalujen ja mallipohjien avulla.

Myös henkilötiedon määritelmään on jo ennen Digital Omnibusia saatu käytännönläheisempi linjaus. Ratkaisussa EDPS v. SRB (C-413/23 P) vahvistettiin, että pseudonymisoitu data on lähtökohtaisesti edelleen henkilötietoa sen toimijan näkökulmasta. Tämä on mahdollista, jos toimija voi hankkia lisätiedot ja siten tunnistaa rekisteröidyn Breyer-ratkaisussa asetetun kriteerin mukaisesti kohtuullisin toimin. Samalla ratkaisu kuitenkin avasi mahdollisuuden, että sama data voi olla henkilötietoa yhdelle toimijalle, mutta anonyymia toiselle, jolla ei ole realistisia keinoja rekisteröidyn uudelleentunnistamiseen. Omnibus-ehdotus sementoi tämän näkökulman ja selväsanaisesti hylkäsi Euroopan tietosuojaviranomaisen EDPS:n edellä viitatussa SRB-tapauksessa esittämän näkökulman. Pseudonyymitiedot eivät ole aina ja kaikille henkilötietoja.

Lopuksi

Selvää on, että tietosuojasääntely on nyt tienhaarassa. Suurin osa ongelmista ei johdu siitä, että GDPR olisi perusperiaatteiltaan liian tiukka. Ongelmat johtuvat siitä, että GDPR:n perusperiaatteista johdetaan arjessa absoluuttisia kieltoja riskiperusteisen lähestymistavan soveltamisen sijaan. Tämän näkökulman perusteella GDPR:n peruskäsitteistöön ei olisi välttämättä ollut tarpeen tehdä muutoksia. Sen sijaan olisi pitänyt vahvistaa riskiperusteisuuteen nojaavaa tulkintakulttuuria.

On kuitenkin vaikea olla kannattamatta tavoitteita, jotka liittyvät päällekkäisen sääntelyn purkamiseen, evästekäytäntöjen järkevöittämiseen ja pk-yritysten hallinnollisen taakan keventämiseen. Seuraavien vuosien aikana ratkaistaan, onnistuuko EU päivittämään tietosuojasääntelyä niin, että se säilyttää normatiivisen voimansa, mutta toimii innovaatioita mahdollistavana kehyksenä. Keskeinen kysymys on, onnistuuko uudistus tavalla, joka ei rapauta yksityisyydensuojaa tai syvennä kilpailuepätasapainoa. Tämä voi tapahtua siirtämällä neuvotteluvoimaa pois yksilöltä ja eurooppalaisilta pk-toimijoilta globaaleille teknologiayrityksille. Ottaen huomioon Digital Omnibus -ehdotukseen kohdistuneen kritiikin, poliittinen prosessi muutosten läpiviemiseen tulee olemaan haastava. Me Folksilla seuraamme tiivisti lainsäädäntöaloitteen etenemistä.

Anna Paimela

Osakas

anna.paimela@legalfolks.fi

+358 40 1648626

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.

Bite-sized legal advice for the pixel-sized revolution 

Distance Technologies is a Finnish deep tech start-up pioneering the world’s first true glasses-free mixed reality solution. Immediately after its establishment, the company attracted international interest and significant investments from investors such as Google Ventures, Maki.vc and FOV Ventures. Talouselämä, the largest weekly business magazine in the Nordics, also named Distance as one of Finland's most interesting start-ups.  

The founders of Distance are not first-timers when it comes to establishing startups. Urho Konttori, the CEO of Distance and Jussi Mäkinen, the CMO of Distance, among other current founders of Distance were also founders in Varjo. Experience from startups has played a role in the speed the company has grown but also in the way the founding team understood the value of effectively managing legal affairs.

The company’s rapid growth and unique technology required a strong legal foundation from the very beginning. Konttori explains: 

Efficiency through weekly check-ins  

Folks has been Distance’s legal partner since the company's incorporation. Folks’ team has drafted the founding documentation and assisted Distance in financing rounds: first, in the pre-seed funding led by Maki.vc and FOV Ventures, and secondly, in the EUR 10 million investment round led by Google Ventures marking its first investment in a Finnish company. In addition, Folks has provided daily legal support for Distance in various legal matters. Konttori describes the partnership as follows: 

Legal partnership enables Distance to focus on development 

Distance has quickly emerged as one of Finland's most promising technology companies. Talouselämä's recognition as Finland's most interesting start-up shows that the company has managed to inspire confidence among investors and markets alike. Distance also recently announced a partnership with Patria, where Patria and Distance will create a unique solution designed for real-time tactical situations and utilizing the patented Distance XR light field and digital optics technology to achieve unprecedented situational awareness combined with exceptional low-light visual acuity. 

Folks' ongoing legal support ensures that the company can focus on development without unnecessary delays. In the technology sector, the business environment is changing rapidly, so a partner needs to understand not only the contracts and financing patterns, but also the dynamics of the industry as a whole. Especially when the business is evolving fast, legal support needs to be accessible and practical.  

Distance’s CMO Jussi Mäkinen sees collaboration as a clear competitive advantage: 

Distance Technologies is a Finnish deep tech startup founded in 2024 that develops fully eye- and headset-free augmented reality solutions. Its revolutionary technology turns, for example, a car windscreen into an interactive experience without the need for traditional display devices. The innovation uses light field technology to bring a three-dimensional image into the user's field of vision without the need for separate glasses or headgear. The company has quickly attracted international interest, and its development has been supported by major investors such as Google Ventures.  

Read more about Distance from their website: https://distance.tech 

Legal partner for the tech industry

Folks has proven track-record in providing legal services for technology companies at all stages: from start-ups to established players, tailored to the appropriate stage of their business. The legal aspects of the IT and technology sector require an understanding not only of contracts and financing, but also of business development and future scalability. If you want advice in legal issues, such as financing, corporate structure, contracts, GDPR, protecting your brand and ideas or retaining the people who are vital to your business, backed up by strong business acumen, then we are your folks. 

Miltä kulunut vuosi näytti lainsäädäntötrendien osalta? Yritysvastuusääntely tiukkeni niin ympäristöön kuin ihmisoikeuksiin liittyvissä kysymyksissä, kun taas digisääntely kehittyi tekoälyn, alustatalouden ja kyberturvallisuuden haasteiden myötä. Työmarkkinoilla tapahtui muutoksia erityisesti joustavuuden lisäämiseksi työpaikoilla. Samalla tietosuojasakot nousivat entistä näkyvämpään rooliin, mikä korostaa organisaatioiden velvollisuutta huolehtia henkilötietojen käsittelystä.  

Lue alta Folksin tarkempi koonti kuluneesta vuodesta.  

Yhtiöoikeudellisen sääntelyn keskiössä kestävyys ja vastuullisuus 

Kuluneen vuoden teema yhtiöoikeudellisessa sääntelyssä on ollut vastuullisuus. Keväällä saavutettiin EU-tason sovinto yritysvastuudirektiivistä. Direktiivi tulee panna täytäntöön Suomessa kesään 2026 mennessä. Lisäksi kestävyysraportointidirektiiviin liittyvät raportointivelvollisuudet alkavat vaikuttaa jo tulevan vuoden osalta suurimpiin pörssiyhtiöihin. Vaikka molempien direktiivien pääasiallinen kohderyhmä ovat suuret yritykset, tulevat sääntelyn heijastevaikutukset näkymään todennäköisesti myös suurten yritysten alihankkijoissa, koska raportointivelvoitteet kattavat yrityksen lisäksi niiden toimitusketjua. Tämän vuoksi uudella sääntelyllä tulee todennäköisesti olemaan heijastevaikutuksia yleisiin sopimuskäytäntöihin ja esimerkiksi due diligence –tarkastuksiin, joissa tulee tunnistaa edellä tarkoitetusta sääntelystä johtuvat velvoitteet osana toimitusketjua.  

Myös osakeyhtiölakia uudistettiin hallituskokoonpanoihin liittyvien vaatimusten osalta. Osakeyhtiölaki sisältää nyt raja-arvot ylittäviä pörssiyhtiöitä koskevan sukupuolikiintiön yhtiön hallituksen jäsenten osalta. Tämän muutoksen ja kestävyysraportointidirektiivin täytäntöönpanon johdosta myös pörssiyhtiöitä koskevaa hallinnointikoodia päivitettiin vastaamaan sukupuolikiintiövaatimusta sekä kestävyysraportointisääntelyä.  

Pörssiyhtiöitä koskeva markkinoiden väärinkäyttöasetus päivittyi joulukuun alussa.  Päivityksen johdosta johtohenkilöiden liiketoimien ilmoittamisen kynnystä nostettiin Suomessa aiemmasta 5 000 eurosta 20 000 euroon.  

Yrityskaupparintamaa leimaa edelleen yleisen kustannustason noususta johtuva epävarmuus, joka näkyy pitkittyneinä prosesseina. Vuoden loppua kohden on havaittavissa pientä kajoa tunnelin päässä ja toivon mukaan ensi vuonna yrityskauppojen tahti vilkastuu entiselle tasolleen.  

Kohti tiukempaa digitaalista vastuullisuutta 

Vuosi 2024 toi mukanaan merkittäviä edistysaskeleita EU:n digitaalisen sääntelyn kentällä. Erityisen huomion kohteena oli elokuussa voimaantullut tekoälyasetus (AI Act). Tekoälyasetus asettaa globaalisti tarkastellen ainutlaatuiset raamit tekoälyjärjestelmien kehittämiselle, käyttöönotolle ja valvonnalle. Riskiperusteinen lähestymistapa määrittelee tekoälyn käytön sallittavuuden ja sovellettavat vaatimukset tekoälyjärjestelmän potentiaalisten vaikutusten perusteella. 

Digipalvelusäädöksen (Digital Services Act, DSA) vaikutukset laajenivat vuonna 2024, kun säädöstä alettiin alkuvuodesta soveltaa täysimääräisesti. Digipalvelusäädös on vaikuttanut laajamittaisesti digipalveluntarjoajien toimintamalleihin asettamalla velvoitteita esimerkiksi käyttäjien toimittaman sisällön moderointiin liittyen. Alkuvuodesta voimaan tuli myös datasäädös (Data Act), jonka tarkoituksena on mahdollistaa datan oikeudenmukainen jakautuminen vahvistamalla selkeät ja oikeudenmukaiset säännöt dataan pääsylle ja sen käytölle.

Vuoden aikana myös kyberturvallisuus nousi entistä enemmän keskiöön NIS2-direktiivin myötä, jota sovelletaan laajasti erilaisiin toimialoihin. Vaikka NIS2-direktiivin kansallinen toimeenpano viivästyi, velvoitteisiin varautuminen on monessa yrityksessä jo aloitettu muun muassa riskienhallintaa, tietoturvapoikkeamien raportointia ja kyberturvallisuusstrategioita koskevien prosessien läpikäynnillä. Toisena merkittävänä kyberturvallisuussäädöksenä vuonna 2024 tuli voimaan DORA-asetus, jonka tavoitteena on suojella EU:n finanssijärjestelmää kasvavilta kyberuhilta ja vahvistaa luottamusta digitaalisiin palveluihin kriittisellä sektorilla. Finanssialan toimijoiden lisäksi DORA-asetus vaikuttaa myös ICT-palveluntarjoajiin, jotka tuottavat palveluita finanssialan toimijoille.  

Vuosi 2024 osoitti, että EU:ssa sääntelyä kehitetään kiihtyvällä tahdilla vastaamaan nopeasti muuttuvaa teknologista ympäristöä. Tasapainon löytäminen tarpeettoman raskaiden velvoitteiden ja vastuullisen liiketoiminnan turvaamiseksi tarpeellisen sääntelyn välillä on osoittautunut ajoittain haastavaksi. Uuteen sääntelyyn liittyvät epäselvyydet tulevat toivottavasti lähivuosina selkeytymään, kun tulkintakäytäntöä alkaa muodostua. 

Tavoitteena ketterämmät työmarkkinat  

Vuosi 2024 on pitänyt sisällään useita, erityisesti kollektiivista työlainsäädäntöä koskevia muutoshankkeita. Kuluvan vuoden kevättä värittivätkin laajat poliittiset lakot eri työpaikoilla, joilla työntekijäpuoli vastusti hallituksen kaavailemia uudistuksia. 

Toukokuussa tuli voimaan rajoituksia perinteiseen työtaisteluoikeuteen. Jatkossa myötätuntolakoilla, eli varsinaisen työehtosopimusriidan työntekijöitä tukevilla lakoilla ei saisi olla suhteettomia vaikutuksia kohteena olevan työnantajan liiketoimintaan. Samoin poliittisten työnseisausten kestoa rajoitettiin vuorokauteen ja muiden poliittisten työtaistelutoimien kestoa kahteen viikkoon.  

Työehtosopimuksiin perustuva paikallinen sopiminen laajenee myös järjestäytymättömille työpaikoille, jolloin paikallisen sopimisen joustot ovat jatkossa mahdollisia kaikilla kyseisen työehtosopimuksen velvoittamilla työpaikoilla. Uusi sääntely tuo siten yleissitovuuden nojalla työehtosopimusta soveltavat työpaikat samalle viivalle kuin liittoon kuuluvat, ja lisäksi jatkossa paikallista sopimista voitaisi hyödyntää myös yrityskohtaisissa työehtosopimuksissa. 

Myös yhteistoimintalakiin esitetään huomionarvoisia muutoksia, jotka höllentäisivät pienten ja keskisuurten työnantajien yhteistoimintavelvoitteita. Lain yleisen soveltamisalan nosto tarkoittaisi selkeitä kevennyksiä alle 50 työntekijän työpaikoille, kun esimerkiksi vuoropuhelua voitaisiin käydä nykyistä työpaikkakohtaisemmin, ja samoin muutosneuvotteluita tulisi käydä huomattavasti rajatummissa tilanteissa. Myös työvoiman vähentämistä koskevien vähimmäisneuvotteluaikojen rajaaminen puoleen nykyisistä olisi merkittävä muutos nykyiseen sääntelyyn, jonka myötä työpaikat voivat reagoida ripeämmin mahdollisiin muutostilanteisiin. Lakimuutosten olisi tarkoitus tulla voimaan 2025 kesällä.  

Kiistanalainen vientivetoinen palkkamalli etenee parhaillaan eduskunnassa. Lailla on tarkoitus säätää valtakunnan sovittelijan toimintavaltuuksista tilanteessa, jossa työmarkkinaosapuolet eivät pääse keskenään sopuun sopimuskauden palkankorotuksista. Tämä tarkoittaisi sovittelijan ehdottamien palkankorotusten sitouttamista niin sanottuun yleiseen linjaan, jossa palkankorotusten taso on melko vakiintuneesti määrittynyt isojen vientialojen palkkaratkaisujen mukaan.  

Kuluneena vuonna työmarkkinakentällä on myllertänyt ja suomalaisen työelämän nykytilasta ja tulevaisuudesta on käyty laajaa poliittista keskustelua. Alkavana vuonna myöskään tuskin vältytään työmarkkinaväännöiltä, kun hallituksen lakihankkeet muun muassa henkilöperusteisen irtisanomisen osalta etenevät ja kevään työehtosopimuskierros pääsee kunnolla vauhtiin.   

Tietosuojassa puhuttaa evästeet ja generatiivinen tekoäly 

Tietosuojakentän vuotta 2024 on leimannut jälleen evästeiden käyttö ja kohdennettu mainonta. Suomessa Traficom on useissa päätöksissään tehnyt selväksi, että vapaaehtoisten evästeiden asettaminen edellyttää aktiivista suostumusta, joka on pystyttävä antamaan helposti jo evästebannerin ensimmäisellä ruudulla. Euroopan tietosuojaneuvosto (EDPB) on tarkastellut erityisesti suurten verkkoalustojen ”maksa tai suostu” -malleja, ja todennut, etteivät ne yleensä täytä pätevän suostumuksen vaatimuksia, jos käyttäjien annetaan valita ainoastaan kahdesta vaihtoehdosta, eli siitä, suostuvatko he henkilötietojen käsittelyyn kohdennettua mainontaa varten vai maksavatko he siitä, että heidän henkilötietojaan ei käytetä tällaiseen mainontaan. Elinkeinoelämä on kritisoinut linjausta todeten, että se jättää yksityisyydensuojan rinnalla se toisen perusoikeuden, elinkeinovapauden, huomioimatta. EDPB on julkaisemassa seuraavaksi muita kuin suuria verkkoalustoja koskevan ohjeistuksen ”maksa tai suostu” -malleihin liittyen. 

Myös generatiivinen tekoäly on puhuttanut tietosuojayhteisöä. Keskeinen kysymys on ollut, mitä GDPR:n mukaista oikeusperustetta voidaan käyttää, kun käsitellään henkilötietoja tekoälymallien koulutusta varten, esim. kun tietoja crawlataan verkkosivustoilta tai sosiaalisen median palveluista. Iso-Britannin tietosuojaviranomainen ICO ja Ranskan tietosuojaviranomainen CNIL ovat julkaisseet ohjeistuksia, joissa viitataan oikeutettuun etuun käsittelyperusteena edellyttäen, että tavoiteltu etu on lainmukainen, ja käsittely on tarpeen tuon laillisen tarkoituksen toteuttamiseksi, eivätkä rekisteröidyn perusoikeudet ja -vapaudet syrjäytä tavoiteltua oikeutettua etua. EPDB:n ChatGPT työryhmä ei ottanut käsittelyn oikeusperusteeseen selkeää kantaa raportissaan, mutta linjaa yleisesti oikeutettua edun käyttämistä käsittelyperusteena lokakuussa julkaistussa ohjeistuksessaan. 

Tietosuojasakot eivät jääneet tänäkään vuonna vähäisiksi. Irlannin tietosuojaviranomainen antoi LinkedInille 310 MEUER sakot, sillä LinkedIn ei ollut pyytänyt käyttäjiltään pätevää suostumusta mainonnan kohdentamiseen. Hollannin tietosuojaviranomainen taas antoi Uberille 290 MEUR sakot sen siirrettyä henkilötietoja Yhdysvaltoihin ilman asianmukaista perustetta. Meta sai 91 MEUR sakot käsiteltyään käyttäjien salasanoja huolimattomasti selkokielisenä sisäisissä järjestelmissään. Komission raportti GDPR:n soveltamisesta ja toimivuudesta kertoo, että Suomessa sakkoja on annettu jäsenmaista kolmanneksi vähiten. Raportti myös nostaa esiin, että tietosuojalainsäädännön soveltamisessa on yhä havaittu hajanaisuutta EU-maiden välillä, että tulevina vuosina tulisi keskittyä lisäämään tietosuoja-asetuksen yhdenmukaista tulkintaa entisestään. Myös EU:n uuden digi- ja datasääntelyn yhtenäinen soveltaminen edellyttää viranomaisten toimivaa yhteistyötä.  

Tervetuloa 2025! 

Digitalisaatio ja globalisaatio haastoivat lainsäätäjiä kuluneena vuonna, ja näemme varmasti saman trendin jatkuvan myös tulevina vuosina. Tilaa Folks Fokus ja Folksin uutiskirje, niin pysyt jatkossakin kartalla keskeisistä organisaatioihin vaikuttavista muutoksista. Pääset tilaamaan uutiskirjeen täältä.

Folks toivottaa kaikille rentouttavaa joulunaikaa ja iloista uutta vuotta!