Päivitetty: 6 päivää sitten
EU:n yleinen tietosuoja-asetus (GDPR) ja sen tulevaisuus: Innovaatioiden ja yksityisyydensuojan tasapaino
GDPR on tunnettu maailman tiukimpana tietosuojalainsäädäntönä. Se on kunnianhimoinen projekti, joka vahvistaa perusoikeuksia ja palauttaa yksilölle kontrollin omista tiedoistaan. Kuitenkin se on myös tuonut mukanaan uudenlaisen täytäntöönpanokulttuurin. Valvontaviranomaiset ovat tulkinneet henkilötietojen käsittelyn lainmukaisuutta tiukasti.
Nyt asetelma on muuttumassa. Euroopan komission Digital Omnibus -paketti pyrkii keventämään ja selkeyttämään EU:n digisääntelyä, mukaan lukien GDPR:ää. Tämä muutos on tarpeen, sillä nykyinen sääntely koetaan liian raskaaksi ja innovaatioita jarruttavaksi. Herää kysymys: siirrymmekö perusoikeuslähtöisestä varovaisuudesta toiseen ääripäähän, jossa kilpailukykyargumentit ajavat tietosuojan ohi? Vai onko viimein löytymässä tasapaino, jossa innovaatiot ja yksityisyydensuoja voivat olla sovitettavissa yhteen?
Tiukka tulkinta kaventanut mahdollisuuksia innovoida
Henkilötiedon määritelmän tulkinta on keskeistä arvioitaessa GDPR:n soveltuvuutta. Euroopan unionin tuomioistuimen Breyer v. Saksan liittotasavalta (C-582/14) ratkaisuissa punnittiin, olivatko verkkopalvelun lokitiedostoihin tallentuvat dynaamiset IP-osoitteet henkilötietoja. Palveluntarjoaja ei voinut tunnistaa käyttäjää ilman teleoperaattorilta saatavia lisätietoja. Ratkaisussa todettiin, että tieto voi olla henkilötietoa, vaikka tunnistamiseen tarvittavat lisätiedot ovat kolmannen osapuolen hallussa.
Olennaista oli, että rekisterinpitäjällä on kohtuullisesti käytettävissään keinoja saada tuo lisätieto. Vaikka itse ratkaisu antaa mahdollisuuksia pohtia tapauskohtaisesti, onko rekisterinpitäjällä kohtuullisia laillisia keinoja tunnistamiseen, viranomaisten ja yritysten tulkintalinja on kääntynyt varovaisemmaksi. Tunnistamisen mahdollisuuden ei tarvitse olla todennäköinen; riittää, että se ei ole täysin poissuljettu. Tällöin GDPR:n kaikki velvollisuudet astuvat voimaan tarpeettoman laajasti. Tämä vie huomion pois niistä tilanteista, joissa on todellinen riski yksityisyydensuojalle.
Varovainen tulkintalinja on tarkoittanut, että monet organisaatiot ovat jättäneet potentiaalisesti hyödyllisiä datanhyödyntämishankkeita tekemättä. Ne eivät ole uskaltaneet tulkita esimerkiksi käsittelyperusteita joustavasti. Elinkeinoelämän tutkimuslaitos Etlan mukaan tiukka tietosuojasääntely on vähentänyt merkittävästi lääke- ja bioteknologiayritysten tutkimus- ja kehitysinvestointeja. Kun yritykset miettivät, voiko ne hyödyntää potilasdataa, asiakasdataa tai IoT-dataa uusien palveluiden ja tuotteiden kehittämisessä, varovaisuus sanktioiden pelossa voittaa usein. Tämä ei ole vain tietosuojalainsäädännön kirjaimen syytä, vaan johtuu pitkälti siitä, miten lainsäädäntöä on viranomaisten taholta tulkittu.
Eurooppalaiset päättäjät ovat heränneet siihen, että EU on rakentanut maailman vahvinta tietosuojajärjestelmää, mutta se on jäänyt jälkeen Yhdysvalloista ja Kiinasta datavetoisen liiketoiminnan ja tekoälyn kehityksessä. Mario Draghin raportti Euroopan kilpailukyvystä on muistuttanut tästä. Komissioon on kohdistunut kasvavaa painetta "pehmentää" digisääntelyä.
Omnibusilla onneen?
Komission 19.11.2025 julkaiseman Digital Omnibus -paketin tavoitteena on "yksinkertaistaa sääntelyä", "vähentää kustannuksia" ja "parantaa EU:n kilpailukykyä". Käytännössä tämä näkyy esimerkiksi evästekäytäntöjen keventämisessä. Tavoitteena on vähentää jatkuvaa suostumusklikkailua. Käyttäjä voisi asettaa laajempia selaintason tai pidempään voimassa olevia suostumusasetuksia. Toinen näkyvä muutos olisi se, että tekoälysäädöksen tiukimpien velvoitteiden voimaantuloa halutaan siirtää eteenpäin. Tämä antaisi yrityksille enemmän aikaa sopeuttaa korkean riskin tekoälyjärjestelmiä sääntelyyn.
Lisäksi GDPR:n ytimeen ehdotetaan täsmämuutoksia, jotka rajaisivat henkilötiedon määritelmää. Tämä luo enemmän tilaa käyttää henkilötietoja tekoälymallien kouluttamiseen muun muassa oikeutetun edun perusteella. On ymmärrettävää, että sääntelyä halutaan selkeyttää ja päällekkäisyyksiä purkaa. Nykyinen digitaalinen sääntelykehikko, kuten GDPR, datasäädös, DSA, DMA, NIS2 ja tekoälysäädös, on paisunut mosaiikiksi. Sen hallinta on vaikeaa jopa suurille toimijoille, pienemmistä puhumattakaan.
Kritiikki on kuitenkin ollut äänekästä. Kansalaisjärjestöt ja tietosuoja-asiantuntijat ovat kuvanneet ehdotettuja muutoksia "tuhannen pienen viillon" strategiana. Tämä ei ehkä poista koko asetusta, mutta heikentää sen tehoa kriittisissä kohdissa, kuten AI-mallien koulutuksessa käytettävän henkilötiedon käsittelyperusteiden osalta. Kriittinen kysymys on, missä määrin ongelma on itse GDPR:n tekstissä ja missä määrin sen soveltamiskulttuurissa.
Jo ennen Digital Omnibus -avausta Euroopan tietosuojaneuvosto (EDPB) on tunnistanut tarpeen käytännön tason yksinkertaistamiselle. Niin sanotussa Helsinki Statementissa EDPB on linjannut, että se haluaa helpottaa erityisesti pk-yritysten mahdollisuuksia noudattaa GDPR:ää käytännössä. Tavoitteena on lisätä vuoropuhelua sidosryhmien kanssa ja vahvistaa sääntelyn johdonmukaisuutta, kuitenkaan heikentämättä yksilön perusoikeuksia. Tämä kertoo siitä, että myös valvontaviranomaiset näkevät, että GDPR:n soveltaminen on ollut tarpeettoman raskasta. Yritysten compliance-työtä tulee helpottaa muun muassa erilaisten työkalujen ja mallipohjien avulla.
Myös henkilötiedon määritelmään on jo ennen Digital Omnibusia saatu käytännönläheisempi linjaus. Ratkaisussa EDPS v. SRB (C-413/23 P) vahvistettiin, että pseudonymisoitu data on lähtökohtaisesti edelleen henkilötietoa sen toimijan näkökulmasta. Tämä on mahdollista, jos toimija voi hankkia lisätiedot ja siten tunnistaa rekisteröidyn Breyer-ratkaisussa asetetun kriteerin mukaisesti kohtuullisin toimin. Samalla ratkaisu kuitenkin avasi mahdollisuuden, että sama data voi olla henkilötietoa yhdelle toimijalle, mutta anonyymia toiselle, jolla ei ole realistisia keinoja rekisteröidyn uudelleentunnistamiseen. Omnibus-ehdotus sementoi tämän näkökulman ja selväsanaisesti hylkäsi Euroopan tietosuojaviranomaisen EDPS:n edellä viitatussa SRB-tapauksessa esittämän näkökulman. Pseudonyymitiedot eivät ole aina ja kaikille henkilötietoja.
Lopuksi
Selvää on, että tietosuojasääntely on nyt tienhaarassa. Suurin osa ongelmista ei johdu siitä, että GDPR olisi perusperiaatteiltaan liian tiukka. Ongelmat johtuvat siitä, että GDPR:n perusperiaatteista johdetaan arjessa absoluuttisia kieltoja riskiperusteisen lähestymistavan soveltamisen sijaan. Tämän näkökulman perusteella GDPR:n peruskäsitteistöön ei olisi välttämättä ollut tarpeen tehdä muutoksia. Sen sijaan olisi pitänyt vahvistaa riskiperusteisuuteen nojaavaa tulkintakulttuuria.
On kuitenkin vaikea olla kannattamatta tavoitteita, jotka liittyvät päällekkäisen sääntelyn purkamiseen, evästekäytäntöjen järkevöittämiseen ja pk-yritysten hallinnollisen taakan keventämiseen. Seuraavien vuosien aikana ratkaistaan, onnistuuko EU päivittämään tietosuojasääntelyä niin, että se säilyttää normatiivisen voimansa, mutta toimii innovaatioita mahdollistavana kehyksenä. Keskeinen kysymys on, onnistuuko uudistus tavalla, joka ei rapauta yksityisyydensuojaa tai syvennä kilpailuepätasapainoa. Tämä voi tapahtua siirtämällä neuvotteluvoimaa pois yksilöltä ja eurooppalaisilta pk-toimijoilta globaaleille teknologiayrityksille. Ottaen huomioon Digital Omnibus -ehdotukseen kohdistuneen kritiikin, poliittinen prosessi muutosten läpiviemiseen tulee olemaan haastava. Me Folksilla seuraamme tiivisti lainsäädäntöaloitteen etenemistä.
Anna Paimela
Osakas
+358 40 1648626
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Tekoäly on monessa organisaatiossa arkipäivää. Osassa yrityksistä implementoidaan jo johdonmukaisesti tekoälystrategiaa, ja osa on matkalla vasta alkuvaiheessa. Todellisuus on kuitenkin se, että monissa organisaatioissa tekoälyä hyödynnetään laajasti eri toiminnoissa joko yrityksen valitsemilla työkaluilla tai henkilöstön itse käyttöönottamilla versioilla.
Moni yritys on tilanteessa, jossa yhtenäistä ohjeistusta tekoälyn käyttämisestä ei ole ehditty rakentamaan. Toisinaan ohjeistusta on olemassa, mutta se on laadittu ennen kuin EU:n tekoälyasetuksen vaatimukset ovat tulleet ajankohtaisiksi. Viimeistään nyt on oikea hetki varmistaa, että yrityksen omat tekoälykäytännöt ja osaaminen ovat ajan tasalla. Tämä on kriittistä myös sen varmistamiseksi, että henkilöstöllä on tekoälyasetuksen edellyttämä riittävä tekoälylukutaito.
Mihin tekoälyohjeistusta tarvitaan?
Tekoälyohjeistus ei ole pelkkä muodollisuus, vaan käytännön väline, jolla yritys varmistaa tekoälyn vastuullisen ja turvallisen hyödyntämisen. Se on samalla keino vastata uusiin sääntelyvaatimuksiin ja luoda edellytykset tehokkaalle innovoinnille.
Tekoälylukutaidon varmistaminen: Ensinnäkin ohjeistus tukee tekoälyasetuksen edellyttämää riittävää tekoälylukutaitoa. Helmikuusta 2025 alkaen jokaisella tekoälyä hyödyntävällä organisaatiolla on ollut velvollisuus parhaansa mukaan huolehtia siitä, että henkilöstöllä on riittävä ymmärrys tekoälyn riskeistä, mahdollisuuksista ja sen mahdollisesti aiheuttamista vahingoista. Hyvin laadittu tekoälyohjeistus on keskeinen osa tätä organisatorista ja koulutuksellista velvoitetta. Euroopan komissio on myös vihjannut, että tekoälyasetuksen rikkomistilanteissa sanktioita ja muita seuraamuksia voidaan todennäköisemmin määrätä, jos tekoälylukutaitovelvoitetta on laiminlyöty.
Kannustava vaikutus: Selkeät pelisäännöt rohkaisevat henkilöstöä käyttämään tekoälyä. Kun työntekijöillä on varmuus siitä, mikä on sallittua ja mikä ei, tekoälyn käyttö muuttuu varovaisesta kokeilusta suunnitelmalliseksi toiminnan kehittämiseksi. Ohjeistus luo turvaa, joka kannustaa kokeilemaan ja löytämään uusia tapoja tehostaa työtä ilman pelkoa siitä, että tekoälyn käyttö voisi vahingossa johtaa sopimus- tai sääntelyvelvoitteiden rikkomiseen tai muiden riskien realisoitumiseen. Näin ohjeistus toimii paitsi riskienhallinnan myös innovoinnin välineenä.
Piilokäytön hallinta: Tekoälyohjeistus auttaa tunnistamaan ja hallitsemaan piilokäyttöä ja varjo-IT:tä. Monessa organisaatiossa tekoälytyökalut ovat tulleet käyttöön työntekijöiden omatoimisesti valitsemien sovellusten kautta. Kun käyttöä ei tunnisteta, sen riskejä ei voida myöskään hallita. Ohjeistus tekee tekoälyn käytön näkyväksi ja mahdollistaa henkilöstön ohjeistamisen myös sellaisten työkalujen osalta, joita työntekijät ottavat omatoimisesti käyttöön ilman erillistä hyväksyntää. Sen sijaan tekoälyn yksiselitteinen kieltäminen ei välttämättä vähennä riskejä – vaan päinvastoin – sillä tällöin henkilöstöä ei voida luontevasti ohjeistaa tarkemmista toimintamalleista.
Liikesalaisuuksien ja henkilötietojen suojaaminen: Yksi tekoälyohjeistuksen tärkeimmistä tehtävistä on luoda selkeät rajat sille, miten liikesalaisuuksia ja henkilötietoja saa hyödyntää tekoälyn yhteydessä. Kun työntekijä syöttää tekoälytyökaluun asiakasdataa, sisäisiä suunnitelmia tai henkilötietoja, voi seurauksena olla tietojen leviäminen organisaation kontrollin ulkopuolelle. Ohjeistus määrittää käytännön säännöt sille, mitä tietoa saa käyttää, millä ehdoilla ja missä ympäristöissä. Näin se suojaa sekä yrityksen että sen sidosryhmien intressejä.
Tekoälysäädöksen vaatimusten toteuttaminen: Tekoälyohjeistus auttaa jalkauttamaan tekoälysääntelyn edellyttämät toimintamallit ja rajoitukset organisaatioon. Tekoälyasetus asettaa erityisesti suuririskisten käyttötapausten osalta velvoitteita esimerkiksi datan hallinnasta, lokitietojen säilyttämisestä sekä käytön seurannasta ja valvonnasta. Pelkkä tieto velvoitteista ei riitä, vaan ne on vietävä käytäntöön siten, että ne näkyvät päivittäisissä prosesseissa ja päätöksenteossa. Ohjeistus toimii tässä sillanrakentajana juridiikan ja käytännön työn välillä.
Luottamuksen rakentaminen sidosryhmiin: Tekoälyohjeistus on myös viesti ulospäin. Kun yritys pystyy osoittamaan, että tekoälyä käytetään harkitusti ja vastuullisesti, se rakentaa luottamusta asiakkaisiin, yhteistyökumppaneihin ja viranomaisiin. Luottamus puolestaan vahvistaa yrityksen mainetta ja erottaa sen positiivisesti kilpailijoista. Tekoälyohjeistus on siten yhtä aikaa riskienhallintatyökalu, koulutusväline ja strateginen viesti vastuullisesta toiminnasta.
Tekoälyohjeistus on investointi kestävään tulevaisuuteen
Tekoälyn hyödyntäminen tuo mukanaan uudenlaisia riskejä, mutta myös valtavasti mahdollisuuksia. Selkeä tekoälyohjeistus auttaa tekemään tekoälystä aidosti liiketoiminnan vahvuuden, sillä se mahdollistaa uudenlaisen innovoinnin varmistaen samalla, että riskit hallitaan asianmukaisesti.
Olipa tekoäly olennainen osa yrityksen arkea tai vasta kokeilun tasolla, nyt on oikea aika varmistaa, että ohjeistus ja koulutus ovat ajan tasalla.
Katri Aarnio
Counsel
050 306 2031
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
- Anna Paimela
- 18.12.2024
Miltä kulunut vuosi näytti lainsäädäntötrendien osalta? Yritysvastuusääntely tiukkeni niin ympäristöön kuin ihmisoikeuksiin liittyvissä kysymyksissä, kun taas digisääntely kehittyi tekoälyn, alustatalouden ja kyberturvallisuuden haasteiden myötä. Työmarkkinoilla tapahtui muutoksia erityisesti joustavuuden lisäämiseksi työpaikoilla. Samalla tietosuojasakot nousivat entistä näkyvämpään rooliin, mikä korostaa organisaatioiden velvollisuutta huolehtia henkilötietojen käsittelystä.
Lue alta Folksin tarkempi koonti kuluneesta vuodesta.
Yhtiöoikeudellisen sääntelyn keskiössä kestävyys ja vastuullisuus
Kuluneen vuoden teema yhtiöoikeudellisessa sääntelyssä on ollut vastuullisuus. Keväällä saavutettiin EU-tason sovinto yritysvastuudirektiivistä. Direktiivi tulee panna täytäntöön Suomessa kesään 2026 mennessä. Lisäksi kestävyysraportointidirektiiviin liittyvät raportointivelvollisuudet alkavat vaikuttaa jo tulevan vuoden osalta suurimpiin pörssiyhtiöihin. Vaikka molempien direktiivien pääasiallinen kohderyhmä ovat suuret yritykset, tulevat sääntelyn heijastevaikutukset näkymään todennäköisesti myös suurten yritysten alihankkijoissa, koska raportointivelvoitteet kattavat yrityksen lisäksi niiden toimitusketjua. Tämän vuoksi uudella sääntelyllä tulee todennäköisesti olemaan heijastevaikutuksia yleisiin sopimuskäytäntöihin ja esimerkiksi due diligence –tarkastuksiin, joissa tulee tunnistaa edellä tarkoitetusta sääntelystä johtuvat velvoitteet osana toimitusketjua.
Myös osakeyhtiölakia uudistettiin hallituskokoonpanoihin liittyvien vaatimusten osalta. Osakeyhtiölaki sisältää nyt raja-arvot ylittäviä pörssiyhtiöitä koskevan sukupuolikiintiön yhtiön hallituksen jäsenten osalta. Tämän muutoksen ja kestävyysraportointidirektiivin täytäntöönpanon johdosta myös pörssiyhtiöitä koskevaa hallinnointikoodia päivitettiin vastaamaan sukupuolikiintiövaatimusta sekä kestävyysraportointisääntelyä.
Pörssiyhtiöitä koskeva markkinoiden väärinkäyttöasetus päivittyi joulukuun alussa. Päivityksen johdosta johtohenkilöiden liiketoimien ilmoittamisen kynnystä nostettiin Suomessa aiemmasta 5 000 eurosta 20 000 euroon.
Yrityskaupparintamaa leimaa edelleen yleisen kustannustason noususta johtuva epävarmuus, joka näkyy pitkittyneinä prosesseina. Vuoden loppua kohden on havaittavissa pientä kajoa tunnelin päässä ja toivon mukaan ensi vuonna yrityskauppojen tahti vilkastuu entiselle tasolleen.
Kohti tiukempaa digitaalista vastuullisuutta
Vuosi 2024 toi mukanaan merkittäviä edistysaskeleita EU:n digitaalisen sääntelyn kentällä. Erityisen huomion kohteena oli elokuussa voimaantullut tekoälyasetus (AI Act). Tekoälyasetus asettaa globaalisti tarkastellen ainutlaatuiset raamit tekoälyjärjestelmien kehittämiselle, käyttöönotolle ja valvonnalle. Riskiperusteinen lähestymistapa määrittelee tekoälyn käytön sallittavuuden ja sovellettavat vaatimukset tekoälyjärjestelmän potentiaalisten vaikutusten perusteella.
Digipalvelusäädöksen (Digital Services Act, DSA) vaikutukset laajenivat vuonna 2024, kun säädöstä alettiin alkuvuodesta soveltaa täysimääräisesti. Digipalvelusäädös on vaikuttanut laajamittaisesti digipalveluntarjoajien toimintamalleihin asettamalla velvoitteita esimerkiksi käyttäjien toimittaman sisällön moderointiin liittyen. Alkuvuodesta voimaan tuli myös datasäädös (Data Act), jonka tarkoituksena on mahdollistaa datan oikeudenmukainen jakautuminen vahvistamalla selkeät ja oikeudenmukaiset säännöt dataan pääsylle ja sen käytölle.
Vuoden aikana myös kyberturvallisuus nousi entistä enemmän keskiöön NIS2-direktiivin myötä, jota sovelletaan laajasti erilaisiin toimialoihin. Vaikka NIS2-direktiivin kansallinen toimeenpano viivästyi, velvoitteisiin varautuminen on monessa yrityksessä jo aloitettu muun muassa riskienhallintaa, tietoturvapoikkeamien raportointia ja kyberturvallisuusstrategioita koskevien prosessien läpikäynnillä. Toisena merkittävänä kyberturvallisuussäädöksenä vuonna 2024 tuli voimaan DORA-asetus, jonka tavoitteena on suojella EU:n finanssijärjestelmää kasvavilta kyberuhilta ja vahvistaa luottamusta digitaalisiin palveluihin kriittisellä sektorilla. Finanssialan toimijoiden lisäksi DORA-asetus vaikuttaa myös ICT-palveluntarjoajiin, jotka tuottavat palveluita finanssialan toimijoille.
Vuosi 2024 osoitti, että EU:ssa sääntelyä kehitetään kiihtyvällä tahdilla vastaamaan nopeasti muuttuvaa teknologista ympäristöä. Tasapainon löytäminen tarpeettoman raskaiden velvoitteiden ja vastuullisen liiketoiminnan turvaamiseksi tarpeellisen sääntelyn välillä on osoittautunut ajoittain haastavaksi. Uuteen sääntelyyn liittyvät epäselvyydet tulevat toivottavasti lähivuosina selkeytymään, kun tulkintakäytäntöä alkaa muodostua.
Tavoitteena ketterämmät työmarkkinat
Vuosi 2024 on pitänyt sisällään useita, erityisesti kollektiivista työlainsäädäntöä koskevia muutoshankkeita. Kuluvan vuoden kevättä värittivätkin laajat poliittiset lakot eri työpaikoilla, joilla työntekijäpuoli vastusti hallituksen kaavailemia uudistuksia.
Toukokuussa tuli voimaan rajoituksia perinteiseen työtaisteluoikeuteen. Jatkossa myötätuntolakoilla, eli varsinaisen työehtosopimusriidan työntekijöitä tukevilla lakoilla ei saisi olla suhteettomia vaikutuksia kohteena olevan työnantajan liiketoimintaan. Samoin poliittisten työnseisausten kestoa rajoitettiin vuorokauteen ja muiden poliittisten työtaistelutoimien kestoa kahteen viikkoon.
Työehtosopimuksiin perustuva paikallinen sopiminen laajenee myös järjestäytymättömille työpaikoille, jolloin paikallisen sopimisen joustot ovat jatkossa mahdollisia kaikilla kyseisen työehtosopimuksen velvoittamilla työpaikoilla. Uusi sääntely tuo siten yleissitovuuden nojalla työehtosopimusta soveltavat työpaikat samalle viivalle kuin liittoon kuuluvat, ja lisäksi jatkossa paikallista sopimista voitaisi hyödyntää myös yrityskohtaisissa työehtosopimuksissa.
Myös yhteistoimintalakiin esitetään huomionarvoisia muutoksia, jotka höllentäisivät pienten ja keskisuurten työnantajien yhteistoimintavelvoitteita. Lain yleisen soveltamisalan nosto tarkoittaisi selkeitä kevennyksiä alle 50 työntekijän työpaikoille, kun esimerkiksi vuoropuhelua voitaisiin käydä nykyistä työpaikkakohtaisemmin, ja samoin muutosneuvotteluita tulisi käydä huomattavasti rajatummissa tilanteissa. Myös työvoiman vähentämistä koskevien vähimmäisneuvotteluaikojen rajaaminen puoleen nykyisistä olisi merkittävä muutos nykyiseen sääntelyyn, jonka myötä työpaikat voivat reagoida ripeämmin mahdollisiin muutostilanteisiin. Lakimuutosten olisi tarkoitus tulla voimaan 2025 kesällä.
Kiistanalainen vientivetoinen palkkamalli etenee parhaillaan eduskunnassa. Lailla on tarkoitus säätää valtakunnan sovittelijan toimintavaltuuksista tilanteessa, jossa työmarkkinaosapuolet eivät pääse keskenään sopuun sopimuskauden palkankorotuksista. Tämä tarkoittaisi sovittelijan ehdottamien palkankorotusten sitouttamista niin sanottuun yleiseen linjaan, jossa palkankorotusten taso on melko vakiintuneesti määrittynyt isojen vientialojen palkkaratkaisujen mukaan.
Kuluneena vuonna työmarkkinakentällä on myllertänyt ja suomalaisen työelämän nykytilasta ja tulevaisuudesta on käyty laajaa poliittista keskustelua. Alkavana vuonna myöskään tuskin vältytään työmarkkinaväännöiltä, kun hallituksen lakihankkeet muun muassa henkilöperusteisen irtisanomisen osalta etenevät ja kevään työehtosopimuskierros pääsee kunnolla vauhtiin.
Tietosuojassa puhuttaa evästeet ja generatiivinen tekoäly
Tietosuojakentän vuotta 2024 on leimannut jälleen evästeiden käyttö ja kohdennettu mainonta. Suomessa Traficom on useissa päätöksissään tehnyt selväksi, että vapaaehtoisten evästeiden asettaminen edellyttää aktiivista suostumusta, joka on pystyttävä antamaan helposti jo evästebannerin ensimmäisellä ruudulla. Euroopan tietosuojaneuvosto (EDPB) on tarkastellut erityisesti suurten verkkoalustojen ”maksa tai suostu” -malleja, ja todennut, etteivät ne yleensä täytä pätevän suostumuksen vaatimuksia, jos käyttäjien annetaan valita ainoastaan kahdesta vaihtoehdosta, eli siitä, suostuvatko he henkilötietojen käsittelyyn kohdennettua mainontaa varten vai maksavatko he siitä, että heidän henkilötietojaan ei käytetä tällaiseen mainontaan. Elinkeinoelämä on kritisoinut linjausta todeten, että se jättää yksityisyydensuojan rinnalla se toisen perusoikeuden, elinkeinovapauden, huomioimatta. EDPB on julkaisemassa seuraavaksi muita kuin suuria verkkoalustoja koskevan ohjeistuksen ”maksa tai suostu” -malleihin liittyen.
Myös generatiivinen tekoäly on puhuttanut tietosuojayhteisöä. Keskeinen kysymys on ollut, mitä GDPR:n mukaista oikeusperustetta voidaan käyttää, kun käsitellään henkilötietoja tekoälymallien koulutusta varten, esim. kun tietoja crawlataan verkkosivustoilta tai sosiaalisen median palveluista. Iso-Britannin tietosuojaviranomainen ICO ja Ranskan tietosuojaviranomainen CNIL ovat julkaisseet ohjeistuksia, joissa viitataan oikeutettuun etuun käsittelyperusteena edellyttäen, että tavoiteltu etu on lainmukainen, ja käsittely on tarpeen tuon laillisen tarkoituksen toteuttamiseksi, eivätkä rekisteröidyn perusoikeudet ja -vapaudet syrjäytä tavoiteltua oikeutettua etua. EPDB:n ChatGPT työryhmä ei ottanut käsittelyn oikeusperusteeseen selkeää kantaa raportissaan, mutta linjaa yleisesti oikeutettua edun käyttämistä käsittelyperusteena lokakuussa julkaistussa ohjeistuksessaan.
Tietosuojasakot eivät jääneet tänäkään vuonna vähäisiksi. Irlannin tietosuojaviranomainen antoi LinkedInille 310 MEUER sakot, sillä LinkedIn ei ollut pyytänyt käyttäjiltään pätevää suostumusta mainonnan kohdentamiseen. Hollannin tietosuojaviranomainen taas antoi Uberille 290 MEUR sakot sen siirrettyä henkilötietoja Yhdysvaltoihin ilman asianmukaista perustetta. Meta sai 91 MEUR sakot käsiteltyään käyttäjien salasanoja huolimattomasti selkokielisenä sisäisissä järjestelmissään. Komission raportti GDPR:n soveltamisesta ja toimivuudesta kertoo, että Suomessa sakkoja on annettu jäsenmaista kolmanneksi vähiten. Raportti myös nostaa esiin, että tietosuojalainsäädännön soveltamisessa on yhä havaittu hajanaisuutta EU-maiden välillä, että tulevina vuosina tulisi keskittyä lisäämään tietosuoja-asetuksen yhdenmukaista tulkintaa entisestään. Myös EU:n uuden digi- ja datasääntelyn yhtenäinen soveltaminen edellyttää viranomaisten toimivaa yhteistyötä.
Tervetuloa 2025!
Digitalisaatio ja globalisaatio haastoivat lainsäätäjiä kuluneena vuonna, ja näemme varmasti saman trendin jatkuvan myös tulevina vuosina. Tilaa Folks Fokus ja Folksin uutiskirje, niin pysyt jatkossakin kartalla keskeisistä organisaatioihin vaikuttavista muutoksista. Pääset tilaamaan uutiskirjeen täältä.
Folks toivottaa kaikille rentouttavaa joulunaikaa ja iloista uutta vuotta!
