top of page
Etsi

Tietosuojasääntely tienhaarassa – löytyykö tasapaino lopulta?

Päivitetty: 6 päivää sitten

EU:n yleinen tietosuoja-asetus (GDPR) ja sen tulevaisuus: Innovaatioiden ja yksityisyydensuojan tasapaino


GDPR on tunnettu maailman tiukimpana tietosuojalainsäädäntönä. Se on kunnianhimoinen projekti, joka vahvistaa perusoikeuksia ja palauttaa yksilölle kontrollin omista tiedoistaan. Kuitenkin se on myös tuonut mukanaan uudenlaisen täytäntöönpanokulttuurin. Valvontaviranomaiset ovat tulkinneet henkilötietojen käsittelyn lainmukaisuutta tiukasti.


Nyt asetelma on muuttumassa. Euroopan komission Digital Omnibus -paketti pyrkii keventämään ja selkeyttämään EU:n digisääntelyä, mukaan lukien GDPR:ää. Tämä muutos on tarpeen, sillä nykyinen sääntely koetaan liian raskaaksi ja innovaatioita jarruttavaksi. Herää kysymys: siirrymmekö perusoikeuslähtöisestä varovaisuudesta toiseen ääripäähän, jossa kilpailukykyargumentit ajavat tietosuojan ohi? Vai onko viimein löytymässä tasapaino, jossa innovaatiot ja yksityisyydensuoja voivat olla sovitettavissa yhteen?


Tiukka tulkinta kaventanut mahdollisuuksia innovoida


Henkilötiedon määritelmän tulkinta on keskeistä arvioitaessa GDPR:n soveltuvuutta. Euroopan unionin tuomioistuimen Breyer v. Saksan liittotasavalta (C-582/14) ratkaisuissa punnittiin, olivatko verkkopalvelun lokitiedostoihin tallentuvat dynaamiset IP-osoitteet henkilötietoja. Palveluntarjoaja ei voinut tunnistaa käyttäjää ilman teleoperaattorilta saatavia lisätietoja. Ratkaisussa todettiin, että tieto voi olla henkilötietoa, vaikka tunnistamiseen tarvittavat lisätiedot ovat kolmannen osapuolen hallussa.


Olennaista oli, että rekisterinpitäjällä on kohtuullisesti käytettävissään keinoja saada tuo lisätieto. Vaikka itse ratkaisu antaa mahdollisuuksia pohtia tapauskohtaisesti, onko rekisterinpitäjällä kohtuullisia laillisia keinoja tunnistamiseen, viranomaisten ja yritysten tulkintalinja on kääntynyt varovaisemmaksi. Tunnistamisen mahdollisuuden ei tarvitse olla todennäköinen; riittää, että se ei ole täysin poissuljettu. Tällöin GDPR:n kaikki velvollisuudet astuvat voimaan tarpeettoman laajasti. Tämä vie huomion pois niistä tilanteista, joissa on todellinen riski yksityisyydensuojalle.


Varovainen tulkintalinja on tarkoittanut, että monet organisaatiot ovat jättäneet potentiaalisesti hyödyllisiä datanhyödyntämishankkeita tekemättä. Ne eivät ole uskaltaneet tulkita esimerkiksi käsittelyperusteita joustavasti. Elinkeinoelämän tutkimuslaitos Etlan mukaan tiukka tietosuojasääntely on vähentänyt merkittävästi lääke- ja bioteknologiayritysten tutkimus- ja kehitysinvestointeja. Kun yritykset miettivät, voiko ne hyödyntää potilasdataa, asiakasdataa tai IoT-dataa uusien palveluiden ja tuotteiden kehittämisessä, varovaisuus sanktioiden pelossa voittaa usein. Tämä ei ole vain tietosuojalainsäädännön kirjaimen syytä, vaan johtuu pitkälti siitä, miten lainsäädäntöä on viranomaisten taholta tulkittu.


Eurooppalaiset päättäjät ovat heränneet siihen, että EU on rakentanut maailman vahvinta tietosuojajärjestelmää, mutta se on jäänyt jälkeen Yhdysvalloista ja Kiinasta datavetoisen liiketoiminnan ja tekoälyn kehityksessä. Mario Draghin raportti Euroopan kilpailukyvystä on muistuttanut tästä. Komissioon on kohdistunut kasvavaa painetta "pehmentää" digisääntelyä.


Omnibusilla onneen?


Komission 19.11.2025 julkaiseman Digital Omnibus -paketin tavoitteena on "yksinkertaistaa sääntelyä", "vähentää kustannuksia" ja "parantaa EU:n kilpailukykyä". Käytännössä tämä näkyy esimerkiksi evästekäytäntöjen keventämisessä. Tavoitteena on vähentää jatkuvaa suostumusklikkailua. Käyttäjä voisi asettaa laajempia selaintason tai pidempään voimassa olevia suostumusasetuksia. Toinen näkyvä muutos olisi se, että tekoälysäädöksen tiukimpien velvoitteiden voimaantuloa halutaan siirtää eteenpäin. Tämä antaisi yrityksille enemmän aikaa sopeuttaa korkean riskin tekoälyjärjestelmiä sääntelyyn.


Lisäksi GDPR:n ytimeen ehdotetaan täsmämuutoksia, jotka rajaisivat henkilötiedon määritelmää. Tämä luo enemmän tilaa käyttää henkilötietoja tekoälymallien kouluttamiseen muun muassa oikeutetun edun perusteella. On ymmärrettävää, että sääntelyä halutaan selkeyttää ja päällekkäisyyksiä purkaa. Nykyinen digitaalinen sääntelykehikko, kuten GDPR, datasäädös, DSA, DMA, NIS2 ja tekoälysäädös, on paisunut mosaiikiksi. Sen hallinta on vaikeaa jopa suurille toimijoille, pienemmistä puhumattakaan.


Kritiikki on kuitenkin ollut äänekästä. Kansalaisjärjestöt ja tietosuoja-asiantuntijat ovat kuvanneet ehdotettuja muutoksia "tuhannen pienen viillon" strategiana. Tämä ei ehkä poista koko asetusta, mutta heikentää sen tehoa kriittisissä kohdissa, kuten AI-mallien koulutuksessa käytettävän henkilötiedon käsittelyperusteiden osalta. Kriittinen kysymys on, missä määrin ongelma on itse GDPR:n tekstissä ja missä määrin sen soveltamiskulttuurissa.


Jo ennen Digital Omnibus -avausta Euroopan tietosuojaneuvosto (EDPB) on tunnistanut tarpeen käytännön tason yksinkertaistamiselle. Niin sanotussa Helsinki Statementissa EDPB on linjannut, että se haluaa helpottaa erityisesti pk-yritysten mahdollisuuksia noudattaa GDPR:ää käytännössä. Tavoitteena on lisätä vuoropuhelua sidosryhmien kanssa ja vahvistaa sääntelyn johdonmukaisuutta, kuitenkaan heikentämättä yksilön perusoikeuksia. Tämä kertoo siitä, että myös valvontaviranomaiset näkevät, että GDPR:n soveltaminen on ollut tarpeettoman raskasta. Yritysten compliance-työtä tulee helpottaa muun muassa erilaisten työkalujen ja mallipohjien avulla.


Myös henkilötiedon määritelmään on jo ennen Digital Omnibusia saatu käytännönläheisempi linjaus. Ratkaisussa EDPS v. SRB (C-413/23 P) vahvistettiin, että pseudonymisoitu data on lähtökohtaisesti edelleen henkilötietoa sen toimijan näkökulmasta. Tämä on mahdollista, jos toimija voi hankkia lisätiedot ja siten tunnistaa rekisteröidyn Breyer-ratkaisussa asetetun kriteerin mukaisesti kohtuullisin toimin. Samalla ratkaisu kuitenkin avasi mahdollisuuden, että sama data voi olla henkilötietoa yhdelle toimijalle, mutta anonyymia toiselle, jolla ei ole realistisia keinoja rekisteröidyn uudelleentunnistamiseen. Omnibus-ehdotus sementoi tämän näkökulman ja selväsanaisesti hylkäsi Euroopan tietosuojaviranomaisen EDPS:n edellä viitatussa SRB-tapauksessa esittämän näkökulman. Pseudonyymitiedot eivät ole aina ja kaikille henkilötietoja.


Lopuksi


Selvää on, että tietosuojasääntely on nyt tienhaarassa. Suurin osa ongelmista ei johdu siitä, että GDPR olisi perusperiaatteiltaan liian tiukka. Ongelmat johtuvat siitä, että GDPR:n perusperiaatteista johdetaan arjessa absoluuttisia kieltoja riskiperusteisen lähestymistavan soveltamisen sijaan. Tämän näkökulman perusteella GDPR:n peruskäsitteistöön ei olisi välttämättä ollut tarpeen tehdä muutoksia. Sen sijaan olisi pitänyt vahvistaa riskiperusteisuuteen nojaavaa tulkintakulttuuria.


On kuitenkin vaikea olla kannattamatta tavoitteita, jotka liittyvät päällekkäisen sääntelyn purkamiseen, evästekäytäntöjen järkevöittämiseen ja pk-yritysten hallinnollisen taakan keventämiseen. Seuraavien vuosien aikana ratkaistaan, onnistuuko EU päivittämään tietosuojasääntelyä niin, että se säilyttää normatiivisen voimansa, mutta toimii innovaatioita mahdollistavana kehyksenä. Keskeinen kysymys on, onnistuuko uudistus tavalla, joka ei rapauta yksityisyydensuojaa tai syvennä kilpailuepätasapainoa. Tämä voi tapahtua siirtämällä neuvotteluvoimaa pois yksilöltä ja eurooppalaisilta pk-toimijoilta globaaleille teknologiayrityksille. Ottaen huomioon Digital Omnibus -ehdotukseen kohdistuneen kritiikin, poliittinen prosessi muutosten läpiviemiseen tulee olemaan haastava. Me Folksilla seuraamme tiivisti lainsäädäntöaloitteen etenemistä.


Folksin osakas Anna Paimela hymyilee, kädet ristissä, valkoinen paita. Tausta harmaata kiviseinää. Ilmapiiri ystävällinen ja rento. Ei tekstiä.

Anna Paimela

Osakas

+358 40 1648626








Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.

bottom of page