EU:n datasäädöksen kansallinen täytäntöönpano – Arviomuistio

Pieni EU:n lippu. Kuvituskuva.

Liikenne- ja viestintäministeriö on pyytänyt Keskuskauppakamarilta lausuntoa arviomuistioluonnoksesta, joka käsittelee EU:n datasäädöksen kansallista täytäntöönpanoa Suomessa. Oletamme, että datasäännöksen vaikutukset Suomessa ja Euroopassa eri toimialoihin ja erilaisiin organisaatioihin tulevat olemaan huomattavia. Datasäädös tulee muuttamaan suomalaisten yritysten toimintatapoja ja käytäntöjä.

Datasäädöksen tarkoituksena on varmistaa, että verkkoon liitetyn tuotteen tai tuotteeseen liittyvän palvelun käyttäjät saavat tämän tuotteen tai siihen liittyvän palvelun käytön tuloksena syntyvän datan ja että käyttäjät voisivat myös jakaa tätä dataa valitsemiensa kolmansien kanssa tai käyttää sitä muihin, lainmukaisiin tarkoituksiin. Datasäädöksen tavoitteena on lisätä oikeudenmukaisuutta datan käyttöön ja jakamiseen ja luoda kaikille toimijoille pelisäännöt dataan pääsystä ja käytöstä.

Yritysten datanjakokäytäntöjä tulisi pyrkiä kehittämään markkinavetoisesti. Datasäädös voi vaikuttaa yritysten valmistamiin tuotteisiin esimerkiksi niin, että jatkossa mietitään tarkemmin, missä vaiheessa tuotteen on ylipäänsä tarpeellista tuottaa dataa. Datasäädöksen oletetaan lisäävän kilpailua ja parantavan kolmansien mahdollisuuksia kilpailla datan haltijan tai valmistajien kanssa huolto- ja liitännäispalveluissa tietyillä aloilla pitkän aikavälillä.

Datasäädöksen ja yleisen tietosuoja-asetuksen rinnakkainen soveltaminen on haasteellista ja lisää yritysten hallinnollista taakkaa. Käytännön elämässä syntyy usein avoimia kysymyksiä, kuten jos käyttäjä pyytää datan haltijaa jakamaan dataa kolmannessa maassa toimivalle taholle, kenen vastuulla on luoda tilanteeseen sopiva tietosuoja-asetuksen mukainen siirtomekanismi ja riskiarviointi. Komission ja jäsenvaltioiden viranomaisten tulisi ohjeistaa ja neuvoa erilaisissa tilanteissa.

Datasäädöksen toimeenpanossa tulee ottaa huomioon vallitseva maailmanpoliittinen tilanne. Datasäädöstä ei tule tulkita laajentavasti. Datasäännöksen toimeenpanossa tulee huomioida viranomaisten yhteistyö yritysten ja muiden toimijoiden kanssa, viranomaisten resurssointi kuten myös viranomaisten välinen sujuva yhteistyö.

Kannatamme arviomuistioluonnoksen lähtökohtaa, jonka mukaan datasäädöksen viranomaistehtävät keskitettäisiin Traficomille ja tietosuojavaltuutettu valvoisi henkilötietojen käsittelyä koskevia velvoitteita. Yritysten näkökulmasta on tärkeää, että viranomaisten välinen yhteistyö toimii hyvin. Valvoville viranomaisille tulee taata riittävät resurssit, jotta ne voivat hoitaa osaavasti ja asianmukaisesti uudet tehtävänsä. Olisi myös hyvä, että viranomaisilla olisi mahdollisuus ja resursseja osallistua ja seurata datasäännöksen täytäntöönpanoa EU:ssa ja muissa jäsenvaltioissa, jotta asetuksen tulkinta, neuvonta ja ohjeistus muodostuisivat mahdollisimman yhdenmukaisiksi sisämarkkinoilla. Tällaisen yhteistyön ja toiminnan kautta myös hyviä ja toimivia käytäntöjä voitaisiin tuoda kotimaiseen toimintaympäristöön suomalaisille yrityksille ja muille toimijoille.

Arviomuistiossa ei ehdoteta, että Suomeen perustettaisiin erillinen riidanratkaisuelin. Mielestämme tämä on kannatettava lähestymistapa. Haluamme kiinnittää kuitenkin huomiota siiten, että myös tuomioistuimilla tulee olla riittävästi resursseja käsitellä ja ratkaista pätevästi jatkuvasti lisääntyviä digi-, data-, kyberturva- ja AI-asioita.

Yritysten näkökulmasta on olennaista, että viranomaisten välinen yhteistyö on toimivaa ja sujuvaa.  Tämä korostuu erityisesti Traficomin ja tietosuojavaltuutetun toimiston osalta datasäädöksen soveltamisessa. Viranomaisille tulee antaa riittävät resurssit yhtenäisten tulkintojen muodostamiseksi. Sekä datasäädös että henkilötietoja koskeva lainsäädäntö ovat säännöksinä sangen monimutkaisia ja haastavia, jolloin viranomaisten osaaminen, asenne, kyky neuvoa ja ohjata yrityksiä ennakoivasti ovat ensisijaisen tärkeitä, jotta täytäntöönpano tulee olemaan yrityksiä tukevaa.

Datasäädös on horisontaalinen ja koskee siis monia eri toimialoja. Datataloutta ollaan vasta rakentamassa sisämarkkinoilla ja se muuttuu koko ajan. Tästä syystä viranomaisten tulee toiminnassaan olla läheisessä yhteistyössä myös eri sektoreiden yritysten ja muiden toimijoiden kanssa. Koska datasäädös on soveltamisalaltaan laaja, tulee myös yhteistyön eri toimijoiden kanssa olla laajaa muun muassa huomioiden erilaiset verkostot ja data-avaruudet.

Datasäädöksessä on seuraamusartikla, jonka mukaan seuraamusten määrittäminen jätetään jäsenvaltioille. Kuitenkin seuraamusten on oltava tehokkaita, oikeasuhteisia ja varoittavia.

Arviomuistion mukaan työryhmän työ on seuraamusten osalta vielä kesken. Arviomuistiossa todetaan, että porrastetun keinovalikoiman käyttöönotto vaikuttaisi tarkoituksenmukaiselta. Tällä tarkoitetaan sitä, että seuraamus suhteutettaisiin rikkomuksen vakavuuteen ja muihin datasäädöksessä lueteltuihin, huomioitaviin seikkoihin, joita viranomaisen tulee arvioinnissa ottaa huomioon. Ensin toimijalle annettaisiin mahdollisuus korjata toiminta viranomaisen mahdollisten ohjeiden mukaisesti. Seuraava taso olisi huomautus. Jos toimija ei ohjeista huolimatta korjaisi menettelyään kohtuullisessa määräajassa, viranomainen voisi määrätä seuraamusmaksun.

Arviomuistion mukaan seuraamus voi olla hallinnollinen tai rikosoikeudellinen. Arviomuistion mukaan seuraamusten tulisi olla oikeasuhtaisia rikkomukseen nähden niin, että seuraamuksen laatu ja määrä on sitä raskaampi, mitä raskaammasta ja pitkäkestoisemmasta rikkomuksesta on kyse. Seuraamusten osalta tulee ottaa huomioon suhteellisuusperiaate ja sanktioiden tulee olla viimesijaisia. Arviomuistiossa on ehdotus jonkinlaisesta puuttumiskynnyksestä. Tämä tarkoittaisi jonkinlaista minimitasoa, jolla valvontaa ylipäätään suoritettaisiin.

Pidämme lähtökohtaisesti porrastettua lähestymistapaa ja puuttumiskynnystä hyvänä. Seuraamusten tulee olla hallinnollisia eikä rikosoikeudellisia. Seuraamusmaksun enimmäismäärällä tulisi olla euromääräinen maksimi. Emme kannata liikevaihtoon sidottua vaihteluväliä.

Kuitenkin asiaan on haastavaa ottaa kantaa, koska arviomuistio on tältä osin keskeneräinen. On hyvä muistaa, että datasäädös on valtaosalle yrityksistä kokonaan uutta lainsäädäntöä. Markkinakäytäntöä ei myöskään ole tai sitä on vain vähän tietyillä sektoreilla. Tästä syystä seuraamusten määrittämisessä on syytä olla varovainen. Myös puuttumiskynnyksen tulee olla korkea.

Aalto-Setälä Minna

Minna Aalto-Setälä

Johtava asiantuntija, IPR ja digitalisaatio

+358 44 032 0054

Kategoriat:Digitalisaatio, Lainsäädäntö, Minna Aalto-Setälä