Tietosuoja-asetuksen viilailussa ei pidä hötkyillä

EU:n tietosuoja-asetuksen uudistamisessa ei pidä hötkyillä, vaan sen soveltamisesta on tärkeä hankkia lisäkokemuksia ennen muutoksia. EU-komissio harkitsee, tulisiko nyt vajaat kaksi vuotta voimassa ollutta asetusta muuttaa. Finanssiala kannattaa maltillista etenemistä, vaikka jotain lastentautejakin asetuksesta löytyy.

Toukokuussa 2018 voimaan tullut tietosuoja-asetus GDPR on vaatinut massiivisia ja kalliita muutoksia tietojärjestelmiin ja yritysten toimintatapoihin ja prosesseihin. Samaan aikaan yritysten tietosuoja on kohentunut ja muuttunut läpinäkyvämmäksi päivitettyjen tietosuojaselosteiden ansioista. Yritysten johto on vihdoin ottanut tietosuojan vaatimukset vakavasti – sitä on epäilemättä vauhdittanut asetuksen rikkomisesta aiheutuvat sanktiot.

Tietosuoja-asetukseen liittyy myös paljon tulkinnanvaraisuutta. Yritykset koettavat parhaansa mukaan tulkita moniselitteisiä säännöksiä ja soveltaa niitä käytännön yrityselämässä. Viranomailta ei ole aina saatavilla ohjeistusta asioihin.

Näkyviä uudistuksia tietosuoja-asetuksessa on kuluttajan oikeus pyytää itseään koskevia tietoja poistettavaksi, saada tieto siitä, jos hänen tietonsa ovat joutuneet tietomurron kohteeksi tai siirtää itseään koskevia tietoja palveluntarjoajalta toiselle. Finanssialan kannalta se voisi tarkoittaa sitä, että asiakkaalle olisi helpompaa kilpailuttaa esimerkiksi vakuutuksiaan, kun omat tietonsa voi pyytää vakuutusyhtiöltä.

Tietosuoja-asiat mallikkaasti hoitava yritys voi nähdä asian kilpailuetuna, ei pelkkänä kustannuksena ja byrokratiana. Suomalainen finanssiala on ollut edelläkävijä tietosuojassa jo ennen asetusta, sillä asiakastietojen luottamuksellinen säilyttäminen on finanssialalla keskeinen asiakassuhteen edellytys.

Lastentautejakin on. Esimerkiksi tietojen järjestelmästä toiseen siirtämisen käytännön toteutus on jäänyt epäselväksi myös asiakkaille. Jos joku yritys tätä mahdollisuutta automaattisesti tarjoaakin, vielä harvempi yritys kykenee ottamaan tietoja vastaan ja hyödyntämään niitä, koska asiakastiedot ovat usein merkityksellisiä vain yritykselle itselleen.

Komissio kerää EU-jäsenmailta paraikaa näkemyksiä ja kommentteja tulisiko tietosuoja-asetusta muuttaa ja miten. Komissio antaa asiasta selvityksen toukokuussa. Asetuksen voimaansaattamisen edistyminen eri maissa vaihtelee runsaasti. Esimerkiksi Suomessa on vielä hyväksymättä vakuutusyhtiöitä koskeva erityislainsäädäntö. Samasta syystä myös jäsenmaiden näkemykset muutostarpeisiin vaihtelevat.

Pidempi kokemus soveltamisesta olisi paikallaan ennen asetuksen avaamista. On myös hyvin mahdollista, että Euroopan tietosuojaneuvosto ja kansalliset viranomaiset pystyvät ratkaisemaan ainakin osittain tietosuoja-asetukseen liittyviä ongelmia ilman, että koko sääntelyä tarvitsee ottaa operoitavaksi.