- EU:n Digital Omnibuksella on mahdollista selkeyttää data- ja tietosuojasääntelyä sekä vähentää päällekkäisiä velvoitteita, jos muutokset ovat aidosti vaikuttavia eivätkä vain näennäisiä.
- Myönteistä on muun muassa se, että tietosuoja-asetus on mukana kokonaisuudessa. Digiomnibuksen keskeisiä hyötyjä ovat esimerkiksi rekisterinpitäjien hallinnollisen taakan keventäminen sekä ehdotukset automaattista päätöksentekoa koskevien sääntöjen selkeyttämiseksi.
- Digiomnibuksessa on vältettävä liian teknologiakohtaista, etukäteen sementoivaa sääntelyä.
- Raportointia on suoraviivaistettava. Ehdotetusta EU-tason keskitetystä ilmoituskanavasta poikkeamille ei tule luoda vain uutta lisäraportointikanavaa vanhojen rinnalle.
Finanssialalla hyödynnetään dataa, automaatiota ja tekoälyä yhä laajemmin esimerkiksi luotonannossa, vakuutustoiminnassa, petostorjunnassa ja asiakaspalvelussa. Nykyisen sääntelykokonaisuuden sekavuus ja hankala ennakoitavuus puristavat alalla kuitenkin kivenä kengässä, sillä eri EU-säädökset sekä sektorikohtaiset sääntelyt ovat toisinaan ristiriidassa tai päällekkäisiä.
Euroopan komission marraskuussa 2025 julkaisema Digital Omnibus -kokonaisuus (digiomnibus) on ensimmäinen laajamittainen yritys yksinkertaistaa ja yhteensovittaa EU:n nopeasti kasvanutta data-, tietosuoja- ja tekoälysääntelyä. Finanssiala ry (FA) pitää kokonaisuuden tavoitteita perusteltuina ja ajankohtaisina – tosin sillä edellytyksellä, että ehdotukset johtavat sääntelyn selkeytymiseen ja hallinnollisen taakan kevenemiseen, ei vain kosmeettisiin muutoksiin.
”Oikein toteutettuna digiomnibus selkeyttää sääntelyn keskinäisiä suhteita, vähentää päällekkäisiä velvoitteita ja parantaa oikeusvarmuutta ilman, että yksilöiden tietosuojan tasoa heikennetään”, toteaa FA:n juristi Tuulia Karvinen.
Karvinen pitää positiivisena sitä, että EU:n yleinen tietosuoja-asetus (GDPR) on sisällytetty digiomnibus‑kokonaisuuteen.
”GDPR on keskeinen osa EU:n digi‑ ja datasääntelyä, ja jäsenmaittain vaihtelevat viranomaisohjeistukset ja tulkinnat ovat yksi sen soveltamisen suurimmista ongelmista”, Karvinen toteaa.
Tärkeää on muun muassa automaattista päätöksentekoa koskevien tietosuoja-asetuksen sääntöjen selkeyttäminen tekoälysäädöksen vastaavien säännösten kanssa. Automaattista päätöksentekoa koskevan sääntelyn järkevöittäminen on Karvisen mukaan paikallaan, jotta hyödyllisten ja kuluttajia palvelevien automatisoitujen ratkaisujen käyttöönotto ei esty tarpeettomasti. Tällä hetkellä tietosuoja-asetuksen lähtökohtana on, että automaattinen päätöksenteko on lähtökohtaisesti kielletty, kun taas tekoälyasetus pitää sitä normaalina ja hyväksyttävänä, kunhan prosessien ja järjestelmien tasolla on huolehdittu etukäteen riskien hallinnasta.
”Käytännössä henkilöllä on aina oltava mahdollisuus saada asiansa ihmisen ratkaistavaksi, jos hän on aiemmin saanut asiaansa ihmisen tekemän ratkaisun. Tällainen linja tarkoittaa sitä, että asiakaspalvelua sujuvoittavan automaattisen päätöksenteon edistäminen uhkaa jäädä ikuisesti junnaamaan paikoilleen ja estää uusien teknologioiden käyttöönoton palveluiden parantamiseksi”, Karvinen kritisoi.
”Automaattisen päätöksenteon ja tekoälyjärjestelmien hyödyntämisen mahdollistaminen ei tarkoita, etteikö asiaansa voi saada esimerkiksi valitusoikeuden kautta myöhemmin ihmisen käsiteltäväksi. Asiakkaalla on oltava oikeus saada automaattipäätöksenä tehdyn päätöksen vielä ihmissilmien tarkistettavaksi tarpeen vaatiessa”, Karvinen lisää.
Karvinen korostaa, että muutosten tulee olla riskiperusteisia, teknologianeutraaleja ja suhteellisia.
”Tekoälypohjaiset teknologiat kehittyvät todella nopeasti ja myös kvanttiteknologia tekee tuloaan. On tärkeää, että sääntelyä ei sementoida etukäteen liian teknologiakohtaiseksi”, Karvinen toteaa.
”Tietosuoja-asetus aiheuttaa yrityksille Euroopassa merkittävää hallinnollista taakkaa. Tämän taakan keventämiseksi on annettu esimerkiksi ehdotuksia koskien missä tilanteissa rekisterinpitäjällä on velvoitteita informoida rekisteröityjä sekä milloin ja mistä tulee tehdä tietoturvaloukkausilmoituksia jatkossa. Ehdotukset ovat tervetulleita, kunhan ne eivät neuvottelujen myötä muutu suuntaan, joka heikentäisi henkilötietojen suojaa”, Karvinen avaa.
Tietosuoja-asetukseen ehdotettuja muita hyviä muutosehdotuksia:
- Henkilötietojen määritelmän yhtenäistäminen vallitsevan oikeuskäytännön kanssa.
- Tieteelliseen tutkimukseen liittyvän käsittelyn selventäminen.
- Rekisterinpitäjien velvollisuuksien keventäminen ja yksinkertaistaminen.
- Muutokset henkilötietojen käsittelyyn ja evästesääntelyyn tekoälyjärjestelmien kehittämisessä.
Uudelle ilmoituskanavalle kyllä – jos se karsii vanhoja
Yksi digiomnibuksen konkreettisimmista ja finanssialalle potentiaalisesti merkittävistä ehdotuksista koskee tietoturva- ja tietosuojapoikkeamien raportointia. FA kannattaa sitä, tietosuoja-asetuksen mukaiset ilmoitukset olisi tehtävä vain aidosti korkean riskin poikkeamista. Ilmoitusten tekoaikaa tietosuoja-asetuksen alla on ehdotettu pidennettävän lisäksi 96 tuntiin.
”Tämä parantaisi ilmoitusten laatua ja vähentäisi vähäriskisistä tapauksista aiheutuvaa hallinnollista kuormaa. Vastaavat muutokset olisi hyvä tehdä tietosuoja-asetuksen lisäksi myös muihin säädöksiin kyberturvallisuuden puolella”, Karvinen toteaa.
FA suhtautuu myönteisesti myös digiomnibuksessa ehdotettuun raportoinnin Single Entry Point -malliin. Ehdotus kuitenkin kaipaisi hieman lisää kunnianhimona, jolloin se järkevästi toteutettuna voisi Karvisen mukaan karsia päällekkäistä raportointia huomattavasti.
”Kanavaan olisi mahdollista toimittaa jopa viiden eri säädöksen raportoinnit. Raporttien ollessa päällekkäisiä voitaisiin ideaalitilanteessa raportoida vain yhteen kanavaan yhdellä raportilla usean sijaan.”
Mallin hyödyt ovat kuitenkin ehdollisia: jotta malli keventäisi hallinnollista taakkaa aidosti, sen on Karvisen mukaan korvattava nykyiset ilmoituskanavat.
”Uusi lisäkanava entisten jatkeeksi ei palvele ketään. Lisäksi mallin on perustuttava yhdenmukaisiin määritelmiin, kynnyksiin ja aikarajoihin ja sen tulee mahdollistaa aina raportointi myös englanniksi. Lisäksi mallin on oltava täysimääräisesti toiminnassa ennen kuin siitä tulee pakollinen”, Karvinen luettelee.
Jäikö kysyttävää?
|Ota yhteyttä aiheen asiantuntijaan
Janoatko lisää?
Tähän aiheeseen liittyviä uutisia ja kolumneja
Digisääntely kaipaa selkeyttä – Digital Omnibus -ehdotus toimii, kunhan muutokset eivät jää kosmeettisiksi
Sadan miljoonan euron susi? – Onko asiakasdataa sääntelevä FIDA-lakiesitys hintansa arvoinen?
Finanssialan asiakasdatan jakamista koskevan käyttökehyksen käsittely edennyt – kiire uhkaa lainvalmistelun laatua
Kansanedustaja Aura Salla digieurosta: Miksi EKP sotkee markkinaa rakentamalla uutta maksujärjestelmää?
