Lausunto: gDPR:n 3. vuosipäivä
Kolme vuotta sitten, 25. toukokuuta 2018, yleistä tietosuoja-asetusta alettiin soveltaa. Yleisen tietosuoja-asetuksen tarkoituksena oli antaa oikeuksia jokapäiväisille henkilöille, jotka ovat tietojenkäsittelyn kohteena ("rekisteröidyt"). Me noybilla sovellamme GDPR:ää tästä käyttäjän näkökulmasta joka päivä.
Kolmen vuoden jälkeen ensimmäinen välitilinpäätös on ristiriitainen: GDPR on selvästi tuonut asian kaikkien tietoisuuteen, varmistanut, että yritykset ovat tarkistaneet käytäntöjä (usein ensimmäistä kertaa), ja käyttäjät ovat tulleet tietoisemmiksi siitä, että heillä on oikeuksia digitaalisessa ympäristössä.
Yksityisyyden suoja paperilla?
Oikeudet ja oikeuden saaminen ovat kaksi eri asiaa: Aivan kuten vuonna 1995 annetun tietosuojadirektiivin (direktiivi 95/46/EY) aiempien sääntöjen mukaan, EU on onnistunut antamaan edistyksellisen lain (jos sitä verrataan maailmanlaajuiseen mittakaavaan). Jäsenvaltiot jättävät kuitenkin suurelta osin panematta täytäntöön tämän uuden EU:n lainsäädännön. Tämä johtaa siihen, että yksityisyys on "paperilla", mutta ei välttämättä käyttäjien puhelimissa tai tietokoneissa.
Tietosuojaan ja yksityisyyden suojaan erikoistuneena organisaationa kymmenen lakimiestä soveltaa GDPR:ää päivittäin. Siitä huolimatta näemme säännöllisesti tapauksia, joiden ratkaiseminen kestää vuosia, erityisesti silloin, kun käyttäjät haluavat valvoa oikeuksiaan yli kansallisten rajojen. Jotkut tietosuojaviranomaiset tekevät hyvää työtä, mutta toiset eivät edes hyväksy käyttäjien oikeutta valituksen tutkimiseen, saati sitten käyttäjien oikeuksien täytäntöönpanoon. Koska yritykset ilmoittavat päätoimipaikkansa sopivimpaan jäsenvaltioon ("forum shopping"), käyttäjät koko EU:ssa kärsivät tietosuojaviranomaisten heikoista yhteyksistä.
Joissakin jäsenvaltioissa tuomioistuimet ovat olleet yhtä haluttomia valvomaan käyttäjien oikeuksia. Usein vaikuttaa siltä, että tuomarit eivät ole saaneet koulutusta tietosuoja-asetuksesta, mikä johtaa päätöksiin, jotka herättävät uudelleen henkistä vahinkoa koskevat oikeudelliset kiistat, jotka olisi pitänyt ratkaista jo kauan sitten - esimerkiksi oikeus saada rahallista korvausta henkisistä vahingoista. Tuomioistuimet soveltavat myös paikallista prosessioikeutta tavalla, joka tekee tietosuoja-asetuksen täytäntöönpanon lähes mahdottomaksi.
Tämä tilanne ei johda ainoastaan kansalaisten oikeuksien törkeisiin loukkauksiin, vaan myös epäreiluun kilpailuun, sillä jotkut Euroopan markkinoiden toimijat eivät ehkä tunne tarvetta noudattaa tietosuoja-asetusta, kun taas toiset ovat huolissaan mahdollisista sakoista
Pienet ja keskisuuret yritykset
Toinen seikka, joka on nyt selvempi, on se, että tietosuoja-asetuksen "yksi koko sopii kaikille" -lähestymistapa on riittämätön. Suuryritykset vaativat yhtenäistä lakia, jotta niiden olisi noudatettava vain keskisuuria vaatimuksia. Erityisesti poliittiset puolueet, jotka ylpeilevät olevansa "yritysmyönteisiä", noudattivat tätä ajatusta. Nämä keskisuuret vaatimukset hukuttavat nyt monet pienet yritykset, jotka eivät oikeastaan käsittele tietoja merkityksellisessä mittakaavassa, kun taas ne ovat liian heikkoja torjumaan suuria teknologiayrityksiä.
Toisin kuin muissa säädöksissä, joissa on eri yritysluokkia, tietosuoja-asetus vaatii usein samoja menettelyjä pieneltä liikkeeltä ja Googlen, Amazonin tai Facebookin kaltaisilta teknologiajätiltä. Tämä johtaa suuriin rasitteisiin suurimmalle osalle yrityksistä, mutta samalla ei säännellä riittävästi asiaankuuluvia toimijoita. Näyttää siltä, että suurimmat hyötyjät ovat suuria tietojenkäsittelyn monialayrityksiä ja ehkä konsulttialaa. Yleistä tietosuoja-asetusta ei kuitenkaan (hyvistä syistä) haluta avata uudelleen, koska pelätään, että suuret teknologiayritykset käyttävät tilaisuutta hyväkseen ja puhkaisevat lisää aukkoja lakiin
Yhteenveto
Eurooppa voi ylpeillä sillä, että se on antanut maailman edistyksellisimmän tietosuojalainsäädännön, mutta pienet virheet laissa ja täytäntöönpanon valvonnan puute aiheuttavat oikeutettua turhautumista käyttäjissä ja pienyrityksissä. Tietosuojaviranomaisten ja tuomioistuinten tehtävänä on ratkaista nämä ongelmat nykyisessä oikeudellisessa kehyksessä, jotta tietosuoja-asetuksesta tulisi todellinen menestys. Työskentelemme mielellämme tällaisten muutosten aikaansaamiseksi päivittäisessä työssämme noybissa.
