Data protection by design and default : a study on new European operational data protection principles under the article 25 of the new European general data protection regulation and on their application in practice from the perspective of the private data controllers and processors
Swahne, Emma (2016)
Lapin yliopisto
2016
restrictedAccess
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:ula-201606281263
https://urn.fi/URN:NBN:fi:ula-201606281263
Tiivistelmä
Tutkielman tarkoituksena on selventää EU:n uuden tietosuoja-asetuksen
artiklan 25 mukaisten Data Protection by Design ja Data Protection by Default -
toimintaperiaatteiden ja niihin liittyvien muiden määräysten sisältöä, sekä selventää
millaisia konkreettisia vaikutuksia nämä uudet säännökset tuovat rekisterinpitäjille ja
henkilötietojen käsittelijöille. Tutkielman huomattavimpana johtopäätöksenä on, että edellä
mainitut uuden tietosuoja-asetuksen määräykset voivat todennäköisesti osoittautua liian
epäselviksi tai suurpiirteisiksi, jolloin niiden soveltaminen käytännön toiminnassa sekä
niihin liittyvien vaikutusten arvioiminen asianmukaisella tavalla voi osoittautua
haasteelliseksi etenkin rekisterinpitäjille sekä henkilötietojen käsittelijöille. Toisekseen,
huolimatta sääntelyn nykytilan muutostarpeesta, rekisterinpitäjien sekä henkilötietojen
käsittelijöiden keskinäisten vastuiden ja roolien jakautuminen on jäänyt myös tietosuojaasetuksessa
harmillisen epäselviksi. Kolmanneksi, on hyvä huomata, että tietosuojaasetuksen
yleiset periaatteet kuitenkin ehentävät sääntelykokonaisuutta huomattavasti ja
ovat oikein käyttökelpoisia työkaluja artiklan 25 käytännön soveltamiseen
kokonaissääntelyn vajavaisuuksista huolimatta. Ottaen huomioon yksilön oikeudet ja
digitaalisen markkinatalouden asettamat vaatimukset on Artiklan 25 asianmukainen
soveltaminen ja automaattinen sisällyttäminen osaksi etenkin yritysten toimintaa
ensiarvoisen tärkeää. Mielestäni ainoa oikea ratkaisu näihin haasteisiin on asianmukainen,
aktiivinen ja johdonmukainen opastus viranomaistaholta, sekä tarpeellisten tarkempien
suuntaviivojen laatiminen mahdollisimman pian. Kepin sijasta tulisikin keskittyä
porkkanaan, ja määräysten selkeyttämisen lisäksi sertifioinnit ja erilaiset laatumerkit tulisi
saada nopeasti käyttöön. Olisi tärkeää saada yritykset ymmärtämään toimintaperiaatteiden
toteuttamisen taloudelliset hyödyt, mikä samalla edistäisi digitaalisia sisämarkkinoita.
Yrityksien näkökulmasta käytännön soveltamisessa toistaiseksi varmin keino täyttää
artiklan 25 asettamat vaatimukset on juurikin näiden yleisten periaatteiden tuominen osaksi
henkilötietojen käsittelyä aina suunnittelusta koko prosessin loppuun asti. Artiklan 25
lopullisen sisällön ja onnistumisen tulemme kuitenkin näkemään vasta oikeuskäytännössä.
artiklan 25 mukaisten Data Protection by Design ja Data Protection by Default -
toimintaperiaatteiden ja niihin liittyvien muiden määräysten sisältöä, sekä selventää
millaisia konkreettisia vaikutuksia nämä uudet säännökset tuovat rekisterinpitäjille ja
henkilötietojen käsittelijöille. Tutkielman huomattavimpana johtopäätöksenä on, että edellä
mainitut uuden tietosuoja-asetuksen määräykset voivat todennäköisesti osoittautua liian
epäselviksi tai suurpiirteisiksi, jolloin niiden soveltaminen käytännön toiminnassa sekä
niihin liittyvien vaikutusten arvioiminen asianmukaisella tavalla voi osoittautua
haasteelliseksi etenkin rekisterinpitäjille sekä henkilötietojen käsittelijöille. Toisekseen,
huolimatta sääntelyn nykytilan muutostarpeesta, rekisterinpitäjien sekä henkilötietojen
käsittelijöiden keskinäisten vastuiden ja roolien jakautuminen on jäänyt myös tietosuojaasetuksessa
harmillisen epäselviksi. Kolmanneksi, on hyvä huomata, että tietosuojaasetuksen
yleiset periaatteet kuitenkin ehentävät sääntelykokonaisuutta huomattavasti ja
ovat oikein käyttökelpoisia työkaluja artiklan 25 käytännön soveltamiseen
kokonaissääntelyn vajavaisuuksista huolimatta. Ottaen huomioon yksilön oikeudet ja
digitaalisen markkinatalouden asettamat vaatimukset on Artiklan 25 asianmukainen
soveltaminen ja automaattinen sisällyttäminen osaksi etenkin yritysten toimintaa
ensiarvoisen tärkeää. Mielestäni ainoa oikea ratkaisu näihin haasteisiin on asianmukainen,
aktiivinen ja johdonmukainen opastus viranomaistaholta, sekä tarpeellisten tarkempien
suuntaviivojen laatiminen mahdollisimman pian. Kepin sijasta tulisikin keskittyä
porkkanaan, ja määräysten selkeyttämisen lisäksi sertifioinnit ja erilaiset laatumerkit tulisi
saada nopeasti käyttöön. Olisi tärkeää saada yritykset ymmärtämään toimintaperiaatteiden
toteuttamisen taloudelliset hyödyt, mikä samalla edistäisi digitaalisia sisämarkkinoita.
Yrityksien näkökulmasta käytännön soveltamisessa toistaiseksi varmin keino täyttää
artiklan 25 asettamat vaatimukset on juurikin näiden yleisten periaatteiden tuominen osaksi
henkilötietojen käsittelyä aina suunnittelusta koko prosessin loppuun asti. Artiklan 25
lopullisen sisällön ja onnistumisen tulemme kuitenkin näkemään vasta oikeuskäytännössä.