Yleiseen tietosuoja-asetukseen muutosehdotus

Komissio esittää ehdotuksessaan (COM (2025) 501 final) yleisen tietosuoja-asetuksen (2016/679) 30 artiklan 5 kohtaan muutoksia. Tietosuoja-asetuksen 30 artiklan 1 kohdan mukaisesti jokaisen rekisterinpitäjän ja tarvittaessa rekisterinpitäjän edustajan on ylläpidettävä selostetta vastuullaan olevista käsittelytoimista. 30 artiklan 5 kohdan mukaisesti edellä 1 ja 2 kohdassa tarkoitetut [30 artiklan 2 kohdassa vastaava velvollisuus henkilötietojen käsittelijälle kuin 1 kohdassa rekisterinpitäjälle] velvollisuudet eivät koske yritystä tai järjestöä, jossa on alle 250 työntekijää, paitsi jos sen suorittama käsittely todennäköisesti aiheuttaa riskin rekisteröidyn oikeuksille ja vapauksille, käsittely ei ole satunnaista tai käsittely kohdistuu 9 artiklan 1 kohdassa tarkoitettuihin erityisiin tietoryhmiin tai 10 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin henkilötietoihin.

Komission muutosehdotus ja sen perustelut

Muutosehdotuksessa ehdotetaan 30 artiklan 5 kohtaan muutettavaksi siten, että käsittelytoimien selosteen laatimisvelvoitteen piirissä eivät olisi yritykset tai järjestöt, joissa on alle 750 työntekijää ellei käsittely, jota yritys tai järjestö suorittaa, aiheuta korkeaa riskiä rekisteröidyn oikeuksille ja vapauksille.

Muutosehdotuksen tarkoituksena on vapauttaa alle 750 henkilöä työllistävät yritykset ja järjestöt käsittelytoimien selosteen laatimisvelvoitteesta, jotta yrityksillä ja järjestöillä jäisi enemmän aikaa innovointiin. Kuitenkin korkean riskin käsittely olisi myös muutosehdotuksen perusteella aina dokumentoitava.

Mikä muuttuu vai muuttuuko mikään?

Komission muutosehdotuksen pääasiallisena tarkoituksena on helpottaa yrityksiin kohdistuvia dokumentointivelvoitteita ja sitä kautta vapauttaa yritysten aikaa muuhun toimintaan kuten esimerkiksi innovointiin. Mielestäni on kuitenkin syytä suhtautua kriittisesti siihen, tuoko komission muutosehdotus todellisuudessa yritysten ja järjestöjen toimintaan toivottuja muutoksia ja onko käsittelytoimien selosteen laatimisesta ja ylläpitämisestä oikeastaan kannattavaa luopua.

30 artiklan käsittelytoimien selosteen laatimisvelvoite on tietosuoja-asetukseen sisäänrakennetun osoitusvelvollisuuden perusta. Rekisterinpitäjän on ensinnäkin 5 artiklan 2 kohdan mukaisesti vastattava siitä, että sen on pystyttävä osoittamaan, että henkilötietojen käsittelyä koskevia periaatteita on noudatettu (”osoitusvelvollisuus”). Tämän lisäksi 24 artiklan mukaisesti ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit, rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tietosuoja-asetusta (”rekisterinpitäjän vastuu”).

Mielestäni on hyvinkin kyseenalaista, kuinka yritys kykenisi noudattamaan tietosuoja-asetuksen mukaista osoitusvelvollisuuttaan, ellei se laatisi ja ylläpitäisi käsittelytoimien selostetta. Ennen kuin käsittelytoimien selosteen laatimisesta ja ylläpitämisestä ollaan luopumassa, olisi rekisterinpitäjän mielestäni syytä pohtia erityisesti sitä, onko selosteen laatimisesta kuitenkaan syytä luopua, vaikka suoranaista muotovaatimusta tietosuoja-asetuksesta ei enää tältä osin yritykseen kohdistuisikaan.

Komission tavoite yritysten innovoinnin edistämiseksi on kannatettava, mutta keinovalikoima ei välttämättä ole tällaisenaan tehokas. Ongelman muodostaa komission ehdotuksessa jo edellä käsitellyn osoitusvelvollisuuden lisäksi se, että alle 750 työntekijää työllistävien yritysten ja järjestöjen osalta käsittelytoimien selosteen laatimisvelvoite on kytketty ”korkeaan riskiin” siten, kuin tietosuoja-asetuksen 35 artiklassa tarkoitetaan. ”Korkeaa riskiä” ei nykyisellään tietosuoja-asetuksessa määritellä ja ainakaan nyt kyseessä oleva muutosehdotus ei tuo myöskään tähän muutosta. ”Korkean riskin” määrittelyssä onkin käytännössä tukeuduttava tietosuojaneuvoston ohjeistuksiin, jotka eivät ole aina asian suhteen yksiselitteisiä. Vaarana mielestäni onkin, että yritykset joutuisivat käyttämään aikaansa mahdollisten tietosuoja-asetukseen tehtyjen muutosten voimaantulon jälkeen siihen, että ne arvioivat ”korkeaa riskiä”. Näin ollen yritysten aikaa kuluisi myös sen arvioimiseen, tuleeko käsittelytoimien selostetta ylläpitää vai ei. Ehdotettu muutos ei nähdäkseni välttämättä todellisuudessa vapauttaisi aikaa innovointiin niin paljoa kuin on tarkoitus.

Blogin on kirjoittanut Visa Tolonen. Häneltä saat tarvittaessa myös lisätietoja aiheesta.