Vuosi 2016 paketissa – kohokohdat!

JIT-miehen ensimmäinen kokonainen kalenterivuosi on nyt paketissa ja mikä vuosi se onkaan ollut! Kaksi blogin kannalta keskeistä lakipakettia – tietosuojasetus ja hankintalaki saivat siunauksen – hankintalaki tosin aivan kalkkiviivoilla. JIT-miehen päälaskentapaikalla ei olla vielä ehditty tutustua täysin juuri hyväksyttyyn ja vuoden alussa voimaan tulevaan hankintalakiin, mutta tästäkin kyllä raportoidaan jossakin vaiheessa.

Lakimaailma top 3:

  1. Juridisesti omasta mielestäni vuoden “kovin” uutinen oli vuoden lopulla “ilmi” tullut lainsäädäntöhankkeiden surkea valmistelutaso. Monelle juristille asia ei tullut yllätyksenä. Monissa viime aikoina voimaan tulleissa laeissa on ollut valuvikoja ja hämmästyttäviä epäloogisuuksia jotka eivät ole olleet selitettävissä muuten kuin valmistelevan ministerin osaamattomuudella. Vaikka kuulostankin vanhahtavalta niin kun oikeusministerinä ei ole juristi, ei voi odottaa kovinkaan suurta tasoa laeilta. Monia lakeja on vedetty pois eduskunnastakin. Virkamiesten vika ei lakien huono vamistelutaso omasta mielestäni ole – kun katsoo aiempaa lainsäädäntötyötä jälki on ollut ammattimaisen hyvää ja oman kokemukseni mukaan ministeriöissä on asioihin erittäin syvästi ja ammattitaitoisesti perehtynyttä ammattikuntaa. Kysymys on työnjohdollisesta asiasta ja painostuksesta, johon virkamies ei voi loppujen lopuksi vaikuttaa. On vain tehtävä niinkuin käsketään.
  2. Tietosuoja-asetus. Hankintalakimiehet voivat olla eri mieltä, mutta mielestäni tietosuoja-asetuksen voimaantulo on yksi tämän vuoden historiallisimmista tapahtumista juridiikassa. Asetuksen vaikutus on käsittämättömän laaja, eikä sitä ole vielä kaikkialla täysin ymmärretty. Asetus on monella tavalla uraauurtava, mutta samalla “koonti” jo pitkään tuomioistuimien oikeuskäytännössä syntyneistä periaatteista. Asetuksen vaikutusta on vaikea hahmottaa, mutta tässä yksi: kansainvälisen tietosuoja-ammattilaisten yhdistys IAPP arvioi, että tietosuoja-asetuksen vuoksi tarvitaan 75000 uutta tietosuojavastaavaa seuraavan kahden vuoden aikana.
  3. Hankintalaki, tietenkin! Hankintalain voimaantulo oli pitkä prosessi: lain piti alunperin olla voimassa jo huhtikuussa mutta toisin kävi. Hankintadirektiivi tuli voimaan ja jouduttiin elämään “välitilassa” joka ei ollut kenenkään kannalta optimi tilanne. No nyt laki tulee sitten vuoden vaihteessa voimaan. Saas nähdä miten lain voimaantulo “avaa tulvaportit” niille patoutuneille hankinnoille, joita ei ole uskallettu toteuttaa viimeisen kahdeksan kuukauden aikana hankintadirektiivin vuoksi.

Mitähän vuosi 2017 tuo tullessaan? Sehän nähdään, mutta nyt: hyvää uutta vuotta!

Terveisiä tietosuojaseminaarista: lähes tuhat lakia uusiksi?

Helsingin yliopiston oikeustieteellinen tiedekunta, ELSA ja It-Oikeuden yhdistys järjestivät tietosuojaseminaarin otsikolla “Henkilötiedot ja tietosuoja” torstaina illansuussa.

Seminaari veti legendaarisen Porthanian luentosalin miltei täyteen ja syystäkin, kyseessä oli ilmainen seminaari, jossa oli Suomen alan johtavat asiantuntijat, kuten viestintäoikeuden professori Päivi Korpisaari, tietosuojavaltuutettu Reijo Aarnio ja asianajaja Jaakko Lindgren. Käytännön näkökulmaa toivat yritysjuristit Kai Kuohuva, Leena Kuusniemi ja Laura Tarhonen. Puheenjohtajana toimi asianajaja Jukka Lång, joka Reino Aarnion mukaan oli yksi Suomen ensimmäisiä “nettipoliiseja” 2000-luvun alussa tehtävänään käydä läpi suomalaisia verkkosivuja tietosuojan näkökulmasta.

Tuhannen lain paletti

Minun on pakko myöntää, että vaikka olen suhteelisen perehtynyt tietosuojaan eurooppalaisella (hollantilaisella,saksalaisella, espanjalaisella) tasolla, Suomen lainsäädännön tietosuojan kokonaiskuva on minulle hetkittäin hieman “hakusessa”. Eikä ihme!

Viestintäoikeuden professori Päivi Korpisaari kertoi omassa alustuksessaan Helsingin yliopiston oikeustieteellisen tiedekunnan tekemästä selvityksestä, jossa kävi nimittäin ilmi, että henkilötietolaki “koskettaa” (eli ilmeisesti siihen viitataan tai erityissäännellään) lukuisia lakeja. Oikeusministeriön henkilötietolain uudistusta varten tilaamassa selvityksessä käytiin läpi lähes 600 (!!!!) suomalaista lakia, joissa oli jonkinasteinen yhteys (ilmeisesti pääasiallisesti lakiviittaus) henkilötietolakiin. Tämän lisäksi selvityksessä tunnistettiin vielä muitakin lakeja, joihin henkilötietolain muutos vaikuttaa. Yhteensä puhutaan lähes tuhannen lain paketista!

Tietosuojavaltuutettu Reijo Aarnion kommenttien perusteella kyseessä lienee jonkinasteinen “Euroopan ennätys”, sillä monissa muissa Euroopan maissa kosketuspinta on paljon suppeampi eli pärjätään muutamalla kymmenellä tai jopa yhdellä ainoalla lailla. Selvää on, että moista lakimassaa ei hallitse kukaan, ei edes Reijo Aarnio.

Henkilötietolaille hyvästit?

On mielenkiintoista myös nähdä, mihin suuntaan tietosuoja-asetuksen toimeenpanoa Suomessa suunnitteleva oikeusministeriön työryhmä päätyy eli esimerkiksi karsitaanko lainsäädäntöä ja viittauksia merkittäväksi vai lähdetäänkö todellakin päivittämään tuota tuhannen lain pakettia. Päivi Korpisaari väläytti jopa mahdollisuutta siihen, että henkilötietolaki kumottaisiin kokonaan ja sääntely jätettäisiin pitkälti tietosuoja-asetuksen varaan.

Asetuksessa on kuitenkin annettu joissakin kohdissa sääntelyvaraa jäsenvaltioille (esimerkiksi ikärajojen osalta) joten jonkinasteista kansallista lainsäädäntöä tarvittaneen, mutta iso kysymys lienee, miten paljon tarvitaan erillistä henkilötietolakia. Tietosuoja-asetus kun on “sellaisenaan” sovellettavissa voimaantulonsa jälkeen, joTyöryhmä esittää näkemyksensä muutostarpeista ensi vuoden kesäkuuhun mennessä.

Muutamia muita poimintoja seminaarista:

  • Henkilötiedoista käydään “pörssityylistä” kauppaa mainostajien ja mainostilan myyjien kesken. Esimerkiksi kohdennettu mainontaa vaikkapa toisella kolmanneksella raskaana olevalle naiselle maksaa 11 senttiä (ilmeisesti USD) ja reseptilääkkeitä käyttävälle 26 senttiä kappaleelta.
  • Sanomalla Privacy Managerina työskentelevä Laura Tarhonen tiivistä oman määritelmänsä henkilötiedosta sanoihin “kaikki tieto on henkilötietoa”. Hän määritteli tiedot kolmeen kategoriaan: henkilötietoon, yhdistettävissä olevaan tietoon sekä johdettuun tietoon.
  • Monelta tietosuojajuristilta joskus kysytään että miksi tietosuojaa tarvitaan, koska “eihän minulla ole mitään salattavaa” Rovion Leena Kuusniemi tiivisti asian monelta kantilta hienosti, kuten esimerkisi näin: “Miksi sinulla on vaatteet päällä? – Vaikka kaikki tietää miltä alla näyttää, silti ihmiset haluavat piilottaa ne vaatteiden alle.” Toinen tapa katsoa asiaa meni suunnilleen niin että “Jos et välitä tietosuojasta, et voi olla ystäväni, sillä en halua että omat asiani jotka kerron sinulle eivät ole turvassa”.-> Tämä otetaan heti käyttöön!

Ulos kuplasta

Seminaarin saama yleisösuosio on aika mielenkiintoinen osoitus siitä, että tietosuojauudistukseen on vihdoin herätty. Kaupalliset koulutusyritykset varmaankin tekevät sievoista tiliä alan koulutuksilla, mutta mielestäni tällaisia ilmaisia tilaisuuksia tarvitaan eritoten siksi, että siellä saa hyvän näkemyksen kokonaistilanteesta. Tietosuojaseminaareissa kun juristit ja alan asiantuntijat tahtovat elää “tietosuojakuplassa” jossa esimerkiksi asetuksen voimaantulo on jo vahvasti tiedossa ja sen vaikutuksista on ainakin alustava ymmärrys ja osaamis- ja ymmärrystaso on melko samantasoista. Lisäksi tässä “kuplassa” elämisessä on se vaara, että siitä ei välttämättä synny yhteyttä oikeaan maailmaan jossa esimerkiksi liiketoimintaa harjoitetaan.

Hyvä esimerkki tästä oli Jaakko Lindgrenin toteamus henkilötietojen poistamisen ja “oikeus tulla unohdetuksi” osalta. Lindgrenin (ja monen muun tietosuoja-asiantuntijan) mukaan kaikki tiedot on poistettava järjestelmästä kun tietoa ei enää käytetä. Tiukasti tulkiten tämä tarkoittaa esimerkiksi sitä, että tiedot on poistettava varmuuskopioiltakin. Monissa yrityksissä on vielä käytössä ns. nauhavarmistus, jonka yksi ominaisuus on se, että tietojen täydellinen poistaminen on vaikeaa ja erittäin aikaavievää, käytännössä järjetöntä. Ideana kun on juuri luoda “varma” varmuuskopio. Siksi juristimainen toteamus “kaikki pitää poistaa” saa aikaan kylmää hikeä jokaisen it-ihmisen otsalla, kun poistamisessa ei käytännössä ole mitään järkeä. Tällaisissa tilanteissa juristinkin on etsittävä käytännönläheisiä ratkaisuja, mutta ei aina. Joskus siltikin ne vaan pitää poistaa, koska laki.