EU:n tietosuoja-asetuksen yritysvaikutukset

Asetuksen luoma epäselvä säädösympäristö edellyttää riittäviä viranomaisresursseja ja lainsäädäntöyhteistyötä

EU:n yleinen tietosuoja-asetus (EU 2016/679) määrää yrityksille merkittäviä uusia velvoitteita ja lisää hallinnollista taakkaa. Siinä säädetään myös uusista erittäin suurista hallinnollisista sakoista tietosuojalainsäädännön noudattamatta jättämisestä.

Asetuksen tavoitteina on muun muassa yksilön oikeuksien ja vapauksien vahvistaminen ja sisämarkkinaulottuvuuden lujittaminen. Tässä selvityksessä asetuksen aiheuttamia yritysvaikutuksia on selvitetty teemahaastatteluilla ja sähköisellä kyselyllä. Osallistuneiden yritysten joukko on valittu yhdessä yrityskenttää edustavien järjestöjen kanssa.

Asetus mahdollistaa poikkeuksellisen suuren kansallisen liikkumavaran jäsenvaltioiden lainsäädännössä. Tämä saattaa johtaa toisistaan poikkeaviin kansallisiin lainsäädäntöratkaisuihin. Kansallinen liikkumavara muodostaa yritysten näkökulmasta riskin positiivisiksi koettujen sisämarkkinatavoitteiden toteutumatta jäämisestä.

Asetus sisältää myös lukuisia tulkinnanvaraisia oikeudellisia termejä, joiden täsmentyminen on jätetty myöhemmän oikeuskäytännön varaan. Oikeustilan täsmentymättömyys yhdistettynä uusiin rangaistuksiin muodostaa yrityksille merkittävän liiketoimintariskin. Etenkin pienet yritykset tarvitsevat selkeää tietoa uusista velvoitteista ja ylipäätään henkilötietojen sääntelystä.

Yritysvaikutusselvityksen keskeisimmiksi asioiksi nousee ensinnäkin tarve riittävistä viranomaisresursseista, jotta esimerkiksi tietosuojaviranomaisilla olisi mahdollisuus antaa tulkintasuosituksia ja neuvontaa uuteen sääntelyyn liittyen. Oikeustila on asetuksen tullessa voimaan erittäin epäselvä. Toinen keskeinen asia liittyy kansalliseen liikkumavaraan: sisämarkkinaulottuvuuden vahvistamiseksi Suomen tulisi tehdä etenkin Pohjoismaiden ja Baltian maiden kanssa yhteistyötä riittävän yhtenäisten ratkaisujen löytämiseksi kansallisen liikkumavaran osalta.