MyFondia VirtuaaliLakimies
1. lokakuuta, 2018

Brexit ja GDPR: Iso-Britanniako GDPR-mallioppilas?

Sain kunnian osallistua alkukesästä Ison-Britannian suurlähetystön järjestämään lounastilaisuuteen keskustelemaan Brexitin vaikutuksista GDPR:n soveltamiseen. Ajankohta keskustelulle oli erinomainen: kauan odotettu GDPR oli juuri tullut sovellettavaksi 25. toukokuuta ja kokoonnuimme pyöreän pöydän ääreen 5. päivä kesäkuuta.

Tilaisuuden koolle kutsunut brittidelegaatio oli tekemässä kiertuetta EU:n jäsenmaissa tarkoituksenaan tavata julkissektorin ja yrityspuolen asiantuntijoita lobbaustarkoituksissa. Keskustelun ytimessä oli Brexitin vaikutukset GDPR:n soveltamiseen ja ennen muuta se, miten Britannian hallitus on varautunut tähän erikoiseen tilanteeseen. Yhtenä merkittävänä Brexitiin liittyvänä huolena on ollut datan vapaan liikkuvuuden turvaaminen Brexitin tultua voimaan. Huoli koskettaa erityisesti datavirroista riippuvaisia, tiedolla ohjautuvia bisneksiä, tai esimerkiksi yrityksiä, jotka tarjoavat palveluitaan EU-alueelle. Voidaankin kysyä, onko digi-aikakaudella enää olemassa yrityksiä, jotka eivät olisi jollakin tasolla datasta ja sen liikkuvuudesta riippuvaisia.

GDPR edellyttää, että siirrettäessä henkilötietoja EU:n tai ETA:n ulkopuolelle noudatetaan GDPR:n mukaisia asianmukaisia suojatoimia, ellei komissio ole erikseen päättänyt, että kyseinen maa tai alue varmistaa riittävän tietosuojan tason. Toistaiseksi hätää ei ole: Yhdistynyt kuningaskunta on edelleen EU:n täysvaltainen jäsen ja se säilyy sellaisena 29.3.2019 saakka, jos eroneuvottelut saadaan onnistuneesti finaaliin. Tämän jälkeen alkaa 31.12.2020 asti kestävä siirtymäaika, jonka loppuun Ison-Britannian on noudatettava EU-lainsäädäntöä. Vielä on epäselvää, tuleeko Iso-Britanniasäilymään ETA-valtiona, jolloin GDPR soveltuu. Vaikka näin ei olisi, GDPR:n laajan alueellisen soveltamisalan takia on joka tapauksessa todennäköistä, että GDPR soveltuu tavalla tai toisella suurimpaan osaan merkittäviä bisneksiä.

Poliittisessa keskustelussa huoli on tunnistettu. Britannian hallitus on julistanut tietosuojan perustavaa laatua olevaksi arvoksi digitaalisessa taloudessa ja turvallisuusyhteistyössä. Tietosuoja onkin Brexitiä koskevassa poliittisessa julistuksessa omana prioriteettialueenaan.

Koska on epävarmaa, saadaanko komissiolta päätöstä siirtymäkauden päättymiseen mennessä riittävästä tietosuojan tasosta (ns. adequacy decision), Britannia on ehdottanut ratkaisuksi EU:lle tietosuojaan liittyvää sopimusta, jolla taattaisiin riittävät suojatoimet tietojen siirrolle. Tällaisia GDPR:n mukaisia suojatoimia ovat mm. komission hyväksymät tietojen siirtoa koskevat mallisopimuslausekkeet.

Lounaskeskustelun edetessä oli sanomattakin selvää, että Iso-Britannia on nähnyt vaivaa ja satsannut resursseja GDPR:n soveltamiseen liittyvään lainsäädäntötyöhön – todennäköisesti enemmän kuin mikään muu EU-jäsenmaa. Toisin kuin meillä Suomessa, Britannialla oli jo 23. toukokuuta voimaantullut uusi tietosuojalaki (Data Protection Act 2018). Tietosuojalaissa säädetään mm. tarkemmin sellaisista GDPR:n artikloista, jotka jättävät kansallista liikkumavaraa. Britannia ei halua ainoastaan täyttää GDPR:n pakottavia vaatimuksia, vaan se haluaa ylittää asetuksen asettaman vähimmäistason. Tähän työhön on aktiivisesti osallistunut UK Information Commissioner’s Office (ICO), joka julkaisee omilla nettisivuillaan mm. GDPR:n soveltamiseen liittyviä ohjeistuksia ja muita työkaluja, josta ovat muutkin kuin vain britit hyötyneet. ICO osallistuu EU:n tietosuojaa koskevaan lainsäädäntötyöhön aktiivisesti olemalla jäsenenä Euroopan tietosuojaneuvostossa (ent. WP29-työryhmä). Eikä tässä vielä kaikki, ICO on myös varautunut GDPR:n tuomaan kuormaan: sen odotetaan kasvavan nykyisestä 520 työntekijästä 700 työntekijään vuoteen 2020 mennessä.  Eittämättä Iso-Britanniaa voisi hyvin nimittää GDPR-mallioppilaaksi.