Tietosuojalainsäädäntö siirtymävaiheessa: asiantuntija Katharina Raabe-Stuppnigin haastattelu

Tietosuoja Euroopassa - sproof

Agnieszka Grzybek

Viimeksi muokattu: 27.8.2025
Laki, liiketoiminta ja verot
Thumbnail blogikirjoitus Katharina Raabe-Stuppnig sproof
Katharina Raabe-Stuppnig, asianajaja Katariina Raabe-Stuppnig

Katharina Raabe-Stuppnig on yli 15 vuoden kokemuksellaan lakimiehenä, tietosuoja-alan neuvoa-antavan lautakunnan toisena perustajana ja osallistumalla aktiivisesti Euroopan yhteisöjen tuomioistuimessa käytyihin menettelyihin yhdessä Max Schremsin ja Thomas Lohningerin kanssa yksi Euroopan tietosuojaoikeuden vaikutusvaltaisimmista äänistä. Wienissä Wickenburggassella sijaitsevassa asianajotoimistossaan hän puhuu urapolustaan, tietosuoja-asetuksen haasteista ja EU:n uusien digitaalilakien kasvavasta monimutkaisuudesta.

Medialainsäädännöstä tietosuojaan: asiantuntija Itävallassa

Katharina Raabe-Stuppnig aloitti uransa mediaoikeuden parissa. Hän neuvoi kustantamoja ja teleyrityksiä kilpailuoikeuteen, mainontaan ja mediavastuuseen liittyvissä kysymyksissä. Silta tietosuojaan syntyi lähes itsestään: “Monet asiakkaat lähestyivät minua ja kysyivät: Tunnet prosessimme ja etujen tasapainottamisen – voitko tukea meitä myös tietosuojassa?”

Kun yleinen tietosuoja-asetus tuli voimaan, tietosuoja siirtyi entistä enemmän yritysten todellisuuden keskiöön. Miljoonien suuruiset sakot lisäsivät painetta. Yritykset tarvitsivat selkeitä konsepteja – ja tukeutuivat olemassa oleviin kumppanuuksiin. Tämän seurauksena tietosuojalainsäädäntö kehittyi marginaalisesta kysymyksestä niiden toiminnan keskeiseksi keskipisteeksi.

“Toiveeni olisi vahvistaa Euroopan taloutta – eurooppalaisten vaihtoehtojen avulla. Digistrategia ja tietosuojalaki ovat oikeansuuntaisia. Ainoa kysymys on: tuleeko se ajoissa?”

Mag. Kathrina Raabe-Stuppnig

Tietosuoja mahdollistajana

GDPR:n käyttöönoton jälkeen vuonna 2018 oikeudellisen tuen tarve on kasvanut valtavasti – ja on edelleen suuri. Tämä ei johdu vähiten siitä, että asetuksessa ei tehdä eroa suuryritysten ja pienyritysten välillä. Kaikkien on täytettävä samat vaatimukset.

“Toimiva tietosuojan hallintajärjestelmä on nykyään todellinen mahdollistaja”, Raabe-Stuppnig selittää. “Se antaa yrityksille yleiskuvan järjestelmistä, prosesseista ja riskeistä – ja muodostaa perustan optimoinnille ja tehokkuuden lisäämiselle.”

Samaan aikaan ympäristö on muuttumassa yhä monimutkaisemmaksi: uusi lainsäädäntö, kuten NIS-2, kyberkestävyyslaki, tekoälylaki ja tietolaki, asettavat yrityksille lisävaatimuksia kaikilla aloilla. Niillä, jotka ovat jo luoneet vakaan tietosuojan perustan, on nyt selkeä etu.

Digitaalisen muutoksen strategiat

Yritykset kääntyvät nykyään yrityksen puoleen monissa eri asioissa:

  • Miten NIS-2 vaikuttaa minuun, jos olen kriittisen infrastruktuurin toimittaja?
  • Mitä käytäntöjä tarvitsen tekoälylakia varten?
  • Miten suhtaudun tietosuojalain mukaisiin uusiin tiedonsaantioikeuksiin vaarantamatta tähän mennessä saavuttamaani tietosuojan tasoa?

Oikeudellisen arvioinnin lisäksi strategiset kysymykset ovat yhä tärkeämmässä asemassa: mihin vastuualueet olisi jaettava yrityksessä? Miten vaatimustenmukaisuus, kyberturvallisuus ja innovaatiokyky voidaan sovittaa yhteen? Raabe-Stuppnig ja hänen tiiminsä tukevat yrityksiä paitsi täytäntöönpanossa myös asemoinnissa uudessa oikeudellisessa kehyksessä.

EU vs. Yhdysvallat: erilaiset perusasenteet

Erityisen arkaluonteinen kysymys on kolmansista maista peräisin olevien ohjelmistojen käyttö esimerkiksi yhdysvaltalaisissa hyperscalereissa. Vaikka Yhdysvalloissa on myös tietosuojalakeja, Raabe-Stuppnig selittää, että suoja koskee ensisijaisesti Yhdysvaltain kansalaisia. EU:n kansalaisia koskevat säännökset ovat huomattavasti heikompia.

“Ongelma on painotuksessa: NSA:n turvallisuusintressit ovat usein etusijalla muiden kuin amerikkalaisten tietosuojaan nähden. Euroopan yhteisöjen tuomioistuin on jo kahdesti todennut tämän suhteettomuuden – ja siten kumonnut keskeiset periaatteet, kuten Safe Harbourin ja Privacy Shieldin.”

Tietoisuuden muutos Euroopassa vuodesta 2018

Tietoisuus Euroopassa on muuttunut huomattavasti yleisen tietosuoja-asetuksen voimaantulon jälkeen. Yritykset ovat nyt paljon herkempiä henkilötietojen käsittelyssä. Tietosuojaa koskeviin tuomioihin ja merkittäviin tapauksiin liittyvä mediahuomio on ollut tässä avainasemassa.

“Olemme luoneet Euroopan tietosuojalle kultaisen standardin”, Raabe-Stuppnig tiivistää. “On ilahduttavaa nähdä, kuinka monet yritykset pyrkivät aktiivisesti paitsi täyttämään tämän standardin myös käyttämään sitä kilpailuetuna.”

Mikä tekee tietojen siirrosta Yhdysvaltoihin niin arkaluonteista – ja mikä on EU:n tämänhetkinen oikeudellinen tilanne?

EU:n ja Yhdysvaltojen välinen tietosuojakeskustelu on monimutkainen ja ennen kaikkea oikeudellisesti erittäin dynaaminen. Toisin kuin esimerkiksi Sveitsissä, josta EU:n komissio on tehnyt niin sanotun riittävyyspäätöksen, Yhdysvalloissa tilanne oli ja on paljon monimutkaisempi. Tällaisessa päätöksessä todetaan, että henkilötiedot voidaan siirtää kolmanteen maahan, koska tietosuojan taso on siellä verrattavissa EU:n tasoon. Kiinan tai Venäjän kaltaisissa maissa – ja pitkään myös Yhdysvalloissa – tällaista päätöstä ei ollut.

Tietojenkäsittely Yhdysvalloissa – oikeudellinen tasapainoilu

Kun yritykset tekevät yhteistyötä palveluntarjoajien kanssa esimerkiksi Yhdysvalloissa tapahtuvaa tietojenkäsittelyä varten, niiden on ryhdyttävä ylimääräisiin suojatoimenpiteisiin, jotta tietosuoja-asetuksen edellyttämä tietosuojan taso säilyy. Tämä tarkoittaa enemmän vaivaa, enemmän pakollisia tarkastuksia – ja enemmän riskejä.

Käytännön esimerkki: vaikka yhdysvaltalaisille pilvipalveluntarjoajille valittaisiinkin palvelinsijainti EU:n sisällä, ongelma on silti olemassa – esimerkiksi jos eurooppalainen tytäryhtiö on yhdysvaltalaisen emoyhtiön määräysvallassa. Hätätilanteessa Yhdysvaltain viranomaiset, kuten NSA, voisivat vaatia pääsyä tietoihin – jopa sisäisen komentoketjun kautta. Palvelimen sijainti EU:ssa vähentää riskiä, mutta ei poista sitä kokonaan.

Safe Harbourista tietosuojapuitteeseen: katsaus taaksepäin

EU:n ja Yhdysvaltojen välisten tietosuojasopimusten historia on kuin sarja oikeudellisia takaiskuja:

  • Safe Harbor oli ensimmäinen sopimus, jolla yhdysvaltalaisille yrityksille asetettiin vapaaehtoisesti tietyt tietosuojastandardit. Se kumottiin vuonna 2015 Schrems I -tuomiolla.
  • Privacy Shield oli seuraaja – tarkistettu versio Safe Harbourista. Euroopan yhteisöjen tuomioistuin julisti kuitenkin myös tämän sopimuksen pätemättömäksi Schrems II -tuomiossa vuonna 2020.
  • Vastauksena tähän tuli voimaan tietosuojaa koskeva kehys, jonka perusteella EU:n komissio teki jälleen kerran Yhdysvaltojen tietosuojan riittävyyttä koskevan päätöksen.

Uusi päätös perustuu kuitenkin jälleen kerran horjuvalle perustalle.

Tämä johtuu siitä, että tietosuojakehys perustuu Yhdysvaltain presidentin toimeenpanomääräykseen – toisin sanoen määräykseen, joka voidaan teoriassa kumota milloin tahansa. Kriitikot epäilevätkin tämän kehyksen vakautta pitkällä aikavälillä. Riittävyyspäätöstä vastaan on jo nostettu kanne Euroopan yhteisöjen tuomioistuimessa – lopputulos on epävarma.

Lisäksi Yhdysvaltain vastuullinen valvontaviranomainen PCLOB ei tällä hetkellä pysty toimimaan, koska entinen presidentti Trump erotti kolme sen viidestä johtajasta. Tuloksena on suuri epävarmuus siitä, kuinka vakaa tietosuojamekanismi Yhdysvalloissa todella on.

Kuinka tärkeä tietosuojapuite on EU:n yrityksille?

Jos suunnittelet pitkällä aikavälillä ja haluat keskittyä tietoturvaan, sinun ei pitäisi luottaa sokeasti tietosuojapuitteisiin. Kuten aiemminkin, oikeudellinen tilanne voi muuttua nopeasti. Tiedonsiirron vaikutustenarvioinnit (TIA) ovat kalliita, ja rikkomukset voivat johtaa ankariin rangaistuksiin, jotka voivat olla jopa 4 prosenttia vuotuisesta maailmanlaajuisesta liikevaihdosta.

Yhdysvaltain pilvipalvelut ovat (vielä) käyttökelpoisia – mutta eivät riskittömiä

Yhdysvaltalaisten palveluntarjoajien pilvipalveluja voidaan tällä hetkellä käyttää **tietosuojasäädösten mukaisesti edellyttäen, että **sopivat suojatoimenpiteet, kuten vakiosopimuslausekkeet ja tekniset turvatoimet, on toteutettu. Jäljelle jää kuitenkin vielä riski. Erityisen ongelmallista on se, että vielä ei ole olemassa jokapäiväiseen käyttöön soveltuvaa päästä päähän -salausta kaikenlaiseen käyttöön – esimerkiksi jatkuvaan tietojenkäsittelyyn (“data in use”).

Yhdysvaltain palvelujen käyttöä olisi sen vuoksi aina arvioitava erikseen: Kuinka arkaluonteisia käsiteltävät tiedot ovat? Mitä turvatoimia on toteutettu? Ja missä määrin yritys todella pystyy vähentämään riskejä?

Mustavalkoisuuden ja realismin välillä: miten yritysten tulisi käsitellä tietosuojaa ja pilvipalvelujen tarjoajia?

Kysymys siitä, pitäisikö yritysten käyttää vain eurooppalaista alkuperää olevia ohjelmistoja ja pilvipalveluja – “kokonaan tai ei lainkaan” – kuulostaa ensi näkemältä selkeältä kannanotolta. Mutta juuri tästä tietosuoja-asiantuntija Katharina Raabe-Stuppnig varoittaa. Tällainen periaate ei ole vain epäkäytännöllinen, vaan sitä on myös vaikea perustella viranomaisille. Sen sijaan jokainen päätös ohjelmistojen tai pilvipalveluiden käytöstä on tehtävä tapauskohtaisesti sen mukaan, kuinka arkaluonteisia käsiteltävät tiedot ovat ja mitä erityisiä suojatoimenpiteitä voidaan toteuttaa.

Älä anna itsellesi väärää turvallisuudentunnetta – edes Privacy Frameworkin avulla

Toinen monia yrityksiä tällä hetkellä askarruttava aihe: Mitä tapahtuu, jos Euroopan yhteisöjen tuomioistuin kumoaa EU:n ja Yhdysvaltojen välisen uuden tietosuojakehyksen, kuten se teki aiemmin Safe Harbourin ja Privacy Shieldin kanssa? Vastaus on selvä: syntyisi jälleen valtava oikeudellinen epävarmuus. Juuri tästä syystä Kargl neuvoo jo nyt yrityksiä olemaan luottamatta pelkästään kehykseen ja sopimaan täydentävistä vakiosopimuslausekkeista. Näihin olisi aina sisällyttävä siirtovaikutusten arviointi (TIA) eli riskianalyysi tietojen siirtämisestä kolmansiin maihin.

Asianajaja tekee kuitenkin myös selväksi, että jos tietosuojapuitteet todella kaatuvat ja Yhdysvaltoihin tapahtuvan tietojen siirron oikeasuhteisuus kyseenalaistetaan perusteellisesti, myös väliaikaiset vaikutustenarviointisopimukset saavuttaisivat rajansa. Silloin toivo perustuu täydentäviin teknisiin ja organisatorisiin toimenpiteisiin – ennen kaikkea salaukseen.

Salaus: väitteet ja todellisuus eroavat toisistaan

Tietosuojaviranomaiset ja Euroopan yhteisöjen tuomioistuin vaativat yhdysvaltalaisilta pilvipalveluntarjoajilta selkeää ratkaisua: tietoja olisi säilytettävä vain salatussa muodossa, ja avainta olisi hallinnoitava palveluntarjoajan ulkopuolella – mieluiten Euroopassa ja tiedoista vastaavan yrityksen tai eurooppalaisen edunvalvojan valvonnassa. Tämän niin sanotun ulkoisen avaimenhallintaratkaisun tavoitteena on varmistaa, että vaikka Yhdysvaltain viranomaiset, kuten NSA, pääsisivät käsiksi tietoihin, vain salatut eli käyttökelvottomat tiedot voidaan luovuttaa eteenpäin.

Katharina Raabe-Stuppnigin mukaan tämäntyyppinen salaus voidaan kuitenkin käytännössä toteuttaa vain varmuuskopiointitietoihin. Heti kun tietoja käsitellään aktiivisesti jokapäiväisessä elämässä, tarvitaan pääsyä salaamattomaan aineistoon. Juuri tässä piilee ongelma: tekniikkaa, joka mahdollistaa täydellisen tietojenkäsittelyn salatussa tilassa, on tällä hetkellä olemassa vain hyvin rajoitetusti – esimerkiksi yksinkertaisia laskelmia tai arvioita varten tietyissä tilanteissa. Tekniikan taso ei vielä riitä laajamittaiseen käyttöön, kuten taloudessa edellytetään.

Euroopan rooli: tietosuojalain tarjoamat mahdollisuudet

Näistä haasteista huolimatta lakimies suhtautuu tulevaisuuteen optimistisesti: EU:n tietosuojalaki tulee asettamaan tärkeän suunnan. Pilvipalveluntarjoajat velvoitetaan mahdollistamaan monipilvastrategiat eli tukemaan helppoa vaihtamista palveluntarjoajien välillä – ilman korkeita vaihtokustannuksia. Tämä edistää aktiivisesti Euroopan suvereniteetin vahvistamista digitaalisella alueella ja luo pitkällä aikavälillä enemmän vaihtoehtoja yhdysvaltalaisille hyperscalereille.

Kysymys kuuluu, pystyykö Eurooppa toimimaan digitaalisella alueella ajan myötä itsenäisemmin ja turvallisemmin . Raabe-Stuppnig on kuitenkin luottavainen: “Poliittinen tahto on olemassa, ja kohdennetulla tuella ja sääntelyllä voi pian syntyä toimivia eurooppalaisia vaihtoehtoja.

Kolmansien maiden ratkaisuista luopuminen ei ole käytännössä mahdollista eikä oikeudellisesti välttämätöntä. Yritysten on punnittava huolellisesti, kuinka arkaluonteisia niiden tiedot ovat, mitkä yhteistyökumppanit ovat sopivia – ja mitä erityisiä suojatoimenpiteitä ne voivat toteuttaa. Ne, jotka jo luottavat SCC- ja TIA-sopimuksiin ja salaukseen, ovat paitsi oikeudellisesti turvassa myös vahvistavat Euroopan asemaa digitaalisessa kilpailussa.

ROI-laskuri

Laske sähköisen allekirjoituksen ekologiset ja taloudelliset vaikutukset yrityksessäsi. Maksuton ja ei-sitova.

LASKEA ROI NYT

Lisää blogimerkintöjä

  • Testi (noindex)

    Lorem Ipsum eID Hub

    Georg Fuhrmann

  • Miksi identiteettiprosessit epäonnistuvat B2B-yrityksissä – ja miten “nollatieto” ratkaisee ongelman?

    sproof ident henkilöllisyyden todentamiseksi

    Dr. Clemens Brunner

  • Mitä ovat “sähköiset ominaisuustodistukset” (EAA)?

    Digitaalinen tunnus: Kolme EAA-tyyppiä yhdellä silmäyksellä.

    Dr. Clemens Brunner

    sproof Blog: Mitä ovat EAA?
  • This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.