Historiallisista syistä EU on yhteiseurooppalainen projekti, jonka kaiken sääntelyn pohjimmaisena tarkoituksena on rauhan ja vapauden maksimointi. Yhdentymiskehitys ja lainsäädännön harmonisointi liberaalissa arvoyhteisössä ovat lähtökohtaisesti positiivisia ilmiöitä, jotta EU säilyy merkityksellisenä ja vahvana tekijänä myös globaalissa tulevaisuudessa. Mutta harmonisointiprojekteissa on aina ylisääntelyn vaara ja valitettavasti tähän on sorruttu yleisen tietosuoja-asetuksen (GDPR) kohdalla. Asetus ampuu yli ja siten rajoittaa vapautta liikaa.
EU arvoyhteisönä
EU:n tärkein alkuperäinen päämäärä oli pysyvän rauhan rakentaminen sarjasotijoiden välille. Rauha taas on liberaalin yhteiskunnan ytimessä, ilman rauhaa kun ei vapaudelle useinkaan ole sijaa. Näin ollen EU on väistämättä myös vapauden projekti. Molemmat näistä perustavanlaatuisista arvoista on mainittu myös EU:n perusoikeuskirjan johdannossa.
Eurooppaan juurrutettuja arvoja ei saa pitää itsestäänselvyyksinä, sillä sitä ne eivät kansainvälisesti kilpailevien arvoyhteisöjen vertailussa suinkaan ole. Päinvastoin, elämme maailmassa jossa globaalia väkivaltakoneistoa ylläpitävät myös tahot, joille sota on Clausewitzlaisesti politiikan jatkamista toisin keinoin. Sodan seremonioissa vapaus jää rauhan ohella oven ulkopuolelle.
Tietosuoja-asetuksen sisältö ja soveltamisala
Vapautta uhkaa kuitenkin sodan kaltaisen poikkeustilan ohella myös arkisemmat asiat, kuten järjestäytyneen yhteiskunnan liian pitkälle menevä sääntely. Liberaali yhteiskuntajärjestys ei toimi sääntelyn ollessa ylitsevuotavaista, sillä tästä johtuva ennakoimattomuus heikentää taloudellista toimeliaisuutta ja hämärtää keskeisimpien oikeushyvien (kuten omistusoikeuden) merkitystä. Näkymätön käsi ei voi edistää toimivaa vaihdantaa jos ylisäännelty yhteiskunta kahlitsee sen.
Hyvästä tarkoituksesta huolimatta, edellä kuvattuun ylisääntelyyn on kuitenkin sorruttu yleisen tietosuoja-asetuksen (GDPR) muodossa.
Tietosuoja-asetus määrittelee luonnollisen henkilön oikeudet liittyen hänen henkilötietojensa käsittelyyn. Asetuksen myötä yksityishenkilöllä on oikeus tarkistaa hänestä tallennetut tiedot, saada tieto siitä, miten henkilötiedot on kerätty sekä miten niitä käsitellään ja kenelle niitä annetaan. Lisäksi hänellä on oikeus oikaista mahdolliset väärät tiedot, poistaa tietonsa rekisteristä, vastustaa henkilötietojensa käsittelyä, sekä pyytää henkilötietojen käsittelyn rajoittamista. Vastaavasti asetus säätää rekisterinpitäjälle velvollisuuden toimia siten, että edellä esitetyt oikeudet toteutuvat
Koska GDPR on asetus eikä direktiivi, se ei edellytä uutta lainsäädäntöä vaan omaa välittömän oikeusvaikutuksen, eli jäsenvaltioiden kansalaiset voivat vedota siihen samoin periaattein kuin kansallisen lainsäädännön normeihin. Unionin oikeuden ensisijaisuuden periaatteen takia taas mahdollisessa ristiriitatilanteessa EU:n lainsäädännölle on annettava etusija, mukaan lukien yli kansallisen perustuslain.
Lainsäädännöllisesti merkittävää on, ettei tietosuoja-asetus rajoitu mittavaan asetustekstiinsä, vaan sen tulkinnat tapahtuvat pitkälti tietosuoja-asetuksesta annettujen suuntaviivojen (”Guidelines”) kautta. Ääritapauksessa tämä tarkoittaa että suuntaviivat – joihin on perehtynyt suhteellisen pieni määrä ihmisiä – viime kädessä ohittavat normikonfliktissa Suomen perustuslain.
GDRP:n ongelmat
Tietosuoja-asetus rajoittaa individualismia ja asettaa kohtuuttomia vaatimuksia kaikille – mutta aivan erityisesti pk-yrityksille, joissa individualismi usein parhaiten kukkii. Se asettaa sääntelykohteilleen – siis lähes kaikille – pitkälti yhteneväisen sääntelytaakan toiminnan laajuudesta ja luonteesta riippumatta. Se jakaa aivan mitättömistä ”rikkomuksista” määrältään suunnattomia seuraamusmaksuja ja pitää yllä huomattavaa pelotetta vieläkin suuremmista, jopa satojen miljoonien eurojen sanktioista (artikla 83).
Asetus johtaa siis luonteeltaan häilyvän rikkomuksen ja siitä seuranneen rangaistuksen väliseen huomattavaan epäsuhtaan. Kertaluonteiset ja suoranaista vahinkoa kenellekään aiheuttamattomat tapahtumat voivat johtaa satojen tuhansien eurojen seuraamusmaksuihin.
GDPR:n soveltamisala on mitoitettu väärin, sillä se koskee kaikkia rekisterinpitäjiä. Toiminnan laajuus tai luonne eivät ole asetuksen näkökulmasta kovinkaan merkittäviä tekijöitä, joten se asettaa lähtökohtaisesti samaan asemaan esimerkiksi pienen taloyhtiön ja monikansallisen suuryrityksen.
Järjestelmä on myös vinoutunut. Julkiset toimijat pääsevät usein nuhteilla, kun taas yksityisille yrityksille määrätyt sanktiot julkisten toimijoiden kanssa hyvin samantyyppisistä rikkomuksista ovat todellisia. Yksityisten rooliksi on jäänyt toimia tulevissa asetuksen soveltamistilanteissa esimerkkinä riittävän varoittavista sanktioista.
GDPR ei myöskään sovellu oikeusjärjestykseemme. Se on hyvin erilainen kuin perinteisesti hallinnollisten sanktioiden taustalla oleva uhkasakkojärjestelmä, joka perustuu harkituille punnusten ja vastapunnusten ajatukselle. Tietosuoja-asetuksen mittavat hallinnolliset seuraamusmaksut asettuvat myös etenkin edellämainituissa triviaaleissa tilanteissa arveluttavaan valoon, kun niitä suhteutetaan muihin oikeusjärjestyksemme tuntemiin sanktioihin.
Rikosoikeudelliset seuraamukset sekä esimerkiksi sanktiot työpaikalla tapahtuvista selvistä väärinkäytöksistä kalpenevat korvaussummiltaan tietosuoja-asetuksen pohjalta jaetuille seuraamusmaksuille. GDPR saattaa iskeä lujaa esimerkiksi siitä, että taksissa ollut tarra ei ilmoittanut, että kuvan lisäksi tallennetaan myös ääntä.
GDPR ei pidä sisällään hyvän hallinnon takeita tai kannusta vähäisimmän puuttumisen periaatteen mukaisiin kontrollikeinoihin. Päinvastoin, GDPR:n seuraamukset määrätään muodollisen kuulemisen jälkeen, vaikkei samoista virheistä olisi aiemmin huomautettu ja tarjottu mahdollisuutta menettelyn korjaamiseen. Seuraamuksista päättää kollegio, joka määrää sanktion puhtaan spekulatiivisella kaavalla. Useissa tapauksissa viranomaisten toimesta lähinnä otaksutaan, että isompaakin vahinkoa olisi voinut aiheutua, mikä puoltaa seuraamusmaksun määräämistä.
Tämä kaikki horjuttaa lainsäädännön soveltamistilanteiden ennakoitavuutta, oikeusvarmuutta ja yhteiskunnassa toimivien vapautta. Samaisesta syystä myös kotimaisessa seuraamuskäytännössä korostuu valvonta-asioissa tietosuojavaltuutetuntoimistolle annetuissa vastauksissa yritysten näkemykset siitä, että niiden GDPR tulkinnat eivät ole olleet tietoisesti taikka tahallaan viranomaisten tulkinnasta poikkeavia.
GDPR karsii innovatiivisuutta ja tervettä riskinottoa, kannustaen sen sijaan yrityksiä varautumaan ”GDPR kauhuskenaarioihin”. Asetusta ei voi nykymuodossaan pitää liberaalin arvoyhteisön ystävänä.
Tietosuoja-asetukseen varautumisesta ja sen käytännön soveltamistilanteisiin valmistautumisesta jo aiheutunutta hintalappua voi vain arvailla, mutta summa lienee päätä huimaava.
Tietosuoja-asetus suuntaviivoineen on juuri sellainen EU:n lainsäädännöllinen ”vieteriukko”, josta Thomas Wilhelmsson on varoittanut: asetus pamahtaa esiin laatikostaan siellä, missä sen ilmaantumista ja vaikutuksia ei osata ennakoida tai ylipäätään kaivata.
Asetuksen todellinen sisältö ei ole kuin harvojen tiedossa, vaikka se koskettaa kaikkia. Se tekee suuresta määrästä toimijoita lainrikkojia ja uhkaa heitä rangaistusluonteisella hallinnollisella seuraamuksella, joka vakiintuneesti rinnastetaan rikosoikeudelliseen seuraamukseen.
Tämä rinnastus tuo mieleen kriminologiasta tutun leimaamisteorian, jonka mukaan rikoksentekijän leiman saaminen ruokkii myös jatkorikollisuutta ja ylipäätään välinpitämättömyyttä yhteiskunnan normeja kohtaan. Tunne arvoyhteisön legitimiteetistä rapautuu leiman kautta.
GDPR:ssä ei siis valitettavasti ole kyse kurkun käyryydestä. Kysymys kuuluukin: mitä me unionin kansalaisina teemme nyt, kun EU korostaa olemassaoloaan rauhanprojektina mutta tuntuu unohtavan samalla vapauden edistämisen? EU:n tulee olla rehellinen juurilleen ja pitää kiinni sitä, että kaiken sääntelyn ytimessä tulee olla vapaus – ei valvonta ja rajoittavuus. Täysin selvää on, että tietosuojanormeja tarvitaan, mutta sen tulisi olla nykyistä parempaa sääntelyä. GDPR ei aja vapauden ajatusta.
Aatetta, ratkaisuja ja ideoita
Aate- ja ideakirjoituksissa käsittelemme nyky-yhteiskuntaan sekä poliittiseen päätöksentekoon sopivia ratkaisuja klassisen liberalismin viitekehyksestä.
Tietoa kirjoittajasta
Herkko Havumäki
Herkko on historiasta ja kansainvälisyydestä kiinnostunut juristi, jonka intohimona on vapausaatteen kannattelu järjestäytyneessä yhteiskunnassa.
2 kommenttia artikkeliin Ylisääntely on vapauden vihollinen – GDPR tarkastelussa
Ihan jees artikkeli — luin kertaalleen, toistamiseen ja lupaan lukea vielä uudelleen.
Multi-yrittäjänä en näe GDPR:ssä mitään ongelmia (toistaiseksi).
Lafkamme ylläpitää useampia, mielestäni melko suuria nettipalveluja mutta GDPR ei oikeastaan aikaansaa mitään ekstra-effortia.
– meillä ei käytetä evästeitä (ei todellakaan ole pakko, oli ostoskori tai vaikka mitä)
– emme talleta asiakkaiden tietoja ollenkaan, ei edes rekisteröinti tms. asioissa (asian voi hoitaa fiksummin)
– emme seuraa (eikä kiinnosta) asiakkaiden, sivukävijöiden historia- tms. tiedot, ei vaan-v*ttu-kiinnosta!
– jne.
Ellikkäs, mikä tässä GDPR:ssä nyt oikeasti on ongelma?
Onko ongelma siinä, kun menen jonkun näiväsen firman worldpress-sivulle, jossa oletusasetuksena on »hyväksy evästeet»? Vai siinä, että nussu-seniori olettaa henkilötietojensa hyväksikäytön kun ostaa eBaysta kahden euron p*rse-täryttimen?
Siis oikeasti, GDPR on totaalisen turha mutta mikä tässä on ongelma?
(paitsi verorahojen, l. ryöstörahojen, tuhlaus)
Kaikki arvostelu uusmarxilaista EU:ta kohtaan vaimenee, kun joku tempaisee ”arvoyhteisö”-kortin ylös hurskasteleva ilme pärställään. Entistä Neuvostoliittoakin jotkut pitivät ”liberaalina arvoyhteisönä”, mutta käytäntö oli ”pikkasen” eri, kuten on ja tulee kiihtyvässä määrin olemaan EU:ssa.