12.12.2025 julkaistiin uusi asetus EU:n yleisen tietosuoja-asetuksen (GDPR) täytäntöönpanoa koskevista menettelysäännöistä (2025/2518) (menettelyasetus). Menettelyasetus soveltuu tapauksissa, joissa on kyse rajatylittävää henkilötietojen käsittelyä koskevasta valituksesta tai tutkinnasta. Vaikka asetuksella ei suomalaisen keskivertoyrityksen näkökulmasta ole välitöntä vaikutusta, sen myötä korostuva paine viranomaisyhteistyön tiivistämiseen ja käsittelyprosessien tehostamiseen voi johtaa laajempiinkin hyötyihin. Menettelyasetusta sovelletaan 2.4.2027 alkaen.
Mitä uusi asetus koskee?
Asetus luo menettelysäännöt GDPR:ään pohjautuvien valitusten käsittelylle ja tutkinnalle, kun kyse on rajatylittävästä henkilötietojen käsittelystä. Menettelysääntöjen tavoitteena on varmistaa, että rajatylittävissä tapauksissa tutkinta toteutetaan hyvän hallinnon periaatteen mukaisesti – esimerkiksi, että tutkinta toteutetaan kohtuullisessa ajassa. Asetus ei koske tapauksia, joissa henkilötietojen käsittely on kansallista.
Rajatylittävällä käsittelyllä tarkoitetaan henkilötietojen käsittelyä, joka tapahtuu organisaation useammissa EU-maissa sijaitsevissa toimipaikoissa, sekä käsittelyä yhdessäkin EU-maassa silloin, kun se vaikuttaa merkittävästi useammassa kuin yhdessä EU-valtiossa oleviin rekisteröityihin. Tällaisesta käsittelystä voi olla esimerkiksi kyse, kun yritys tarjoaa verkkopohjaisia palveluita koko Euroopan alueelle. Rajatylittävän käsittelyn tunnistaminen ei kuitenkaan ole aina käytännössä yksinkertaista. Valitusasiaa tutkivan valvontaviranomaisen on menettelyasetuksen mukaan määritettävä, koskeeko asia rajatylittävää käsittelyä.
Mihin uusi asetus vaikuttaa?
Asetuksella on vaikutusta ensisijaisesti valvontaviranomaisiin, mutta myös valituksen tekijöihin ja tutkinnan kohteena oleviin organisaatioihin. Valitusasiaa tutkivan valvontaviranomaisen edellytetään toteuttavan tietyt menettelyvaiheet asetuksen asettamissa määräajoissa. Uudet menettelysäännöt myös tehostavat valvontaviranomaisten välistä yhteistyötä ja nopeuttavat myös siten rajatylittävien tapausten käsittelyä. Asetuksella on erityisesti vaikutusta myös tutkinnan kohteena olevan organisaation prosessuaalisiin oikeuksiin, ja uusilla menettelysäännöillä mm. vahvistetaan tutkinnan kohteena olevan organisaation oikeutta tulla kuulluksi.
Menettelyasetuksella ei kuitenkaan luoda GDPR:ään nähden uusia valitusoikeuksia tai muitakaan oikeussuojakeinoja, eikä sillä myöskään rajoiteta GDPR:n oikeussuojakeinojen soveltamista.
Asetuksen sisältämät keskeiset menettelysäännöt koskevat seuraavia seikkoja:
- Valituskelpoisuus: Rajatylittävää käsittelyä koskevan valituksen tutkittavaksi ottaminen voi edellyttää ainoastaan tiettyjä asetuksessa määrättyjä perustietoja.
- Määräajat: Asetuksella asetetaan tiettyjä määräaikoja valvontaviranomaisten toiminnalle. Esimerkiksi ns. perustietojen puutteellisuuden vuoksi tutkimatta jättämisestä on ilmoitettava kahdessa viikossa.
- Varhaisen vaiheen ratkaisumenettely: Asetus mahdollistaa nopeamman varhaisen vaiheen ratkaisumenettelyn tapauksissa, jotka koskevat GDPR:n mukaisia rekisteröidyn oikeuksia.
- Valvontaviranomaisten välinen yhteistyö: Valvontaviranomaisten välinen yhteistyö voi tutkinnan laajuudesta riippuen olla laajaa tai perustua asetuksen mukaiseen yksinkertaisen yhteistyön menettelyyn. Tähän menettelyyn liittyvät kevennetyt menettelyvaatimukset sekä johtavan valvontaviranomaisen velvollisuus laatia ja määräajassa toimittaa muille valvontaviranomaisille päätösehdotus.
Kansallinen hallintosääntely edelleen ratkaisevaa tietosuojaprosesseissa – tilanne Suomessa
Menettelyasetuksen nimenomaisia menettelyvaatimuksia lukuun ottamatta asetus ei vaikuta olemassa oleviin kansallisiin hallintomenettelyä koskeviin säännöksiin. Näin ollen Suomessa tietosuojaan liittyvien prosessien kulkua määrittää jatkossakin ensisijaisesti tietosuojalaki ja hallintolaki (ja mahdollisessa muutoksenhaussa laki oikeudenkäynnistä hallintoasioissa).
Suomessa hallintomenettelyä koskevaa sääntelyä ei ole koettu tietosuojaan liittyvän viranomaisvalvonnan ja sen tehokkuuden kannalta aivan ongelmattomaksi. Hallintolain tietynasteinen taipumattomuus ja seikkaperäiset menettelyvaatimukset vähäisempienkin vireille tulleiden asioiden käsittelyssä ovat osaltaan vaikuttaneet tietosuojaprosessien hitauteen Suomessa. Tältä osin keskustelu lainsäädännön kehittämistarpeista vielä jatkuu. EU:n uusi menettelyasetus voikin välillisesti vaikuttaa myös paineisiin kehittää ja tehostaa kansallista menettelyä tietosuoja-asioissa.
Contact authors
