Marraskuun lopulla Euroopan komissio julkaisi ensimmäisen ehdotuksensa Digital Omnibus -asetusehdotukseksi jonka tavoitteena on yksinkertaistaa EU:n digitaalista sääntelyä. Termi “Omnibus” viittaa lainsäädännössä useiden muutosten ja tarkennusten kokoamiseen yhteen pakettiin, jonka tavoitteena on yhtenäistää ja selkeyttää olemassa olevaa sääntelyä. Poistamalla päällekkäistä sääntelyä ja vähentämällä byrokratiaa Omnibus-ehdotus pyrkii tekemään sääntelykentästä selkeämmän ja yritysystävällisemmän, erityisesti pieniä ja keskisuuria yrityksiä silmällä pitäen Ehdotus sisältää myös muutosehdotuksia data – ja tekoälysääntelyyn.
Alla olemme nostaneet esille keskeisiä tietosuoja-asetusta koskevia muutosehdotuksia:
- Henkilötiedon määritelmän tarkennus
Tietosuoja-asetuksessa kaikki tiedot, joiden avulla voidaan suoraan tai epäsuorasti tunnistaa henkilö, katsotaan henkilötiedoksi. Omnibus-ehdotuksen mukaan pseudonymisoitu tieto ei kuitenkaan enää olisi henkilötietoa. Tämä tarkoittaa, että jos organisaatiolla on tietoja, joiden avulla henkilön voisi teoriassa tunnistaa, mutta sillä ei ole realistista mahdollisuutta tähän, tietoa ei enää luettaisi henkilötiedoksi (tämä vahvistaa jo vallitsevaa oikeuskäytäntöä).
- Rekisterinpitäjän oikeus kieltäytyä väärillä perusteilla tehdyistä tietopyynnöistä
Rekisterinpitäjä voisi kieltäytyä vastaamasta tai veloittaa vastaamisesta kohtuullisen maksun, jos rekisteröity tekee pyynnön syistä, jotka eivät liity omien henkilötietojensa suojaamiseen (esim. tietopyyntö tehdään häirinnän tai kiusaamisen tarkoituksessa)
- Rekisterinpitäjän tiedonantovelvollisuuden keventäminen
Tiedonantovelvollisuus poistuisi tilanteissa, joissa on perusteltua olettaa, että rekisteröidyllä jo on tiedot henkilötietojensa käsittelystä (esim. rekisteriseloste on helposti saatavilla verkkosivuilta tai käsittely on jo kuvattu palvelun käyttöehdoissa).
- Tietoturvaloukkauksista ilmoittamiseen sovellettaisiin korkeampaa kynnystä ja pidempää määräaikaa
Omnibus-ehdotuksen mukaan organisaatioiden olisi ilmoitettava valvontaviranomaisille tietoturvaloukkauksesta vain silloin, kun se todennäköisesti aiheuttaa korkean riskin yksilöiden oikeuksille. Tämä on merkittävä muutos nykyiseen “riskikynnys”-sääntöön, jonka mukaan ilmoitus on tehtävä, ellei loukkaus todennäköisesti aiheuta riskiä, mikä käytännössä tarkoittaa, että lähes kaikki tietoturvaloukkaukset, joissa on vähäinenkin riski, pitää ilmoittaa. Lisäksi valvontaviranomaisille tehtävän ilmoituksen määräaikaa pidennettäisiin 72 tunnista 96 tuntiin. Pidennetty määräaika antaa organisaatioille enemmän aikaa arvioida loukkauksen vakavuutta ja kerätä tarvittavat tiedot
- Selkeämmät säännöt vaikutustenarvioinnin laatimiselle
Omnibus-ehdotuksen tavoitteena on yhtenäistää tietosuojavaikutustenarviointien (DPIA) vaatimuksia koko EU:ssa laatimalla EU-tason listat, jotka määrittävät, mitkä käsittelytoimet vaativat ja mitkä eivät vaadi vaikutuksenarvioinnin laatimista. Tällä hetkellä vaikutustenarvoinnin tarpeesta päättäminen vaihtelee EU- maittain. Organisaatioiden on itse arvioitava, milloin DPIA tarvitaan, ja kansalliset ohjeistukset voivat poiketa toisistaan.
- Muutoksia evästesuostumus –vaatimukseen
Evästekyselyväsymyksen hillitsemiseksi komissio ehdottaa, että suostumus säilyy edelleen oletusvaatimuksena evästeiden asettamiselle tai niissä olevien tietojen käyttämiselle, mutta samalla otettaisiin käyttöön määritelty joukko vähäriskisiä käyttötarkoituksia, joihin suostumusta ei enää tarvittaisi. Käyttäjälle, joka ei anna suostumustaan evästeiden käytölle sovellettaisiin kuuden kuukauden “jäähdytysaikaa”, ennen kuin hänen suostumustaan saa pyytää uudelleen.
Lisäksi Omnibus-ehdotuksen mukaan käyttäjien laitteilla olevien henkilötietojen tallentamista ja näihin tietoihin pääsyä koskevat säännöt siirrettäisiin ePrivacy-direktiivistä GDPR:ään, mikä yhtenäistäisi ja yksinkertaistaisi kokonaisvaltaista sääntelykehystä entisestään.
- Yksi keskitetty ilmoitusportaali
Yksi todennäköisesti eniten tervetulleeksi koetuista ehdotuksista on yhtenäisen, yhden luukun ratkaisu tietoturvaloukkausten ilmoittamiseen. Tällä hetkellä EU:ssa toimivilla organisaatioilla voi olla velvollisuus raportoida loukkauksista useiden eri sääntelykehysten mukaisesti, joista jokaisella on oma prosessinsa. Digital Omnibus -ehdotuksen myötä GDPR:ään, NIS2-direktiiviin, DORA-asetukseen, CER-direktiiviin ja eIDAS-asetukseen liittyvät ilmoitusvelvollisuudet voitaisiin hoitaa yhden keskitetyn portaalin kautta. Tämä yhtenäistäminen pyrkii vähentämään hallinnollista kuormaa ja yksinkertaistamaan sääntöjen noudattamista EU:ssa toimiville organisaatioille.
Valmistautuminen tuleviin muutoksiin: Omnibus-ehdotuksen näkymät
Omnibus-ehdotus on edelleen luonnosvaiheessa, ja se tulee käymään läpi Euroopan parlamentin ja neuvoston tarkastelun ennen lopullista hyväksyntää. Vaikka tavoitteena on yksinkertaistaa ja yhdenmukaistaa olemassa olevia velvoitteita, käytännön haasteita jää edelleen, erityisesti tilanteissa, joissa eri lainsäädäntökokonaisuudet kohtaavat. Organisaatioiden tulisi seurata kehitystä tarkasti, sillä aikataulut ja vaatimukset voivat muuttua.
Vaikka ehdotusta on pääosin pidetty tervetulleena organisaatioiden keskuudessa, Omnibusin ehdottamia muutoksia on myös kritisoitu siitä, että ne menevät yksinkertaistamisen yli ja voivat heikentää GDPR:n keskeisiä suojamekanismeja, jotka turvaavat yksilöiden yksityisyyden EU:ssa.
Kommissio on käynnistänyt kahdeksan viikon pituisen kuulemismenettelyn, joka antaa sidosryhmille mahdollisuuden antaa palautetta ennen kuin ehdotukset etenevät lainsäädäntöprosessissa. Kuulemismenettely on sidottu Omnibus-ehdotuksen saatavuuteen kaikilla EU:n virallisilla kielillä. Tällä hetkellä kuulemisen päättymispäivää on jatkettu, ja se päättyy 11. maaliskuuta 2026.