Digital Omnibus ja tietosuoja: yksinkertaistamista vai uusia tulkintakysymyksiä

Sofia Mäkelä

Blogit Teknologia ja data

12.03.2026

Euroopan unionin digitaalinen sääntely on viime vuosina laajentunut merkittävästi. Yleisen tietosuoja-asetuksen voimaantulon jälkeen on hyväksytty runsaasti uutta sääntelyä, joka koskee muun muassa datan hyödyntämistä, digitaalisten palvelujen turvallisuutta ja tekoälyn kehittämistä. Nopeasti lisääntynyt sääntely on herättänyt keskustelua siitä, onko digitaalinen sääntelykehikko muodostunut yritysten näkökulmasta liian monimutkaiseksi. Yritysten osalta keskeiseksi haasteeksi onkin noussut se, miten laajentuva sääntely hahmottuu toimivaksi kokonaisuudeksi ja miten erilaisten velvoitteiden noudattaminen voidaan käytännössä järjestää tarkoituksenmukaisesti.

Euroopan komissio pyrkii vastaamaan regulaation tuomiin haasteisiin niin kutsutulla Digital Omnibus -hankkeella. Hankkeen tavoitteena on yksinkertaistaa digitaalista sääntelyä, vähentää päällekkäisiä velvoitteita eri instrumenttien välillä sekä parantaa sääntelyn johdonmukaisuutta. Helmikuussa 2026 Euroopan tietosuojaneuvosto (EDPB) ja Euroopan tietosuojavaltuutettu (EDPS) antoivat odotetun Digital Omnibus -hanketta koskevan yhteisen lausunnon, jossa ehdotusta tarkastellaan tietosuojan näkökulmasta. Lausunto tarjoaa tärkeitä viitteitä siitä, miten tietosuojaviranomaiset suhtautuvat ehdotuksessa esitettyihin muutoksiin sekä millaisiin tietosuojaa koskeviin kysymyksiin pyritään kiinnittämään huomiota hankkeen edistämisen yhteydessä.

Tietosuojaa koskevien ehdotettujen muutosten osalta lausunto sisältää sekä kannatusta että kriittisiä huomioita. Lausunnossa suhtaudutaan lähtökohtaisesti myönteisesti hankkeen tavoitteeseen yksinkertaistaa digitaalista sääntelyä ja vähentää yrityksille aiheutuvaa hallinnollista taakkaa sekä tavoitetta vahvistaa eurooppalaisten yritysten kilpailukykyä. EDPB ja EDPS tukevat erityisesti pyrkimystä lisätä digitaalisen sääntelyn johdonmukaisuutta selkeyttämällä eri säädösten välisiä suhteita ja soveltamiskäytäntöä. Lisäksi tietosuojaviranomaiset suhtautuvat myönteisesti sääntelyn päällekkäisyyksien vähentämiseen. Konkreettisten muutosten osalta lausunnossa suhtaudutaan myönteisesti mm. tietoturvaloukkauksiin liittyvän riskikynnyksen nostamiseen, tietoturvaloukkausten ilmoittamisen määräajan pidentämiseen, tieteellisen tutkimuksen käsitteen yhdenmukaistamiseen sekä tietosuojaa koskevien vaikutustenarviointien muutoksiin. 

Lausunnossa esitetään kuitenkin kriittisiä huomioita useista ehdotetuista muutoksista, erityisesti siltä osin kuin ne koskevat tietosuojasääntelyn keskeisiä käsitteitä ja rakenteita. Erityisen kriittisesti lausunnossa on suhtauduttu henkilötietojen määritelmään ehdotettuihin muutoksiin. Hankkeen nykymuodossa tavoitteena on tarkentaa henkilötiedon määritelmää siten, että arvio määritelmän täyttymisestä keskittyisi siihen, voiko kyseinen toimija kohtuullisin keinoin tunnistaa henkilön tarkasteltavasta tiedosta. Tietosuojaviranomaiset suhtautuvat muutokseen varauksellisesti, sillä määritelmään kaavailluilla muutoksilla katsotaan voivan vaikuttaa olennaisesti siihen, milloin tietoa pidetään henkilötietona ja milloin tietosuojasääntely tulee sovellettavaksi. Muutoksiin liittyy EDPB:n ja EDPS:n mielestä siten myös riski tulkintaepävarmuuden lisääntymisestä sekä mahdollisesta tietosuojan tason heikkenemisestä.

Lausunnossa korostetaan, että sääntelyn yksinkertaistaminen ei saa tapahtua henkilötietojen suojan kustannuksella eikä lisätä epävarmuutta sääntelyn soveltamisessa. Tämän vuoksi tehtävät muutokset on arvioitava huolellisesti sekä niiden vaikutukset rekisteröityjen oikeuksiin ja tietosuojan keskeisiin periaatteisiin on otettava tarkasti huomioon. Lausunnossa korostetaan, että sääntelyn kehittämisessä on varmistettava tietosuojan korkean tason säilyminen myös jatkossa.

Yritysten näkökulmasta Digital Omnibus on merkittävä hanke, joka voi vaikuttaa laajasti digitaalilainsäädännön soveltamiseen tulevina vuosina. Vaikka ehdotus on vasta lainsäädäntöprosessin alkuvaiheessa, se antaa jo viitteitä sääntelyn tulevasta kehityssuunnasta. EDPB:n ja EDPS:n tuore lausunto osoittaa kuitenkin, että useat ehdotetuista muutoksista herättävät edelleen keskustelua tietosuojan näkökulmasta ja todennäköisesti vielä muuttuvat lainsäädäntöprosessin aikana. Yritysten kannattaa kuitenkin seurata hankkeen etenemistä, jotta mahdolliset muutokset voidaan tunnistaa ajoissa ja niiden vaikutuksiin organisaation data- ja tietosuojakäytännöissä voidaan varautua.

Sofia Mäkelä