Tietosuoja-asetus tuntuu aivan mahtavalta!

Sain huhti-toukokuussa miljoonien suomalaisten tavoin lukemattomia sähköposteja, tekstiviesti-ilmoituksia ja kirjeitä siitä, miten lähes kaikki organisaatiot kaikkialla rakastavat minua, arvostavat yksityisyyttäni ja haluavat jatkossakin olla minuun yhteydessä. Roskapostitulva vaikutti hetken aikaa lähes loputtomalta. Tietosuoja-asetus ei siis todellakaan ole tuntunut mahtavalta, mutta sen nyt varmaan tajuaa jo otsikostakin.

Lukuisat sähköpostit, kirjeet ja tekstiviestit huusivat hoosiannaa siitä, miten hienoa oli, että GDPR eli EU:n yleinen tietosuoja-asetus tulee voimaan ja kuinka 25. toukokuuta voimaanastunut tietosuoja-asetus tekisi minusta aiempaa tärkeämmän ja merkittävämmän asiakkaan, jäsenen tai kuluttajan kaikissa mahdollisissa suhteissa. Henkilötietojani käsiteltäisiin kuulemani mukaan lainmukaisesti, kohtuullisesti ja läpinäkyvästi, tietoni minimoitaisiin, säilytystä rajoitettaisiin ja tietojani käsiteltäisiin etukäteen ilmoitetussa käyttötarkoituksessa.

Minulle oli siitä kerrottu, kuinka tietosuoja-asetuksen kolmannesta luvusta löytyisivät kaikki rekisteröidyn oikeudet aina tarkastusoikeudesta oikeuteen vastustaa automaattsta päätöksentekoa ja profilointia. Joku sattui joskus jopa mainitsemaan, että tietosuojaloukkauksistakin olisi kiva saada ainakin silloin tällöin tietoa. Yleistä tietosuoja-asetusta markkinointiin suomalaisille ja muille luottamuskysymyksenä, jonka myötä henkilötietojen keräämistä pitäisi tehdä vain “tiettyä, nmenomaista ja laillista tarkoitusta varten”. 1)Andreasson, Riikonen & Ylipartanen (2017, 35) Tietosuoja-asetuksen periaattellisuus on hämmentänyt monia – jopa Tietosuojavaltuutetun toimistoa ja sen lukuisia ylitarkastajia itseään.

GDPR:n piti “edistää digitalisaatiota, taata yksilöille henkilötietojen suoja ja itsemääräämisoikeus heitä koskevien tietojen käsittelyn osalta” 2)Andreasson, Riikonen & Ylipartanen (2017, 9) , mutta muun muassa oikeus tulla unohdetuksi, oikeus käsittelyn rajoittamiseen ja tarkastusoikeus ovat huomattavasti monimutkaisempia kokonaisuuksia kuin useimmat meistä näyttävät ensialkuun ymmärtäneen. Tietosuojavaltuutettu Reijo Aarnio mainitsee hieman hämärässä kirjoituksessaan siitä, miten GDPR:n voimaanastuminen oli uuden aikakauden alku (ei loppu) ja virkamiesmäisesti kertoo jostain 1+2-jäsenisistä vaihtoehdoista ja sanktioiden toimeenpanemisesta. Mitä tämä oikein merkitsee, minun, kansalaisen ja rekisteröidyn kannalta? Ei mitään. Eräs virkamies totesikin minulle, että tietosuoja-asetus ei kerro juuri mitään valvovien viranomaisista.

Tosiasia on kuitenkin se, että minun – ja monen muun – tietosuoja-asetuksesta mainittuja oikeuksia on jo rikottu ja kansallisen lainsäädännön puutteeseen vetoava tietosuojavaltuutettu vain kohauttaa hartioitaan. Tapauksia on lukemani ja kuulemani mukaan tutkinnassa lukemattomia, mutta rekisterinpitäjien ja rekisteröityjen tilanne on monella tavoin hankala monenlaisten epävarmuuksien vuoksi.

Olen suhtautunut saamiini tietosuojaloukkausilmoituksiin jossain määrin vakavasti. En ole jäänyt vain seuraamaan tilannetta, vaan olen ryhtynyt toimeen ymmärtääkseni, missä jamassa tietosuojatekeminen erilaisissa suomalaisorganisaatioissa on. Olen ollut yhteydessä muutamaan eri toimijaan heiltä saamieni tietosuojaloukkausilmoitusten osalta. Tietosuojatekemisen tilanne vaikutti kokemusteni valossa jossain määrin karulta. Kyse ei ole varsinaisesti siitä, että nämä yritykset itsessään olisivat karuja 3)Satun olemaan yhden kontaktoimani julkisesti listatun yrityksen osakkeenomistaja. Yritys on minusta hyvä, mutta tietosuojatekeminen ei., vaan siitä, että tietosuojatyö on saattanut vaikuttanut kaiken digihurmoksen aikana jossain määrin läpihuutojutulta. Tietosuojavastaavat eivät vastaa yhteydenottopyyntöihin, pyydettyjä tietoja ei toimiteta määräajassa ja erilaisten pyyntöjen esittämisestä on tehty tuhottoman hankalaa.

Tietosuoja-asetuksen vieminen osaksi asiakaspalvelua, riskienhallintaa ja tietojärjestelmätekemistä näyttää ainakin näiden omalle kohdalle sattuneiden tapausten osalta jääneen täysin sattumanvaraiseksi häsläämiseksi. Lisätietoja tietosuojaloukkauksista on turhaa odottaa ja asiakaspalvelut eivät tiedä tietosuoja-asetuksesta juuri mitään. “Ei meillä ole tietosuojavastaavaa”, totesi erään finanssiyrityksen työntekijä. “Tietosuojavastaavamme soittaa sinulle tämän viikon aikana”, totesi toisen suomalaisen palveluyrityksen vaihde. “Seuraamme tilannetta”, huomautti eräs toinen yritys sähköpostissa. 4)Kuinka monta sähköpostia tai tekstiviestiä minulla on jäänyt saamatta?

Tietosuoja-asetuksen voimaantulo ei ole aiheuttanut päänvaivaa vain meillä Suomessa, vaan GDPR käytännössä pilasi lukemattomat lehdet, ostohyvityspalvelut ja monet muut. Täysimittainen GDPR-esto lienee monille Euroopan ulkopuolisille palveluntarjoajille huomattavasti parempi vaihtoehto kuin GDPR-monimutkaisuuksien tulkinta ja sääntelykehikon soveltamiseen liittyvien epävarmuuksien kanssa eläminen. GDPR:stä ei tietenkään ole olemassa minkäänlaista laajamittaista puolueetonta kustannus-/hyötyanalyysiä, mutta jo pelkästään asetuksen toimeenpanon moninaiset kustannukset ovat ilmeisesti olleet valtavia. Paljon sanoja, vähän monipuolista analyysiä. Oikeustaloustieteilijät ovat olleet kovin hiljaisia koko asiasta.

Suomessa edes ilmeisesti Tietosuojavaltuutetun toimisto vain odottaa, missä vaiheessa kansallinen lainsäädäntö saadaan voimaan ja mitä siitä sitten seuraa. Pörssilistattujen yritysten ja suuryritysten kannalta tilanne ei toivottavasti ole niin heikko kuin pk-yritysten, kansalaisjärjestöjen ja monien muiden toimijoiden kannalta. Tietosuoja-asetus on todennäköisesti ollut lukemattomille lakimiehille, neuvonantajille ja konsulteille kuin manna taivaasta, koska kukaan – ei kukaan – pysty tietosuoja-asetusta yksistään omatoimisesti toimeenpanemaan. Onneksi asiasta vastaava EU-komissaari on kovin toiveikas. Tietosuojavastaavankin pitäisi todennäköisesti olla lakimies tai vähintään tietoturvaan erikoistunut asiantuntija. Kuka voittaa ja kuka häviää? Kyse on tietysti näkökulmasta.

Suomessa ei ole ainakaan ymmärtääkseni nostettu vielä yhtäkään (joukko)kannetta tietosuoja-asetuksen loukkauksista, mutta muualla Euroopassa näitä on käynnissä lukemattomia. Olen kirjoittanut tietosuoja-asetuksesta jo aiemmin varsin kriittiseen sävyyn, koska näen tietosuoja-asetuksen johtavan käytännössä vain monenlaisiin uusiin ongelmiin. Suuret teknojättiläiset saavat tietosuoja-asetuksesta todennäköisesti vain lisää turvaa kilpailua vastaan, vaikka Euroopan unioni ja virkamiehet meille muuta väittävätkin.

Globaaleilla suuryriyksillä on ollut aikaa toteuttaa ja mitoittaa sopiva määrä tietosuojatyötä toisin kuin Pertin Konepajalla tai Maijan Markkinointitoimistolla. Yleisen tietosuoja-asetuksen vaikutukset koskevat kaikkia organisaatioita niiden toimialaan, kokoon tai ikään katsomatta, joten siinä missä Facebookilla, Amazonilla, Netflixillä, Googlella ja monella muulla teknojätillä on ollut aikaa sopeutua uuteen sääntely-ympäristöön, ei pienyrityksillä ole ollut riittäviä keinoja valmistautua muutoksiin. Tietosuojavastaavaa ei ehkä tarvitse kampaamolle, kioskille tai pop-up -myymälälle nimittää, mutta erivapaudet taisivatkin olla siinä. Ihmettelin jo ennen tietosuoja-asetuksen voimaantuloa sitä, miten vähäistä Tietosuojavaltuutetun toimiston julkinen viestintä oli ja miten hyvin esimerkiksi Agendiumin Tietosuojamalli, ASML:in Jari Perko ja monet muut yksityiset ja puolijulkiset toimijat kivirekeä omalta osaltaan vetivät.

Lukemattomat asiantuntija- ja koulutusfirmat ovat tarjonneet monenlaisia yleisluontoisia kuvauksia siitä, miten GDPR vaikuttaa ja mitä pitäisi tehdä. Kaikkea ei tietenkään voinut viedä suoraan tuotantoon, mutta niistä sai huomattavasti enemmän vinkkejä ja ajatuksia siihen, miten tietosuojatyötä pitäisi lähteä viemään käytäntöön. Tein monenlaisia vertailuja Suomen ja muiden eurooppalaisten tietosuojaviranomaisten tarjoamiin tieto- ja materiaalipaketteihin ja olihan se aika karua, kun  espanjalaisilta ja italialaisilta löytyi puolivalmiita työkalupaketteja, ranskalaisilta erilaisia selkeitä oppaita ja excel-työkaluja ja Iso-Britannian ja brittiläisten erillisalueiden tietosuojaviranomaisilta toteutusta vailla olevat valmiit mallit, työkalut, oppaat ja neuvontapuhelimet. Tietosuojavaltuutetun toimiston tarjooma oli lähinnä 404-virheitä ja Googlen välimuistista haettuja yksittäisiä asiakirjoja.

Miten Euroopan unioni on tietosuoja-asioihin suhtautunut? EU on pyytänyt muita kertomaan “hyvät” uutiset puolestaan, vaikka monet EU-maat eivät olleet muutokseen ehtineet lainsäädännön tasolla edes sopeutua ja tietosuoja-asetuksen toimeenpano on maksanut, maksaa ja tulee maksamaan vielä miljardeja. Onneksi tietosuoja-asetus tuo tietosuojatyön osaksi laatuajattelua – “suunnittele ja dokumentoi, mitä teet ja miki, tee niin kuin olet suunnitellut ja paranna toimintaa jatkuvasti” 5)Andreasson, Riikonen & Ylipartanen (2017, 9) mutta ei se ihan niin helppoa ole. GDPR on kaikkea muuta kuin yksinkertainen ja helppo tietosuojan sääntelykehikko.

Tietosuoja-asetuksen perusperiaatteet eivät oikeus- ja yhteiskuntafilosofisesti täysin yksiselitteisiä, sillä yleisen tietosuoja-asetuksen rekisteröidyille antamat erilaiset oikeudet eivät ole “ilmaisia” oikeuksia ja ajatus EU-tietosuojan maailmanlaajuisesta sovellettavuudesta on hieman nurinkurinen. Tietosuoja ja -turva kuulostavat toki todella tärkeiltä ja merkityksellisiltä aiheilta 6)Varsinkin Snowdenin paljastusten jälkeen., mutta tosiasiassa tietosuoja-asetuksen toimeenpano näyttää johtaneen vain epäjärjestykseen, hämmennykseen ja ahdistukseen.

Emme saa teknojäteistä niskalenkkiä tietosuoja-asetuksella, rekisteröityjen oikeudet eivät tapahdu taikasauvaa heilauttamalla – ja emme varsinkaan pysty sopeutumaan tietokykykapitalismin aikakauteen sanomalla, että rekisteröity nyt vaan sattuu jostain syystä x omistamaan henkilötietonsa. Missä olivat kaikki taloustieteilijät ja filosofit, kun Suomessa “keskusteltiin” tietosuoja-asetuksesta? Ai niin… kukaan ei ilmoitautunut.

Tietosuoja-asetuksen yksinkertaisuutta, hienoutta ja kauneutta ylistäneiden palopuheiden sijaan meidän pitäisi jatkossa ajatella huomattavasti hitaammin erilaisten sääntelyhankkeiden osalta. Sääntely ei – yllätys, yllätys – todennäköisesti johda niihin kaikkiin hienoihin lopputulemiin, joita aluksi luvataan ja kuvitellaan.

Lähteet:

Andreasson, A., Riikonen, J. & Yliparanen, A. (2017). Osaava tietosuoja-vastaava. Helsinki: Tietosanoma.

KuvalähdeTheDigitalArtist / CC-O

References   [ + ]

Leave a Reply

Your email address will not be published. Required fields are marked *