Eurooppalaisen kyberimperialismin alkusoitto – tai miksi tietosuoja-asetus ei ole ilmainen lounas

Euroopan unionin tietosuoja-asetus astui voimaan toukokuussa 2016 ja sitä on sovellettu käytännössä maailmanlaajuisesti siirtymäajan päätyttyä 25.5.2018. ¹⁾Kirjoituksen otsikko tulee amerikkalaisen Styxhexenhammer666-nimimerkin hiljattain julkaisemasta Youtube-videosta, jossa hän kritisoi EU:n valmisteilla olevan tekijänoikeusdirektiivin 13 artiklaa. Tietosuoja-asetuksen toimeenpano on ollut hyvin haastavaa lähes kaikille yrityksille ja organisaatioille toimialaan katsomatta, sillä lähes jokainen toimija käsittelee tavalla tai toisella henkilötietoja. Uutisista olemme kuulleet ja lukeneet, että Yhdysvalloissa EU-alueen kansalaiset eivät tällä hetkellä pääse tiettyihin verkkopalveluihin, työntekijän oikeudet omiin tietoihinsa kohentuvat merkittävästi ja uusi tietosuojalainsäädäntö aiheuttanee päänvaivaa myös jatkossa. ²⁾Olen aiemmin kirjoittanut muutamia tietosuoja-asetusta koskevia yleistajuisia artikkeleita.

Uskoin aiemmin jokseenkin vahvasti siihen, että uusi yhtenäinen tietosuoja-asetus on mahdollista kääntää yritysten liiketoimintaeduksi (ja uskon tähän jossain määrin vieläkin) ja asiakkaiden hyväksi, mutta mitä enemmän olen lukenut valtavirran tietosuojahehkutuksesta poikkeavia näkemyksiä, sen varmempi olen siitä, että tietosuoja-asetuksella ja sen vaihtelevilla kansallisilla tulkinnoilla voi olla pidemmällä aikavälillä monenlaisia haitallisia vaikutuksia erityisesti kehitteillä oleviin uusiin teknologioihin ja datavetoiseen liiketoimintaan. Ympäröivä maailma yksinkertaisesti muuttuu aivan eri kellotaajuudella mitä kaikkea hyvää ja kaunista toivovat virkamiehet ja poliitikot itselleen ja muille uskottelevat. Kilpailu ja yksityinen hallinto ovat osoittautuneet tiukkaa lainsäädäntöä tehokkaammiksi keinoiksi luoda järjestystä myös joskus kaaottiselta vaikuttavaan digitaaliseen maailmaan. ³⁾Brent Skorup ja Jennifer Huddleston Skees ovat huomauttaneet Yhdysvalloissa vuonna 1996 voimaan astuneen Communications Decency Act of 1996 -lainsäädäntöpaketin kohdan 230 kannustaneen verkkopalveluyhtiöt kehittämään monenlaisia omia valvonta- ja hallintakeinojaan.

Tietosuoja-asetuksesta on viimeisen puolentoista vuoden aikana kirjoitettu valtavasti ja valtaosa kirjoittelusta on ollut yleispöhinää siitä, miten valmistautua, mitä huomioida, mitä vaatii ja niin edelleen. Osa asiantuntijoista uskoo ilmeisen vahvasti siihen, että tietosuoja-asetus on bisnesmahdollisuus, kilpailun vauhdittaja ja keino viedä tietosuoja- ja tietoturva seuraavalle tasolle. Valitettavasti julkisessa keskustelussa tietosuojakeskustelu menee lähes aina väistämättä siihen, että muistutetaan aina uhista eli siitä, miten tietosuojan laiminlyönti on vakava virhe. Tosiasissa tietosuoja-asetustakin on myyty uhkasakoilla, vaikka lopulta kyse on siitä, miten asiat tehdään niin, että tietosuoja on järjestetty oikein ja tietoruva on kunnossa.

Olen ollut hieman pettynyt siihen, että Suomessa ei ole julkisuudessa ainakaan kovin näkyvästi keskusteltu tietosuoja-asetuksen oikeustaloustieteestä, poikkitieteellisestä tai EU-oikeudellista näkökulmista. Huomio on lähes poikkeuksetta kiinnitetty siihen, miten nyt kaikilla on oikeus marssia lähimpään pankkikonttoriinsa ja vaatia tietonsa näkyville tai pyytää tietojensa poistamista suoramarkkinointilistoilta. Esimerkiksi erilaisten tietoturvatoimenpiteiden käyttäytymisvaikutuksista ja niiden toimivuudesta on meillä käyty hyvin vähän keskusteltua. Laajamittaisia arvioita tietosuoja-asetuksen vaikutuksista muun muassa työllisyyteen, tuottavuuteen ja talouskasvuun on vasta varsin vähän. ⁴⁾ks. Bauer, M. (2013). “The Economic Importance of Getting Data Protection Right: Protecting Privacy, Transmitting Data, Moving Commerce“. ECIPE. A trade impact assessment of the General Data Privacy Regulation (GDPR) by the European Centre for International Political Economy (ECIPE) for the U.S. Chamber of Commerce, maaliskuu 2013; Bauer, M. (2016). “Unleashing Internal Data Flows in the EU: An Economic Assessment of Data Localisation Measures in the EU Member States“. ECIPE Policy Brief, 03/2016 Stéphane Cirianin (2015) mukaan uusi tietosuoja-asetus ei sinänsä ole protektionistista politiikkaa tai vähennä kilpailua, mutta se ei välttämättä ole EU:n kannalta tehokasta lainsäädäntöä.

Eilen Twitteriä selaillessani silmiini osui tämä Markus Niemisen lyhyt twiitti:

GDPR on lakimiesten laskutusta ja valuu lopulta Facebookin ja Googlen laariin. https://t.co/a5h8qFNjoX

— Markus Nieminen (@markusnieminen) 28. toukokuuta 2018

Dataa on nykypäivänä kaikkialla ja datan hyödyntäminen on lähes kaikessa liiketoiminnassa hyvin arkipäiväistä. Lukemattomien yritysten liiketoiminta ja sen kehittäminen perustuu yksinomaan teknologiaan, dataan ja analytiikkaan. Datan merkitys kasvaa kaiken aikaa, mutta data on hyödyntöntä, jos sitä ei kyetä hyödyntämään. Tietosuoja-asetuksen tarkoituksena ei ole estää henkilötietojen hyödyntämistä, mutta tietosuoja-asetus rajoittaa merkittävästi sitä, miten henkilötietoja kerätään ja käsitellään. Loppuviimeksi datavetoinen liiketoiminta perustuu siihen, että dataa on käytettävissä, mutta tietosuoja-asetus – toisin kuin ehkä joskus annetaan ymmärtää – ei luonnollisestaan estä datavetoisen liiketoiminnan kasvua ja kehitystä. Viime perjantaina ilmestynyt xkcd-strippi summeeraa koko uuden tietosuoja-asetuksen kauniilla tavalla.

Tietosuoja-asetuksen voimaantuloa edeltävä viikko näkyi käytännössä omassa arjessani lähinnä eri verkkosivuille ilmestyneinä eväste- ja tietosuojatiedotteina, mobiilisovellusten päivityspyyntöinä ja loputtomana sähköpostitulvana:

• Updating our Privacy Policy and Terms of Service
• Tietosuojakäytännön päivitys
• Yksityisyytesi on tärkeää meille
• Updates to the Privacy Policy
• We’re Updating Our Privacy Policy
• Updates to our Privacy Policy
• Lue päivitetty tietosuojakäytäntömme
• Kaikki on valmista GDPR-asetusta varten
• Henkilötietosi ovat turvassa, viesti ei vaadi toimenpiteitä
• Haluatko vielä kuulla meistä? ⁵⁾Mitä väärää valtaosassa näistä sähköposteista on? Valtaosa näiden sähköpostien lähettäneistä ei edes ymmärrä tarkalleen ymmärtäneen, mitä opt-in vs opt-out tarkoittaa ja koko operaatiosta on minulle itselleni lähinnä kertaluonteista hyötyä. En todennäköisesti jatkossakaan tiedä sitä, missä kaikkialla erilaisia henkilötiedoksi luokiteltavia tietojani tarkalleen ottaen käsitellään.

Haluaisin kovasti uskoa siihen, että uusi tietosuojalainsäädäntö olisi keino vahvistaa luottamusta, vauhdittaa liiketoimintaa, parantaa tietosuojaa laatujohtamisen menetelmin ja luoda uusia datavetoisia palveluita, mutta tähän mennessä en ole lukenut yhtäkään perusteltua näkemystä sen puolesta, että yleinen tietosuoja-asetus on se puuttuva palanen tuottavuuden kehityksestä, jonka myötä kaikki paranee x10. Tietosuoja-asetuksen resitaaleista käy selkeästi ilmi se, että viime kädessä tietosuojan ytimessä on yksilönsuoja ja ajatus siitä, että yritysten, viranomaisten ja muiden toimijoiden pitää tietää, miksi henkilötietoa käsitellään, millaista henkilötietoa hallitaan, mitä henkilötiedolla tehdään, missä henkilötietoa säilytetään, kuka henkilötietoa saa käsitellä ja miten henkilötiedon kerääminen ja käsittely on järjestetty.

Erityisen haastaviksi aihealueiksi koen osoitusvelvollisuutta ja tähän läheisesti liittyvää tietojen minimointia, henkilötietojen hallintaa (esim. tietosuojaloukkausten ilmoitusvelvollisuus korkeintaan 72 tuntia havainnosta), tietojen poisto-oikeutta (oikeus tulla unohdetuksi) ja tietosuoja-asetuksen kansallista soveltamista koskevat monenlaiset epävarmuustekijät. ⁶⁾Tietojen siirtämiseen liittyy vielä omat erityiset tekniset ja lainsäädännölliset haasteensa. ⁷⁾Kuner, C. ym. (2016). “The language of data privacy law (and how it differs from reality)“. International Privacy Law 6(4): 259-260 Oman mielenkiintoisen aihealueensa muodostavat suostumukset, jotka “olisi annettava selkeästi suostumusta ilmaisevalla toimella, kuten kirjallisella, mukaan lukien sähköisellä, tai suullisella lausumalla, josta käy ilmi rekisteröidyn vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla hän hyväksyy henkilötietojensa käsittelyn” (Resitaali 32). ⁸⁾ks. London Economics (2017). “Analysis of the potential economic impact of GDPR: Implications of the ICO’s Draft Guidelines on consent“

Suuryrityksillä on varaa maksaa lakimiesarmeijat tulkitsemaan käytännössä mitä tahansa uutta sääntelyä ja valtiomonopolistisessa ja liike-elämämyönteisessä maailmassa yksinkertaiseksi ja vakaaksi mielletty lainsäädäntö- ja sääntely-ympäristö saattaa osoittautua harvinaisen petolliseksi. ⁹⁾Maliranta, M., Pajarinen, M. & Rouvinen, P. (toim.) (2018). Startupit kansantaloudessa. Helsinki: Taloustieto Oy (ETLA B277) ¹⁰⁾Lobbareilla oli merkittävä vaikutus tietosuoja-asetuksen valmistelussa. Suuret lupaukset tietosuoja-asetuksen luomasta eurooppalaisesta digitaalisesta sisämarkkinasta saattavat ilmentyä lopulta myös lisääntyvinä oikeudenkäynteinä ja sakkoina – ja oikeustoimet tuskin rajoittuvat vain EU-alueen rajojen sisäpuolelle, sillä lukemattomat EU-alueen ulkopuoliset yhtiöt käsittelevät tietosuoja-asetuksen piiriin lukeutuvia henkilötietoja (epä)suorasti. Siinä vaiheessa, kun yritystä uhkaavat mahdolliset sakot ja muut rankaisutoimet tietosuoja-asetuksen periaatepohjaisuudesta huolimatta, ei joidenkin peräänkuuluttamalla rauhoittumisella, ympärilleen katselemisella, rehellisellä heinätekojärjellä ja maalaisjärjellä ole enää mitään merkitystä. “Ignorantia juris non excusat”, joku saattaisi todeta.

Sääntely ja valvonta ei ole ilmainen lounas

Maailman toistaiseksi tiukimman tietosuojalainsäädännön toimeenpano ja osoitusvelvollisuuden toteuttaminen eivät ole haastavia vain eurooppalaisille pienyrityksille, vaan vaikutukset ulottuvat käytännössä joka puolelle maailmaa ja lainsäädäntö vaikuttaa eri toimialoihin ja erikokoisiin yrityksiin hyvin eri tavoin. ¹¹⁾Díaz Díaz, E. (2016). “The new European Union General Regulation on Data Protection and the legal consequences for institutions“. Church, Communication & Culture 1(1): 206-239 ¹²⁾Deloitten vuonna 2013 julkaiseman suuntaa-antavan ja tuolloin saatavilla olleisiin tietoihin perustuneen arvion mukaan jo pelkästään muutaman datakeskeisen toimialan osalta tietosuoja-asetuksen vaikutukset ovat taloudellisesti yksinomaan kielteisiä. London Economicsin viime vuoden lokakuussa julkaiseman suostumuksia koskevan selvityksen mukaan tietosuoja-asetus voisi johtaa Iso-Britanniassa merkittäviin hyvinvointitappioihin. Erilaisia epävarmuustekijöitä on vielä runsaasti ilmassa, vaikka jokaisen yrityksen ja organisaation pitäisi olisi pitänyt olla jo GDPR-valmiita.

Tietosuoja- ja tietoturva ovat luonnollisesti erittäin tärkeitä asioita ja kuluttajana arvostan vahvaa tietosuojaa ja -turvaa, mutta yritysten ja muiden organisaatioiden kannalta en usko uuden tietosuoja-asetuksen olevan uusien mullistavien liiketoimintamahdollisuuksien avainajuri. Jo yksistään toimeenpanon suorat kustannukset ovat tämän, tämän, tämän ja tämän arvion mukaan valtavat. Saatavilla olevat yleiset arviot tietosuoja-asetuksen toimeenpanon kustannuksista ja vaikutuksista tiettyihin toimialoihin ovat vain suuntaa-antavia, sillä tietosuoja-asetuksen toimeenpano ja osoitusvelvollisuuden täyttäminen eivät ole kertaluontoisia investointeja. Riittävän tietosuojavalmiuden ylläpito tulee käytännössä vaatimaan jatkuvia panostuksia ja parannuksia. ¹³⁾Lebourges, M. (2015). “Economic Impact of European Reform of Personal Data Protection“. FSR Annual Policy Conference, 28.5.2015 Tietosuoja-asetus vaikuttaa käytännössä kaikkiin yrityksiin, yrittäjiin ja organisaatioihin, joten toimialalla, koolla, toimipaikalla tai oikeastaan millään muullakaan “lieventävällä” asianhaaralla ei ole juuri merkitystä kuin joihinkin osiin lainsäädännöstä. ¹⁴⁾Vrt. tietosuojavastaavan nimittäminen ei ole kaikissa tapauksissa välttämätöntä Tietosuoja-asetuksen toimeenpano vaatii monenlaisten erikoistapausten huomioimista, koska lainsäädäntö on suunniteltu luonteeltaan ylikansalliseksi ja lakikieli monille yrittäjille epäselvää. ¹⁵⁾Enroth, T. & Neuvonen, R. (2017). “EU:n tietosuoja-asetuksen yritysvaikutukset“. Valtioneuvoston selvitys- ja tutkimustoiminta, Policy Brief 10/2017

Valitettavasti edes Suomen tietosuojavaltuutetulla ei näytä olevan selkeää käsitystä siitä, kuinka paljon ja millaisia lisäpanostuksia tietosuoja-asetuksen toimeenpanon valvonta maksaa. ¹⁶⁾Reijo Aarnio on hehkuttanut tietojen siirtämisen johtavan suunnilleen seuraavaan avaruusaikaan kun “tietojen siirtäminen rekisteristä toiseen mahdollistaa sähköyhtiöiden, pankkien, lainojen tai vakuutusten kilpailuttamisen aiempaa helpommin”, mutta sen tosiasiallisesta toteutumisesta ei ole varmuutta (tai vakavasti esitettyjä arvioita). Kukaan ei todennäköisesti ollut täysin valmiina tietosuoja-asetuksen soveltamiseen, jonka lisäksi monet aiemmin EU-alueen kansalaisiakin palvelleet ulkomaiset yritykset ovat yksinkertaisesti estäneet pääsyn verkkopalveluihinsa tai heikentäneet merkittävästi käyttäjäkokemusta. ¹⁷⁾GDPR Report (2018). “GDPR: the numbers don’t lie – the world isn’t ready“ ¹⁸⁾Tietosuoja-asetuksen 3 artiklassa kuvattu asetuksen alueellinen soveltamisala joutunee monta monitusta kertaa puntariin tulevina vuosina. Yhdysvalloissa Googlea ja Facebookia on jo syytetty tietosuojaloukkauksista ja esimerkiksi Washington Post on hinnoitellut palvelunsa uudelleen:

Kukaan ei ole vieläkään pystynyt varmuudella osoittamaan, että tietosuoja-asetusta tulkittaisiin ja sovellettaisiin yhdenmukaisesti koko EU-alueella. Tietosuoja-asetuksen vaihtoehtoiskustannukset ja monenlaiset vaikutukset yrityksiin ja tuleviin yrittäjiin eivät ole selkeästi määriteltävissä, mutta joidenkin arvioiden mukaan – kuten jo aiemmin mainitsin – tietosuoja-asetus voi vaikuttaa haitallisesti uusiin kehitteillä oleviin teknologioihin, lääketieteelliseen tutkimukseen ja tietojärjestelmähankkeisiin. Kaikessa laajuudessaan tietosuoja-asetus voi vaikuttaa merkittävästi yrittäjien riskinottohalukuuteen, mutta pitkäaikaiset dynaamiset vaikutukset – myönteiset ja kielteiset – ovat vielä pitkälti hämärän peitossa. ¹⁹⁾Tietosuoja-asetuksella voi toki olla myös pidemmällä aikavälillä ilmeneviä myönteisiä vaikutuksia. Tietyt toimialat ja liiketoimintamallit ovat osoittautuneet selvästi muita herkempiä nyt tapahtuneelle sääntely-ympäristön muutoksille. Brian Krebsin mukaan tietosuoja-asetus voi johtaa entistä suurempaan roskaposti- ja huijausviestitulvaan ja Bob Hoffman povaa kielenkäytön sekavuuden lisääntymistä.

Vasta aika näyttää?

Minä arvostan yksityisyydensuojaa, mutta en menisi takuuseen uudesta tietosuoja-asetuksesta yksityisyydensuojan perälautana. Poliitikkojen ja byrokraattien puheet tietosuoja-asetuksen tärkeydestä eivät ole kaikkia vakuuttaneet. ²⁰⁾Tietosuoja-asetuksesta on keskusteltu ahkerasti jopa redditin kaltaisilla keskustelupalstoilla. Seuraavaksi EU haluaa muuttaa tekijänoikeuslainsäädäntöä. Mitä tämän jälkeen? Ehkä ryhdytään paukuttamaan nimettömään nettikirjoitteluun puuttumista ja kaikenlaisen vähäisimmänkin anonymiteetin purkamista. ²¹⁾Suomessa tätä on ehdotettu aiemmin muun muassa täällä ja täällä. Olisiko tässä seuraava vientituote esimerkiksi Suomen seuraavan vuoden EU:n puhjeenjohtajuuskaudelle yhdessä Romanian kanssa? ²²⁾McElroy, W. (2011). “Internetin anonymiteetin puolutuspuhe“. Suom. N. Korkiakoski & M. Laakso. Suomen Ludwig von Mises -instituutti

Yleisessä tietosuoja-asetuksessa on kuitenkin sellaisia seikkoja, jotka voivat joissakin tapauksissa johtaa ilmaisunvapauden ja lehdistönvapauden kannalta hankaliin tilanteisiin. ²³⁾Mayer-Schönberger, V. (2009). Delete: The Virtue of Forgetting in the Digital Age. Princeton, NJ: Princeton University Press; Brock, G. (2016). The Right to be Forgotten: Privacy and the Media in the Digital Age. Lontoo: I.B.Tauris; Vannecke, L. (2017). The relationship between journalism and data protection: Analysis of the General Data Protection Regulation and recent case law of the European Court of Human Rights. Oikeusmaisterin tutkinnon opinnäytetyö. Yleisen tietosuoja-asetukset pitäisi suojella kansalaisia myös valtionhallinnon asiattomalta urkkimiselta ja tietojen käsittelyltä, mutta uusi pitää sisällään lukuisia erivapauksia ja lopultahan tietosuojaloukkauksia puidaan todennäköisesti oikeusteitse.

Markus Niemisen alkuperäisen twiitin pääviesti, josta tämä koko pohdiskelu sai alkunsa, pitää minusta paikkansa. Tietosuoja-asetuksen toimeenpano, seuranta ja valvonta on kallista ja isoilla yrityksillä on sääntelykilpailussa merkittävä etulyöntiasema. Meistä jokainen näyttää haluavan tietosuojaa, mutta käyttäytymisemme kertoo kuitenkin jotain aivan muuta. ²⁴⁾Awad, N. F. & Krishnan, M. S. (2006). “The personalization privacy paradox: an empirical evaluation of information transparency and the willingness to be profiled online for personalization“. MIS Quarterly 30(1): 13-28 Taloudellista ajattelutapaa pitäisi soveltaa myös tietosuojaa koskevaan yksilölliseen ja yhteiskunnalliseen päätöksentekoon ja tutkimukseen, koska jokainen tekemämme päätös on aina jossain suhteessa tavoittelemiimme asioihin ja kaikki päätökset (tai päättämättä jättämiset) “maksavat” aina jotain. ²⁵⁾Tietosuojaa ja -turvaa on lähestytty sekä yksityishyödykkeenä että julkishyödykkeenä.

Sääntelyn vaikutukset ovat ennakoimattomia

Sääntely ei ole ilmainen lounas ja sääntelyllä on usein haluttujen vaikutuksen lisäksi tahattomia (epä)suoria seurauksia, jotka voivat johtaa lopulta merkittäviin ja ennalta-arvaamattomiin hyvinvointitappioihin. ²⁶⁾Esimerkiksi Puolassa hallitus on harkinnut pienille ja keskisuurille yrityksille vapautuksia eräistä yleisen tietosuoja-asetuksen velvoitteista. Meillä on lukemattomia esimerkkejä siitä, miten erilaiset sääntelytoimet ovat tuottaneet monenlaisia tahattomia seurauksia ja käytännössä kaikilla sääntelytoimilla on tahattomia seurauksia taloudellisiin ja poliittisiin toimijoihin. Lopulta sääntelijät päätyvät korjaamaan aiemman sääntelyn puutteita ja ongelmia uusin sääntelytoimin. Kierre on loputon, kuten Per L. Bylund on kirjassaan korostanut.

Esimerkiksi tietosuoja-asetuksessa määritellyt yksilönoikeudet eivät sada kuin manna taivaasta ja ennalta-asetetut tavoitteet saattavat johtaa kummallisiin lopputulemiin. Tietosuoja-asetuksen määrittelemät yksilönoikeudet aiheuttavat toisaalta myös kustannuksia niille joiden pitää ne toteuttaa ja valvoa niiden toteuttamista. Yleisen tietosuoja-asetuksen 4 artiklassa henkilötieto määritellään verrattain laajasti, joka herättää kysymään, millaista ja kenen henkilötietoa esimerkiksi LinkedIn-kontaktit ovat ja onko jollakulla oikeus vaatia tulla unohdetuksi tästä kirjoituksestani? ²⁷⁾Henkilötiedolla tarkoitetaan asetuksen mukaan “kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella”.

En ole filosofisesti aivan täysin varma siitä, millä perusteella minä omistan minusta kerätyn henkilötiedon ja jos omistan kerätyn henkilötiedon, mikä kaikki henkilötieto on sellaista johon minulla on tosiasiallisesti oikeus ja mitä (omistus)oikeus omiin henkilötietoihin lopulta tarkoittaa. ²⁸⁾Duch-Brown, N., Martens, B. & Mueller-Langer (2017). “The economics of ownership, access and trade in digital data”. JRC Digital Economy Working Paper 2017-01 Liian ympäripyöreästi käsitetty oman henkilötiedon omistusoikeus ei välttämättä ole paras mahdollinen ratkaisu avoimessa maailmassa, sillä henkilötietoa on joskus pyritty rinnastamaan esimerkiksi patentteihin ja tekijänoikeuksiin – ja ainakaan tällä hetkellä en ole täysin vakuuttunut aineettoman omaisuuden laajamittaisen suojan eduista ja hyödyistä. ²⁹⁾Boldrin, M. & Levine, D. K. (2008). “Against Intellectual Monopoly“. E-kirja

Laaja yksityisyydensuoja on käytännössä eräs keino rajoittaa muiden toimijoiden mahdollisuuksia hyödyntää henkilötietoja esimerkiksi kaupallisissa tarkoituksissa. ³⁰⁾Will Rinehartin mukaan yksityisyydensuoja ei ole sama asia kuin esine- ja varallisuusoikeus. Toisaalta EU:lla ei ole maailmanlaajuisia toimivaltuuksia, mutta tietosuoja-asetus voi aiheuttaa (ja on jo aiheuttanut) valtavia kustannuksia monille toimijoille ja voi pahimmilaan toimia kilpailun esteenä. ³¹⁾Sääntely vaikuttaa hyvin monin eri tavoin dynaamiseen kilpailuprosessiin ja markkina- ja sääntelyhäiriöiden ratkaiseminen sääntelemällä ei ole patenttiratkaisu laajempiin ongelmiin.

Wiredin Klint Finleyn mukaan voimme kiittää (tai syyttää) tietosuoja-asetuksesta Edward Snowdenin muutaman vuoden takaisia paljastuksia. Tietosuoja-asetukset vaikutukset näkyvät jo nyt, mutta merkittävämmät vaikutukset ja seuraukset ilmenevät todennäköisesti vasta myöhemmin. ³²⁾Irlannissa hallituksen ehdotuksista käytiin vilkasta keskustelua. Mikään sääntely ei ole koskaan vaikutuksiltaan pelkästään myönteistä tai kielteistä. Tietosuoja-asetuksessa myönteistä on se, että rekisteröidyn oikeudet – oli niiden varsinaisesta muotoiluista tai laajuudesta mitä mieltä tahansa – on vihdoin kirjattu selkeästi ylös. Nyt rekisterinpitäjät, henkilötietojen käsittelijät ja erilaiset käsittelytoimet on tuotu selkeästi osaksi lainsäädäntökehikkoa.

Tietosuoja ja yksityisyydensuoja – kuten olen jo moneen kertaan sanonut – ovat tärkeitä ja isoja asioita, mutta yleinen tietosuoja-asetus ei välttämättä ole saavuta sille asetettuja tavoitteita ja se voi olla pahimmillaan jopa hyvin haitallinen sekä EU-kansalaisille että eurooppalaisille yrityksille. Jatkuvan lisäsääntelyn luomisen sijaan lainsäätäjien ja valvontaviranomaisten pitäisi aina kysyä, onko havaittu epäkohta tai ongelma edes korjattavissa sääntelyllä?

Parannus tai ei, tietosuoja-asetus on pakottaa yritykset ja muut organisaatiot muuttamaan toimintatapojaan. ³³⁾Ilta-Sanomissa julkaistu artikkeli on Ifin kaupallista sisältöä, mutta kertoo jotain konkreettista niistä toimista, joita eräässä verkkokauppayrityksessä on pitänyt tehdä tietosuoja-asetuksen vuoksi. Tietosuoja-asetuksesta tullaan kuulemaan vielä useita kertoja tulevina vuosina, mutta kriittiselle tietosuojaa ja tietoturvaa koskevalle kansalaiskeskustelulle pitää löytää enemmän tilaa myös Suomessa.

—

Kuvalähde: Ice Cream Sandwich Comics / C