Terveisiä tietosuojaseminaarista: lähes tuhat lakia uusiksi?

Helsingin yliopiston oikeustieteellinen tiedekunta, ELSA ja It-Oikeuden yhdistys järjestivät tietosuojaseminaarin otsikolla “Henkilötiedot ja tietosuoja” torstaina illansuussa.

Seminaari veti legendaarisen Porthanian luentosalin miltei täyteen ja syystäkin, kyseessä oli ilmainen seminaari, jossa oli Suomen alan johtavat asiantuntijat, kuten viestintäoikeuden professori Päivi Korpisaari, tietosuojavaltuutettu Reijo Aarnio ja asianajaja Jaakko Lindgren. Käytännön näkökulmaa toivat yritysjuristit Kai Kuohuva, Leena Kuusniemi ja Laura Tarhonen. Puheenjohtajana toimi asianajaja Jukka Lång, joka Reino Aarnion mukaan oli yksi Suomen ensimmäisiä “nettipoliiseja” 2000-luvun alussa tehtävänään käydä läpi suomalaisia verkkosivuja tietosuojan näkökulmasta.

Tuhannen lain paletti

Minun on pakko myöntää, että vaikka olen suhteelisen perehtynyt tietosuojaan eurooppalaisella (hollantilaisella,saksalaisella, espanjalaisella) tasolla, Suomen lainsäädännön tietosuojan kokonaiskuva on minulle hetkittäin hieman “hakusessa”. Eikä ihme!

Viestintäoikeuden professori Päivi Korpisaari kertoi omassa alustuksessaan Helsingin yliopiston oikeustieteellisen tiedekunnan tekemästä selvityksestä, jossa kävi nimittäin ilmi, että henkilötietolaki “koskettaa” (eli ilmeisesti siihen viitataan tai erityissäännellään) lukuisia lakeja. Oikeusministeriön henkilötietolain uudistusta varten tilaamassa selvityksessä käytiin läpi lähes 600 (!!!!) suomalaista lakia, joissa oli jonkinasteinen yhteys (ilmeisesti pääasiallisesti lakiviittaus) henkilötietolakiin. Tämän lisäksi selvityksessä tunnistettiin vielä muitakin lakeja, joihin henkilötietolain muutos vaikuttaa. Yhteensä puhutaan lähes tuhannen lain paketista!

Tietosuojavaltuutettu Reijo Aarnion kommenttien perusteella kyseessä lienee jonkinasteinen “Euroopan ennätys”, sillä monissa muissa Euroopan maissa kosketuspinta on paljon suppeampi eli pärjätään muutamalla kymmenellä tai jopa yhdellä ainoalla lailla. Selvää on, että moista lakimassaa ei hallitse kukaan, ei edes Reijo Aarnio.

Henkilötietolaille hyvästit?

On mielenkiintoista myös nähdä, mihin suuntaan tietosuoja-asetuksen toimeenpanoa Suomessa suunnitteleva oikeusministeriön työryhmä päätyy eli esimerkiksi karsitaanko lainsäädäntöä ja viittauksia merkittäväksi vai lähdetäänkö todellakin päivittämään tuota tuhannen lain pakettia. Päivi Korpisaari väläytti jopa mahdollisuutta siihen, että henkilötietolaki kumottaisiin kokonaan ja sääntely jätettäisiin pitkälti tietosuoja-asetuksen varaan.

Asetuksessa on kuitenkin annettu joissakin kohdissa sääntelyvaraa jäsenvaltioille (esimerkiksi ikärajojen osalta) joten jonkinasteista kansallista lainsäädäntöä tarvittaneen, mutta iso kysymys lienee, miten paljon tarvitaan erillistä henkilötietolakia. Tietosuoja-asetus kun on “sellaisenaan” sovellettavissa voimaantulonsa jälkeen, joTyöryhmä esittää näkemyksensä muutostarpeista ensi vuoden kesäkuuhun mennessä.

Muutamia muita poimintoja seminaarista:

  • Henkilötiedoista käydään “pörssityylistä” kauppaa mainostajien ja mainostilan myyjien kesken. Esimerkiksi kohdennettu mainontaa vaikkapa toisella kolmanneksella raskaana olevalle naiselle maksaa 11 senttiä (ilmeisesti USD) ja reseptilääkkeitä käyttävälle 26 senttiä kappaleelta.
  • Sanomalla Privacy Managerina työskentelevä Laura Tarhonen tiivistä oman määritelmänsä henkilötiedosta sanoihin “kaikki tieto on henkilötietoa”. Hän määritteli tiedot kolmeen kategoriaan: henkilötietoon, yhdistettävissä olevaan tietoon sekä johdettuun tietoon.
  • Monelta tietosuojajuristilta joskus kysytään että miksi tietosuojaa tarvitaan, koska “eihän minulla ole mitään salattavaa” Rovion Leena Kuusniemi tiivisti asian monelta kantilta hienosti, kuten esimerkisi näin: “Miksi sinulla on vaatteet päällä? – Vaikka kaikki tietää miltä alla näyttää, silti ihmiset haluavat piilottaa ne vaatteiden alle.” Toinen tapa katsoa asiaa meni suunnilleen niin että “Jos et välitä tietosuojasta, et voi olla ystäväni, sillä en halua että omat asiani jotka kerron sinulle eivät ole turvassa”.-> Tämä otetaan heti käyttöön!

Ulos kuplasta

Seminaarin saama yleisösuosio on aika mielenkiintoinen osoitus siitä, että tietosuojauudistukseen on vihdoin herätty. Kaupalliset koulutusyritykset varmaankin tekevät sievoista tiliä alan koulutuksilla, mutta mielestäni tällaisia ilmaisia tilaisuuksia tarvitaan eritoten siksi, että siellä saa hyvän näkemyksen kokonaistilanteesta. Tietosuojaseminaareissa kun juristit ja alan asiantuntijat tahtovat elää “tietosuojakuplassa” jossa esimerkiksi asetuksen voimaantulo on jo vahvasti tiedossa ja sen vaikutuksista on ainakin alustava ymmärrys ja osaamis- ja ymmärrystaso on melko samantasoista. Lisäksi tässä “kuplassa” elämisessä on se vaara, että siitä ei välttämättä synny yhteyttä oikeaan maailmaan jossa esimerkiksi liiketoimintaa harjoitetaan.

Hyvä esimerkki tästä oli Jaakko Lindgrenin toteamus henkilötietojen poistamisen ja “oikeus tulla unohdetuksi” osalta. Lindgrenin (ja monen muun tietosuoja-asiantuntijan) mukaan kaikki tiedot on poistettava järjestelmästä kun tietoa ei enää käytetä. Tiukasti tulkiten tämä tarkoittaa esimerkiksi sitä, että tiedot on poistettava varmuuskopioiltakin. Monissa yrityksissä on vielä käytössä ns. nauhavarmistus, jonka yksi ominaisuus on se, että tietojen täydellinen poistaminen on vaikeaa ja erittäin aikaavievää, käytännössä järjetöntä. Ideana kun on juuri luoda “varma” varmuuskopio. Siksi juristimainen toteamus “kaikki pitää poistaa” saa aikaan kylmää hikeä jokaisen it-ihmisen otsalla, kun poistamisessa ei käytännössä ole mitään järkeä. Tällaisissa tilanteissa juristinkin on etsittävä käytännönläheisiä ratkaisuja, mutta ei aina. Joskus siltikin ne vaan pitää poistaa, koska laki.

Published by

Panu Pökkylä

Blogger, enterpeneur and a senior legal counsel at Nordea. Certified Information Privacy Professional / Europe (CIPP/E). I write in Finnish about technology and law, public procurement and privacy. All opinions are mine

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s