Calm the GDPR down! – Miten tietosuoja-asetus on vaikuttanut?

Reilu pari kuukautta GDPR:ää takana, miten on mennyt? No, omalta osaltani suuri panikki muuttui pieneksi lässähdykseksi heti asetuksen soveltamisen alkamisen jälkeen. Maailma ei räjähtänyt!

Uskalsin jopa lentää lentokoneella itse GDPR-päivänä, tosin koska lensin ranskalaisella lentoyhtiöllä lento ei mennyt kuten piti, koska lakko.

Suomessa tietosuojalain valmistuminen on nikotellut eduskunnassa ja näillä näkymin viivästystä on luvassa vielä jonkin aikaa. Helsingin Sanomien mukaan asian käsittely jatkuu vasta syyskuussa eduskunnan palattua istuntotauolta. Laki voisi tulla voimaan aikaisintaan alku­syksystä.

Nykyinen tietosuojavaltuutettu Reijo Aarnio on täysin aiheellisesti ilmaissut huolensa tietosuojavaltuutetun toimiston toimivallan säätämisen johtavan pahimmassa tilanteessa vakavaan limboon, jossa tietosuoja-asioista päättäisi asiantuntijalautakunta, jonka asiantuntemuksesta ei olisi takeita. Aarnio kertoo myös MTV:n uutisissa että toimiston työmäärä on tuplaantunut kahdessa kuukaudessa.

Tietenkin olisi hyvä erottaa tässäkin tuomiovalta ja viranomaisvalta, Aarnio kun näyttäisi toivovan “suoraa sakotusoikeutta” eli kykyä määrätä sakkoja itsenäisesti. Olisikin mielenkiintoista kuulla tarkempia yksityiskohtia Aarnion ajatuksesta. Esimerkiksi kilpailuasioissa  kilpailuvirasto tekee vain esityksen markkinaoikeudelle sakkojen määräämiseksi ja itse “sakotusvalta” on siten tuomioistuimella. Jos sakot määrää sama viranomainen joka myös tutkii asian, vaikkakin erillisellä “kolleegiolla”, ei päästä samanlaiseen oikeusturvaan kuin esimerkiksi kilpailuasioissa.

Nyt kun tietosuojalakia ei ole saatu säädettyä ajoissa, asetus on sellaisenaan voimassa, mutta samaan aikaan viranomaisilla ei ole riittäviä puuttumiskeinoja esimerkiksi tilanteissa, joissa toimitaan tietosuoja-asetuksen vastaisesti. Toisaalta, viranomainen voi jo nyt tehdä esimerkiksi tarkastuksia ja selvityspyyntöjä tarvittaessa. Suomessa ollaan muihin EU-maihin verrattuna hieman jälkijunassa, koska Aarnio mainitsee että vain kymmenessä maassa on kansallinen laki vielä säätämättä.

Joka tapauksessa asetuksen soveltamisen alkaminen on ollut hieno ja tärkeä juttu. Kaikesta ennakkohuumasta huolimatta olisi ollut myös väärin odottaa mitään älytöntä ryntäystä tietosuojan pariin. Kestää aikansa, kun asiakkaat, käyttäjät tai vaikkapa potilaat tutustuvat uusiin päivitettyihin tietosuojaselosteisiin ja käytäntöihin, joita monet yritykset ovat ottaneet käyttöönsä toukokuun lopussa.

Noyb, suostumus ja Somejätit

Yksi mielenkiintoisimmista uutisista GDPR-päivänä oli Max Schremsin perustaman Noyb –vapaaehtoisjärjestön suuri hyökkäys internet-jättejä kohtaan. Noyb vei Facebookin, Instagramin, Googlen ja Whatsappin suostumuskäytännöt neljän eri tietosuojaviranomaisen (Ranska, Belgia, Hampuri ja Itävalta) käsiteltäväksi heti 25 toukokuuta.

Kyseessä on mielenkiintoinen ja hyvin olennainen oikeustapaus, jossa käsitellään suostumuksen “vapaaehtoisuutta” erilaisten somepalveluiden käytössä. GDPR edellyttää suostumukselta vapaaehtoisuutta eli sitä että käyttäjällä tulee oikeasti olla mahdollisuus kieltäytyä ilman negatiivisia vaikutuksia. Tässä kiistassa keskeisessä asemassa onkin se, voiko käyttäjää estää käyttämästä somepalvelua jos hän ei suostu täysivaltaiseen henkilötietojen käyttöön esimerkiksi mainostamiseen? Samaten keskeisessä asemassa on se tapa, jolla suostumusta pyydetään, kuten esimerkiksi erilaisten “ärsyttävien” ja “tunkeilevien” pop-upien muodossa.

Sinänsä on hyvä huomata, että esimerkiksi Facebook tarjoaa nykyään aikaisempaa laajemmin käyttäjälle mahdollisuuden säätää omia suostumuksiaan, mutta ymmärtääkseni edelleen käytäntönä on se että lähtökohtaisesti kaikki suostumukset ovat “päällä” ellei niitä oteta pois. Tämä näyttäisi olevan ristiriidassa tietosuoja-asetuksen privacy by design ja default -periaatteiden kanssa jotka edellyttävät että palveluissa olisi aina vähiten yksityisyyttä luokkaava toiminto päällä. Tosin, tulkinnanvaraa on tietosuoja-asetuksessa vielä paljon, joten ratkaisu on kyllä tarpeen.

Minä ainakin odotan suurella mielenkiinnolla asian ratkaisua, koska sillä on suurta vaikutusta monien palveluiden käyttöehtoihin ja ylipäätään tapaan, miten dataa voidaan jatkossa käyttää.

Yllättävän hiljaista?

Ainakin tällä hetkellä näyttäisi kolleegoilta tehdyn yleisen GDPR-barometrin perusteella siltä, että yllättävän vähänkin ihmiset ova kiinnostuneet pelkästään tietosuojasta ja GDPR:n toteuttamisesta. Sen sijaan enemmänkin asia on noussut esille normaalissa kanssakäynnissä kuten asiakaspalvelutilanteessa tai vaikkapa silloin, kun on saatu yritykseltä markkinointipostia. Tällaisissa tilanteissa kiinnostusta on ollut runsaasti, mutta ainakaan vielä en ole kuullut kenenkään hukkuneen GDPR-kuvioihin.

Maailmalla yritykset ovat joutuneet muun muassa estämään verkkosivujen käytön Euroopasta koska GDPR. Omien kokemusteni perusteella lähestymistapoja on niin monia kuin on yrityksiäkin, skaala vaihtelee ylitiukasta tulkinnasta aina täyteen tietämättömyyteen tai aiheen kieltämiseen.

Sekin aika on tietysti vielä edessä, kun viranomaiset ympäri Eurooppaa tarttuvat toden teolla jonkin yrityksen linjaukseen ja haastavat toimijat toden teolla. Tällä hetkellä tilanne vaikuttaa siltä, että viranomaiset keskittyvät enemmän neuvontaan, ohjaamiseen ja opastukseen, mutta on selvää, että isoja sakkoratkaisuja jossakin vaiheessa alkaa tulla.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: