Lisää valtaa omiin tietoihin

EU:n uusi tietosuoja-asetus kiristää ennen kaikkea valvontaa. Suuri osa lain määräämistä oikeuksista on voimassa jo nyt.

Perjantaina 25. toukokuuta EU-alueella aletaan soveltaa maailman tiukimmaksi tituleerattua tietosuojalakia.

GDPR-asetuksen tarkoituksena on vahvistaa yksityishenkilöiden tietosuojaa, yhdenmukaistaa EU-alueen hajanaiset tietosuojakäytännöt sekä kiristää tietosuojaloukkauksista koituvia sanktioita. 

Käytännössä jokainen, joka ylläpitää jonkinlaista henkilötietokantaa, joutuu soveltamaan asetusta.  

Vakavista tietosuojarikkomuksista voi mätkähtää sakot, jotka ovat enintään 20 miljoonaa euroa tai neljä prosenttia yrityksen liikevaihdosta.

Asetus ulottuu myös EU:n ulkopuolella toimiviin yrityksiin, mikäli ne keräävät EU-kansalaisten dataa. Samoin viranomaiset ja järjestöt kuuluvat asetuksen piiriin.

Ulkopuolelle jäävät ainoastaan poliisi, turvallisuuspalvelut ja rajavartiolaitos. Niitä sääntelee vuonna 2016 hyväksytty direktiivi.

 

Uudistus on pakottanut monet datajätit uudistamaan tietosuojakäytäntönsä. Viime viikkoina esimerkiksi Facebook, Twitter ja Instagram ovat ilmoittaneet käyttäjilleen tietosuojaan liittyvistä päivityksistä.

Osa amerikkalaisyrityksistä on puolestaan ilmoittanut lopettavansa toiminnan EU-alueella.

Tällaisiin kuuluu esimerkiksi Unroll.me-palvelu, jonka liiketoiminta perustuu siihen, että se järjestää ilmaiseksi sähköpostikäyttäjien inbox-kansiot ja myy samalla sieltä kaivamiaan tietoja eteenpäin yrityksille, kuten taksipalvelu Uberille. 

Monien yritysten osalta GDPRhysteria on kuitenkin ylimitoitettua.

Useat GDPR:n mukanaan tuomat käyttäjän oikeudet eivät ole niin vallankumouksellisia kuin on annettu ymmärtää. Suomessa monet niistä ovat olleet kirjattuna jo nykyiseen henkilötietolakiin. Asetuksen myötä oikeuksia aletaan kuitenkin valvoa entistä tehokkaammin. 

Kokosimme tähän juttuun yksittäisen kansalaisen näkökulmasta tärkeimmät oikeudet.

 

suostumusta pyydettävä selkeästi 

Käyttäjän suostumus henkilötietojen käsittelyyn on jatkossa pyydettävä selkeästi ja erillään muusta tiedosta. 

Suostumusta pyytäessään rekisterinpitäjän on kerrottava yksiselitteisesti, mitä tietoja käyttäjästä kerätään, mihin tarkoitukseen ja kenelle tiedot mahdollisesti luovutetaan. Tiedot on kerrottava, vaikka käyttäjä ei tätä erikseen pyytäisi.

Suostumus voidaan pyytää vain ennalta määriteltyyn tarkoitukseen. Jos käyttäjä ei anna suostumusta, yrityksellä ei ole oikeutta kerätä hänestä tietoja. Jos henkilötietojen käyttötarkoitus muuttuu, suostumus on pyydettävä uudelleen.

Henkilöllä on myös oikeus peruuttaa antamansa suostumus jälkikäteen.

Esimerkiksi Facebookin Cambridge Analytica -skandaalin tapauksessa suostumusta olisi pitänyt kysyä kolmesti, kertoo Financial Timesin haastattelema EU:n lakiasiantuntija.

Ensin lupaa olisi pitänyt pyytää siihen, että Thisisyourdigitallife-persoonallisuustesti voi päästä käsiksi käyttäjien henkilötietoihin. Sen jälkeen olisi pitänyt pyytää lupa tietojen myymiseen eteenpäin Cambridge Analyticalle.

Kolmanneksi Cambridge Analytican olisi pitänyt pyytää jokaiselta käyttäjältä erikseen lupa tietojen käsittelyyn poliittisessa tarkoituksessa.

On selvää, että suurin osa käyttäjistä ei olisi suostunut tähän.

Suomen laki on tähänkin mennessä asettanut käyttäjän suostumuksen pyytämiselle tarkat kriteerit. GDPR kuitenkin tiukentaa kriteerejä entisestään. Jatkossa suostumus ei voi jäädä oletuksen varaan, vaan se tulee ilmoittaa selkeästi esimerkiksi allekirjoituksella tai yksiselitteisellä klikkauksella.

Uusi asia on myös niin kutsuttu osoitusvelvollisuus. Yrityksen on pystyttävä osoittamaan jälkikäteen, että se on noudattanut asetusta ja että rekisteröity on antanut suostumuksen henkilötietojen käsittelyyn.

Nykyisen henkilötietolain aikana dokumentaatiota on vaadittu huomattavasti vähemmän.

Aina henkilötietojen käsittelyyn ei jatkossakaan tarvita suostumusta. Käsittelyoikeus voi perustua myös sopimukseen, asiakas- tai palvelusuhteeseen tai lakisääteiseen velvoitteeseen.

Historiankirjasta ei pyyhitä menneitä tapahtumia tämän pykälän varjolla. 

Lisää valtaa omiin tietoihin 

GDPR määrittelee henkilötiedoksi kaiken sellaisen datan, jota voidaan käyttää henkilön tunnistamiseen joko suoraan tai epäsuorasti. Tällaisia tietoja ovat esimerkiksi nimi, sähköpostiosoite, pankkitiedot ja terveystiedot, mutta myös Facebook-julkaisut, tviitit ja Instagram-tarinat.

EU:n tietosuoja-asetuksen mukaan käyttäjällä on oikeus nähdä hänestä kirjatut tiedot, pyytää niihin korjauksia tai tietoja siirrettäväksi tai poistettavaksi. 

Rekisterin ylläpitäjän on ryhdyttävä käyttäjän pyytämiin toimenpiteisiin viivyttelemättä, viimeistään kuukauden kuluttua pyynnön vastaanottamisesta. Lähtökohtana on myös, että tiedot tulisi toimittaa käyttäjälle ilmaiseksi. 

Rekisterinpitäjän on myös ilmoitettava rekisteröidylle henkilötietojen mahdollisista tietoturvaloukkauksista.

Suomen lakiin jonkinlainen informointivelvollisuus on kuulunut jo aiemmin. GDPR kuitenkin tarkentaa pykälää määrittelemällä, että käyttäjää on informoitava selkeällä ja ymmärrettävällä tavalla. 

Edellä mainittuja oikeuksia on lupa rajoittaa esimerkiksi tapauksissa, joissa henkilötietoja käsittelee viranomainen, jolla on tietojen käsittelyyn lakisääteinen oikeus.

 

Oikeus poistaa tietoja, eli oikeus tulla unohdetuksi, on yksi GDPR:n puhutuimmista uudistuksista. 

Suomessa jo nykyinen laki takaa oikeuden saada oikaistua tai poistettua rekistereistä tiedon, joka on vanhentunutta tai virheellistä. Jatkossa kansalaisilla on oikeus vaatia tietojensa poistamista myös sillä perusteella, ettei yksinkertaisesti halua tietojaan käsiteltävän.

Oikeuteen liittyy kuitenkin muutamia rajoituksia. Säännöksissä suojataan erityisesti ilmaisunvapautta ja tieteellistä tutkimusta.

Esimerkiksi poliitikkojen tai julkisuuden henkilöiden puheenvuoroja tai heistä kirjoitettuja lehtijuttuja ei poisteta verkosta tämän pykälän perusteella. Myöskään historiankirjoista ei pyyhitä menneitä tapahtumia.

 

Kokonaan uutta on myös oikeus vaatia omien tietojen siirtämistä palvelusta toiseen.

Oikeuden on ajateltu mahdollistavan sen, että omaa dataansa voi käyttää uudelleen eri palveluissa haluamallaan tavalla. Lisäksi sen on toivottu lisäävän teknologiayritysten kilpailua. Laissa on erikseen rajattu, ettei siirtämisvelvoite koske viranomaisia.

Käytännössä vaatimuksen noudattaminen tulee kuitenkin olemaan hankalaa. Tietosuoja-asetus ei edellytä, että eri yritysten tietojärjestelmien tulisi olla yhteensopivia.

On myös epäselvää, onko tietojärjestelmistä johtuva tekninen hankaluus yritykselle riittävä peruste kieltäytyä tietojen siirtämisestä.

 

GDPR ei kiellä kaikkea profilointia eikä estä henkilötietojen käyttöä poliittisiin tarkoituksiin, vaikka moni tuntuu näin uskovan. Profilointi ei kuitenkaan saa perustua tietoihin esimerkiksi etnisestä taustasta tai poliittisesta vakaumuksesta.

Asetuksen mukaan henkilötietoja voivat käyttää poliittisiin tarkoituksiin vain puolueet ja kampanjaryhmät. Silloinkin oikeus rajoittuu uutiskirjeiden ja ehdokaslistojen kokoamiseen. 

Rekisteröidyllä on myös oikeus vaatia, että tiedot käsittelee rekisterinpitäjän puolesta luonnollinen henkilö eikä kone. Tätä on kuitenkin osattava pyytää itse.

Kukaan ei valvo, ovatko henkilöt oikeasti käyttäjän vanhempia.

Alaikäisten tietojen käsittelyyn huoltajan suostumus

Kaupallisten palveluiden on jatkossa pyydettävä alaikäisen henkilötietojen käsittelyyn huoltajan suostumus.

Alaikäisen raja ei tässä yhteydessä ole 18 vuotta, vaan GPDR:n mukaan jo 16 vuotta täyttänyt saa päättää omien tietojensa käsittelystä itse.

Suomen kansalliseen tietosuojalakiin esitetään vielä alhaisempaa 13 vuoden ikärajaa. Hallituksen esityksen käsittely on eduskunnassa kesken, joten toistaiseksi Suomessa sovelletaan EU-asetuksen mukaista 16 vuoden rajapyykkiä. 

Käytännössä palveluiden on kuitenkin vaikea varmistaa luotettavalla tavalla käyttäjiensä ikää tai huoltajan suostumusta.

Esimerkiksi Facebook on ratkaissut tilanteen niin, että se pyytää alle 16-vuotiaita käyttäjiään syöttämään huoltajansa sähköpostiosoitteen, jonka jälkeen huoltajan tulee käydä hyväksymässä henkilötietojen käyttöpyyntö sähköpostissa. 

Käytännössä kukaan ei valvo sitä, ovatko käyttäjän vanhemmiksi määrittelemät henkilöt oikeasti heidän vanhempiaan tai ylipäätään aikuisia.

Mikäli alaikäisten tietosuojaa aletaan valvoa tarkasti, se saattaa johtaa siihen, että yritykset rajaavat selvyyden vuoksi alle 16-vuotiaat kokonaan pois palveluistaan.

Toistaiseksi kenelläkään ei ole valtuuksia langettaa seuraamusmaksuja.

väärinkäytöksestä voi kannella tietosuojavaltuutetulle, mutta…

GDPR antaa EU-maiden tietosuojavaltuutetuille aiempaa laajemmat valtuudet ja mahdollisuuden määrätä merkittäviä seuraamusmaksuja. Jos kansalainen huomaa, että hänen henkilötietojaan on käytetty väärin, hän voi tehdä kantelun tietosuojavaltuutetulle.

Näin teoriassa. Käytäntö on monimutkaisempi.

Koska Suomi ei ehdi saada GDPR:ää täydentävää kansallista lakia voimaan 25. toukokuuta mennessä, toistaiseksi tietosuojavaltuutetulla tai kenelläkään muullakaan ei ole valtuuksia langettaa seuraamusmaksuja.

Lisäksi perustuslakivaliokunta on ollut sitä mieltä, ettei tietosuojavaltuutettu edes voi tehdä päätöstä seuraamusmaksuista yksin, vaan niistä päättämään tarvitaan monijäseninen toimielin.

Tietosuojavaltuutetun antaman sakkopäätöksen uskotaan myös jäävän turhaksi välivaiheeksi. Yritykset tuskin suostuisivat seuraamusmaksuihin ilman tuomioistuimen käsittelyä.

Hallitus esittää myös, etteivät rangaistusmaksut koske Suomessa viranomaisia, vaikka tietosuoja-asetus velvoittaakin sekä yksityistä että julkista sektoria.

Ruotsin hallitus päätyi eri ratkaisuun. Siellä seuraamusmaksut tulevat koskemaan myös viranomaisia, mutta niihin kohdistuvat sakot ovat alhaisemmat.

 

Ongelmia aiheuttaa myös se, että suurimmassa osassa EU-maita tietosuojavaltuutettujen resurssit eivät tule riittämään tietosuojarikkomusten valvomiseen.

Muun muassa EU:n tietosuojavaltuutettu Giovanni Buttarelli on varoittanut, että EU-maiden tietosuojavaltuutettujen toimistoissa ei työskentele tarpeeksi ihmisiä valvomassa, että monimutkaista lakia noudatetaan.

Jos viranomaisilla ei ole kunnollisia resursseja valvoa organisaatioita, ne jäävät riippuvaisiksi yksittäisten käyttäjien valituksista.

Pahimmillaan asetuksen lupaamat oikeudet toteutuvat siis vain, jos käyttäjä on itse aktiivinen ja pitää huolta siitä, että hänen tietojaan käsitellään lain vaatimalla tavalla.

Sisältö