Loputon työmaa
VIISI AJATUSTA | GDPR tarjoaa loputtomasti tulkittavaa vuosikymmeniksi eteenpäin, sanoo juristi, podcast-juontaja ja tuoreen Mitä on tietosuoja? -kirjan kirjoittanut Milla Keller. Se on samaan aikaan sekä äärimmäisen mielenkiintoista että turhauttavaa.
Mielenkiintoni tietosuojaa kohtaan heräsi 2010-luvun puolivälissä ennen GDPR:n tuloa. Alkusysäyksenä toimi kysymys vallan tasapainosta: miten yksilöitä puolustetaan monikansallisia teknologiayrityksiä vastaan? Tietosuoja on ollut se linssi, jonka läpi noiden toimijoiden valtaa tarkastellaan, ja minua on aina kiinnostanut teknologiajättien toiminnan eettisyys. Julkisuudessa keskusteltiin tuolloin edelleen Edward Snowdenin paljastuksista, ja henkilötietojen siirto Yhdysvaltojen ja EU:n välillä katsottiin laittomaksi.
Valmistuin 2017, joten ajoitus oli oikea. GDPR teki vasta tuloaan, töitä tietosuojaan liittyvien kysymysten parissa riitti ja Suomessa alkoi olla kova tarve tietosuoja-asiantuntijoille. Aloitin urani Bird & Bird -asianajotoimistossa ja nyt työskentelen in house -puolella. Työhöni kuuluu prosessien hiominen ja mahdollisten tietosuojaan liittyvien epäkohtien tunnistaminen. Tietosuoja leikkaa läpi koko organisaation, ja tietosuojajuristina olen eräänlainen silta eri osien välillä, koska tietosuojan toteutuminen vaatii usean asiantuntijan saumattoman yhteistyön.
GDPR:n sisään on leivottu tulkittavaa juristeille vuosikymmeniksi eteenpäin. Tämä johtuu siitä, että GDPR on määritelmällisesti periaatepohjainen lainsäädänt ö, joten harmaan sävyjä riittää loputtomasti. Hyötyjä ja riskejä arvioimalla yritämme tehdä mahdollisimman hyviä tulkintoja. Välillä se on melkoista tasapainottelua. Datan käyttöä koskevaa juridiikkaa on tulossa lisää, joten GDPR:n tulkitseminen tässä muuttuvassa yhtälössä onkin uusi mielenkiintoinen haaste kaikille.
Kirjassani Mitä on tietosuoja? tulen siihen lopputulokseen, ettei kenenkään yksityishenkilön pitäisi tuntea huonoa omaatuntoa siitä, ettei aina jaksa perehtyä tietosuojaselosteisiin tai evästebannereihin. On hyvä tietää, että GDPR takaa yksilölle oikeuden saada halutessaan tietonsa poistetuksi ja tarkastaa, miten itseä koskevia tietoja käytetään. Lähtökohtaisesti organisaatioilla on velvollisuus käsitellä henkilötietoja oikein. Pienyrityksillä taas kaikki lähtee siitä, että ylipäätään tiedetään, mitä tietoja käsitellään ja missä. Sen tiedon päälle rakennetaan tietosuoja.
GDPR ei juurikaan kiellä asioita, vaan asettaa menettelysääntöjä, miten tietoja pitää käsitellä. Yleisessä julkisessa keskustelussa edelleen näkee ajatusta, että GDPR:n tarkoitus olisi kieltää mahdollisimman paljon asioita. Näin ei tietenkään ole, vaan pointti on pikemminkin siinä, että henkilötietojen käsittelyssä käytetään harkintaa, sille löytyy asianmukaiset perusteet ja sen seuraukset ymmärretään.
Suomesta löytyy paljon organisaatioita, joilla riittää vielä tekemistä tietosuojan ja tietoturvan saralla. Toivon todella, että viimeistään Vastaamon tietomurtotapaus herätti jokaisen yrityksen johdon ymmärtämään, ettei näitä asioita voi jättää huomiotta. Ajankohtainen aihe on myös tekoälyn kehitys. Parhaillaan väitellään siitä, onko se tietosuojaongelma vai ei. Fakta kuitenkin on, että jos tekoälyä käytetään käsittelemään henkilötietoja missään muodossa, niin GDPR soveltuu siihen – eli se on tietosuojaongelma.
Lisäksi kansainväliset tiedonsiirrot aiheena on edelleen tärkeä. Odotan mielenkiinnolla tietoa siitä, saadaanko EU:n ja Yhdysvaltojen välille uusi sopimus. Sen pitäisi selvitä kesän aikana. TikTokin myötä on vähitellen herätty myös siihen, ettei pelkkä Yhdysvaltojen toiminnan tarkastelu riitä, vaan katse pitäisi siirtää myös kohti Kiinaa.
Täydellistä maailmaa on turha odottaa, mutta tietoisuus tietosuojasta on muuttanut maailmaa parempaan suuntaan sekä yksilöiden että yritysten osalta GDPR:n myötä. Nähtäväksi jää, miten tuleva datalainsäädäntö vaikuttaa kehitykseen: korjaako se omalta osaltaan niitä puutteita, joihin GDPR ei ole onnistunut vaikuttamaan?
Läpinäkyvyys on yksi asia, johon digipalvelusäädös yrittää puuttua. Vaikka GDPR velvoittaa organisaatioita tarjoamaan läpinäkyvyyttä henkilötietojen käsittelyssä, digipalvelusäädös lisää näitä velvoitteita muun muassa algoritmien käytössä. Digimarkkinasäädös ja data act taas pyrkivät puuttumaan epätasaiseen vallan jakautumiseen. Kilpailulainsäädäntö ei alkuvuosina ottanut riittävästi huomioon sitä, kuinka suuren kilpailuedun teknologiajätit saavat siitä, että niillä on käytössään hillitön määrä dataa. Nyt EU pyrkii jakamaan dataa ja tasoittamaan kilpailua.
Turhautumisen tunteita herättää se, että GDPR on niin valtavan monitulkintainen. Ja jälkikäteen on mahdollista miettiä, oliko oikea valinta ulottaa GDPR koskemaan samalla tavalla ihan kaikkia yrityksiä pienestä kampaamosta aina kansainväliseen teknologiayritykseen. GDPR vaatii yritykseltä paljon työtä, ja jos resursseja ei ole, on sen täydellinen noudattaminen käytännössä mahdotonta vaikka kuinka haluaisi. Evästesääntely on varmasti jokaiselle kuluttajalle tuttu ja näkyvin osa tietosuojaa, ja toiveena on, että siihen saataisiin vihdoinkin joku selkeys.
Tietosuoja pohjautuu perusoikeuksien toteutumiseen eli jokaisella on oikeus tietosuojaan ja yksityisyyteen. Se on ylevä ja motivoiva ajatus. Muistutan itseäni myös siitä, miten helppoa on ottaa tietosuoja itsestäänselvyytenä. Niin kauan kuin kaikki menee hyvin ja ilman ongelmia, on yksinkertaista kritisoida tietosuojaan liittyviä vaatimuksia tyhmiksi. Tietosuojan todellinen tärkeys ymmärretään usein vasta silloin, kun tapahtuu Vastaamon tyyppinen keissi.
Muutimme perheeni kanssa kartanoon Parikkalaan koronavuonna 2020, ja siitä lähtien olen tehnyt paljon etätöitä. Täällä vanhempieni ja sisarusteni tarjoama tukiverkko on lähellä. Pidän valtavasti puutarhatöiden tekemisestä, ja se on erinomainen tapa purkaa turhautumisen tunteita. Samalla se tarjoaa myös täydellistä vastapainoa juristin työlle ja kirjoittamiselle. Pihaa kuokkiessa voi saada uusia ideoita vaikkapa äänikirjoja kuuntelemalla. Nyt seuraan mielenkiinnolla, lähtevätkö tänä keväänä istuttamani laventelit ja atsaleat kasvamaan hyvin.
Henkkarit
Syntymävuosi: 1991
Perhe: Puoliso ja kolme lasta
Tutkinnot ja arvonimet: OTM
Lempioikeudenala: Datajuridiikka
Jos ei olisi juristi, olisi: Puutarhuri
Motto: Done is better than perfect
Suosittelen
Kirja: Ursula K. Le Guin - The Left Hand of Darkness
Laulu: Mika - Relax
Urheilulaji: Jooga
Kuvataiteen teos: Klimtin Suudelma
Podcast: TietosuojaPod / PrivacyPod
Mitä jokaisen kannattaa ymmärtää tietosuojasta
- Tietosuoja on oma perusoikeutensa. Tietosuoja ei ole yhtä kuin yksityisyys. Perusoikeusstatus on tärkeä erityisesti hankalissa laintulkintatilanteissa: tietosuojaa tasapainotellaan tasa-arvoisena perusoikeutena muiden oikeuksien kanssa. Tärkeys nousee esiin, kun vertaa Yhdysvaltoihin, missä tietosuojaa ei suojata samalla tavalla perusoikeustasolla.
- Tietosuoja pitäisi käsittää ennen kaikkea organisaatioiden vastuuna tehdä asioita oikein. Yksilön oikeudet ovat tärkeä osa GDPR:ää, mutta yksilöllä ei ole resursseja aktiivisesti valvoa, kuinka hänen henkilötietojaan käsitellään. Tätä lähtökohtaa sekoittaa jonkin verran amerikkalainen diskurssi siitä, kuinka privacyssä tärkeintä on yksilön kontrolli omaan dataan.
- Tietosuoja ei tule valmiiksi. Se on jatkuvaa tekemistä organisaation jokaisella tasolla, koska myös henkilötietojen käsittelyn tavat kehittyvät koko ajan.
Kirjoittaja Juha Riihimäki
Juristikirje
Juristikirje tarjoaa joka toinen viikko asiantuntijahaastatteluja sekä juttuja juridiikan ilmiöistä ja ihmisistä. Juristikirje tuntee suomalaisen juristin!