Sanna-Maria Bertell bloggaa: Tietosuojan vuosi

EU:n yleinen tietosuoja-asetus eli GDPR tuli voimaan vuosi sitten toukokuussa. Viime vuonna tähän aikaan markkinoinnissa ja otsikoissa mentiin usein isot sakot edellä. Moni yritys muisti asiakkaitaan erilaisilla suostumuspyynnöillä sähköpostin välityksellä ja jos otsikointia on uskomista, taloyhtiöt pohtivat kuumeisesti, voiko asukasluetteloita enää käyttää. Tänä keväänä GDPR on näkynyt julkisuudessa vähemmän, mutta taaperoikäistä asetusta on syytä juhlia lyhyellä yksivuotiskatsauksella ja miettimällä hieman tulevaisuutta.

Vaikka GDPR on suuri ja vaativa uudistus, on sitä pidettävä osaltaan myös menestystarinana. Nyt samat säännöt koskevat kaikkia EU:ssa toimivia yrityksiä, ja yhteisten sääntöjen tavoitteena on myös helpottaa rajat ylittävää liiketoimintaa yli 500 miljoonan ihmisen markkina-alueella. Tietosuoja-asetuksesta on tullut myös vientituote. Teknologia kun ei pysähdy rajalla, joten GDPR vaikuttaa suoraan globaalien it-jättien prosesseihin. Myös lainsäätäjät ympäri maailmaa mallintavat omia lakejaan asetuksen perusteella.

GDPR on tuonut fokuksen siihen, miten yksityisyyttä suojataan ja miten dataa saadaan käyttää.  Rekisteröityjen oikeudet vahvistuivat, ja vaikka iso osa yksityisyydensuojan periaatteista oli tuttuja jo vanhasta laista, saivat kansalaiset enemmän suoria oikeuksia. Asetuksen tavoitteena onkin, että kansalaiset voivat hallita tietojaan paremmin. Tämä tarkoittaa käänteisesti enemmän velvollisuuksia yrityksille ja yhteisöille. Yrityksille säännösten tulkinnan tulee olla yhtenäistä ja ennakoitavaa, mikä vaatii EU:n tietosuojaviranomaisilta koordinointia ja selkeää ohjausta.

Viimeistään GDPR teroitti, ettei ole tietosuojaa ilman korkeatasoista tietoturvaa. Tietoturvaloukkauksista ilmoittaminen on uusi velvollisuus yrityksille, ja näitä raportoitiinkin 2220 kappaletta ensimmäisen puolen vuoden aikana. EU-tasolla ensimmäisen vuoden aikana kertyi yhteensä jopa 89,000 tietoturvaloukkausilmoitusta. Luvut vaikuttavat hurjilta ja saavat ehkä ensinäkemältä epäilemään jatkuvia ja vakavia kyberuhkia, mutta käytännössä tietoturvaloukkausten taso ja laatu vaihtelevat. Kyseeseen voi tulla esimerkiksi postitus väärälle listalle, hävinnyt USB-tikku tai sitten vakavampikin kyberhyökkäys. Ilmoitusvelvollisuus viranomaiselle tai kohdehenkilöille riippuu itsearvioidusta riskin tasosta. Arvata saattaa, että ainakin alussa viranomaisilmoituksia on tehty matalalla kynnyksellä, johtuen myöskin tiukasta, 72 tunnin aikarajasta. Olisikin toivottavaa, että asiassa saataisiin pikaisesti EU-tasoista ja käytännönläheistä ohjausta riskiarviointien tekemiseen, säästämään sekä viranomaisten että yritysten resursseja.

GDPR:n myötä syntyi myös uusia tietosuoja-ammattilaisten ryhmiä. Lain edellyttämiä tietosuojavastaavia on Suomessa nykyhetkellä reilu 1,200 ja tämän päälle tulevat vielä tietosuojakonsultit ja yritysten sisäiset asiantuntijaorganisaatiot. Tietosuoja työllistää ja luo uutta liiketoimintaa, mutta lisää väistämättä myös hallinnointikustannuksia. Viranomaispuolella Suomessa valittiin nyt ensimmäistä kertaa apulaistietosuojavaltuutetut. Tämä tarkoittaa, että elokuusta alkaen viranomainen voi muodostaa kollegion, joka on edellytys toimivallan käytölle seuraamusmaksuasioissa.

Entäs ne sakot? Suomessa ei siis kollegion puuttuessa ole voitu vielä antaa yhtään seuraamusmaksua, mutta EU-tasolla sakkoja on vuodessa kerrytetty 56 miljoonaa euroa. Yhteissummaa paisuttaa kuitenkin Googlen Ranskassa saama 50 miljoonan sakko. Toistaiseksi kuitenkin ollaan odottavalla kannalla kehityksen suhteen, viranomaisilla kestänee oma aikansa tutkia tapauksia, neuvoa yrityksiä lain noudattamisessa ja muodostaa käytäntöjä.

Ensimmäinen vuosi on mennyt, mutta tietosuojassa eletään murroskautta vielä pitkään. Lainsäädäntö on uutta ja soveltamiskäytännön muodostumiseen menee vielä vuosia. Samaan aikaan uudet teknologiat haastavat tietosuojaa: tekoäly, esineiden internet ja sähköisen viestinnän tietosuoja lisäävät oman kerroksensa kysymyksiä asetuksen raameissa. GDPR:n myötä tullut keskustelu ja lisääntynyt läpinäkyvyys toivottavasti kuitenkin rohkaisevat ihmisten luottamusta datan käyttöön. Lainsäätäjien, elinkeinoelämän ja viranomaisten tulee jatkossakin kehittää yhdessä yksityisyyden suojaa tavalla, joka tukee datatalouden innovaatioita ja nauttii yleistä luottamusta.

Lähteitä ja taustatietoja:

• Tietosuojavaltuutetun toimintakertomus: https://tietosuoja.fi/documents/6927448/10717840/TSV+toimintakertomus+2018.pdf/5749986b-ec7a-9bbd-ad30-047827aa103e/TSV+toimintakertomus+2018.pdf.pdf
• Euroopan tietosuojaneuvoston vuosikatsaus: https://edpb.europa.eu/news/news/2019/1-year-gdpr-taking-stock_en
• GDPR one year anniversary – infographics – IAPP https://iapp.org/media/pdf/resource_center/GDPR_Anniversary_Infographic_2019.pdf
• Tekoälyn eettiset suuntaviivat https://ec.europa.eu/futurium/en/ai-alliance-consultation