Tietosuoja-asetus täsmentyy pala kerrallaan
Niin se vain on, että vasta merkittävä sakon uhka sai Euroopan tai ainakin Suomen yrityselämän kiinnostumaan tietosuojasta. Ja meno onkin ollut melkoista, jo yksistään allekirjoittanut on muun oman työnsä ohella pitänyt kuluneen vuoden aikana liioittelematta kymmeniä ja taas kymmeniä tietosuojaluentoja ja sparraussessioita, puhumattakaan erilaisten tietojenkäsittelysopimusten ja muiden enemmän tai vähemmän EU:n yleisen tietosuoja-asetuksen 28. artiklaan perustuvien juridisten asiakirjojen kommentointimäärästä. Kippis sille. Tietosuoja on kaikkien huulilla sekä kynien kärjissä, ja hyvä niin, kysehän on meidän kaikkien oikeuksista yksilöinä.
Tietosuoja itsessään ei kuitenkaan ole mikään 2010-luvun lapsi, vaan nykymaailman tempossa jo hyvinkin keski-ikään ehtinyt juridinen konstruktio. Esim. Suomessa säädettiin jo vuonna 1999 tietosuojaa säätelevä henkilötietolaki, ja tätäkin ennen aikaisempaa lainsäädäntöä toki on löydettävissä. Yksityisyyden arvo, josta tietosuojakin lopulta kumpuaa, on paljon vanhempaa perua. Tietosuojan etabloitumiseen yritysmaailmassa on vaikuttanut kuitenkin nimenomaan 2010-luvun ajassa muuttuvan lainsäädännön lisäksi myös erityisesti tiedon määrän VALTAVA lisääntyminen. Joidenkin arvioiden mukaan joka päivä syntyy 2,5 eksatavua uutta dataa. Eli siis sama määrä dataa kuin menisi kovalevyllä 90 vuoden mittaisen HD-tason elokuvan säilyttämiseen. Joka päivä. Vaikka kaikki tästä datasta ei olekaan uutta tietoa, eikä varsinkaan henkilötietoa, voidaan valtavasta ”hugedatasta” myös louhia ja profiloida mitä mielenkiintoisempia uusia tiedon jyviä. Hyvään ja pahaan tarkoitukseen.
Julkisesta kiinnostuksesta ja konsulttien innostuksesta huolimatta, tietosuoja-asetus ei sellaisenaan ole täydellinen vastaus datamassojen suitsemiseen. Se on itse asiassa kaukana siitä. Tämä siksi, että yleinen tietosuoja-asetus (general data protection regulation, GDPR) on juuri sitä, yleinen. Ja yleislain sanamuodot ovat tässä tapauksessa niin yleisellä tasolla, että pelkästään asetuksen tekstin lukemisella ei tule juuri hullua hurskaammaksi, ainakaan mitä tulee tietosuoja-asetuksen käytännön täytäntöönpanoon. Siksi onkin hyvä, että erilaiset auktoriteetit, kerhot ja konklaavit sekä etujärjestöt ovat ottamassa kantaa siihen, miten asetusta kussakin yhteydessä olisi syytä tulkita. Lopulta silti vasta unionin oikeuskäytäntö määrittelee milloin kannanotto on ollut oikea, milloin väärä. Mutta ilman minkäänlaista kannanottoa voi olla varma, että asetuksen edellyttämä pyhistäkin pyhin ns. osoitusvelvollisuus ei ainakaan tule täytetyksi. Nämä tulkinnat ja eri alojen itseregulaatio ovat juridisessa epävarmuudessaankin kuitenkin kultaakin arvokkaampia pienemmille toimijoille, joilla ei ole halua, aikaa, rahaa tai kiinnostustakaan yrittää keksiä tietosuojapyörää itse. Suosittelenkin ennen kaikkea oman alanne auktoriteettien seuraamista tietosuojatyössänne.
Erityisesti Suomessa myös valvova viranomainen eli Tietosuojavaltuutetun toimisto, vaikka sen rooli muuttuneekin asetuksen voimaantulon myötä, ottaa jo nyt ansiokkaasti kantaa myös tulevan tietosuoja-asetuksen tulkintaan. Olen kerännyt alle muutamia linkkejä tietosuojavaltuutetun toimiston laatimista ohjeista (perustuen lähinnä EU:n tietosuojaviranomaisista koostuvan WP29-tietosuojatyöryhmän lausuntoihin), joiden parissa tietosuojaintoilija jos toinenkin pystyy Joulun välipäivinä viihtymään mainiosti tai vähintäänkin hyvin tovin jos kolmannenkin, ja luultavasti saa myös vastauksen joihinkin kysymyksiinsä. Tietosuojattua vuoden loppua kaikille!
Täsmentäviä ohjeita, lähde tietosuoja.fi (Suomen Tietosuojavaltuutetun virallinen sivusto) :
– Tietosuojavastaavan nimittämisestä
– Tietosuojan vaikutustenarvioinnista
– Henkilötietojen sähköisestä siirtämisestä toiseen järjestelmään
– Hallinnollisten sakkojen määräämisestä
– Profiloinnista ja automaattisesta päätöksenteosta(englanniksi)
Kimmo Kajander