Paljon polemiikkia aiheuttaneen tietosuoja-asetuksen soveltaminen alkaa tänään – Onko se uhka vai mahdollisuus? Keräsimme 9 kohtaa

EU:n yleinen tietosuoja-asetus on saanut paljon huomiota, mutta maailma pyörii samaan suuntaan asetuksen jälkeenkin.

tietosuoja
Lukko tietoturva
Ismo Pekkarinen / AOP

Tänään perjantaina on se päivä, kun kahden vuoden siirtymäaika päättyy, ja Euroopan unionin yhteisen tietosuoja-asetuksen eli tuttavallisemmin GDPR:n soveltaminen alkaa.

Asetus velvoittaa ottamaan tietosuoja-asiat huomioon tuotteissa ja palveluissa entistä tarkemmin.

Kyseessä on iso periaatteellinen muutos, mutta taivas ei ole tippumassa niskaan. Iso osa yrityksistä, yhdistyksistä, urheiluseuroista, harrastekerhoista, sukuseuroista ja muista toimijoista on jo vuosia hoitanut tietosuojansa uuden asetuksen vaatimalla tavalla.

Yle kokosi kattavan paketin siitä, millaisia mahdollisuuksia uudistus tuo jokaiselle ihmiselle ja mitä uhkia siihen liittyy.

Mahdollisuudet

1. Mainio hetki siivota itsensä pois turhilta sähköpostilistoilta

Henkilötietoja käsittelevillä yrityksillä, yhdistyksillä ja yhteisöillä on ollut kaksi vuotta aikaa valmistautua asetuksen soveltamiseen. Yksittäisille ihmisille uudistus on näyttäytynyt lähinnä viime viikkojen postitulvana.

Pankit ja vakuutusyhtiöt ovat lähestyneet asiakkaitaan tietoturva-asioilla, verkkokaupat ovat ilmoittaneet päivittäneensä käyttäjäehtojaan ja sosiaalisen median alustat ovat pyytäneet käyttäjiään hyväksymään uudet tietosuoja-asetukset.

Postiluukusta on kopsahdellut sellaisten pankkien kirjeitä, joiden asiakas vastaanottaja ei ole välttämättä edes tiennyt olevansa. Sähköpostit ovat kuormittuneet.

Moni sähköpostilistan pyörittäjä on lähettänyt viestejä, joilla varmistellaan uuden asetuksen mukaista toimintaa. Brittilehti The Guardianin haastattelemien asiantuntijoiden mukaa (siirryt toiseen palveluun)n suurin osa näistä viesteistä on ollut tarpeettomia – jotkut jopa laittomia.

Vaikuttaakin siltä, että monella henkilötietojen käsittelijällä ei ole ollut tietoa siitä, mihin laki jo nykyisellään on velvoittanut – tai asetuksen mahdollistamien uhkasakkojen pelko on saanut hoitamaan asiat liian hyvin kuntoon.

Tietosuoja-asetukseen valmistautumisen aiheuttamassa postitulvassa voi nähdä myös hyötyjä. Se on antanut kattavan käsityksen siitä, missä kaikkialla juuri minun henkilötietojani käsitellään.

Samalla on ollut hyvä hetki päästä eroon turhista sähköpostilistoista ja katkaista tarpeettomat asiakkuussuhteet.

2. Käyttäjän oikeusturva paranee

Lienee kiistatonta, että henkilötietojen käsittelyssä on parannettavan varaa. Milloin vääriin käsiin on joutunut henkilö- ja makskorttitietoja, toisinaan ihmisten terveystietoja.

Uusi tietosuoja-asetus yrittää puuttua tähän.

Tarkoituksena on velvoittaa henkilötietojen käsittelijöitä huolehtimaan aiempaa tarkemmin tietoturvastaan ja antaa samalla ihmisille paremmat edellytykset kontrolloida omia henkilötietojaan. Kyse ei ole korulauseista, lupaa tietosuojavaltuutettu Reijo Aarnio.

Käytännössä yksilön oikeusturva paranee, kun jatkossa tietosuoja-asiat on otettava huomioon tuotteissa ja palveluissa jo niiden suunnitteluvaiheessa. Uudistus on aiheuttanut päänvaivaa etenkinyrityksissä ja yhdistyksissä.

Asetus velvoittaa muun muassa yrityksiä ja organisaatioita raportoimaan viranomaiselle tietoturvaloukkauksista. Suomessa tämä taho on Tietosuojavaltuutetun toimisto. Vakavista tietoturvaloukkauksista on ilmoitettava myös käyttäjälle itselleen.

Aiemmin ilmoitusvelvollisuutta tietovuodoista ei ole ollut. Uudistuksen ennakoidaankin lisäävän ilmoituksia. Näin saadaan aiempaa tarkempaa tietoa siitä, millä aloilla ja kuinka laajoja tietovuotoja Suomessa ja muualla Euroopassa tapahtuu.

Asetus parantaa myös ihmisen mahdollisuuksia "tulla unohdetuksi". Lue Ylen juttu aiheesta.

3. Tietojen siirtäminen rekisteristä toiseen helpottuu

Yksi uudistuksen tavoitteista ja suurimmista muutoksista liittyy tietojen siirtämiseen.

– Eurooppaan halutaan tehdä digitaaliset sisämarkkinat ja samalla parantaa kuluttajan oikeusturvaa ja mahdollisuutta toimia Euroopan laajuisilla markkinoilla, tietosuojavaltuutettu Reijo Aarnio summaa.

Reijo Aarnio, tietosuojavaltuutettu.
Reijo Aarnio, tietosuojavaltuutettu.Ronnie Holmberg / Yle

Tähänkin saakka ihminen on voinut pyytää rekisterinpitäjältä itseään koskevat tiedot, mutta jatkossa ne pitäisi lähtökohtaisesti toimittaa sähköisesti. On toinen juttu, miten tämä käytännössä onnistuu.

Aarnio näkee, että tietojen siirtäminen rekisteristä toiseen mahdollistaa sähköyhtiöiden, pankkien, lainojen tai vakuutusten kilpailuttamisen aiempaa helpommin. Tietojen siirtämisestä rekisteristä toiseen voi olla kuluttajalle rahanarvoista etua.

Esimerkiksi pankit ja rahalaitokset tarvitsevat luottohakemusten riskien kartoittamiseen riittävästi tietoa.

Jatkossa luottohistoriansa voi halutessaan siirtää suoraan omasta pankista toiseen. Aarnio kertoo, että tämä vähentää uuden luotonantajan riskiä, ja yhtiö saattaa päätyä näin kuluttajan kannalta halvempaan tarjoukseen.

Asetus helpottaa tietojen siirtämistä myös eri maiden välillä – esimerkiksi pankkilainan saaminen toisen EU-maan pankista helpottuu, ainakin periaatteessa.

4. Tietosuojasääntely yhtenäistyy Euroopan unionin alueella

Uudistuksen tarkoituksena on selkeyttää rekisteröidyn oikeuksia riippumatta siitä, missä rekisterinpitäjä on.

Jatkossa suomalaiset voivat kääntyä kaikissa tietoturva-asioissa oman maansa tietosuojavaltuutetun puoleen. Asioiden selvittely onnistuu omalla äidinkielellä.

– Jos joutuu ongelmiin Irlannissa tai ties missä muussa EU:n jäsenmaassa, voi olla omaan kotimaiseen viranomaiseen yhteydessä. Me autamme, Aarnio lupaa.

Asetus myös rohkaisee käyttämään erilaisia ikoneja, sertifikaatteja ja merkkejä, joiden perusteella käyttäjä voi varmistua esimerkiksi toisessa Euroopan unionin jäsenmaassa toimivan verkkokaupan tietosuojan olevan kunnossa.

5. Yritykset, yhdistykset ja muut toimijat ovat joutuneet pohtimaan tietosuojaansa

Jopa tarpeeton huoli tietosuojasta ja tietojen käsittelyn ajantasaisuudesta on johtanut siihen, että eri organisaatiot ovat käyttäneet aikaa selvittääkseen, millaista tietoa heillä on ihmisistä, ja samalla käyneet läpi tietosuojakäytäntöjään.

Yrityksillä ja muilla toimijoilla kun on vaikka minkälaista tietoa meistä jokaisesta.

Evästeet, sähköpostilistat ja verkkokaupat saavat ihmisistä kaikenlaisia tiedonmurusia. Hakijoiden henkilötiedot ja cv:t välittyvät yrityksiin rekrytointiprosessien aikana. Urheiluseuroilla saattaa puolestaan olla hyvinkin tarkkoja tietoja sen jäsenien terveydestä.

Nyrkkisääntöjä siitä, mitkä toimijat ovat asetuksen määrittelemiä "henkilötietojen käsittelijöitä", ei ole. Asetuksen tulkintaan vaikuttaa myös edelleen eduskunnassa valmisteilla oleva tietosuojalaki. Sen oli tarkoitus astua voimaan yhdessä EU:n yleisen tietosuoja-asetuksen kanssa, mutta ministeriöstä kerrotaan, että käyttöönotto viivästyy "joitakin viikkoja".

Moni saattaa olla jo turhautunut lukemaan sovellusten, yritysten ja sähköpostilistojen uusia tietosuojakäytänteitä. Niihin kannattaisi kuitenkin tutustua, sillä kyse on meidän jokaisen henkilökohtaisista tiedoista.

Aloittaa voi vaikka Ylen tietoturvaperiaatteista, jotka nekin on vastikään päivitetty.

Uhkat

1. Toimiiko tietojen luovuttaminen sähköisesti?

On mahdotonta ennakoida, mitä kaikkea asetus tuo tullessaan.

Etukäteen voi pohtia muutamia asioita, kuten sitä, miten oikeus siirtää tiedot järjestelmästä toiseen käytännössä toteutuu.

Kuinka monessa yrityksessä, jääkiekkoseurassa tai virkkauskerhossa on sellaiset tietojärjestelmät, että ne voivat lähettää ja vastaanottaa tietoja asetuksen velvoittamassa "jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa"?

2. Osoittautuuko valvonta käytännössä mahdottomaksi?

Toimijoiden on noudatettava uutta tietosuoja-asetusta sanktioiden uhalla. Julkisuudessa on kerrottu jopa kymmenien miljoonien uhkasakoista. Sakoista on kirjoittanut muun muassa Taloussanomat (siirryt toiseen palveluun).

Todellisuudessa seuraamusvalikoima on moninaisempi. Tietosuoja-asetusta rikkoneelle voidaan antaa ennen sakkoa huomautus, korjauspyyntö tai tietojenkäsittelykielto.

Sanktiomahdollisuudesta päästään kysymykseen valvonnasta.

Kussakin jäsenmaassa on oma viranomaisensa, joka valvoo asetuksen noudattamista. Suomessa Tietosuojavaltuutetun toimistossa työskentelee parisenkymmentä ihmistä.

Miten ihmeessä heidän aikansa riittää kaikkien mahdollisten tietoa käsittelevien tahojen toiminnan valvomiseen?

Toimiston mukaan henkilökuntaa tarvittaisiinkin lähes toinen mokoma lisää.

3. Muuttuvatko säädökset liian hitaasti?

Tietosuoja-asetuksen säätäminen alkoi vuonna 2012, ja asetus astui voimaan vuonna 2016. Yhtenä tarkoituksena oli ajantasaistaa ja parantaa tietosuojasääntelyä.

Teknologia on ottanut valtavan harppauksen parissa vuodessa, puhumattakaan kuuden vuoden aikajänteestä.

Lienee perusteltua kysyä, onko nyt sovellettavaksi tuleva laki jo vanhentunut.

4. Synnyttäkö uhkien minimointi arveluttavaa liiketoimintaa?

Asetus on aiheuttanut paljon epätietoisuutta, ja julkisuudessakin on liikkunut tietoja, jotka on virheellisesti yhdistetty EU:n uuteen tietosuoja-asetukseen.

Tämä ei ole ihme, sillä asetus on monimutkainen ja vaikeaselkoinen.

Koska suuret uhkasakot jäävät helposti mieleen, on täysin ymmärrettävää, että epätietoisuus aiheuttaa henkilötietoja käsittelevissä huolta.

On mahdollista, että tulevaisuudessa yrityksille, yhdistyksille ja muille toimijoille tarjotaan palveluita, joita ne eivät todellisuudessa tarvitse.

Lisää aiheesta:

Yle Puhe: Suuri GDPR-keskustelu (siirryt toiseen palveluun)

Verotietojen julkaiseminen lopetetaan, saunavuorolistoja ei saa enää pitää ja rappukäytävien nimitaulut häviävät – 6 väärää käsitystä kohutusta tietosuoja-asetuksesta

Laitoitko rastin kohtaan ”Hyväksyn käyttöehdot”? – EU:n tietosuoja-asetus on täällä, mutta pystytkö hallitsemaan sen myötä tietojasi tai kenties katoamaan verkosta kokonaan?

Tietosuojavaltuutettu HUSin kirjesekaannuksesta: Toukokuussa nähdään, kuinka paljon tietovuotoja oikeasti tapahtuu

Sinun tietosi eivät ole sinun