Selvitys antaa karun kuvan tietosuojauudistuksesta – Annatko sinäkin riskillä ja summassa suostumuksen tietojesi käyttöön?

EU:n tietosuojauudistus ontuu. Lepsu suhtautuminen henkilötietojen käyttöön voi avata portit identiteetin ryöstölle.

Yleinen tietosuoja-asetus (GDPR)
Matti Wiberg
Professori Matti Wiberg sanoo, että tieto on arvokkaampi kauppatavara kuin maito: Ei happane. Merja Niilola / Yle

Runsaan vuoden voimassa olleen Euroopan unionin tietosuoja-asetuksen tarkoitus on taata, että jokaisella on oikeus tietojensa suojaan. (siirryt toiseen palveluun)

Todellisuus näyttää kuitenkin vallan toiselta. Professori Matti Wiberg ja tutkimusavustaja Valtteri Sankari Turun yliopistosta ovat havainneet selvityksessään (siirryt toiseen palveluun), että GDPR ei käytännössä toimi eivätkä tietosuojakäytännöt noudata asetusta.

Asetus määrää, että virastojen ja yritysten on suojattava visusti keräämänsä henkilötunnukset, osoitteet ja vaikkapa puhelinnumerot.

Jokaisella on oikeus saada tietää, mitä henkilötietoja hänestä kerätään ja mihin käyttötarkoituksiin niitä käytetään.

Virastot ja yritykset keräävät henkilötietoja palveluiden tuottamiseen ja sopimusehtojen täyttämiseen, mutta myös markkinointiin ja oman liiketoiminnan kehittämiseen.

Vääriin käsiin joutuvat arkaluonteiset tiedot aiheuttavat ihmisille taloudellisia vahinkoja ja henkistä kärsimystä.

Hyväuskoisuutta ja välinpitämättömyyttä liikaa

EU:n tietosuoja-asetus ontuu, sanoo valtio-opin professori Matti Wiberg.

Kun ihminen antaa suostumuksen tietojensa käsittelyyn, hän saattaa menettää tietojen hallinnan tyystin.

– Ihminen ei voi tietää, mihin ja missä tietoja säilytetään. Hän ei tiedä, luovutetaanko tietoja jonnekin. Tieto on erilainen kauppatavara kuin maito. Se ei happane.

Professori Wibergin mukaan pahimmassa tapauksessa tietoa voidaan säilöä vuosikymmeniä ja lopulta käyttää sekä laillisiin että laittomiin tarkoituksiin.

– Ei tarvitse olla kovin järkevä ihminen ymmärtääkseen, että pitää katsoa ensimmäistä tapaamista pidemmälle ennen kuin antaa suostumuksensa henkilötietojensa käsittelyyn.

Suostumus – harhaa vain?

Suostumus on peruste, jolla virasto tai yritys voi käsitellä ihmisen tietoja.

Tutkijat ottivat yhteyttä kaikkiaan 19 julkisen ja yksityisen puolen yritykseen tai virastoon.

Testauksessa käytiin ihan konkreettisesti 11 turkulaisessa kohteessa: Elisassa, Instrumentariumissa, Mehiläisessä, Osuuspankissa, Specsaversilla, Teliassa, Terveystalossa, Turun kaupunginkirjastossa, Turun seudun joukkoliikennevirastossa sekä Ylioppilaiden terveydenhoitosäätiössä.

Käynneillä kysyttiin käytännön toimista suostumuksen antamisessa ja tietojen keräämisessä.

Jalkapatikkatyön lisäksi tutkijat lähettivät sähköpostia Applelle, Facebookiin, Googlelle, Helsingin Sanomiin, Traficomiin, Veikkaukseen, VR:ään ja Yleen.

Valtteri Sankari
Valtteri Sankari patistaa ihmisiä mustasukkaisuuteen omista tiedoistaan. Merja Niilola / Yle

Selvitys osoitti, että yritykset ja virastot eivät kerro henkilötietojen käyttötarkoituksista tai säilytysajoista. Suostumuksen antamiselle on kuitenkin määritelty tarkat ehdot.

– Ihmiset antavat usein suostumuksensa tietojen käyttöön tietämättä, mitä se tarkoittaa. Huomasimme, että suostumuksen antaminen on rituaali, joka käydään läpi, mutta varsinaista sisältöä suostumuksella ei ole. On vähän sellaista henkeä, että tämä täytyy kysyä, mutta kumpikaan osapuoli ei oikein tiedä, mitä väliä sillä on.

Käytännössä näyttää siis siltä, ettei kumpikaan – ei kysyjä eikä vastaaja – tiedä hölkäsen pöläystä säännöistä.

– Asetuksessa määritellyt ehdot suostumukselle eivät täyty.

"Mahdollisimman paljon tietoa vähällä vaivalla"

Tutkijat ovat huolissaan identiteettivarkauksista. Tietojen luovuttamista kannattaisi harkita hartaasti. Tietoja ei voi antaa vahingossa.

– Jos joutuu identiteettivarkauden kohteeksi, vyyhden setviminen on vaivalloista. Prosessi kestää pari vuotta. Eikä silloinkaan ole takeita, että pöytä on puhdas. Ennen kuin henkilötietonsa luovuttaa, on syytä pohtia, luotanko minä tähän tahoon? Voinko valvoa toimintaa? Voinko estää tietojeni jatkoviljelyä tai myymistä? professori Wiberg sanoo.

Ja Valtteri Sankari jatkaa: – Emme tiedä, miten henkilötietoja tulevaisuudessa käytetään. Osa käyttötavoista voi olla yksilön kannalta kielteisiä.

Vuoden käytössä ollut EU:n asetus ei näytä saaneen aikaan muuta muutosta kuin tietosuojaselosteiden päivitykset organisaation verkkosivuilla. Se ei riitä, sanoo professori.

– Vaikea näyttää suoranaisia rikoksia, mutta niitäkin varmaan on. Ihmiset omistavat henkilötietonsa ja niitä luovutetaan tietyin ehdoin tiettyihin tarkoituksiin. Ei muihin. Organisaatiot taas ovat mukavuudenhaluisia. Niissä haluataan mahdollisimman paljon tietoja ihmisistä mahdollisimman vähällä vaivalla. Yksilöiden tietosuoja ei juuri kiinnosta.

Mies selaa verkkopankkia avainlukulista kädessään.
"Vaikea näyttää suoranaisia rikoksia, mutta niitäkin varmaan on." Kuvituskuva.Toni Pitkänen / Yle

Jottain tarttis tehrä?

Mitä sitten pitäisi parantaa, kun tietosuoja näyttää vuotavan? Ainakin tietoja keräävä henkilökunta pitää kouluttaa nykyistä paremmin tietosuoja-asioissa, tutkijat mietiskelevät.

– Organisaatiossa voi olla lakimiehiä, jotka ovat hyvinkin perillä tietosuoja-asetuksen reunaehdoista. Mutta jos asiakkaalle ei osata omin sanoin selostaa vallitsevaa oikeuskäytäntöä, organisaatio ei ole silloin hoitanut koulutusvelvollisuuttaan, jyrähtää Wiberg.

Pelkkä näyteikkunan päivittäminen ei riitä, vaan käytänteiden on oltava lainmukaisia. Professori usuttaa myös poliitikkoja pohtimaan lisäsääntelyn ja rangaistusten tarvetta.

– Jos tietosuoja vuotaa niin pahasti kuin nyt, on ilmeistä, että asialle täytyy tehdä jotain. Pitäisikö lisätä sanktioita eli rangaistuksia? Ja myös median kuuluu olla valveilla paremmin siinä, miten näitä tietosuoja-asioita organisaatioissa käytännössä oikein tehdään. Tästä media ei tiedä juuri mitään.

Lisää mustasukkaisuutta

Tutkimusavustaja Valtteri Sankari patistaa myös kansalaisia itseään.

– Kansalaisten pitää olla nykyistä mustasukkaisempia henkilötiedoistaan. Ei pidä vain luottaa siihen, että tietoja käsitellään laillisella tavalla. Jokainen omistaa omat henkilötietonsa eikä niitä saa käyttää ilman lupaa.

Ei sovi unohtaa viranomaisten velvollisuutta valvoa. On tehtävä tarkastuksia ja valvontaiskuja. Professori Wiberg kyselee myös tietosuojavaltuutetun toimien perään.

–Olemmeko voineet havaita, että viranomaiset olisivat olleet valppaina viimeisen vuoden aikana? Tiedän, että esimerkiksi tietosuojavaltuutetulle tulee paljon tutkintapyyntöpainetta, mutta nukutaanko siellä?

Voit keskustella aiheesta klo 22.00: een

Lue lisää:

Yhteiskuntapolitiikka-lehti, GDPR ei toimi : Tietosuojakäytännöt eivät noudata asetusta (siirryt toiseen palveluun)

Yleinen tietosuoja-asetus (GDPR)

Joudutko sinäkin klikkailemaan netissä "hyväksy"-nappia kyllästymiseen asti? Asiaan voi tulla kohta muutos