Asiaa alusta lähtien seuranneet ovat odottaneet tätä pitkään: viikon päästä alkaa vihdoin GDPR:n soveltaminen, kun EU:n tietosuoja-asetuksen siirtymäaika loppuun.
Kansalaisen näkökulmasta GDPR ei tuo juurikaan muutoksia. Jos haluaa tarkistaa omat tietonsa yrityksen tai yhteisön rekisteristä, tarkastuspyynnön on voinut tehdä jo 19 vuoden ajan eli aina siitä lähtien, kun nykyinen henkilötietolaki tuli voimaan. Testasin asiaa vuonna 2010 ilmestynyttä kirjaani varten ja sain kaikista pyytämistäni yrityksistä tiedot tulosteina kotiin.
Edes oikeus tulla unohdetuksi ei ole uusi, vaan se on voitu johtaa vaatimuksesta poistaa vanhentuneet henkilötiedot. Asetus toki sanoo tämän täsmällisemmin, mutta periaate ei muutu.
Juristit löytävät GDPR-artikloista paljonkin pieniä muutoksia, mutta ainoa selvästi uusi oikeus liittyy omien tietojen saamiseen sähköisessä muodossa. Tiedot, jotka on itse luovuttanut palveluun, on mahdollista saada takaisin itselle jotta ne voi esimerkiksi siirtää kilpailijalle. Omien tietojen määrittely on tulkinnanvaraista; ovatko esimerkiksi K- tai S-kaupan ostoista kertyvät tiedot sellaisia, että ne pitäisi saada haluttaessa itselle? Ymmärtääkseni Suomessa on otettu tällainen tulkinta, mutta GDPR on tässäkin yksityiskohdassa epämääräinen.
Yritysten ja yhteisöjen, mukaanlukien harrastusseurat ja taloyhtiöt, tilanne on toinen. Niillä muutokset ovat suuria, koska GDPR asettaa käänteisen todistustaakan. Niiden on itse pystyttävä tarvittaessa osoittamaan, että toiminta on asetuksen mukaista. Jos eivät pysty, tietosuojaviranomainen voi määrä sanktiomaksuja. Henkilötietojen käsittelyn prosessit, tietojärjestelmät ja sopimukset on käytävä läpi, samoin henkilökunta koulutettava. Monella työ on edelleen pahasti kesken.
Todistustaakkaa lukuunottamatta yrityksetkin pääsevät GDPR:stä vähällä, jos ovat hoitaneet kaikki nykyisen henkilötietolain velvoitteet pilkuntarkasti. Suurin muutos tulee siitä, että GDRP:n jälkeen kaikki pitää oikeasti tehdä.
Sanktioita ei silti tarvitse heti pelätä. Miten viranomainen voisi vaatia yrityksiltä täydellistä toimintaa, kun eduskunta ei ole ehtinyt vielä edes hyväksyä tietosuojalakia? Lakien puuttuessa tuomioistuin joutuu soveltamaan yksinomaan GDPR-asetusta, joka on abstrakti ja liikkuu yleisellä tasolla.
EU on kehunut GDPR:n tuovan miljardisäästöjä, sillä laajasti EU:n alueella toimivat yritykset asioivat jatkossa ainoastaan oman maansa viranomaisten kanssa. Asetuksen kustannuksista EU ei ole puhunut mitään. Hyvän asian nimissä yrityksille sälytetään merkittävä hallinnollinen taakka sielläkin, missä ongelmia ei ole tähän asti ollut. Tässä varaudutaan tulevaan.
EU:n mainospuheet GDPR:stä kilpailuetuna kuulostavat omissa korvissani falskilta. Tietosuojasta huolehtiminen on kilpailuetu, mutta laki on sama kaikille ja kilpailuetu on aina suhteellista. GDPR voisi parantaa EU-yritysten kilpailuasetelmaa jenkkifirmoja vastaan (Facebook!), mutta voi käydä myös päinvastoin. Rajoitukset ja kustannukset estävät jatkossa entistä tehokkaammin EU:n nettipalveluiden kilpailua globaaleilla markkinoilla ja uusilla teknologioilla. Jenkkiyritykset pärjäävät, vaikka kotimaiset asiakkaat saavatkin kärsiä huonon tietosuojan seurauksista.
Kustannukset valuvat lopulta aina hintoihin. Isännöintitoimistot laskuttavat taloyhtiöltä GDPR-maksuja ja sama tapahtuu muillakin toimialoilla, vaikkakin peitellymmin.
Nopeasti kehittyvään alaan puuttuminen aiheuttaa seurauksia, joita on vaikea ennakoida (etenkin, kun taloudellinen puoli ei MEPpejä liiemmin kiinnosta). Yksi seuraus on amerikkalaisten nettipalvelujen halu sulkea ovensa EU-asiakkailta. Ne eivät halua ottaa juridista riskiä, kun taloudellinen tuotto EU-alueelta on vähäistä.
Suorastaan hölmönä voi pitää tapaa, jolla GDPR:ään lisättiin viime hetkellä artikla lasten tietojen suojaamisesta. USA:ssa vastaava laki tuli voimaan jo vuonna 1998. Se asettaa ikärajan 13 vuoteen, mikä on samalla alaikäraja useimmissa jenkkiläisissä somepalveluissa.
Jostain syystä EU meni valitsemaan rajaksi 16 vuotta, mutta antaa poiketa siitä maakohtaisesti aina 13 vuoteen asti (ja kun GDPR:n tavoite oli juuri tietosuojalakien yhtenäistämisessä...). Tämä on johtanut hankalaan tilanteeseen, joka vain lisää EU-alueen yritysten (esim. mobiilipelit) taakkaa ja henkilötietojen käsittelyä. Ne joutuvat pitämään kirjaa pelaajien iästä ja pyytämään jonkinlaisen suostumuksen alaikäisten vanhemmilta. GDPR ei määrittele, miten suostumus tulee hankkia ja miten todistetaan, kuka on kenenkin vanhempi.
Sotku on jo johtanut ikävään seuraukseen. WhatsApp päätti kieltää palvelunsa kaikilta alle 16-vuotiailta EU-kansalaisilta, jotta maakohtaisia eroja EU:n sisällä ei tarvitse huomioida. Tämä tuottaa suuria ongelmia suomalaisissa kouluissa ja harrastusryhmissä, jotka ovat käyttäneet WhatsAppia sisäisenä viestikanavanaan.
On kiinnostavaa nähdä, miten WhatsAppin toiminta viikon päästä muuttuu. Voi olla, että kielto alle 16-vuotiaista käyttäjistä jää muodolliseksi, eikä sitä valvota. Toisaalta palvelu voi poistaa kaikki käyttäjätilit, joiden omistajat ovat liian nuoria, ja uuden tilin voi rekisteröidä vain valehtelemalla syntymäaikansa. Kumpikaan ei ole hyvä ratkaisu eikä vastaa sitä, mihin GDPR:llä pyrittiin.
Jenkkifirmat ehkä ylireagoivat, mutta EU voi katsoa myös peiliin. Ylisuuret 20 miljoonan ja 4 % globaalin liikevaihdon sakot tarkoitettiin pelästyttämään yrityksiä. Se toteutui paremmin kuin säätäjät ymmärsivät. Viestintä sääntelyn suhteellisuusperiaatteesta sen sijaan epäonnistui pahasti. Nyt pienetkin toimijat on saatu uskomaan, että Facebookille suunnitellut säännöt koskevat heitäkin.
Tässä vasta muutamia esimerkkejä vaikutuksista, joita tulemme näkemään 25.5.2018 lähtien. Olen itse puhumassa Kauppakamarin GDPR-päivässä asian tietoturvaulottuvuuksista.
Henkilötiedot ovat tulevaisuuden yritysten polttoainetta, joten niiden käyttöä pitääkin säännellä. Ehkä jo ensi vuonna nähdään, onko GDPR oikea tapa ja mitä kaikkia seurauksia sillä tulee olemaan sekä yritysten että kansalaisten arkeen.
Kansalaisen näkökulmasta GDPR ei tuo juurikaan muutoksia. Jos haluaa tarkistaa omat tietonsa yrityksen tai yhteisön rekisteristä, tarkastuspyynnön on voinut tehdä jo 19 vuoden ajan eli aina siitä lähtien, kun nykyinen henkilötietolaki tuli voimaan. Testasin asiaa vuonna 2010 ilmestynyttä kirjaani varten ja sain kaikista pyytämistäni yrityksistä tiedot tulosteina kotiin.
Edes oikeus tulla unohdetuksi ei ole uusi, vaan se on voitu johtaa vaatimuksesta poistaa vanhentuneet henkilötiedot. Asetus toki sanoo tämän täsmällisemmin, mutta periaate ei muutu.
Juristit löytävät GDPR-artikloista paljonkin pieniä muutoksia, mutta ainoa selvästi uusi oikeus liittyy omien tietojen saamiseen sähköisessä muodossa. Tiedot, jotka on itse luovuttanut palveluun, on mahdollista saada takaisin itselle jotta ne voi esimerkiksi siirtää kilpailijalle. Omien tietojen määrittely on tulkinnanvaraista; ovatko esimerkiksi K- tai S-kaupan ostoista kertyvät tiedot sellaisia, että ne pitäisi saada haluttaessa itselle? Ymmärtääkseni Suomessa on otettu tällainen tulkinta, mutta GDPR on tässäkin yksityiskohdassa epämääräinen.
Yritysten ja yhteisöjen, mukaanlukien harrastusseurat ja taloyhtiöt, tilanne on toinen. Niillä muutokset ovat suuria, koska GDPR asettaa käänteisen todistustaakan. Niiden on itse pystyttävä tarvittaessa osoittamaan, että toiminta on asetuksen mukaista. Jos eivät pysty, tietosuojaviranomainen voi määrä sanktiomaksuja. Henkilötietojen käsittelyn prosessit, tietojärjestelmät ja sopimukset on käytävä läpi, samoin henkilökunta koulutettava. Monella työ on edelleen pahasti kesken.
Todistustaakkaa lukuunottamatta yrityksetkin pääsevät GDPR:stä vähällä, jos ovat hoitaneet kaikki nykyisen henkilötietolain velvoitteet pilkuntarkasti. Suurin muutos tulee siitä, että GDRP:n jälkeen kaikki pitää oikeasti tehdä.
Sanktioita ei silti tarvitse heti pelätä. Miten viranomainen voisi vaatia yrityksiltä täydellistä toimintaa, kun eduskunta ei ole ehtinyt vielä edes hyväksyä tietosuojalakia? Lakien puuttuessa tuomioistuin joutuu soveltamaan yksinomaan GDPR-asetusta, joka on abstrakti ja liikkuu yleisellä tasolla.
EU on kehunut GDPR:n tuovan miljardisäästöjä, sillä laajasti EU:n alueella toimivat yritykset asioivat jatkossa ainoastaan oman maansa viranomaisten kanssa. Asetuksen kustannuksista EU ei ole puhunut mitään. Hyvän asian nimissä yrityksille sälytetään merkittävä hallinnollinen taakka sielläkin, missä ongelmia ei ole tähän asti ollut. Tässä varaudutaan tulevaan.
EU:n mainospuheet GDPR:stä kilpailuetuna kuulostavat omissa korvissani falskilta. Tietosuojasta huolehtiminen on kilpailuetu, mutta laki on sama kaikille ja kilpailuetu on aina suhteellista. GDPR voisi parantaa EU-yritysten kilpailuasetelmaa jenkkifirmoja vastaan (Facebook!), mutta voi käydä myös päinvastoin. Rajoitukset ja kustannukset estävät jatkossa entistä tehokkaammin EU:n nettipalveluiden kilpailua globaaleilla markkinoilla ja uusilla teknologioilla. Jenkkiyritykset pärjäävät, vaikka kotimaiset asiakkaat saavatkin kärsiä huonon tietosuojan seurauksista.
Kustannukset valuvat lopulta aina hintoihin. Isännöintitoimistot laskuttavat taloyhtiöltä GDPR-maksuja ja sama tapahtuu muillakin toimialoilla, vaikkakin peitellymmin.
Nopeasti kehittyvään alaan puuttuminen aiheuttaa seurauksia, joita on vaikea ennakoida (etenkin, kun taloudellinen puoli ei MEPpejä liiemmin kiinnosta). Yksi seuraus on amerikkalaisten nettipalvelujen halu sulkea ovensa EU-asiakkailta. Ne eivät halua ottaa juridista riskiä, kun taloudellinen tuotto EU-alueelta on vähäistä.
Suorastaan hölmönä voi pitää tapaa, jolla GDPR:ään lisättiin viime hetkellä artikla lasten tietojen suojaamisesta. USA:ssa vastaava laki tuli voimaan jo vuonna 1998. Se asettaa ikärajan 13 vuoteen, mikä on samalla alaikäraja useimmissa jenkkiläisissä somepalveluissa.
Jostain syystä EU meni valitsemaan rajaksi 16 vuotta, mutta antaa poiketa siitä maakohtaisesti aina 13 vuoteen asti (ja kun GDPR:n tavoite oli juuri tietosuojalakien yhtenäistämisessä...). Tämä on johtanut hankalaan tilanteeseen, joka vain lisää EU-alueen yritysten (esim. mobiilipelit) taakkaa ja henkilötietojen käsittelyä. Ne joutuvat pitämään kirjaa pelaajien iästä ja pyytämään jonkinlaisen suostumuksen alaikäisten vanhemmilta. GDPR ei määrittele, miten suostumus tulee hankkia ja miten todistetaan, kuka on kenenkin vanhempi.
Sotku on jo johtanut ikävään seuraukseen. WhatsApp päätti kieltää palvelunsa kaikilta alle 16-vuotiailta EU-kansalaisilta, jotta maakohtaisia eroja EU:n sisällä ei tarvitse huomioida. Tämä tuottaa suuria ongelmia suomalaisissa kouluissa ja harrastusryhmissä, jotka ovat käyttäneet WhatsAppia sisäisenä viestikanavanaan.
On kiinnostavaa nähdä, miten WhatsAppin toiminta viikon päästä muuttuu. Voi olla, että kielto alle 16-vuotiaista käyttäjistä jää muodolliseksi, eikä sitä valvota. Toisaalta palvelu voi poistaa kaikki käyttäjätilit, joiden omistajat ovat liian nuoria, ja uuden tilin voi rekisteröidä vain valehtelemalla syntymäaikansa. Kumpikaan ei ole hyvä ratkaisu eikä vastaa sitä, mihin GDPR:llä pyrittiin.
Jenkkifirmat ehkä ylireagoivat, mutta EU voi katsoa myös peiliin. Ylisuuret 20 miljoonan ja 4 % globaalin liikevaihdon sakot tarkoitettiin pelästyttämään yrityksiä. Se toteutui paremmin kuin säätäjät ymmärsivät. Viestintä sääntelyn suhteellisuusperiaatteesta sen sijaan epäonnistui pahasti. Nyt pienetkin toimijat on saatu uskomaan, että Facebookille suunnitellut säännöt koskevat heitäkin.
Tässä vasta muutamia esimerkkejä vaikutuksista, joita tulemme näkemään 25.5.2018 lähtien. Olen itse puhumassa Kauppakamarin GDPR-päivässä asian tietoturvaulottuvuuksista.
Henkilötiedot ovat tulevaisuuden yritysten polttoainetta, joten niiden käyttöä pitääkin säännellä. Ehkä jo ensi vuonna nähdään, onko GDPR oikea tapa ja mitä kaikkia seurauksia sillä tulee olemaan sekä yritysten että kansalaisten arkeen.
