maanantai 9. huhtikuuta 2018

Ottaako Facebook GDPR:n omakseen?

Tätä en olisi kyllä ikinä uskonut: Facebook sanoo tukevansa GDPR:ää ja aikoo noudattaa sitä muuallakin kuin EU-alueella.

Huikea juttu! EU on kerrankin toiminut paitsi moraalisena, myös käytännön toiminnan edelläkävijänä. On historiallista, jos EU pystyy näyttämään esimerkkiä USA:lle ja saa tämän seuraamaan itseään.

Tarve on aivan ilmeinen. Henkilötietojen väärinkäyttö USA:ssa on jatkuva murheiden ja uutisten aihe. Suurissa tietovuodoissa paljastuu ihmisten luottokortti-, terveys- ja palkkatietoja, eikä itsesääntely näytä toimivan, koska kuluttajalla ei ole vaihtoehtoa. Data on uusi öljy ja kaikki yritykset juoksevat sen perässä.

Kuluttajansuoja on Yhdysvalloissa erittäin vahva. Sitä rikkovia yrityksiä rangaistaan miljoonasakoilla ja tavaroiden palautusoikeus voi olla jopa kuukausia. Mutta henkilötietojen suojaamisessa kongressi ei ole saanut mitään aikaan. Toistuvista identiteettivarkauksista ja tietovuodoista huolimatta USA ei ole seurannut EU:n esimerkkiä. Päinvastoin, viime vuonna operaattorit saivat jopa lisää oikeuksia asiakkaidensa nettisurffailun seurantaan.

Siellä ne öljy-yhtiöt taas vaikuttavat taustalla. Siis datankerääjät. Ne ovat yhtä mahtavia lobbareita kuin NRA asekannoissaan. GAFA-yhtiöistä kolme on noussut maailmanvaltiaiksi juuri henkilötietoja hyödyntämällä.

Rohkenen epäillä, ettei Facebook ole vielä ajatellut kaikkia GDPR:n seurauksia - tai ehkä se on, mutta sillä on siihen käytännän monopoliyhtiönä varaa. Epäilen, että muut eivät seuraa Facebookin esimerkkiä eikä kongressi nytkään säädä kaikkia velvoittavaa, koko liittovaltion kattavaa lakia henkilötietojen suojaamisesta.

Syy on yksinkertainen: käyttötarkoitussidonaisuus tekisi uusien palvelujen keksimisen hankalaksi. Etenkin Googlen kukoistus perustuu juuri siihen, että aiemmin kerättyjä tietoja pystytään hyödyntämään yhä uusilla tavoilla, joita tänään ei osata vielä kuvitellakaan. GDPR tekisi tällaisen innovoinnin huomattavan vaikeaksi.

EU:n kannalta tilanne on hauskalla tavalla ristiriitainen. Asetelma on sama kuin haittaveroissa: jos ne toimivat, verotulot kutistuvat. GDPR:n piti antaa eurooppalaisille yhtiöille kilpailuetua paremman tietosuojan kautta. Jos USA oikeasti seuraisi EU:n esimerkkiä, kilpailuetu vesittyisi. Silloin toki voimaan jäisi se virallinen, ääneen lausuttu perustelu kansalaisten perusoikeuksien turvaamisesta.

Tulee olemaan kiinnostavaa seurata, miten nykyinen Facebook-skandaali vaikuttaa USA:n lainsäädäntöön. Ehkä jenkit haluavat ensin nähdä, millaisia vaikutuksia GDPR:n soveltamisesta on EU-alueella. Kaikki on täälläkin vielä spekuloinnin varassa.

Lisäys 11.4.2018: Eilisessä kongressin kuulemisessa saatiin lisävalaistusta asiaan. Kongressiedustajat grillasivat Zuckebergia paljon enemmän kuin senaattorit, ja osoittautuivat olevan hyvin perillä asioista. Eurooppalaiseen GDPR-lakiin viitattiin monta kertaa. Tulkitsen Zuckerbergin vastauksia niin, että hän on valmis poimimaan GDPR:stä Facebookiin sopivat helpot palat, kuten tietojen siirrettävyyden ja oikeuden tulla unohdetuksi, mutta ilmeisesti sen paremmin kysyjät kuin Zuckerbergikaan eivät ymmärrä GDPR:n koko laajuutta. Käyttötarkoitussidonnaisuus olisi merkittävä este uusien palvelujen kehittämiselle. En usko, että jenkkiyritykset tulevat koskaan sitomaan käsiään sen vaatimalla tavalla. Mutta parempi toki rusinat GDPR-pullasta kuin pullaa ollenkaan.

Lisäys 19.4.2018: Slaten juttu siitä, mitä Zuckerberg jätti kertomatta GDPR-yhteensopivuudestaan.

1 kommentti:

Teemu kirjoitti...

Puheet on puheita. Eikö GDPR:n noudattaminen edellyttäisi, että tietojärjestelmä on ehyt ja ainakin tunnetut aukot on paikattu. Käsittääkseni tällä hetkellä näin ei ole. Ja miten siinä tapauksessa käy 3. osapuolen tekemien sovellusten, niihinhän FB ei ota tällä hetkellä mitään kantaan eli ne toimivat niissä puitteissa jotka Facebook on tarjonnut. Nytkin se tiedossa oleva käyttäjän istunnon sekä access tokenin kaappaava sovellus pääsee käsiksi kaikkiin käyttäjän tietoihin ja voi vuotaa tietoja kenenkään huomaamatta.