perjantai 18. toukokuuta 2018

Viikon päästä alkaa GDPR

Asiaa alusta lähtien seuranneet ovat odottaneet tätä pitkään: viikon päästä alkaa vihdoin GDPR:n soveltaminen, kun EU:n tietosuoja-asetuksen siirtymäaika loppuun.

Kansalaisen näkökulmasta GDPR ei tuo juurikaan muutoksia. Jos haluaa tarkistaa omat tietonsa yrityksen tai yhteisön rekisteristä, tarkastuspyynnön on voinut tehdä jo 19 vuoden ajan eli aina siitä lähtien, kun nykyinen henkilötietolaki tuli voimaan. Testasin asiaa vuonna 2010 ilmestynyttä kirjaani varten ja sain kaikista pyytämistäni yrityksistä tiedot tulosteina kotiin.

Edes oikeus tulla unohdetuksi ei ole uusi, vaan se on voitu johtaa vaatimuksesta poistaa vanhentuneet henkilötiedot. Asetus toki sanoo tämän täsmällisemmin, mutta periaate ei muutu.

Juristit löytävät GDPR-artikloista paljonkin pieniä muutoksia, mutta ainoa selvästi uusi oikeus liittyy omien tietojen saamiseen sähköisessä muodossa. Tiedot, jotka on itse luovuttanut palveluun, on mahdollista saada takaisin itselle jotta ne voi esimerkiksi siirtää kilpailijalle. Omien tietojen määrittely on tulkinnanvaraista; ovatko esimerkiksi K- tai S-kaupan ostoista kertyvät tiedot sellaisia, että ne pitäisi saada haluttaessa itselle? Ymmärtääkseni Suomessa on otettu tällainen tulkinta, mutta GDPR on tässäkin yksityiskohdassa epämääräinen.

Yritysten ja yhteisöjen, mukaanlukien harrastusseurat ja taloyhtiöt, tilanne on toinen. Niillä muutokset ovat suuria, koska GDPR asettaa käänteisen todistustaakan. Niiden on itse pystyttävä tarvittaessa osoittamaan, että toiminta on asetuksen mukaista. Jos eivät pysty, tietosuojaviranomainen voi määrä sanktiomaksuja. Henkilötietojen käsittelyn prosessit, tietojärjestelmät ja sopimukset on käytävä läpi, samoin henkilökunta koulutettava. Monella työ on edelleen pahasti kesken.

Todistustaakkaa lukuunottamatta yrityksetkin pääsevät GDPR:stä vähällä, jos ovat hoitaneet kaikki nykyisen henkilötietolain velvoitteet pilkuntarkasti. Suurin muutos tulee siitä, että GDRP:n jälkeen kaikki pitää oikeasti tehdä.

Sanktioita ei silti tarvitse heti pelätä. Miten viranomainen voisi vaatia yrityksiltä täydellistä toimintaa, kun eduskunta ei ole ehtinyt vielä edes hyväksyä tietosuojalakia? Lakien puuttuessa tuomioistuin joutuu soveltamaan yksinomaan GDPR-asetusta, joka on abstrakti ja liikkuu yleisellä tasolla.

EU on kehunut GDPR:n tuovan miljardisäästöjä, sillä laajasti EU:n alueella toimivat yritykset asioivat jatkossa ainoastaan oman maansa viranomaisten kanssa. Asetuksen kustannuksista EU ei ole puhunut mitään. Hyvän asian nimissä yrityksille sälytetään merkittävä hallinnollinen taakka sielläkin, missä ongelmia ei ole tähän asti ollut. Tässä varaudutaan tulevaan.

EU:n mainospuheet GDPR:stä kilpailuetuna kuulostavat omissa korvissani falskilta. Tietosuojasta huolehtiminen on kilpailuetu, mutta laki on sama kaikille ja kilpailuetu on aina suhteellista. GDPR voisi parantaa EU-yritysten kilpailuasetelmaa jenkkifirmoja vastaan (Facebook!), mutta voi käydä myös päinvastoin. Rajoitukset ja kustannukset estävät jatkossa entistä tehokkaammin EU:n nettipalveluiden kilpailua globaaleilla markkinoilla ja uusilla teknologioilla. Jenkkiyritykset pärjäävät, vaikka kotimaiset asiakkaat saavatkin kärsiä huonon tietosuojan seurauksista.

Kustannukset valuvat lopulta aina hintoihin. Isännöintitoimistot laskuttavat taloyhtiöltä GDPR-maksuja ja sama tapahtuu muillakin toimialoilla, vaikkakin peitellymmin.

Nopeasti kehittyvään alaan puuttuminen aiheuttaa seurauksia, joita on vaikea ennakoida (etenkin, kun taloudellinen puoli ei MEPpejä liiemmin kiinnosta). Yksi seuraus on amerikkalaisten nettipalvelujen halu sulkea ovensa EU-asiakkailta. Ne eivät halua ottaa juridista riskiä, kun taloudellinen tuotto EU-alueelta on vähäistä.

Suorastaan hölmönä voi pitää tapaa, jolla GDPR:ään lisättiin viime hetkellä artikla lasten tietojen suojaamisesta. USA:ssa vastaava laki tuli voimaan jo vuonna 1998. Se asettaa ikärajan 13 vuoteen, mikä on samalla alaikäraja useimmissa jenkkiläisissä somepalveluissa.

Jostain syystä EU meni valitsemaan rajaksi 16 vuotta, mutta antaa poiketa siitä maakohtaisesti aina 13 vuoteen asti (ja kun GDPR:n tavoite oli juuri tietosuojalakien yhtenäistämisessä...). Tämä on johtanut hankalaan tilanteeseen, joka vain lisää EU-alueen yritysten (esim. mobiilipelit) taakkaa ja henkilötietojen käsittelyä. Ne joutuvat pitämään kirjaa pelaajien iästä ja pyytämään jonkinlaisen suostumuksen alaikäisten vanhemmilta. GDPR ei määrittele, miten suostumus tulee hankkia ja miten todistetaan, kuka on kenenkin vanhempi.

Sotku on jo johtanut ikävään seuraukseen. WhatsApp päätti kieltää palvelunsa kaikilta alle 16-vuotiailta EU-kansalaisilta, jotta maakohtaisia eroja EU:n sisällä ei tarvitse huomioida. Tämä tuottaa suuria ongelmia suomalaisissa kouluissa ja harrastusryhmissä, jotka ovat käyttäneet WhatsAppia sisäisenä viestikanavanaan.

On kiinnostavaa nähdä, miten WhatsAppin toiminta viikon päästä muuttuu. Voi olla, että kielto alle 16-vuotiaista käyttäjistä jää muodolliseksi, eikä sitä valvota. Toisaalta palvelu voi poistaa kaikki käyttäjätilit, joiden omistajat ovat liian nuoria, ja uuden tilin voi rekisteröidä vain valehtelemalla syntymäaikansa. Kumpikaan ei ole hyvä ratkaisu eikä vastaa sitä, mihin GDPR:llä pyrittiin.

Jenkkifirmat ehkä ylireagoivat, mutta EU voi katsoa myös peiliin. Ylisuuret 20 miljoonan ja 4 % globaalin liikevaihdon sakot tarkoitettiin pelästyttämään yrityksiä. Se toteutui paremmin kuin säätäjät ymmärsivät. Viestintä sääntelyn suhteellisuusperiaatteesta sen sijaan epäonnistui pahasti. Nyt pienetkin toimijat on saatu uskomaan, että Facebookille suunnitellut säännöt koskevat heitäkin.

Tässä vasta muutamia esimerkkejä vaikutuksista, joita tulemme näkemään 25.5.2018 lähtien. Olen itse puhumassa Kauppakamarin GDPR-päivässä asian tietoturvaulottuvuuksista.

Henkilötiedot ovat tulevaisuuden yritysten polttoainetta, joten niiden käyttöä pitääkin säännellä. Ehkä jo ensi vuonna nähdään, onko GDPR oikea tapa ja mitä kaikkia seurauksia sillä tulee olemaan sekä yritysten että kansalaisten arkeen.

15 kommenttia:

Anonyymi kirjoitti...

>Todistustaakkaa lukuunottamatta yrityksetkin pääsevät GDPR:stä vähällä, jos ovat hoitaneet kaikki nykyisen henkilötietolain velvoitteet pilkuntarkasti.

Työskentelen kohtalaisen isossa kansainvälisessä IT-yrityksessä, jossa hoidetaan lakien vaatimukset hyvin säntillisesti. Voin vakuuttaa, että emme ole pääsemässä helpolla. Ehkä se johtuu siitä, että myös GDPR pyritään täyttämään erittäin säntillisesti. sSurten sanktioiden pelossa ehkä jopa ylisäntillisesti. Työtä on piisannut jo pitkälle viime vuodesta alkaen. Tekniikka ei ole ehkä se vaikein, vaan tarvittavan prosessidokumentaation ja todisteiden määrä ("evidence trail") on iso. Tunteja on palanut tuhottomasti ja viime kädessä kaiken tuon maksaa tavallinen kansalainen. Jostain nuo kustannukset pitää saada. Me laskutamme ne meidän asiakkaalta, joka viime kädessä sisällyttää kulut toimintakuluihin, jotka taasen vaikuttavat heidän tuotteidensa hintaan, jotka viime kädessä maksaa kansalainen.

Teknisellä puolella on kiinnostavia juttuja: yhden tulkinnan mukaan www-palvelimen logi on henkilötieto, koska siinä esiintyy IP-osoite, vaikka me emme tiedäkään kuka kyseisen IP:n omistaa. Jos admin katsoo logia, siitä pitää jäädä tieto henkilötietojen käsittelylogiin, joka luonnollisestikaan ei saa olla samalla palvelimella ettei rooteilla päästä muokkaamaan katselulogia. Koska katselulogi sisältää henkilötietoja (=tietoja katsellu henkilö), niin myös sen login katselut täytyy logittaa, toki eri paikkaan.


Entä mikä on hyväksyttävä syy henkiötietojen keräämiseen?
Sonokselta tuli maili uudesta privacy policystä, joka haisi GDPR:lle. Siellä väitettiin ihan pokkana, että palvelun toiminnan kannalta on välttämätöntä tietää minun nimi ja sähköpostiosoite. Jos haluan striimata omalta verkkolevyltä musiikkia, niin jotenkin epäilen etteikö se voisi onnistua tietämättä minun nimeä ja sähköpostia, ts. sonoksen perustelu haisee.
Odotankin mielenkiinnolla kuinka hyvin nämä: "Tarvitsemme kaikki yksityiset tietosi, jotta voimme tarjota sinulle söpöjä kissankuvia" -perustelut menevät läpi...


GDPR on lakimiesten märkä uni, loputon suo josta generoituu ääretön määrä laskutettavaa tekemistä. Ehkä olisi ollut parempi lähteä liikkeelle hieman kevyemmällä mallilla joka ei myöskään olisi pelästyttänyt koko muuta maailmaa (ref: eurooppalaisia blokkaavat palvelut). Siitä sitten säädöksiä ja mahdollisia rangaistuksia vuosittain kiristäen kunnes lopulta (3-5 vuotta?) oltaisiin nykyisellä vaatimustasolla

Petteri Järvinen kirjoitti...

Julkisen web-palvelimen loki ei mielestäni ole henkilötieto. Konsultti saattaa tehdä tällaisen tulkinnan, mutta tuskin minkään maan viranomainen saati GDPR itse. Tämä on hyvä esimerkki siitä ylivarovaisuudesta, johon yritykset ovat sanktioiden pelossa ryhtyneet, ja joka nostaa turhaan kustannuksia.

Sonoksen sähköposti tuli itsellenikin, siinä viitattiin yrityksen omalle sivulle. Siellä sanotaan mm.

"We collect: name, email address, IP address, and information provided by cookies or similar technology.
Why: We use this information to share news about events and products offered by Sonos. Additionally, the IP address helps us to understand geographic information about our website visitors better, so that we can improve our website for everyone. It is our legitimate interest to process your personal data for these purposes."

Kiinnostavaa kyllä, sähköpostin linkki osoittaa erilaiselle privacy-sivulle kuin mihin itse palvelimelta päästään. Jälkimmäinen on laajempi ja ilmeisesti uudempi.

Tietojen poistamisesta on hauska maininta:

"How do I delete my personal data from Sonos and what are the consequences?

You can always send us an email via privacy@sonos.com or contact our Customer Care team and request that your data be deleted. Please note, however, that by deleting your personal data your Sonos products will stop working."

- voit siis pyytää poistamaan tietosi, mutta silloin kaiutin lakkaa toimimasta.

Anonyymi kirjoitti...

"You can always send us an email via privacy@sonos.com"
Mitenkähän he ovat ajatelleet tunnistaa asiakkaan sähköpostin kautta (tietoturvallisesti)? Eikös lähettäjän tiedot (from email-osoite yms) ole suhteellisen helppo muuttaa sähköpostiin

Anonyymi kirjoitti...

GDPR ei vsikuta vain yrityksiin. Se vaikuttaa jopa viranomaisiin. Itse olen ollut vuosia monilla sähköpostilistoilla, joista osa on viranomaisten ylläpitämiä. Jopa sähköpostilistat tulkitaan nyt joidenkin tulkintojen mukaan henkilörekistereiksi ja GDPR:n piiriin. Jos jatkossa joka tällaisesta kohdennetusta sähköpostien vastaanottajaryhmästäkin pitää olla tarvittava dokumentaatio, niin joukkosähköpostitus menee miltei mahdottomaksi.

Anonyymi kirjoitti...

"Jos jatkossa joka tällaisesta kohdennetusta sähköpostien vastaanottajaryhmästäkin pitää olla tarvittava dokumentaatio, niin joukkosähköpostitus menee miltei mahdottomaksi."
Päinvastoin! Sähköpostilistan dokumentointi lienee maailman yksinkertaisimpia automatisoitavia juttuja. Automaatti liittää ilmoittautuneen tiedot dokumenttiin ja automaatti poistaa tiedot. Tietoja on vain sen verran kuin listalle liittyvä ilmoittaa. Listan pitäjän ei tarvitse arvailla mitään, hän ei saa arvailla mitään eikä hänen kuulu yhdistellä tietoja mitenkään.

Anonyymi kirjoitti...

Petteri sanoi:
> Julkisen web-palvelimen loki ei mielestäni ole henkilötieto

Niin, valitettavasti viranomaiset ovat toista mieltä:
https://www.finlex.fi/fi/viranomaiset/ftie/2006/20060001

"Tietosuojalautakunta katsoi, että IP-osoitteet ovat pääsääntöisesti henkilötietoja. Tekijänoikeuden Tiedotus- ja Valvontakeskuksen (TTVK) käsittelemät tiedot henkilöistä, joiden se katsoi syyllistyneen tekijänoikeusrikkomukseen tai -rikokseen ja tiedot heidän käyttämistään IP-osoitteista olivat henkilötietolaissa tarkoitettuja arkaluonteisia henkilötietoja."

(Boldaus minun). Eli toiminta pitää kai pääsääntöisesti suunnitella sen mukaisesti jotta ip-osoite on henkilötieto. Tekniikasta jotain tietävät voivat olla monista asioista eri mieltä, mutta viime kädessä lakimiehet määrää tahdin.

Petteri Järvinen kirjoitti...

Tässä tapauksessa kyse oli IP-osoitteista, joista oli jaettu piraattisisältöä, ja joiden omistajat pystyttiin selvittämään. Arkaluontoisia varmaan, koska kyse oli laittomasta toiminnasta.

En tekisi tästä vielä sitä johtopäätöstä, että kaikki web-palvelinten lokit ovat GDPR:n alaisia. Mutta olenkin insinööri.

Anonyymi kirjoitti...

@Petteri Järvinen: "...Nyt pienetkin toimijat on saatu uskomaan, että Facebookille suunnitellut säännöt koskevat heitäkin...."


Miksi ajattelet, että säännöt eivät koske kaikkia.
Ainoa selvästi rajattu (ja sekin erittäin epämääriöisesti) on käsittelyn kirjanpitovaatimusta koskeva rajaus Article 30(5):


"The obligations referred to in paragraphs 1 and 2 shall not apply to an enterprise or an
organisation employing fewer than 250 persons unless the processing it carries out is likely
to result in a risk to the rights and freedoms of data subjects, the processing is not
occasional, or the processing includes special categories of data as referred to in
"

Petteri Järvinen kirjoitti...

Miksi ajattelet, että säännöt eivät koske kaikkia.

Säännöt koskevat kaikkia, mutta tulkinnat vaihtelevat. GDPR jättää runsaasti tilaa tulkinnoille ja organisaation omalle harkinnalle.

Oleellinen periaate on riskiperusteisuus: tietosuojaa turvaavat toimenpiteet pitää suhteuttaa henkilötietojen määrään ja luottamuksellisuuteen. Parturi-kampaamon (jostain syystä usein esimerkkinä) ei tarvitse tehdä tietosuojassaan samaa kuin lähimmän terveyskeskuksen tai Facebookin.

Anonyymi kirjoitti...

@Petteri Järvinen: Juu, säännöt koskevat kaikkia ja tekstiä lukemalla kyllä jää maku, että säännöt on nimenomaan rakennetu maailman Facebookeja silmällä pitäen.
Se kuinka tarkasti ja missä laajuudessa niiden noudattamista valvotaan toivottavasti pysyy suhteessa toimijan mahdollisuuteen tehdä haittaa yksilöille.
Käytäntö tulee näyttämään meneekö lapsi pesuveden mukana.

Itse ajattelin mennä varmuus edellä ja kelata sitten takaisin kunhan käytännöt vakiintuvat.

Anonyymi kirjoitti...

Mitä on tapahtunut pjoy.fi sivustolle?

Petteri Järvinen kirjoitti...

Se on poistettu linjalta. Avasin vuonna 1994, mutta viimeiset 15 vuotta se oli pelkkä museo.

Anonyymi kirjoitti...

Vai on pjoy.fi poistettu linjoilta. Mutta sääli kyllä. Eikö jo nostalgian kannalta kannattaisi avata uudestaan?

Anonyymi kirjoitti...

GDPR:ssä on "Aktiivinen hyväksyminen". Tarkoittaakohan tämä sitä ettei yritykseltä riitä pelkkä ilmoittaminen kuinka he käyttävät ja soveltavat GDPR:ää, eli aina pitäisi hyväksyä erikseen ehtojen hyväksyminen jotain täppiä painamalla?

Anonyymi kirjoitti...

GDPR:n alkuselvitysten 32: "...Suostumusta ei sen vuoksi pitäisi voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta..."

Siis hiljainen hyväksyntä ei kelpaa. Eli kaikki pelkällä ilmoituksella hoidetuksi luullut hyväksynnät tulevat puremaan ns. ahteriin.