LUE NÄKÖISLEHTI: Postin lakon vuoksi kaikki MT:n artikkelit ja näköislehti luettavissa vapaasti
Mielipiteet

Euroopan unionin tietosuoja-asetus ei toimi

Euroopan unionin yleinen tietosuoja-asetus eli GDPR astui voimaan 25.5.2018. Se määrittelee, miten virastojen ja yritysten tulee käsitellä henkilötietoja.

Jokainen omistaa omat henkilötietonsa, eikä henkilötietoja saa käsitellä ilman lupaa. Tietojen käsittelyssä on noudatettava lainsäädäntöä.

Henkilötieto on mikä tahansa tieto, jolla henkilö voidaan tunnistaa tai yksilöidä: Nimi, henkilötunnus, osoite ja puhelinnumero ovat esimerkkejä henkilötiedoista.

GDPR on EU:n asetus, joten sitä sovelletaan jäsenmaissa sellaisenaan. Tavoitteena on yhtenäistää sääntelyä jäsenmaiden välillä. Lisäksi sitä täydennetään kansallisella lainsäädännöllä. Asetus määrittelee, mitä periaatteita tietojen käsittelyssä on noudatettava. Yksi näistä on läpinäkyvyys.

Läpinäkyvyys tarkoittaa julkisessa keskustelussa usein avoimuutta. Organisaatioiden on kerrottava käsittelytoimista, yksilön oikeuksista ja mahdollistettava näiden oikeuksien käyttö. Organisaatiot toteuttavat tämän käytännössä laatimalla tietosuojaselosteen, nimittämällä tietosuojavastaavan ja mahdollistamalla yhteydenotot.

 

Asetuksen mukaan yksilöillä on oikeus ottaa yhteyttä organisaation tietosuojavastaavaan ja kysyä henkilötietojen käsittelystä. Testasimme asetuksen käytännön toimivuutta.

Otimme sähköpostilla tai verkkosivulomakkeella yhteyttä seuraaviin kahdeksaan jättitoimijaan: Apple, Google, Facebook, Sanoma Oyj, Traficom, Yleisradio, Veikkaus ja VR. Luimme toimijoiden tietosuojaselosteet ja laadimme kysymyksemme niiden pohjalta.

Lähetimme jokaiselle toimijalle identtisen 17 kysymystä sisältävän viestin. Kysyimme käsittelyn perusteista, sen valvonnasta ja tietojen säilytysajoista – siis aivan perusasioita.

Esimerkiksi säilytysajoista kysyimme näillä kolmella kysymyksellä: Miten arvioitte tietojen säilytysajan? Miten säilytysaika ilmoitetaan asiakkaalle? Miten säilytysajan voi ennakoida? Sen lisäksi kysyimme, olivatko GDPR:n vaatimukset toimijan mielestä selkeitä ja suoraviivaisia toimeenpanna.

Pyysimme toimijoita vastaamaan kahden viikon kuluessa. Puolet kohteista eli neljä kahdeksasta vastasi kahdessa viikossa. Nopein vastaus tuli kolmessa työpäivässä (Traficom). Kolme muuta vastausta tulivat viikossa (Apple ja Sanoma Oyj) tai kahdessa (Yle).

Kahden ja kolmen viikon kuluttua lähetimme vielä muistutusviestit. Veikkaus ja VR vastasivat muistutusviestien jälkeen. Googlelta ja Facebookilta emme saaneet vastauksia, lukuun ottamatta automaattisia viestejä.

 

Saamamme reaktiot ovat jokseenkin hyödyttömiä, koska ne eivät ole vastauksia esittämiimme kysymyksiin. Apple vastasi englanniksi suomenkieliseen suomenkielisten sivujen kautta lähetettyyn viestiimme.

Vastauksissa joko kehotettiin kyselijää lukemaan tietosuojaselostetta tai lainattiin kohtia siitä. Ne sisälsivät myös muuta asiaan liittymätöntä kohinaa. Tämä on nurinkurista, koska halusimme nimenomaan lisätietoa luettuamme tietosuojaselosteet. Tätä lisätietoa emme saaneet. 

Vastaajat käyttävät vastauksissaan teknistä kieltä, jota ei asiaan perehtymätön ymmärrä. Osassa vastauksia todettiin GDPR:n vaatimusten olevan työläitä toteuttaa. Ne jättävät myös tulkinnanvaraa määräysten toteuttamiseen.

Suomalaisten toimijoiden tietosuojakysymyksistä vastaavien yhteystiedot ovat helposti löydettävissä. Applen, Googlen ja Facebookin sivuilla ne on piilotettu monen klikkauksen taakse. Suhtautuminen kyselijöihin on ylimielistä. Asiakkaiden pitäisi osata itse etsiä vastaukset kysymyksiin ja tulkita omin neuvoin tietosuojan erikoiskieltä.

Kaikilla on kosolti parannettavaa tietosuojan turvaamiseksi.

 

Yksilöiden pitää vaatia, että tietosuoja-asetusta noudatetaan ja käyttää oikeuksiaan. Hyväuskoisuutta ja välinpitämättömyyttä on liikaa. Organisaatioiden pitää vastata kyselyihin ja vastausten pitää olla yleistajuisia. Pelkkä tietosuojaselosteen päivittäminen ei riitä, vaan muutosten pitää näkyä organisaatioiden toiminnassa.

Valvontaviranomaisten on valvottava asetuksen toteutumista käytännössä tekemällä tarkastuksia ja valvontaiskuja. Tehokkaalla valvonnalla oikeat toimintatavat selkeytyvät. Poliitikkojen pitää arvioida, onko tarvetta lisäsääntelylle ja pohdittava vaihtoehtoisia toimintatapoja.

Median pitää valvoa tietosuojan noudattamista. Suomalaisten julkisten virastojen tietosuojatoilailuista on uutisoitu, mutta yksityiseltä puolelta samanlaisia uutisia ei ole juuri julkaistu.

Henkilötietoja kerätään ja käsitellään enenevissä määrin. Käsittelyn on oltava läpinäkyvää, jotta yksilö voi varmistua käsittelyn laillisuudesta ja hallita omia henkilötietojaan. Muuten olemme tietojenkäsittelijöiden armoilla.

 

Valtteri Sankari

tutkimusavustaja

Matti Wiberg

valtio-opin professori

Turun yliopisto

Kaikilla on kosolti parannettavaa tietosuojan turvaamiseksi.
Aiheeseen liittyvät artikkelit

Aston Villa oli rehti suomalainen nimi

Veikkaus poistaa käytöstä 3 500 rahapeliautomaattia ensi vuonna

Pätkiikö junan verkko työmatkaliikenteessä? Raidenetin toimivuutta haittaavat monet seikat