Washingtonin Capitol Hillissä todistettiin viime viikolla tragikoomista näytelmää, kun Facebookin toimitusjohtaja Mark Zuckerberg istui yhteensä kymmenen tuntia Yhdysvaltojen kongressin senaatin ja edustajainhuoneen valiokuntien hiillostettavana.

Zuckerbergiä vaadittiin tilille 87 miljoonan Facebook-käyttäjän tietojen vuotamisesta luvattomasti analytiikkayhtiö Cambridge Analyticalle. Yhtiön epäillään käyttäneen tietoja vaikuttaakseen Yhdysvaltain vuoden 2016 presidentinvaalikampanjaan sekä Britannian Brexit-kansanäänestykseen.

Kaksi päivää kestäneiden kuulemisten aikana kävi selväksi, että amerikkalaispoliitikkojen internet-osaaminen on alkeellisella tasolla, eikä edes Zuckerberg itse tiedä, mitä hänen yrityksessään tapahtuu.

Kriisiviestinnän ammattilaisten koulima Zuckerberg väisti yhteensä 43 senaattoreiden esittämää kysymystä vastaamalla: ”Pyydän tiimiäni palaamaan asiaan.”

Sen sijaan, että senaattorit olisivat vaatineet ympäripyöreisiin vastauksiin tarkennuksia, monet heistä keskittyivät Zuckerbergin ja hänen miljardiomaisuutensa ylistämiseen.

Republikaani-enemmistöinen kongressi tuskin tulee edistämään vahvempaa sääntelyä, arvioi Aalto-yliopiston uuden median muotoilun professori Teemu Leinonen.

”Sen lisäksi, että republikaanit ovat jyrkän regulaatiovastaisia, monille heistä Zuckerberg on suuri sankari omaisuutensa takia.”

Todellinen data-säätelyn suunnannäyttäjä löytyykin Atlantin tältä puolelta.

Toukokuun 25. päivä sovellettavaksi astuva EU:n yleinen tietosuoja-asetus GDPR velvoittaa jatkossa Facebookia ja muita datajättejä suojaamaan EU-alueen käyttäjien henkilötietoja entistä huolellisemmin.

GDPR määrää, että kuluttajan on saatava tietää, mihin ja mitä dataa yritys hänestä tallettaa. Yritysten on myös ilmoitettava, mikäli dataa käytetään luomaan käyttäjäprofiileja.

Kyseessä on yksi EU:n valtavimmista lainsäädäntöhankkeista ja kaikkien aikojen suurin ponnistelu henkilötietojen käsittelyn sääntelemiseksi.

Sen keskeinen tavoite on suitsia Facebookin kaltaisia datajättejä, jotka takovat miljardiomaisuuksia myymällä käyttäjiensä henkilötietoja.

Varmistaakseen, että lakia noudatetaan, EU haluaa järjestää Zuckerbergille oman kuulemisensa. EU:n digijohtaja, digitaalisista sisämarkkinoista vastaava komissaari Andrus Ansip tapaa tänään tiistaina 17. huhtikuuta Mark Zuckerbergin San Franciscossa. Lisäksi Zuckerberg on kutsuttu puhumaan Euroopan parlamenttiin.

GDPR:n pääsuunnittelija, saksalainen europarlamentaarikko Jan Phillipp Albrecht on uhannut, että jos Zuckerberg hylkää kutsun eikä suostu muuttamaan Facebookin toimintamalleja, EU joutuu miettimään tapoja ”vahvistaakseen vaihtoehtoja palvelulle”.

Uusi EU-lainsäädäntö eroaa vanhasta, vuonna 1995 säädetystä direktiivistä muun muassa siten, että kansallisilla tietosuojavaltuutetuilla on paremmat valvontakeinot, sanoo Helsingin yliopiston oikeustieteen tohtorikoulutettava Niklas Vainio. Hän on mukana tutkimushankkeessa, joka tutkii oikeutta yksityisyyteen.

Jatkossa kansalaisten on mahdollista kannella väärinkäytöksistä kansallisille tietosuojavaltuutetuille, oli yrityksen pääkonttori sitten manner-Kiinassa tai Argentiinassa.

”Tietosuojavaltuutettu voi sitten ottaa kantaa, onko tietojen käyttö lainmukaista, ja mahdollisesti kieltää yritystä jatkamasta tietojen käyttämistä. Tähän on myös mahdollista liittää sakon uhkia.”

EU:n tietosuoja-asetuksen erikoisuus on se, että se ulottuu myös EU-alueen ulkopuolelle. Kaikki sellaiset yritykset, jotka käsittelevät EU-alueen kansalaisten henkilötietoja, ovat sen piirissä.

Facebookin tapauksessa tämän pitäisi Vainion mukaan olla helppoa, koska sillä on tytäryhtiö Irlannissa.

Ongelmaksi voivat kuitenkin muodostua yritykset, joilla ei ole Euroopan-toimipisteitä. Toistaiseksi on Vainion mukaan kysymysmerkki, mitkä edellytykset EU:n viranomaisilla on ryhtyä toimiin esimerkiksi kiinalaista yritystä vastaan.

Yksi merkittävimmistä GDPR:n mukanaan tuomista uudistuksista on oikeus tulla unohdetuksi. Käyttäjät voivat jatkossa pyytää palveluja poistamaan itsestään kaiken datan.

Lisäksi käyttäjillä tulee olemaan oikeus siirtää dataansa palvelusta toiseen. Jo aiemmin EU:n tietosuojalainsäädäntö on vaatinut, että käyttäjillä tulee olla oikeus korjata heitä koskeva väärä informaatio.

Käyttäjiltä pyydettävän suostumuksen datan käyttöön on myös jatkossa oltava yksilöity eli yrityksen on eriteltävä, mihin käyttötarkoituksiin tietoja käytetään.

”Esimerkiksi Facebookin käyttöehdoissa suostumusta kysytään varsin yleisluontoisesti”, Niklas Vainio sanoo.

Facebook kerää tietoja jopa ihmisistä, jotka eivät käytä palvelua. Kun netin käyttäjä vierailee sivustolla, jossa on Facebookin tykkäys-nappula tai muita evästeitä, yritys saattaa tallettaa tietoa hänen käyttäytymisestään. Tällaisia ei-käyttäjistä luotuja käyttäjäprofiileja kutsutaan varjoprofiileiksi.

Nämä ihmiset eivät ole missään vaiheessa antaneet yhtiölle lupaa tietojensa keräämiseen ja käyttämiseen.

Useat eurooppalaiset tietosuojavaltuutetut ovatkin jo nyt kieltäneet Facebookilta sellaisen henkilötietojen käsittelyn, jossa yritys on kerännyt tietoja palvelussa käyvistä ihmisistä ilman näiden nimenomaista suostumusta. Tämän on tulkittu olevan ristiriidassa yksityisyyden suojaa turvaavien lakien kanssa.

Jatkossa tällainen Facebookin harjoittama toiminta on yksiselitteisesti kiellettyä. Suostumuksen ilmaisua ei myöskään voi peittää pitkän tekstin sekaan, vaan sitä on kysyttävä täsmällisesti.

Teknologiajättien liikevaihdolle GDPR ei lupaa hyvää.

Ei siis ihme, että Zuckerberg kierteli senaatissa, kun häneltä kysyttiin, aikooko yritys soveltaa EU:n uutta tietosuojalakia maailmanlaajuisesti.

Kun yritykset eivät voi enää käyttää käyttäjiensä henkilötietoja yhtä vapaasti, mainosten arvo laskee. Lisäksi teknologiayritykset joutuvat palkkaamaan joukon juristeja varmistamaan, että EU-lainsäädäntöä noudatetaan.

Mitä luultavimmin Facebook tuleekin testaamaan rajojaan vielä pitkään, Teemu Leinonen veikkaa.

”Kissanhännänveto varmasti jatkuu vielä lainsäädännön astuttua voimaan.”

Pahimmillaan uutta tietosuoja-asetusta rikkova voi saada sakon, joka on enintään 20 miljoonaa euroa tai neljä prosenttia yrityksen maailmanlaajuisesta liikevaihdosta. Sakon enimmäismäärä määräytyy sen mukaan, kumpi näistä luvuista on suurempi.

Maallikon korvaan luku kuulostaa valtavalta. Kansalaisten sähköisiä oikeuksia puolustavan Electronic Frontier Finlandin (Effi) varapuheenjohtajaa Elias Aarniota kuitenkin epäilyttää.

”Voi olla, että ne ovat pikkurahoja suhteessa saavutettuun hyötyyn, jos henkilötietojen käyttämistä jatketaan entiseen tapaan.”

Tähän mennessä datajättien kukoistus on nimittäin perustunut siihen, että aiemmin kerättyjä tietoja on hyödynnetty yhä uusilla tavoilla. GDPR:n noudattaminen tekisi tällaisen innovoinnin hankalaksi.

Toisaalta Facebook ei voi myöskään loputtomiin jatkaa EU-kansalaisten oikeuksien rikkomista sakkoja maksamalla. Jos rikkomukset ovat toistuvia, EU saattaa ryhtyä rajoittamaan yrityksen toimintaa Euroopassa.

”Facebookista on tullut internetin ja uuden median vastainen rakenne, kun se on imuroinut kaksi miljardia käyttäjää.”

Mutta onko datankeruulle ja siihen perustuvalle mainonnalle perustuva bisnesmalli ylipäätään yhdistettävissä eettiseen sosiaalisen median palveluun? Ovatko Facebookin ongelmat korjattavissa sääntelyllä?

Aalto-yliopiston professori Teemu Leinosen mukaan eivät.

”Perusongelma on se, että Facebookilla on monopoli. En usko yhtään, että sillä olisi tahtoa muuttua eettisemmäksi. Jos Facebookilla olisi kilpailija, joka sanoisi, että tämä on epäeettistä, yritys ehkä joutuisi vastaamaan.”

Leinosen mukaan eettinen datatalous edellyttäisi hajautetumpaa järjestelmää, jossa data voisi kulkea eri palveluiden välillä ja vaihtoehtoja olisi runsaasti enemmän.

”Facebookista on tullut internetin ja uuden median vastainen rakenne, kun se on imuroinut kaksi miljardia käyttäjää. Me olemme yhtäkkiä kaikki vain Facebookissa, vaikka internetin tulisi tarjota meille loputtomasti vaihtoehtoja.”

Oikeustieteen tohtorikoulutettava Niklas Vainio suhtautuu sääntelyn mahdollisuuksiin toiveikkaammin.

Jos Facebook tekee GDPR:n vaatimat muutokset, käyttäjän asema paranee jo huomattavasti, Vainio uskoo. Mitä läpinäkyvämmäksi palvelun toimintalogiikka saadaan, sitä paremmin käyttäjä pystyy arvioimaan sitä, minkälaista vaihtokauppaa hän yrityksen kanssa käy.

”Tietysti se on myös arvokysymys, pitääkö esimerkiksi sitä lähtökohtaisesti ongelmallisena, että käyttäjistä kerätään tietoja ja mainoksia kohdennetaan sen perusteella.”

”Paljon riippuu myös siitä, miten tietosuojaviranomaiset alkavat toimia: alkavatko he selvittää ja valvoa näitä asioita entistä tiukemmin vai eivät?”

Myös Effi ry:n varapuheenjohtaja Elias Aarnio uskoo, että Facebook on ainakin osittain pakotettu muuttumaan EU:n vaatimien muutoksien seurauksena.

GDPR:n suurin ansio on hänen mukaansa siinä, että se konkretisoi lainsäädännöllä sen, että henkilötiedot ovat ihmisen omaisuutta. Ne ovat vain lainassa rekisterinpitäjällä, tiettyjä ehtoja vastaan. GDPR siis siirtää tiedon omistajuutta yrittäjiltä takaisin ihmisille.

”Tämän jos saisi leviämään maailmalle, se olisi minusta ihmiskunnan kannalta hieno asia.”

Oikaisu

Juttu on julkaistu 17.4.2018 kello 15.40 ja sitä on pävitetty 18.4. kello 10.00: Jan Philipp Albrechtin nimeen lisätty viimeinen p-kirjain ja korjattu Eero Aarnion titteli myös jutun lopussa varapuheenjohtajaksi, kun se aiemmin virheellisesti puheenjohtaja.