”Viranomaiset saa mua turhaan etsiä, vielä riittää sentään jonkin verran metsiä…” Neljä vuosikymmentä sitten Juha "Watt" Vainio kaavaili kesälaulussaan katoamista yhteiskunnan kuvioista. Korkeintaan teoreettinen mahdollisuushan se oli jo silloin, ja nykyisessä digi-Suomessa sitä on mahdoton edes kuvitella.

Tuskin kukaan osaa sanoa, kuinka moneen ruutuun on tullut klikanneeksi ”hyväksyn käyttöehdot”-rastin lukematta, mitä se todella tarkoittaa. Harva lienee ajatellut, että taas tuli päädyttyä yhteen henkilörekisteriin.

Rekisterien äiti, väestötietojärjestelmä (siirryt toiseen palveluun), ja muut viranomaisrekisterit ovat oma lukunsa. Niistä pääsee pois vain kuolemalla, eikä sittenkään heti, mutta muista henkilörekistereistä irtaantumista voi yrittää EU:n uuden tietoturva-asetuksen GDPR:n ansiosta hieman aiempaa tehokkaammin.

Asetus säädettiin kaksi vuotta sitten. Sille annettu kahden vuoden siirtymäkausi päättyy perjantaina. Todellisuudessa vienee vielä aikaa, ennen kuin kaikki henkilörekisterit, niin paperille laaditut kuin digitaaliset, ovat GDPR:n vaatimassa kuosissa.

GDPR = General Data Protection Regulation

Omia tietoja voi pyytää itselle

Juha Vainio olisi varmaankin innostunut kuullessaan, että GDPR:ään on kirjattu ”oikeus tulla unohdetuksi”; ehkä hän olisi kirjoittanut siitä laulunkin.

Todellisuudessa oikeus tarkoittaa, että rekisterinpitäjän on poistettava ihmisen tiedot, jos niille ei enää ole käyttöä alkuperäiseen tarkoitukseensa eikä jossakin toisessa laissa mainittu peruste edellytä niiden säilyttämistä. Sellainen voi olla esimerkiksi arkistointivelvoite.

– Jos tiedät, missä sinusta on tietoa, voit GDPR:n perusteella pyytää, että tieto poistetaan tai annetaan sinulle säällisin kustannuksin, sanoo yliopistotutkija Jouni Markkula Oulun yliopistosta.

Hän vertaa oikeutta vajaan vuosikymmenen takaiseen lakimuutokseen, jonka perusteella vanhan puhelinnumeronsa saa viedä mukanaan, kun vaihtaa teleoperaattoria.

Oikeus omien tietojen tarkastamiseen on kyllä ollut osa tietosuojaa ennenkin, eikä rekisterinpitäjillä edelleenkään ole velvollisuutta ilmoittaa, että olet sen rekisterissä. GDPR kuitenkin alleviivaa, että sieltä on päästävä halutessaan pois.

Onko käyttäjillä todellista valinnanvaraa?

Yksi GDPR:n tarkoituksista on lisätä läpinäkyvyyttä. Asiakkaille pitää kertoa aiempaa selvemmin, mitä ”hyväksyn käyttöehdot” tarkoittaa.

Tämä on varmasti kaikille netin käyttäjille jo nyt tuttua tekstiä: ”Keräämme tietoja palveluiden käytöstä evästeillä. Tietoa käytetään käyttäjäkokemuksen parantamiseen, tuotekehitykseen, palveluiden personointiin sekä mainonnan kohdentamiseen."

Valinnanvaraa se ei tarkoita, sillä jatkokin on tuttu: "Käyttämällä palvelua hyväksyt evästeiden käytön."

– Käytännössä yritykset pyrkivät täyttämään lain kirjaimen. Uuden asetuksen mukaan niillä pitää olla asiakkaan tietoinen suostumus ja hänen pitää myös ymmärtää, mihin hän suostuu. Käyttäjän näkökulmasta se ei muuta mitään, jos hänen on pakko käyttää palvelua, Markkula toteaa.

Rekisteröintiä tavan vuoksi?

Jo ennen GDPR:ää tietojen keruulta on edellytetty tarkoituksenmukaisuutta ja sitä, ettei ylimääräisiä tietoja päädy rekisteriin.

– Se on vain vahvistettu GDPR:ssä. Käyttötarkoitus täytyy kertoa, ja kerätä saa vain sellaista, mitä tarvitaan ja minkä kerääminen on perusteltua, kertoo Markkula.

Tietojen keruuta voi perustella myös liiketoimintasuhteella. Se tosin saattaa jäädä asiakkaalle hämäräksi käsitteeksi. Jos kauppaketjussa poikennut asiakas haluaisi vain lähettää yksittäisen verkkopalautteen, ketju voi vaatia häntä rekisteröitymään.

Joillakin organisaatioilla tällainen saattaa olla vain digitalisoitumisen myötä syntynyt tapa.

Yksi esimerkki on Porvoon kaupungin verkkosivu. Palautteen antamiseen on kaksi vaihtoehtoa: nimettömänä tai rekisteröitymällä ja luomalla palveluun suorastaan salasanan. Sellaista vaihtoehtoa ei ole, että vastauksen voisi saada vain kertomalla sähköpostiosoitteensa – vielä.

Porvoon kaupunginlakimies Mikko Österman myöntää, että rekisteröitymisvaatimus yksittäisen palautteen antajalle on turha, ja lupaa, että se poistetaan. Rekisteröityminen on hyödyksi vain asioitaan hoitaville kuntalaisille, jotta heidän ei tarvitse toistaa taustoja ottaessaan uudelleen yhteyttä, Österman sanoo.

Big datasta tuli muotia

Porvoota odottaa sama iso kierros kuin monia muitakin, kouluista kuntiin, järjestöistä yrityksiin. Uuden asetuksen vuoksi niiden on muun muassa käytävä läpi kaikki tietosuojaselosteensa ja päätettävä tietojen yleisistä käsittelyperusteista, kuten säilytysajoista.

Tutkija Jouni Markkula arvelee tietävänsä, mistä tarpeettomat rekisteröintivaatimukset ovat peräisin.

– Usein organisaatiolla on vain yksi järjestelmä, jonka kautta saatetaan hoitaa muitakin asioita. Sen täytyy tietysti olla tehokas ja toimiva. Sähköpostitse vastaaminen vaatisi mahdollisesti erillisen järjestelmän tai henkilön, ja se on paljon työläämpää ja kalliimpaa varsinkin, jos jonnekin tulee kymmeniä tuhansia tai satoja tuhansia sähköposteja.

Yliopistotutkija Jouni Markkula Oulun yliopisto

Järjestelmien kehittäjät ja organisaatiot ovat toisaalta voineet tottua siihen, että tietojen kerääminen on käytäntö, ja ajattelevat, että niin kuuluu tehdä. Markkula epäilee, ettei suurinta osaa tiedosta koskaan varsinaisesti käytetä.

– Jos ajatellaan tietoteknisestä näkökulmasta, niin big data -muodin takia tietoa on pitänyt kerätä hirveästi.

Tällaisen tiedon on ehkä ajateltu olevan joskus arvokasta, eikä varastoiminenkaan ole maksanut juuri mitään.

Big data = Alati kasvava vuori kirjavaa, järjestelemätöntä tietoa, jota tulee sieltä täältä, esimerkiksi paikannuspalveluista ja mittareista, mutta myös muun muassa sosiaalisesta mediasta. Ajatuksena on, että jättimassasta on analysoitavissa sellaisia yhteyksiä ja suuntauksia isojen ihmisjoukkojen käytöksessä, joiden jäljille ei muuten päästäisi.

Markkula korostaa, ettei tietojen keruussa sinänsä ole kyse toisen edusta ja toisen haitasta, vaan tasapainon löytämisestä. Myös asiakkaat saavat etua, kun tietoja käytetään oikealla tasolla ja oikeassa muodossa ja menetelmä hoidetaan kuntoon, hän sanoo.

GDPR tuo sanktiomahdollisuuden

Viime kädessä tietoturva-asiat ovat monimutkaisia ja perustuvat luottamukseen, sanoo Markkula.

– Emmehän me oikeasti tiedä, missä kaikkialla tietojamme käytetään. En minäkään tiedä, vaikka seuraan sitä aktiivisesti.

GDPR tuo kuitenkin luottamuksen rinnalle myös sanktioita, jotka viranomaisilta aiemmin puuttuivat.

Oikeuteen haastaminen esimerkiksi tietosuojavuodosta on ollut asianomistajan tehtävä, ja siksi oikeudenkäyntejä on ollut hyvin vähän, Markkula kertoo.

Vastedes viranomaiset voivat viedä asioita oikeuteen, ja rikkojia uhkaavat taloudelliset seuraamukset saattavat olla varsin suuria.

Valituksille tulee vastaanottaja

Yksittäisen ihmisen asemaa sanktioiden mahdollisuus tuskin muuttaa. Hän voi edelleen yrittää saada apua tietosuojavaltuutetun toimistosta. Jonot kuitenkin ovat pitkät, ja nopeasti käsittelyyn voi päästä vain, jos tapauksella on yleistä merkitystä, Markkula arvelee.

Ehkä riita kuitenkin ratkeaa, ennen kuin siitä tarvitsee valittaa minnekään. GDPR:n ansiosta organisaatioiden on nimettävä tietosuoja-asioille vastuuhenkilö. Itsensä loukatuksi tuntevalla on vastedes joku, johon voi ottaa suoraan yhteyttä, ei vain organisaation musta aukko.

– Vastuuhenkilö on – tai hänen ainakin pitäisi olla – asiantuntija, ei esimerkiksi markkinointipäällikkö, joka ei tunne koko tietoturva-asiaa, sanoo Jouni Markkula.

Hän jää kiinnostuneena seuraamaan, muuttuuko tietojen luovuttamisen ja keräämisen kulttuuri jollakin tavalla. Ehkä GDPR nostaa tietoturvakysymyksiä aiempaa enemmän yleiseen tietoisuuteen.

Lue myös:

Sinun tietosi eivät ole sinun – Näin mainostajat keräävät ja hyödyntävät dataasi, kun muutat, ostat kilon pekonia tai haaveilet lomareissusta

Jatkossa saat nähdä kaikki tiedot, joita yritys sinusta tallentaa –Tietosuojauudistus tuo uusia velvoitteita yrityksille

Miten käy kerrostalojen saunavuorolistojen? 6 kysymystä tietosuojauudistuksesta