Eräs tietosuojan parissa työskentelevä ystäväni kysyi minulta hiljattain: “Minne luulet, että markkina on menossa?” Hän tarkoitti tietysti, mitä ajattelin tapahtuvan toukokuun 25. päivän jälkeen. Samaa minulta oli kysynyt Karhu Helsingin Timo Salminen jo kuukautta aikaisemmin: “Mitä seuraavaksi?” 

Nämä olivat hyviä kysymyksiä ja tajusin, etten ollut ajatellut asiaa lainkaan. Kevät on mennyt niin vauhdilla asiakkaiden tietosuojaprojektien parissa, että tulevaisuuden ajatteleminen on jäänyt vähemmälle. 

Hyvien kysymysten inspiroimana kuitenkin tartuin aiheeseen ja pohdin hieman, mitä tietosuoja-asetus saattaa tuoda tullessaan. 

3 shokkia 

  1. Isot sakot 
    Sakoista on puhuttu paljon, eikä aivan turhaan. Tulemme näkemään ainakin yhdet todella korkean profiilin isot sakot. Pidän tätä lähes varmana. En nimittäin millään jaksa uskoa, että kaikki suuryritykset olisivat hoitaneet kaikki tietosuoja-asetuksen mukaiset velvoitteensa täysin ja ajoissa. Jostakin epäonnekkaasta tehdään varoittava esimerkki muille. EU:ssa on panostettu tietosuoja-asetukseen paljon ja halu näyttää, että kyseessä on vakavasti otettava lainsäädäntö, eikä pelkkä kuollut kirjain, on kova. Tämä tapahtuu kuitenkin todennäköisimmin jossain muualla kuin Suomessa. 
  2. Rekisteröityjen hyökkäys? 
    Tietosuoja-asetus vahvistaa rekisteröityjen oikeuksia. On mahdollista, että ihmiset haluavat uutuuden viehätystä kokiessaan käyttää näitä oikeuksiaan täysimääräisesti ja jopa yrittää “narauttaa” yrityksiä laittomasta henkilötietojen käsittelystä. En kuitenkaan usko, että ihan jokainen yritys joutuu tällaisen “hyökkäyksen” kohteeksi. Todennäköisimmin tulilinjalla ovat sellaiset yritykset, joiden toiminta muutoinkin koetaan hämäräksi, epämieluisaksi tai muutoin epäilyttäväksi. Tällaisia yrityksiä saattavat kansainvälisellä tasolla olla esimerkiksi sosiaalisen median jätit, Suomessa taas vaikkapa yksityiset pysäköinninvalvontafirmat, tekijänoikeuskirjeiden lähettäjät tai aggressiivista suoramarkkinointia harjoittavat yritykset. 
  3. Tietomurrot julki 
    Tulemme lukemaan uutisista yhä enemmän erilaisista tietomurroista. Näin siitä yksinkertaisesta syystä, että tietosuoja-asetus pakottaa rekisterinpitäjät raportoimaan henkilötietoihin kohdistuneista tietoturvaloukkauksista. Kaikkia tietomurtoja ei tarvitse raportoida julkisesti, vaan raportointi viranomaisille riittää. Tietosuojavaltuutettu (ja tuleva tietosuojavirasto) on kuitenkin viranomainen, johon sovelletaan viranomaisten toiminnan julkisuudesta annettua lakia, eli julkisuuslakia. Media siis saa halutessaan tiedot vaikkapa viikon aikana tapahtuneista tietomurroista, vaikka itse tietomurron kohteeksi joutuneen yrityksen ei tarvitsisikaan lain mukaan ilmoittaa tietomurrosta julkisesti. 

 

Mitä tietosuoja-asetus tuo tullessaan

3 sulosointua 

  1. Yksi laki, 28 maata 
    Yksi tietosuoja-asetuksen päätavoitteista on yhtenäistää henkilötietojen käsittelyn sääntöjä EU:ssa. Tämä hyödyttää erityisesti kansainvälisesti toimivia yrityksiä. Samoin kansallisten, kansainvälistymistä harkitsevien yritysten toimintaedellytykset helpottunevat. Toki on syytä muistaa, että tietosuoja-asetus jättää edelleen jonkun verran kansallista liikkumavaraa, joten ihan täyteen yhdenmukaisuuteen ei päästä. 
  2. Rekisteröidyn oikeudet vahvistuvat 
    Tietosuoja-asetuksen suurimpia hyötyjiä olemme epäilemättä me ihan kaikki tavalliset tallaajat. Entistä laajemmat oikeudet tietoihimme ja ennen kaikkea tieto siitä, kuka tietojamme kerää ja mihin niitä oikeasti käytetään ovat merkittäviä. Uskon lisäksi, että nk. siirto-oikeus, eli oikeus saada omat tietonsa siirretyksi palvelusta toiseen tulee vielä merkittävästi vaikuttamaan arkeemme. Tämän oikeuden myötä tulee luultavasti jopa syntymään kokonaan uudentyyppisiä palveluita, kun tiedon liikkuvuus ja hyödynnettävyys paranee. Lisäksi se tarjoaa mahdollisuuden kilpailevien palveluiden luomiseen, kun henkilön data ei enää ole “lukittu” yhden palveluntarjoajan taakse. Tämä koskee ennen kaikkea sosiaalisen median palveluita. 
  3. Kevätsiivous ja mielenrauha 
    Tällä hetkellä tilanne melkein jokaisessa yrityksessä on ollut se, että tietoa kerääntyy ja on kerääntynyt paljon, eikä kukaan ole oikein tiennyt, mitä tälle tiedolle pitäisi tehdä. Tieto on pitänyt säilöä johonkin ja suojata jotenkin, jotta ne eivät vahingossa vuotaisi yrityksen ulkopuolelle. 

    Uskoisin, että alkushokin mentyä yritykset saattavat jopa huomata, että on mukavaa kun tietää, mitä tehdä ylimääräiselle tiedolle. Tämä on vähän kuin kotinsa siivoaminen: ei kukaan siitä siivoamisesta nauti, mutta siisti koti tuottaa silti mielihyvää. Kun tästä siivoamisesta vielä tekee rutiinin, eli tuo henkilötietojen käsittelyn periaatteet yrityksen päivittäiseen toimintaan, ja käyttää mm. tietojen poistoista automaattisesti huolehtivia järjestelmiä (vrt. robotti-imuri), koti pysyy siistinä kuin itsestään. 

Siirtymävaihe on tuskallinen, mutta tulevaisuus silti valoisa 

Nyt käynnissä oleva siirtymävaihe on tuskallinen osaltaan siitä syystä, että niitä tietojärjestelmiä, joilla henkilötietoja yrityksissä tällä hetkellä käsitellään, ei ole rakennettu tietosuoja-asetusta silmällä pitäen. Tietosuoja-asetuksen velvoitteiden noudattaminen tuntuu siltä kuin pakottaisi neliön muotoista kappaletta ympyrän muotoiseen reikään. 

Tilanne tulee kuitenkin paranemaan, kun palveluntarjoajat ja järjestelmien kehittäjät alkavat saada järjestelmiään tietosuoja-asetuksen mukaiseen kuosiin. Tällöin tietosuojan toteutumisesta ei tarvitse enää erikseen huolehtia, vaan käytössä oleva järjestelmä huolehtii siitä automaattisesti tai ainakin antaa käyttöön tarvittavat työkalut. 

Kaiken kaikkiaan siis uskon, että kunhan viranomaistulkinnat alkavat muodostua, hyvät käytännöt vakiintua ja tarvittavat työkalut sovellustasolla alkavat olla saatavilla, tulee tietosuojasta yksi osa yrityksen arkea, jota emme sen kummemmin enää ajattele. Tähän menee muutama vuosi, mutta ainakin olemme kaikki samassa veneessä. Ja yhdessä soudamme sitä venettä selvemmille vesille.