Blogi
EU:n tietosuoja-asetuksen tavoitteena on suojata henkilötietoja aiempaa paremmin ja tarjota ihmisille keinoja hallita omia tietojaan. Asetuksen vieminen käytäntöön on kesken. On vahvistettava ihmiskeskeistä, reilua datataloutta sekä digitaalista riippumattomuutta ja oikeuksia.
Blogin tyyppi
Puheenvuoro
Julkaistu
17.9.2021
Vanhempi neuvonantaja
Euroopan unionin tietosuoja-asetus tietosuoja-asetus (2016/679 GDPR) sisältää erään hienoimmista oikeudellisista ajatuksista. Sen mukaan tietosuoja-asetuksen tarkoituksena on tukea
Liitän tähän myös ihmisten palvelemisen ja elämänlaadun, erityisesti digitaalisen elämänlaadun.
Ihmiskeskeinen datatalous ei saa liiaksi perustua ”vain” suostumukselle. Tarvitaan enemmän ihmisten voimaannuttamista. Suostumus on erinomainen oikeudellinen väline, jonka EU:n perusoikeuskirjakin tunnustaa keskeiseksi henkilötietojen käsittelyperusteeksi. Suostumus on yksipuolinen, tiedollista itsemääräämisoikeutta osoittava tahdonilmaus ja siksi se eroaa esimerkiksi sopimuksesta.
Suostumus luonnollisesti velvoittaa sen pyytäjää toimimaan suostumuksen saamiseksi lain edellyttämällä tavalla. Saatuaan suostumuksen on organisaation (rekisterinpitäjän) noudatettava sitä ja hyväksyttävä yksipuolinen suostumuksen peruuttaminen.
Suurimmaksi valheeksi on sanottu, että kuluttaja on lukenut tietosuojaselosteiden loppumattoman pitkät ja epäselvät tekstit. Toisaalta voimassa on yhä vanha viisaus, jonka mukaan suostumus ei syrjäytä tarpeellisuutta eli sitä, että rekisterinpitäjä saa käsitellä vain välttämättömiä tietoja. Entä velvoittaako suostumus rekisterinpitäjää ryhtymään aktiivisiin toimiin, kuten jakamaan henkilötietoja?
Suostumukseen liittyy myös väärinkäytön vaara, mutta demokraattisessa yhteiskunnassa laki antaa yleensä ihmisille parhaan suojan.
Tietosuoja-asetus on antanut ihmisille uuden oikeuden – oikeuden siirtää tiedot järjestelmästä toiseen (GDPR 20 artikla), mitä perustellaan asetuksen johdanto-osassa (68) tarpeella vahvistaa ihmisten oikeutta valvoa henkilötietojaan. Tätä oikeutta olisi lainkohdan mukaan sovellettava silloin, kun yksilö on antanut henkilötiedot suostumuksensa perusteella tai kun käsittely on tarpeen sopimuksen täytäntöönpanemiseksi.
Ensinnäkin laissa on muitakin käsittelyn oikeusperusteita kuin suostumus tai sopimus. Tietosuoja-asetus kyllä tuntee rekisterinpitäjän oikeutetun edun. Miksei siis asiakkaiden oikeutettu etu voisi olla tiedollista itsemääräämisoikeutta toteuttava oikeus? Olkoonpa sen nimi ”minä päätän ja minä määrään” -oikeus. Oikeudet tietojen oikaisemiseen, oikeuteen tulla unohdetuksi, oikeus vastustaa henkilötietojen käsittelyä tai käsittelyn rajoittamista koskeva oikeus eivät sellaisenaan kattavasti toteuta tätä omiin tietoihin liittyvää itsemääräämisoikeutta.
Oikeutta tietojen siirtoon ei myöskään sovelleta julkisen sektorin hallussa oleviin henkilötietoihin, vaikka datan siirtämisen pitäisi sellaisenaan kuulua hyvän hallinnon palveluperiaatteisiin. Palvelun tarjoajien ja asiakkaiden välille ei ole syntynyt tiedollista tasapainoa, eikä kuluttajille sisämarkkinoille tarkoitettua mahdollisuutta palveluntarjoajien kilpailuttamiseksi paremman valinnanvapauden tai tuotteisiin tai palveluihin liittyvien taloudellisten etujen saavuttamiseksi.
Mistä huoli kumpuaa? Samalla kun dataa kuvataan uudeksi öljyksi tai muuksi taloudellisen toiminnan raaka-aineeksi, pitää huomata, että se on oikeastaan ainoa raaka-aine, jonka käyttöä ei vielä tyydyttävästi säädellä.
Parasta olisi, jos sääntely olisi ihmisarvoihin perustuvaa globaalia sääntelyä. Onneksi on edes GDPR, joka vahvistaa tätä arvopohjaa ja sitoo tietoon liittyvät oikeudet perus- ja ihmisoikeuksiin. Samalla kuitenkin ylikansalliset digijätit edelleen ja ulkoparlamentaarisesti sanelevat datan käyttöehdot ja -tavat. Pieni ihminen on jäänyt kovin yksin niitä vastaan.
Digitaalisen raaka-aineen eli meidän henkilötietojemme käytön osalta on tunnistettu myös kuluttajansuojaan ja kilpailuoikeuteen liittyviä ongelmia. Laiton määräävä markkina-asema voi perustua henkilötietoihin.
Ilahtuneena olen huomannut, että henkilötietojen suoja ja ympäristön kannalta välttämätön kestävä kehitys ovat lähentyneet toisiaan. Data liittyy energiatalouteen, liikkumiseen ja liikenteeseen, älykoteihin ja moniin muihin pahimmillaan luonnon kestävyyttä ja ilmastoa haastaviin tilanteisiin.
Tietosuoja turvaa osaltaan myös vaalijärjestelmiemme reiluutta ja sitä kautta koko demokratiaa. Yksityisyyden suoja onkin joskus määritelty oikeudeksi olla omissa oloissaan ja muodostaa omat mielipiteensä ilman muiden siihen puuttumista. Tietosuoja on vapautta, jota pitää puolustaa.
Liiketoimintamallit ovat nekin muuttuneet. Suorasta asiakassuhteesta on siirrytty arvoketjujen kautta kokonaan uusiin, datan jakamiselle perustuviin ekosysteemeihin. Tämän kukkulan kuninkaaksi on palautettava kuluttaja ja annettava hänelle entistä enemmän valtaa määrätä omien henkilötietojensa käytöstä.
Onneksi Euroopan unioni ja sen useat jäsenvaltiot ovat alkaneet reagoida tilanteeseen. Odotettavissa on kokonainen uuden lainsäädännön tsunami. Se pakottaa jäsenvaltiot pohtimaan oman tietopolitiikkansa tasoa ja roolia yhteiskunnallisessa päätöksenteossa.
Entä liiketoiminnanharjoittajat ja kolmas sektori? Heitä ei saa jättää yksin tämän vaikeasti hahmotettavan muutoksen keskelle. Tukemalla heitä tuemme alussa viittaamani asetuksen johdannon toteutumista.
On hyvä, että on havahduttu kyberturvallisuuteen. Nyt on havahduttava ihmiskeskeisen, reilun datatalouden sekä digitaalisen riippumattomuuden ja oikeuksien vahvistamiseen.
Tarvitaan
Englanninkielinen versio blogista julkaistiin The Centre for Information Policy Leadershipin (CIPL) verkkosivuilla 5.11.2021.