GDPR koskettaa jokaista meitä suomalaista. Miten? Lue lisää, niin ymmärrät, mistä GDPR:ssä on kyse.
Tässä blogauksessa kerron hieman GDPR:n taustasta ja tietosuojasta yleensä. Kirjoituksen toisessa osassa käyn läpi, mitä konkreettisia vaikutuksia GDPR:llä on ihmisten elämään.
GDPR lyhyesti – tai siis, GDPR:hän on jo lyhenne
GDPR tulee sanoista General Data Protection Regulation, jossa
- General: viittaa yleiseen erotuksena erityisestä, sillä EU:sta on tulossa myös erityistä tietosuojalaindäädäntöä
- Data Protection: on koko jutun pihvi, eli tämä lainsäädäntö koskee tietosuojaa
- Regulation: tarkoittaa “asetusta”, joka EU-kontekstissa velvoittaa jokaista kansalaista ja yritystä EU:ssa (erotuksena direktiivistä, joka velvoittaa jäsenvaltioita).
Suomessakin puhutaan yleisesti joko GDPR:stä tai EU:n tietosuoja-asetuksesta.
Tietosuoja oli siis se koko jutun pihvi, mitä se tarkoittaa?
Tietosuoja voidaan käsittää tiedolliseksi itsemääräämisoikeudeksi. Se on siis sinulle kuuluva oikeus määrätä sinua koskevista tiedoista.
Lainsäädäntömme tuntee myös muita itsemääräämisoikeuksia. Esimerkiksi ruumiillinen itsemääräämisoikeus on perustuslakiimme kirjattu perusoikeus ja yksi länsimaisten yhteiskuntien peruspilareista. Kuten perustuslakimme 7 § sanoo: “Henkilökohtaiseen koskemattomuuteen ei saa puuttua…”.
Perustuslain 11 §:ssä taataan puolestaan uskonnollinen itsemääräämisoikeus: “Jokaisella on uskonnon ja omantunnon vapaus”.
Tässä perusoikeuksien kontekstissa tietosuoja, toiselta nimeltään myös henkilötietojen suoja, asettuu lähimmäs yksityiselämän suojaa: “Jokaisen yksityiselämä, kunnia ja kotirauha on turvattu”. Aivan kuten kukaan ei saa tulla ikkunasi taakse väijymään mitä teet kotonasi, ei kukaan saa myöskään kirjautua luvattomasti tietojärjestelmään katselemaan tietojasi. Useimmilla meistä on vielä muistissa Mika Myllylän tietojen urkintatapaus, jossa poliisit kävivät uteliaisuuttaan katsomassa Myllylän tietoja lainvastaisesti.
Tietosuojan tarkoituksena on paitsi estää tietojesi urkkiminen, myös estää niiden väärinkäyttö. Toisin sanoen se varmistaa, että pystyt itse kontrolloimaan, millaisia johtopäätöksiä sinusta tietojesi perusteella tehdään, kuka päätöksiä tekee ja mihin tarkoituksiin. Facebookista tiedot rohmunneen Cambridge Analytican tapaus on malliesimerkki siitä, mihin henkilötietojen suojalla pyritään puuttumaan: sinun tietojesi hamstraamiseen, eteenpäin myymiseen, jalostamiseen ja lopulta sinuun vaikuttamiseen, sinun ollessasi tästä autuaan tietämätön.
GDPR:kö sitten pelastaa meidät?
Se on ainakin tarkoitus. Tietosuojaan erikoistuneena lakimiehenä pidän GDPR:ää oikein onnistuneena lainsäädäntönä ja itsekin useita yrityksiä konsultoineena näen ilmassa merkkejä muutoksesta. Muutos ei tapahdu hetkessä, mutta paljon on jo tapahtunut, toistaiseksi kuitenkin vielä lähinnä pinnan alla.
Mutta mitä siellä pinnan alla sitten tapahtuu? Ensinnäkin, yrityksissä ja muissa organisaatioissa on nyt käynnissä todellinen henkilötietojen kevätsiivous. Vanhoja, vanhentuneita ja ylimääräisiä tietoja poistetaan sähköposteista, tietojärjestelmistä, mapeista ja työpöydiltä (niin fyysisiltä kuin virtuaalisiltakin).
Toiseksi yrityksissä mietitään nyt kilvan sitä, miten henkilötietojen käsittelystä voisi kertoa sinulle mahdollisimman selvästi ja ymmärrettävästi. Kyllä, olen vakavissani. Olemme jo niin tottuneet ja alistuneet siihen, että emme a) tiedä, mihin tietojamme käytetään, ja b) kykene siihen kuitenkaan vaikuttamaan vaikka tietäisimme, että tällainen väite saattaa kuulostaa uskomattomalta. Hamstraamisen ja pimittämisen aika kuitenkin on ohi (ennemmin tai myöhemmin: kuten sanottu, muutos vie aikaa), ja yritykset koittavat tosissaan miettiä keinoja, miten ne tekisivät henkilötietojesi käsittelystä mahdollisimman läpinäkyvää.
Kolmanneksi yrityksissä kehitetään keinoja antaa sinun itse hallinnoida tietojesi käyttöä. Tämä tarkoittaa sinulle entistä enemmän valtaa päättää kuka tietojasi käsittelee, mihin tarkoituksiin ja kuinka kauan. Tietosi eivät enää jää lojumaan erilaisiin tietokantoihin ja rekistereihin, jollet sitä itse halua.
Miten GDPR sitten käytännössä vaikuttaa minuun?
Edellä tulikin muutama vaikutus jo esiteltyä. Nämä muutokset voidaan tiivistää kolmeen kohtaan. Lyhyesti sanottuna GDPR:n myötä saat omiin tietoihisi liittyen enemmän:
- Tietoa,
- Vaikutusmahdollisuuksia, sekä
- Valinnanvapautta.
Seuraavassa blogauksessa avaan vielä enemmän sitä, miten GDPR käytännössä vaikuttaa meistä ihan jokaiseen.
Lisää tietosuojaa ja yksityisyyttä käsitteleviä artikkeleitamme löydät täältä: Tietosuoja ja yksityisyys.