Miten valmistautua EU:n uuden tietosuoja-asetuksen vaatimuksiin?

Miten uusi eurooppalainen tietosuoja-asetus vaikuttaa yrityksemme toimintaan? Mihin kaikkeen meidän täytyy valmistautua ja miten?

Näitä kysymyksiä on varmasti useampikin yritys jo ehtinyt miettiä sen jälkeen, kun poliittinen yhteisymmärrys EU:n uuden tietosuoja-asetuksen sisällöstä saavutettiin joulun alla.

Uusi asetus kannattaa ottaa vakavasti: se antaa kansalliselle valvontaviranomaiselle vallan määrätä jopa kymmenien miljoonien eurojen sakkoja asetuksen vaatimusten noudattamatta jättämisestä. Listaamme tässä blogikirjoituksessa asioita, jotka jokaisen yrityksen tulee ottaa huomioon ennen kuin uusi asetus astuu voimaan.

Yksilön oikeudet vahvistuvat

TietosuojaLähes jokainen yritys käsittelee henkilötietoja. Erilaisia rekistereitä on paljon: on asiakasrekistereitä, erilaisia markkinointirekistereitä sekä tietysti rekistereitä työntekijöihin liittyvistä tiedoista. Henkilöä, jonka henkilötiedot on talletettu rekisteriin, kutsutaan rekisteröidyksi.

Rekisteröidyllä on jo nykyisen henkilötietolain mukaan oikeus muun muassa tarkastaa omat tietonsa sekä vaatia niiden oikaisua ja poistamista rekisteristä. Asetus säilyttää nämä vanhat rekisteröidyn oikeudet mutta tarjoaa rekisteröidylle entistä vahvemman kontrollin omiin tietoihinsa. Jatkossa yritysten tulee esimerkiksi antaa rekisteröidyille yhä enemmän, läpinäkyvämmin ja selkeämmin tietoa siitä, miten heidän tietojaan käsitellään ja miksi.

Asetus tuo tullessaan myös uusia oikeuksia, kuten oikeuden tietojen siirrettävyyteen sekä oikeuden kieltäytyä profiloinnista. Oikeus tietojen siirrettävyyteen mahdollistaa tietojen siirtämisen ilman välikäsiä rekisterinpitäjien välillä. Oikeus, tietyissä tilanteissa, kieltäytyä profiloinnista puolestaan tarkoittaa sitä, että rekisteröidyllä on oikeus kieltäytyä olemasta sellaisten päätösten kohteena, jotka perustuvat ainoastaan automaattisella tietojenkäsittelyllä – eli ilman ihmisen puuttumista – tapahtuvaan tiettyjen henkilökohtaisten ominaisuuksien arviointiin. Esimerkkinä profiloinnista voisi olla mm. online-luottohakemuksen automaattinen epääminen tai sähköisen rekrytoinnin käyttö ilman ihmisen osallistumista.

Arvioi henkilötietojen käsittelyn nykytila ja siihen liittyvät riskit

DPIA (Data protection impact assessment) -selvityksessä eli vaikutustenarvioinnissa arvioidaan henkilötietojen käsittelyn tarpeellisuutta, riskejä sekä sitä, miten riskejä voidaan minimoida ja miten niihin voidaan puuttua. Vaikka PIA ei ole kaikille yrityksille pakollinen, kannattaa yritysten toteuttaa tietosuoja-asetuksen velvoitteita silmällä pitäen jonkinasteinen nykytilan arviointi. Selvittää kannattaa ainakin,

  1. mitä henkilötietoja käsittelemme
  2. onko käsittely nykyisen henkilötietolain mukaista
  3. miten tiedotamme rekisteröidyille heidän tietojensa käsittelystä
  4. mitä toimintatapoja, prosesseja ja dokumentteja meidän tulisi asetuksen myötä muuttaa tai luoda.

Nimitä yrityksellesi tietosuojavastaava

Uusi tietosuoja-asetus velvoittaa tietyt toimijat nimittämään tietosuojavastaavan. Velvollisuus koskee muun muassa julkista sektoria ja sellaisia yrityksiä, joiden keskeiset tehtävät koostuvat rekisteröityjen laajamittaisesta ja järjestelmällisestä seurannasta tai laajamittaisesta arkaluonteisten tietojen käsittelystä. Vaikka tietosuojavastaavan nimittäminen ei ole kaikille yrityksille pakollista, on suositeltavaa vastuuttaa tietosuoja-asioista huolehtiminen ja vaatimusten noudattamisen seuranta yhdelle taholle. Yrityksen sisäisistä käytännöistä riippuen sopivia tahoja voivat olla lakiasiat, tietohallinto, henkilöstöhallinto tai sisäinen tarkastus.

Tietosuojavastaavalta vaaditaan asiantuntemusta niin tietosuojalainsäädännöstä kuin sen käytännön soveltamisesta yrityksen toimintaan. Tietosuojavastaavan rooli yrityksessä on itsenäinen, ja hänen tulee raportoida suoraan yrityksen korkeimmalle johdolle. Lisäksi tietosuojavastaavan tehtäviin kuuluu henkilöstön ohjeistus ja kouluttaminen, asetuksen vaatimusten noudattamisen varmistaminen päivittäisessä toiminnassa sekä yhteyshenkilönä toimiminen niin viranomaisiin kuin rekisteröityihinkin päin. Parhaimmassa tapauksessa tietosuojavastaava toimii liiketoiminnan mahdollistajana ja sen edelleen kehittäjänä.

Tietoturvaloukkauksista ilmoitettava

Tietoturvaloukkaukset ovat todellinen haaste ja asiakkaiden luottamuksen säilyttäminen on yrityksille entistä tärkeämpää digitalisoituvassa maailmassa. Uuden asetuksen myötä jokainen yritys on velvollinen ilmoittamaan henkilötietoihin kohdistuvista tietoturvaloukkauksista niin valvontaviranomaiselle kuin rekisteröidyillekin. Määräaika ilmoituksen tekemiselle on lyhyt: ilmoitus tulee tehdä viranomaisille 72 tunnin kuluessa tietomurron havaitsemisesta ja rekisteröidyille ilman aiheetonta viivytystä. Yrityksillä on näin ollen oltava valmiudet mahdollisten tietoturvaloukkausten havaitsemiseen, niistä ilmoittamiseen sekä vahinkojen minimointiin.

Tarkista ulkoisten tietojenkäsittelijöiden sopimukset

Tietosuoja-asetus edellyttää kirjallisen sopimuksen tekemistä ulkoisen palveluntarjoajan kanssa, joka käsittelee henkilötietoja. Asetus asettaa sopimukselle tietyt sisällölliset vaatimukset. Jos yritys on ulkoistanut tietojenkäsittelyään kolmannelle osapuolelle, kannattaa näiden sopimusten sisältö käydä läpi ja tarkistaa, vastaako se myös jatkossa asetuksen vaatimuksia. Tällainen ulkoinen henkilötietojen käsittelijä voi olla esimerkiksi yrityksen palkkahallinto, pilvipalveluiden tarjoaja tai vaikka asiakasmyyntiä tekevä ulkoinen yritys.

Toimi jo nyt!

Tietosuoja-asetus tulee voimaan, kun Euroopan parlamentti on sen hyväksynyt ja asetus on julkaistu EU:n virallisessa lehdessä. Tästä alkaa kahden vuoden siirtymäaika, jonka jälkeen yritysten on noudatettava asetuksen vaatimuksia. Asetuksen oletettu voimaantuloaika on vuoden 2018 keväällä. Koska tietosuoja-asetus luo yrityksille useita velvoitteita, niiden noudattamisen suunnittelu olisi hyvä aloittaa mahdollisimman pian. Nykytilan lainmukaisuuden arviointi on hyvä lähtökohta.

 

Lue lisää EU:n tietosuoja-asetuksesta ja sen tuomista keskeisimmistä muutoksista uutisestamme (uutinen englanniksi).

Eija Warma
Anette Luomala

Teollinen internet – uhka vai mahdollisuus?

Euroopan teollisuuden kehto on Ruhrin laakso. Sieltä tulee myös futuristinen yhtye Kraftwerk, joka kuulostaa hieman samalta kuin Ruhrin laakson teollisuuden taustamelu. He ennustivat jo vuonna 1981 hitissään ”Computer World” teollisen internetin synnyn. Kappaleessa robottia muistuttava ääni laulaa: ”Business, numbers, money, people  – computer world.” Mikäli uskoisin profeettoihin, antaisin sen arvonimen Kraftwerkille.

Viime aikoina on keskusteltu teollisesta internetistä ja sen tuomista uhkista ja mahdollisuuksista. Teollisella internetillä tai esineiden internetillä (engl. internet of things) tarkoitetaan sitä, että tulevaisuudessa erilaiset laitteet, esimerkiksi kodinkoneet, autot ja teollisuuskoneet, ovat yhä useammin kytkettyjä internetiin ja toimivat sen välityksellä.

Kyseessä on paradigman muutos: aivan kuten 90-luvun aikana siirryttiin eristetyistä järjestelmäkohtaisista verkoista maailmanlaajuiseen internetiin, nyt ollaan siirtymässä passiivisesta, selainpohjaisesta verkosta uudenlaiseen internetiin, joka on yhä kiinteämpi osa päivittäistä elämäämme ja ympäristöämme. Tulevaisuudessa meitä ympäröivät älyesineet, jotka vaihtavat tietoliikenneyhteyksien kautta tietoja keskenään. Se johtaa uusiin innovaatioihin teollisuudessa, kaupallisella alalla ja kuluttajien keskuudessa.

Tulevaisuuden internet elää esineissä

Jo nyt on käytössä sovelluksia, joiden avulla esine lähettää tietoja internetiin, ja sitä valvotaan ja kontrolloidaan tietoliikenneyhteyksien avulla. Hyvä esimerkki on etävalvomo, jossa voidaan esimerkiksi Suomesta käsin valvoa asiakkaiden teollisia laitteita ympäri maailmaa niihin asennettujen sensorien avulla. Tällaiset sovellukset, joissa tuotteesta siirretään tietoja toisen yrityksen järjestelmiin ja sieltä takaisin, ovat jo nyt teknisesti mahdollisia ja yleistyvät tulevaisuudessa. Myös niihin liittyvät juridiset kysymykset, jotka koskevat tietojen siirtoa ja vastuita, voidaan ratkaista nykyisenlaisilla yritysten välisillä palvelu- ja toimeksiantosopimuksilla, jotka täytyy toki laatia huolellisesti vastaamaan toiminnan tarpeita.

Teollisen internetin profeetat ennustavat, että internetin ja esineiden välinen suhde mullistuu vielä laajemmin: syntyy esineiden internet. Tämä tulevaisuuden internet tarkoittaa kokonaisvaltaista integraatiota, jossa kodit, älyteknologialla varustetut vaatteet, itseohjautuvat autot, kaupungin infrastruktuuri ja varsinainen teollinen internet eli älykkäällä analytiikalla ja prosessitekniikalla toimiva teollisuus ovat kaikki yhteydessä tietoverkkoon ja sen kautta toisiinsa. Sensoreilla varustetut esineet vaihtavat jatkuvasti tietoja keskenään. Tämä tehostaisi yhteiskunnan toimintaa esimerkiksi älykkään ja nopeasti muutoksiin reagoivan tuotantoketjun hallinnan kautta ja loisi toisaalta täysin uusia toimialoja ja kaupallisia sovelluksia. Tietojen vaihtamisesta ja hyödyntämisestä tulisi muutamassa vuodessa miljardiluokan bisnestä.

Esineiden internet vaatii yrityksiltä yhteisiä pelisääntöjä ja toimintatapoja

Tähän tulevaisuudenkuvaan ei kuitenkaan päästä noin vain. Vain muutama vuosi sitten esineiden internetin toteuttaminen olisi ollut teknisesti vaikeaa, kun laajakaistayhteydet ja sensorit olivat vielä verrattain kalliita. Nämä esteet ovat nyt siirtymässä historiaan.

Yritysten ja kuluttajien väliseen lähes rajattomaan tietojen siirtoon liittyy kuitenkin myös muita ongelmia. Ensinnäkin tietosuojalainsäädäntö rajoittaa sitä, miten kuluttajien tietoja voi kerätä, käsitellä ja siirtää. Esineiden internet vaatinee lakimuutoksia ja laajempaa keskustelua siitä, miten ja millä ehdoilla kuluttajien tietoja saa siirtää kaupallisissa tarkoituksissa. Nykyinen lainsäädännön kehitys on omiaan hidastamaan esineiden internetin syntyä.

Yritysten välinen tietojenvaihto herättää pelkoa yrityksen liikesalaisuuksien vaarantumisesta, kun älykkäät laitteet ”keskustelevat” keskenään ja vaihtavat käyttötietoja. Esineiden internet ei voi toimia ilman yritysten välistä luottamusta. Siksi yritysten pitänee sopia yhteisistä pelisäännöistä ja varmistaa sopimuksilla, että hyödyt ja kustannukset jakautuvat reilusti. Lisäksi eri valmistajien laitteiden lähettämien tietojen on oltava yhteensopivia, mikä vaatinee uusia datastandardeja. Maailmalla onkin käynnissä useita eri standardihankkeita, joiden tarkoituksena on luoda perusta esineiden internetille.

Toisaalta tiedonsiirron ongelmat voitaisiin myös ratkaista käyttämällä erikoistuneita ja yleisesti hyväksyttyjä tiedonvälittäjiä, samalla tavalla kuin pankkitietoja nykyään siirretään maailmanlaajuisesti eri järjestelmien välillä SWIFT-yhtymän kehittämän viestiverkon avulla. Jotta esineet voivat keskustella keskenään, niille on löydettävä yhteinen kieli tai ainakin rajapinnat, jotka ymmärtävät erilaisten laitteiden kieltä.

Esineiden internet tuo mukanaan myös juridisia haasteita, joiden ratkaiseminen vaatii uudenlaista ajattelua ja uudenlaisia sopimuksia. Uudessa järjestelmässä lisäarvo syntyy esineiden välisessä keskustelussa. Silloin on tärkeää määritellä, kuka omistaa liikkuvan tiedon ja miten siitä saatavat hyödyt ja tulot jaetaan.

Jos esimerkiksi itseohjautuva auto saa tietoja tieoloista tai liikenteestä useista eri yritysten hallinnoimista lähteistä, se johtaa myös erityisiin ongelmiin välillisten vahinkojen kannalta. Kuka on vastuussa, jos auto saa virheellistä tietoa ja törmää seinään tai jalankulkijaan? Miten tuotevastuu toteutuu, jos älyvaatteeseen tulee kohtalokas virhe toisen laitteen lähettämän tiedon takia?

Horisontissa uusia liiketoimintamahdollisuuksia

Esineiden internet on mahdollisuus, joidenkin mukaan jopa väistämättömyys: internetin ja tavaroiden maailman integraatio tiivistyy lähivuosina, joten yritysten on hyvä ajoissa ja oma-aloitteisesti varautua näihin toimialojen rajat ylittäviin mullistuksiin. Uusien liiketoimintamahdollisuuksien hyödyntäminen vaatii kuitenkin tiedonsiirron ja vastuiden pohtimista – ei vain liiketoiminnan suunnittelussa vaan myös yritysten sopimuksissa. Henkilötietoja sisältävistä aineistoista tulee yrityksille arvokasta pääomaa. Miten sitä voi käyttää laillisesti, kun lainsäädäntö jatkuvasti tiukkenee?

Teknologiaan kriittisesti suhtautuva humanisti tai sääntelyä rakastava juristi näkisi esineiden internetissä vain uhkia. Itse näen kuitenkin valtavia liiketoimintamahdollisuuksia, joihin on löydettävä juridiset ratkaisut.

Jaakko Lindgren

Tummia pilviä horisontissa

Erään suomalaisen iskelmän kertosäe kuuluu: ”Mut kauas pilvet karkaavat, turhaan niitä tavoitat”. Voisiko tämä liittyä jotenkin myös IT-palveluihin? Varmasti. Pilvipalveluista on tullut viime vuosina IT-mantra, taikasana, jota viljellään kaikkialla. Jopa maakuntalehdet kirjoittavat niistä. Pilvipalvelut pelastavat kaiken, tekevät IT:stä kertaheitolla helppoa ja yksinkertaista. Onko todella näin? Saatko pilvet kiinni?

Pilvipalveluiden nopea skaalautuvuus ja elastisuus ovat kaikkien huulilla. Monissa tilanteissa pilvestä onkin tullut salonkikelpoinen vaihtoehto perinteisille IT-palveluille. Myös pilvipalveluiden käyttöön liittyvät hintaedut houkuttelevat: kiinteät kustannukset ovat niissä huomattavasti pienemmät ja paremmin ennustettavissa. Asiakas maksaa vain käytöstä, ei laitteista, koulutuksesta ja henkilöresursseista. Tässä huumassa pilvien tummat reunat jäävät helposti vähemmälle huomiolle. Vaikka etenkin tietoturva ja pilvessä liikkuvat henkilötiedot ovat olleet tapetilla NSA-kohun ja julkimoiden alastonkuvien äskettäin aiheuttaman skandaalin jälkimainingeissa, pilvipalveluiden käyttöön liittyy myös muita käytännön ongelmia. Gartnerin viimeisimmän hype-käyrän mukaan pilvipalvelut ovat lähivuosina tulossa vaiheeseen, jossa niiden on aika lunastaa lupauksensa: kiinnostus pilvipalveluihin heikentyy negatiivisten kokemusten vuoksi, ja lehtijulkisuus on kääntymässä niitä vastaan, mikä tulee muokkaamaan palvelukenttää uudelleen. Tämä muutos tulee varmasti olemaan toivottu.

Järkevä sopimus

Pilvimaailmassa asiakas ei ole kuningas. Pilviasiakas on riippuvainen toimittajasta, eikä liiketoiminnan muutoksia aina ole mahdollista huomioida samalla tavoin kuin perinteisessä vaihtoehdossa – ei edes rahalla. Toimittaja määrittelee palveluiden sisällön ja ominaisuudet. Asiakkaan tulee tällöin sopimusteitse varmistaa, että palvelun käyttäminen voidaan sulavasti lopettaa, mikäli palvelun käyttö ei enää vastaa liiketoiminnan tarpeita.

Kun siirrät tietosi pilveen, siirrät sinne myös kontrollisi. Valitettavan usein näkee tilanteita, joissa asiakas on sidottu valittuun palveluntarjoajaan eikä pilvessä käsiteltäviä tietoja saada palautettua asiakkaalle. Tällaisten vendor lock-in -tilanteiden (joissa asiakas jää toimittajan panttivangiksi) välttämiseksi on hyvä sopimusta tehtäessä miettiä, kuinka tiedot toisaalta teknisesti ja toisaalta juridisesti saadaan kaikissa tilanteissa siirrettyä pilvestä toiseen palveluun.

Useat kansainväliset pilvipalveluyhtiöt suosivat riitatilanteissa yhdysvaltalaisia tuomioistuimia. Onko tämä asiakkaan edun mukaista? Tuskin kovinkaan moni suomalaisyhtiö on halukas riitelemään palveluntarjoajan kanssa esimerkiksi omien tietojensa oikeuksista yhdysvaltalaisessa tuomioistuimessa kotimaisen riidanratkaisuvaihtoehdon sijaan, sillä se lisää asiakkaan kustannuksia ja epävarmuutta riidan lopputuloksesta. Tämäkin ongelma on korjattavissa lyhyellä sopimuslausekkeella.

Henkilötietojen käsittelyn laillisuus

Useiden pilvipalvelun tarjoajien palvelimet sijaitsevat Suomen rajojen ulkopuolella. Toimittaja ei usein ole halukas kiinnittämään tietyllä alueella sijaitsevia palvelimia asiakkaan käyttöön eikä välttämättä edes kykene yksilöimään niitä palvelimia, joilla asiakkaan tietoja käsitellään. Ulkomainen pilvipalvelun tarjoaja määrittelee lisäksi pilvessä liikkuvien henkilötietojen käsittelyn ehdot oman lainsäädäntönsä mukaan. Se, kenen vastuulla henkilötiedot ja niiden luottamuksellisuus viime kädessä ovat, jää tapauskohtaisesti ratkaistavaksi. Vahingosta vastaa aina joku. Asiakkaan näkökulmasta on aina parempi, mikäli lopputulos on ennustettavissa.

Sovellettavissa vakioehdoissa toimittajan vastuu on usein rajattu niin kapeaksi, ettei se enää ole järkevässä suhteessa mahdolliseen riskiin. Siksi henkilötietojen käsittelyn lainmukaisuus tulee varmistaa sopimusteitse ja sisällyttää sopimukseen sopimussakot, jotka puutteista aiheutuvat.  NSA-kohu on omalta osaltaan jo pakottanut pilvitoimittajat muuttamaan vakioehtojaan asiakkaalle myönteisempään suuntaan henkilötietojen käsittelyn osalta.

Riskit vastaan hyödyt

Nykyisessä geopoliittisessa ilmastossa nähtäväksi jää sekin, miten palveluntarjoajan ulkomaisissa konesaleissa pyöriviä sovelluksia voidaan käyttää, mikäli tilanne kiristyy ja datayhteydet ulkomaille lakkaavat toimimasta. Palveluntarjoajan vakioehdoissa tällaiset tilanteet määritellään tavallisesti force majeure ‑tilanteiksi, jolloin toimittajan tarjoamat ratkaisuvaihtoehdot voivat olla rajalliset. Tällöin asiakkaalla ei välttämättä ole muuta vaihtoehtoa kuin jäädä tarkkailemaan tilanteen kehittymistä.  Mitä teet, kun seuraat maailmanpoliittisen kriisin käänteitä Teksti-TV:stä (joka toimii myös kriisiaikoina!) samalla, kun liiketoiminta seisoo datayhteyksien ollessa poikki?

Asiakkaan tarpeet palvelun eri vaiheissa ja sen käytön päättyessä tulisi huomioida jo pilvipalvelun hankintavaiheessa. Monet riskit kytkeytyvät ennen kaikkea siihen, kuinka kriittistä pilvessä käsiteltävä aineisto liiketoiminnan kannalta on. Kuinka suuren riskin olet valmis ottamaan ja missä määrin palveluntarjoajan riski on myös asiakkaan riski? Jokaisen pilvipalvelua koskevan hankintapäätöksen pitäisi perustua harkittuun riskiarvioon eikä ainoastaan palvelun käytön helppouteen tai edullisuuteen. Kymmenienkin tuhansien eurojen säästöt on äkkiä menetetty, kun säästöhuumassa hankitun sähköpostipilven palvelinyhteydet eivät toimi, sähköposti on alhaalla ja liiketoiminta seisoo. Pilvipalvelussa toimittaja määrää tahdin. Asiakkaan vastuulla on huolehtia, ettei putoa kyydistä kesken matkan.  Pilviä ei ehkä voi tavoittaa, mutta mustat pilvet voi oppia tunnistamaan.

Erään suomalaisen pörssiyhtiön toimitusjohtaja totesi kerran, että heidän on otettava pilvipalvelut käyttöön, vaikka ne kannibalisoivat heidän omaa liiketoimintaansa. Tällöin syynä pilvipalveluiden käyttöön ottamiselle oli yhtiön imago. Toivotaan, että muissa yhtiössä palveluiden valinta tapahtuu rationaalisemmilla perusteilla. Usein myös pilvipalvelun käytölle on löydettävissä rationaaliset perusteet, kun sopimusehdot ovat kohtuulliset.

Jaakko Lindgren
Maiju Klemola

 

Henkilötiedot – suojeltava luonnonvara?

Teollinen vallankumous synnytti Eurooppaan raskaan ja keskittyneen teollisuuden, joka alkoi saastuttaa luontoa. Luonnon saastuminen taas johti ihmisten sairastumisiin ja sitä kautta elämän laadun heikkenemiseen. Luonnonsuojelu tuli tämän jälkeen valtioiden tehtäväksi.  Valtiot alkoivat säädellä luonnonvarojen käyttöä lainsäädännön avulla. Sittemmin teollisuuden ja luonnon tarpeet on opittu sovittamaan paremmin yhteen.

Digitaalinen vallankumous on luonut globaalin digitaalisen teollisuuden. Se tuotti meille aluksi tietojärjestelmiä, joilla analogisen maailman tehtäviä voitiin hoitaa tehokkaammin automaattisen tietojenkäsittelyn keinoin.  Digitaalinen vallankumous ei, joidenkin mielestä valitettavasti, pysähtynyt tähän. Ihminen on kytketty yhä tiiviimmästi osaksi tietojärjestelmiä. Moni viettää lähes kaiken valveillaoloaikansa kytkeytyneenä tietojärjestelmiin (Facebook, sähköposti tai Twitter). Näihin järjestelmiin ihminen syöttää henkilötietojaan, ja toisaalta ne keräävät hänen henkilötietojaan.

Henkilötietojen väärinkäyttö ei sairastuta ihmistä fyysisesti, mutta se voi aiheuttaa henkistä kärsimystä, kun hän menettää yksityisyytensä. Ihmisen koko elämä saattaa olla luettavissa suruineen ja murheineen julkisesta palvelusta, josta hänen nuoruuden hölmöilynsä tulevat ensimmäisinä vastaan, mikäli niistä vain osataan hakea tietoa. Tämä voi estää henkilöä saamasta työpaikkaa, tai orastava parisuhde päättyy yhteen hakukoneella tehtyyn hakuun. Yksityisyyttämme suojaamaan on syntynyt henkilötietojen käyttöä sääntelevä lainsäädäntö. Digitaalinen vallankumous on edennyt kiihtyvällä vauhdilla globaalisti, mutta kansallinen lainsäädäntö on seurannut perässä hitaammin. Yritysten, lainsäätäjän ja yksityisen ihmisen intressien yhteensovittaminen ei ole ollut helppoa.

Yksilön valta omiin tietoihinsa

Mielenkiintoinen tapaus tältä rintamalta on Euroopan unionin tuomioistuimen tuomio asiassa Google Spain SL ja Google Inc. v. Agencia de Protección de Datos (AEPD) ja Mario Costeja González (Asia C-131/12). Tapauksessa Euroopan Unionin tuomioistuin määräsi, että hakukoneyhtiön tulee poistaa henkilön tiedot hakutuloksista, mikäli niiden esittämisellä ei ole perusteita esimerkiksi ”julkisen aseman kaltaisista erityisistä syistä”.

Tapaus koskee sinänsä vain Googlen hakukonetta, joka on Euroopassa yksi eniten käytetyistä hakukoneista. Tästä huolimatta on syytä pohtia, olisiko ratkaisulla myös laajempaa merkitystä digitaalisen vallankumouksen aikana. Tähän asti digitaalisessa teollisuudessa on lähes poikkeuksetta pyritty keräämään mahdollisimman paljon tietoa ja jalostamaan sitä helpommin löydettävään muotoon. Tämän lisäksi ns. Big Data -analytiikan avulla hakutuloksista voidaan kehittää entistä täsmällisempiä sekä tarkempia. Toisin sanoen eri lähteistä kerätystä henkilötiedosta voidaan jalostaa täsmällisempiä tuloksia henkilöstä. Ratkaisu pakottaa arviomaan mahdollisuutta myös poistaa ja estää henkilötietojen käyttäminen sekä esittäminen. Hakukoneet ovat vain yksi esimerkki tästä. Vastaavalla tavalla digitaaliset media-arkistot sisältävät valtavat määrät tietoa ihmisistä koko heidän elämänsä varrelta. Pitäisikö niistäkin voida poistaa omat tiedot?

Euroopan unionin tuomioistuimen ratkaisu kohdistuu vain yhteen yhtiöön ja sen hakukoneeseen Euroopan unionin alueella. Jatkossa tulee pohtia samojen periaatteiden soveltumista myös muihin tietokantoihin ja hakukoneisiin. Keskustelu lienee vasta alussa tältä osin sekä kansallisesti että globaalisti.

Digitaalinen teollisuus edellyttää valtioilta yhteistyötä

Suomalaisen teollisuuden, lainsäätäjän ja yksityisten ihmisten intressit on pystytty sovittamaan yhteen suhteellisen kitkattomasti luonnonsuojelun alueella. Uuden lainsäädännön tai merkittävien ennakkoratkaisujen tarve ei ole huutava. Henkilötietojen käsittelyn suhteen tilanne ei ole näin. Digitaalinen teollisuus ei tiedä mikä tulee olemaan laitonta ja yksittäinen tuomioistuimen päätös voi muuttaa markkinoita. Myöskään lainsäätäjän näkökulmasta tilanne ei ole palkitseva. Digitaalinen teollisuus on globaalia. Näin ollen kansallisvaltioiden tai jopa koko EU:n lainsäädäntö ontuu. Yksittäisen ihmisen näkökulmasta tilanne lienee kaikista sekavin. Globaalit yhtiöt tarjoavat mielenkiintoisia palveluja, joiden teknistä toimintaa on hyvin vaikea arvioida ennalta.

Olisiko kansallisvaltiolla tahtoa sopia kansainvälisesti henkilötietojen käsittelystä? Henkilötietojen maailmanlaajuisten haasteiden ratkaiseminen lienee hyvin vaikeaa Snowden-kohun jälkeen, koska valtiot eivät luota toistensa tarkoitusperiin. Tekijänoikeuksista on sovittu kansainvälisillä sopimuksilla siten, että tekijänoikeuden haltijan teokset nauttivat suojaa suhteellisen globaalisti. Ehkä samaa olisi syytä pohtia henkilötietojen käytön osalta. Muuten syntyy yritysten, lainsäätäjän ja yksityisen ihmisen kannalta monimutkainen toimintaympäristö, jonka hallitseminen on vaikeaa. Jopa luonnonsuojelun osalta on kyetty tekemään kansainvälisiä sopimuksia esimerkiksi ilmastonmuutoksen torjumiseksi. Saasteet ja henkilötiedot liikkuvat kansallisvaltioiden rajojen yli, joten eikö niitä pitäisi säädellä globaalisti?

Jaakko Lindgren

Vanhat tietojärjestelmät uusiksi? Euroopan unionin uusi tietosuoja-asetus

Europarlamenttivaalit on käyty. Vaalipäivänä sää oli vielä ihanan kesäinen. Lämpöä ei pitkään riittänyt.

Nyt, kun kirjoitan tätä tekstiä, ulkona sataa vettä ja lämpötila on lähempänä nollaa kuin hellelukemia. Eilen piti ottaa toimiston kaapista talvitakki ja kävellä se päällä kotiin. Samanlaisen reaktion voi aiheuttaa EU:n uusi tietosuoja-asetus suomalaisen yritysjohdon ja yritysten tietosuojavastaavien mielissä.

Tietosuoja-asetusta ei saatu vietyä läpi edellisen parlamentin ja komission aikana, vaan sen käsittely alkaa uudestaan. Kuinka kauan se kestää? Olen lakimies, en ennustaja, joten en uskalla arvailla.

Uusi parlamentti ja komissio aloittavat kuitenkin työnsä pian, ja asia alkaa taas edetä. Asianajajapiireissä ollaan nyt selvästi hyvin huolestuneita siitä, ovatko yritykset valmiita uuteen tietosuoja-asetukseen tai tiedetäänkö niissä ylipäänsä, että uudistus voi aiheuttaa niille ongelmia.

Vanha tietojärjestelmä voi tulla kalliiksi

Suomalaisten yritysten tietojärjestelmät on rakennettu viimeisten noin 30 vuoden aikana. Jotkin yritykset käyttävät edelleen tietojärjestelmiä, jotka on tehty 1970-luvun lopulla. Näissä järjestelmissä käsitellään henkilötietoja.

Erityisesti vanhojen järjestelmien kannalta asetus on hyvin ongelmallinen. Asetuksen mukainen sääntelyhän ei koske pelkästään uusia tietojärjestelmiä vaan kaikkia tietojärjestelmiä. Vanhojen tietojärjestelmien päivittäminen on kallista ja hidasta. Yritysten IT-budjetit eivät ole rajattomia, ja vanhojen järjestelmien päivittämiseen käytetyt rahat ovat pois uusien järjestelmien kehittämisestä.

Kaksi keskeistä haastetta

Mitkä sitten ovat uuden asetuksen ongelmakohdat? Asetusluonnos sisältää kaksi hyvin ongelmallista rakennetta:

Ensinnäkin asetukseen kuuluu privacy by design -vaatimus, jonka mukaan jokaisen tietojärjestelmän tulee olla toiminnallisuuksiltaan sellainen, että henkilötietojen käsittely järjestelmässä täyttää asetuksen vaatimukset.

Toiseksi tietosuojaviranomaiset voivat määrätä yritykselle tai julkiselle organisaatiolle hallinnollisen sanktiomaksun, mikäli asetuksen velvoitteita rikotaan. Sanktiomaksun enimmäismäärä on esityksessä joko sata miljoonaa euroa tai viisi prosenttia vuosittaisesta kokonaisliikevaihdosta sen mukaan, kumpi summa on suurempi. Maksun suuruus saattaa vielä muuttua.

IT-budjetit uuteen tarkasteluun

PictureKeskimääräinen suomalainen tietojärjestelmä on rakennettu teknisistä, kaupallisista tai käytännöllisistä lähtökohdista. Henkilötietolainsäädännön noudattamisesta on huolehdittu vasta jälkikäteen.

Monien järjestelmien nykyiset toiminnallisuudet eivät kestä kriittistä tarkastelua edes nykyisen henkilötietolain näkökulmasta, saati sitten uuden tietosuoja-asetuksen näkökulmasta. Näin ollen järjestelmien huoltaminen tulisi aloittaa jo nyt, kun rikkomuksista ei vielä joudu maksamaan sanktiota. Tätä ei ole taidettu ottaa huomioon tulevien vuosien IT-budjeteissa? Syytä olisi.

Euroopan unionin rikkidirektiivi tuli voimaan muutamia vuosia sitten. Se aiheutti suuria kustannuksia suomalaiselle vientiteollisuudelle, kun laivoihin jouduttiin asentamaan esimerkiksi rikkipesureita. Näin käy myös uuden tietosuoja-asetuksen kohdalla: yritysten ja julkisten organisaatioiden kulut lisääntyvät.

Uuden tietosuoja-asetuksen vaikutuksista tavalliseen kansalaiseen ei voi olla aivan yhtä varma. Ehkä perusoikeudet hieman vahvistuvat, mutta laskua maksaa meistä jokainen.

Jaakko Lindgren