Euroopan unionin tietosuoja-asetus GDPR vaikuttaa eri tavoilla tavallisten ihmisten elämään - Tietoturva - Ilta-Sanomat

5 isoa muutosta – EU-asetus vaikuttaa kaikkiin netin käyttäjiin

Mitä kätkeytyy hämärän GDPR-kirjainlyhenteen taakse? Vähemmän kävelemistä ja enemmän klikkailua.

3.4.2018 7:00

Euroopan unionin uusi tietosuoja-asetus astuu voimaan 25. toukokuuta. Sen nimi on General Data Protection Regulation eli GDPR. Suomalaisten sähköisiä oikeuksia ajavan Electronic Frontier Finland – Effi ry:n asiantuntija kertoi IS Digitodaylle, miten asetus näkyy tavallisen kansalaisen arjessa.

1. Enemmän klikkailua

Asetus pakottaa EU-asiakkaita palvelevat yritykset pitämään paremmin lukua käyttäjistä kerättävästä tiedosta. Se tarkoittaa muun muassa lupien kysymistä entistä useammin, jos henkilötietoja halutaan käyttää johonkin tarkoitukseen tai luovuttaa eteenpäin.

Suomalainen voi siis törmätä uusiin ponnahdusikkunoihin nettiä käyttäessään Facebookin, Googlen tai jonkun muun tahon kysyessä lupaa tietojesi käsittelyyn. Näissä ikkunoissa rasti ei myöskään saa olla valmiiksi kohdassa "hyväksyn".

Toisaalta voit kohdata asian esimerkiksi terveydenhuollossa. Vaikka julkisella terveydenhuollolla on oikeus siirtää potilastietoja yksityiselle puolelle, ei yksityisellä puolella ole välttämättä oikeutta käsitellä niitä tietoja. Siihen vaaditaan potilaan suostumus. Lisääntyvät oikeudet voivatkin aiheuttaa yllättäviä tilanteita.

– Jos minut pistetään vaikkapa magneettikuvaukseen yksityiselle sektorille ja en tykkää niiden tietosuojaselosteesta, niin mistä sitten saan palvelun, Effin hallituksen varapuheenjohtaja Elias Aarnio hahmottaa.

2. Saat ladata tietosi

Asetus antaa EU-kansalaisille paremman oikeuden saada tietää, mitä kaikkea tietoa heistä kerätään. Jo ennestään henkilörekisteriseloste on ollut pidettävä yleisön saatavilla, mutta vaatimusta on tulkittu kirjavasti. Näkeminen on voinut edellyttää käyntiä yrityksen toimitiloissa.

– Siihen meni kolme varttia, kun menin pääkonttorille, pyysin henkilörekisteriselostetta ja he saivat sen paperin kaivettua jostain, Aarnio muistelee käyntiään erääseen perintätoimistoon.

Nyt selosteen näkeminen pitää mahdollistaa sähköisesti verkkosivun kautta.

3. Parempaa kilpailuttamista

Tietosuoja-asetukseen lukeutuu kansalaisen oikeus saada siirrettyä henkilötietonsa yhdestä yrityksestä toiseen. Tämä helpottaisi vaikkapa vakuutusyhtiöiden kilpailuttamista, koska asiakas voisi pyytää tietonsa nykyisestä yhtiöstä ja siirtää ne kilpaileviin yrityksiin entistä henkilökohtaisempia tarjouksia varten.

Helpoimmillaan tietojen siirrettävyys tarkoittaa yrityksen verkkopalvelussa olevaa nappia, jota käyttäjä painaa. Ongelma vain on, että sellaista yhtä nappia ei luultavasti tule ihan pian tarjolle.

– Tietojen siirrettävyys on herättänyt hirveää polemiikkia sen takia, että tämä on teknisesti aika iso haaste, Aarnio selvittää.

4. Unohtuminen helpottuu – teoriassa

GDPR on kuitenkin paljon muutakin. Sen on määrä suojella ihmisiä esimerkiksi yritysten kärsimiltä tietomurroilta pakottamalla murron kohde kertomaan vahingosta asiakkailleen viipymättä.

Asetus laajentaa jo ennestään EU:ssa harjoitettua oikeutta unohtua hakukoneen tuloksista. Esimerkiksi Googlen tapauksessa kansalaiset ovat jo voineet vaatia itseään koskevien hakutulosten pyyhkimistä, mutta sisältö on silti jäänyt alkuperäisille verkkosivuille.

GDRP:n myötä on periaatteessa mahdollista saada sisältö pois myös alkuperäisestä lähteestä. Aina se ei ole mahdollista, jos tieto on esimerkiksi osa lehtiartikkelia, jonka saatavuus katsotaan tärkeämmäksi. Eikä se ole helppoa ehkä muuallakaan.

– On tapauksia, joissa henkilön asioilla repostellaan ilman perustetta tai suostumusta henkilöltä. Kyllä siihen on hyvät perusteet [puuttua]. Mutta ongelmaksi muodostuu se, miten henkilö ylipäätään tulee tietoiseksi asiasta. Siitä tulee jatkossakin tehdä rekisterinpitäjälle pyyntö. Mutta tunnistaako esimerkiksi keskustelupalstan pitäjä olevansa rekisterinpitäjä? Kyllä heillä periaatteessa velvollisuus kuitenkin on, Aarnio tulkitsee.

Tietojenkäsittelystä pitää myös kertoa ymmärrettävästi. Vaikeat tietosuojalausumat ja käyttöehdot lakiteksteineen eivät siis enää kelpaa. Käytännössä on vielä epäselvää, miten Facebook, Google ja muut tästä selviävät. Aarnion mukaan niillä on vielä ehdoissaan paljon hiottavaa.

GDPR:n tarkat vaikutukset ovat vielä jossain määrin auki, koska Suomessa valmistellaan myös kansallista tietosuojalakia, joka tarkentaa EU-asetusta.

5. Mitä teen, kun oikeuksiani poljetaan?

Jos kansalainen epäilee, että häntä on kohdeltu väärin GDPR:n puitteissa, on hänellä yksi taho, johon ottaa yhteyttä: kansallinen tietoturvaviranomainen. Suomen tapauksessa se olisi Tietosuojavaltuutetun toimisto, paitsi että sen nimi voi muuttua EU-asetuksen myötä.

Osion tuoreimmat

Luitko jo nämä?