Euroopan unionin tietosuoja-asetus Tietosuoja-asetus (GDPR) Asetus (EU) 2016/679 eli Euroopan unionin uusi tietosuoja-asetus (GDPR) säätelee yksilön, yrityksen tai organisaation tekemää henkilötietojen käsittelyä EU:ssa. Avaa termisivu Tietosuoja-asetus (GDPR) (2016/679 GDPR) sisältää erään hienoimmista oikeudellisista ajatuksista. Sen mukaan tietosuoja-asetuksen tarkoituksena on tukea
- vapauden, turvallisuuden ja oikeuksien sekä talousunionin kehittämistä
- taloudellista ja sosiaalista edistystä
- talouksien lujittamista ja lähentämistä sisämarkkinoilla
- ihmisten hyvinvointia.
Liitän tähän myös ihmisten palvelemisen ja elämänlaadun, erityisesti digitaalisen elämänlaadun.
Suostumus ei yksin takaa tiedollista tasapainoa
Ihmiskeskeinen datatalous ei saa liiaksi perustua ”vain” suostumukselle. Tarvitaan enemmän ihmisten voimaannuttamista. Suostumus on erinomainen oikeudellinen väline, jonka EU:n perusoikeuskirjakin tunnustaa keskeiseksi henkilötietojen käsittelyperusteeksi. Suostumus on yksipuolinen, tiedollista itsemääräämisoikeutta osoittava tahdonilmaus ja siksi se eroaa esimerkiksi sopimuksesta.
Suostumus luonnollisesti velvoittaa sen pyytäjää toimimaan suostumuksen saamiseksi lain edellyttämällä tavalla. Saatuaan suostumuksen on organisaation (rekisterinpitäjän) noudatettava sitä ja hyväksyttävä yksipuolinen suostumuksen peruuttaminen.
Suurimmaksi valheeksi on sanottu, että kuluttaja on lukenut tietosuojaselosteiden loppumattoman pitkät ja epäselvät tekstit. Toisaalta voimassa on yhä vanha viisaus, jonka mukaan suostumus ei syrjäytä tarpeellisuutta eli sitä, että rekisterinpitäjä saa käsitellä vain välttämättömiä tietoja. Entä velvoittaako suostumus rekisterinpitäjää ryhtymään aktiivisiin toimiin, kuten jakamaan henkilötietoja?
Suostumukseen liittyy myös väärinkäytön vaara, mutta demokraattisessa yhteiskunnassa laki antaa yleensä ihmisille parhaan suojan.
Tietosuoja-asetus on antanut ihmisille uuden oikeuden – oikeuden siirtää tiedot järjestelmästä toiseen (GDPR 20 artikla), mitä perustellaan asetuksen johdanto-osassa (68) tarpeella vahvistaa ihmisten oikeutta valvoa henkilötietojaan. Tätä oikeutta olisi lainkohdan mukaan sovellettava silloin, kun yksilö on antanut henkilötiedot suostumuksensa perusteella tai kun käsittely on tarpeen sopimuksen täytäntöönpanemiseksi.
Rakennelmassa on olennaisia puutteita
Ensinnäkin laissa on muitakin käsittelyn oikeusperusteita kuin suostumus tai sopimus. Tietosuoja-asetus kyllä tuntee rekisterinpitäjän oikeutetun edun. Miksei siis asiakkaiden oikeutettu etu voisi olla tiedollista itsemääräämisoikeutta toteuttava oikeus? Olkoonpa sen nimi ”minä päätän ja minä määrään” -oikeus. Oikeudet tietojen oikaisemiseen, oikeuteen tulla unohdetuksi, oikeus vastustaa henkilötietojen käsittelyä tai käsittelyn rajoittamista koskeva oikeus eivät sellaisenaan kattavasti toteuta tätä omiin tietoihin liittyvää itsemääräämisoikeutta.
Oikeutta tietojen siirtoon ei myöskään sovelleta julkisen sektorin hallussa oleviin henkilötietoihin, vaikka datan siirtämisen pitäisi sellaisenaan kuulua hyvän hallinnon palveluperiaatteisiin. Palvelun tarjoajien ja asiakkaiden välille ei ole syntynyt tiedollista tasapainoa, eikä kuluttajille sisämarkkinoille tarkoitettua mahdollisuutta palveluntarjoajien kilpailuttamiseksi paremman valinnanvapauden tai tuotteisiin tai palveluihin liittyvien taloudellisten etujen saavuttamiseksi.
Pieni ihminen ei saa jäädä yksin
Mistä huoli kumpuaa? Samalla kun dataa kuvataan uudeksi öljyksi tai muuksi taloudellisen toiminnan raaka-aineeksi, pitää huomata, että se on oikeastaan ainoa raaka-aine, jonka käyttöä ei vielä tyydyttävästi säädellä.
Parasta olisi, jos sääntely olisi ihmisarvoihin perustuvaa globaalia sääntelyä. Onneksi on edes GDPR, joka vahvistaa tätä arvopohjaa ja sitoo tietoon liittyvät oikeudet perus- ja ihmisoikeuksiin. Samalla kuitenkin ylikansalliset digijätit edelleen ja ulkoparlamentaarisesti sanelevat datan käyttöehdot ja -tavat. Pieni ihminen on jäänyt kovin yksin niitä vastaan.
Tietosuoja on vapautta, jota pitää puolustaa
Digitaalisen raaka-aineen eli meidän henkilötietojemme käytön osalta on tunnistettu myös kuluttajansuojaan ja kilpailuoikeuteen liittyviä ongelmia. Laiton määräävä markkina-asema voi perustua henkilötietoihin.
Ilahtuneena olen huomannut, että henkilötietojen suoja ja ympäristön kannalta välttämätön kestävä kehitys ovat lähentyneet toisiaan. Data liittyy energiatalouteen, liikkumiseen ja liikenteeseen, älykoteihin ja moniin muihin pahimmillaan luonnon kestävyyttä ja ilmastoa haastaviin tilanteisiin.
Tietosuoja turvaa osaltaan myös vaalijärjestelmiemme reiluutta ja sitä kautta koko demokratiaa. Yksityisyyden suoja onkin joskus määritelty oikeudeksi olla omissa oloissaan ja muodostaa omat mielipiteensä ilman muiden siihen puuttumista. Tietosuoja on vapautta, jota pitää puolustaa.
Uudet liiketoimintamallit haastavat tietopolitiikan
Liiketoimintamallit ovat nekin muuttuneet. Suorasta asiakassuhteesta on siirrytty arvoketjujen kautta kokonaan uusiin, datan jakamiselle perustuviin ekosysteemeihin. Tämän kukkulan kuninkaaksi on palautettava kuluttaja ja annettava hänelle entistä enemmän valtaa määrätä omien henkilötietojensa käytöstä.
Onneksi Euroopan unioni ja sen useat jäsenvaltiot ovat alkaneet reagoida tilanteeseen. Odotettavissa on kokonainen uuden lainsäädännön tsunami. Se pakottaa jäsenvaltiot pohtimaan oman tietopolitiikkansa tasoa ja roolia yhteiskunnallisessa päätöksenteossa.
Entä liiketoiminnanharjoittajat ja kolmas sektori? Heitä ei saa jättää yksin tämän vaikeasti hahmotettavan muutoksen keskelle. Tukemalla heitä tuemme alussa viittaamani asetuksen johdannon toteutumista.
Nyt tulee kohdistaa huomio datatalouden reiluuteen ja digitaalisiin oikeuksiin
On hyvä, että on havahduttu kyberturvallisuuteen. Nyt on havahduttava ihmiskeskeisen, reilun datatalouden sekä digitaalisen riippumattomuuden ja oikeuksien vahvistamiseen.
Tarvitaan
- ihmiskeskeistä tulevaisuutta, joka perustuu yhä vahvemmalle tiedolliselle itsemääräämisoikeudelle
- nykyistä vahvempaa digitaalista itsemääräämisoikeutta (suvereniteettia) ja ihmisarvoja kunnioittavaa päätöksentekoa
- yhä kattavampaa ja demokraattisempaa globaalia ”digitaalisten luonnonvarojen” ja niiden hyödyntämisen sääntelyä.
Englanninkielinen versio blogista julkaistiin The Centre for Information Policy Leadershipin (CIPL) verkkosivuilla 5.11.2021.
Suosittelemme
Tästä eteenpäin.