Salatut toiminnot

Julkaistu 29.5.2015

Tietosuojan ja teknologian välistä riippuvuussuhdetta pidetään usein lähes oletusarvoisesti mutta virheellisesti vastakkaisena. Kiistatonta kuitenkin on, että hyvin arvioituna ja toteutettuna teknologia voi palvella ja edistää ihmisten tiedollista itsemääräämisoikeutta ja tietoturvaa. Tulevassa tietosuoja-asetuksessa ladataankin aika paljon paineita teknologian toiminnallisille ominaisuuksille. Esimerkkinä olkoon vaikkapa "right to data portability", jonka oikeuden avulla on tarkoitus auttaa kuluttajia palveluiden tarjoajien ja tuotteiden myyjien kilpailuttamisessa.

Tiedämme myös, että teknologiaan voi liittyä myös tuntemattomia tekijöitä. Tästä klassinen esimerkki on proffakaverini ja hotellin minibaarin kohtaaminen. Hän kun ei huomannut kylttiä, jonka mukaan minibaarin laskutettavan käyttötapahtuman aiheuttaa jo tuotteiden siirtäminen. Uloskirjautumisen yhteydessä tiskiin lyötiin sitten tuntuva lasku, joka sai jääkaappiin omia tavaroitaan sijoittaneen henkilömme pohtimaan älysovelluksen ja sopimusoikeuden, kuluttajansuojan ja tietosuojalainsäädännön ihmeellisiä koukeroita.

Päättyvän viikon yhtenä puheenaiheena oli suunnitelma muuttaa pysäköintimittarit sellaisiksi, etteivät ne huolisi maassamme käytössä olevia rahoja. Samankaltainen suunnitelma oli eräällä muullakin virastolla, joka joutui muuttamaan systeeminsä eduskunnan apulaisoikeusasiamiehen puututtua tilanteeseen. Minua muuten asiassa askarruttaa myös teknologian suhde esimerkiksi omistajavastuunperiaatteeseen nähden...

Näin ollen suuren suuri haaste liittyy taitoomme oppia ja osata etukäteen arvioida aiotun toimenpiteen ja siinä käytettäväksi tarkoitetun teknologian vaikutus ihmisten oikeuksiin. Tosiasiahan on, ettei teknologia luo sellaisenaan oikeuksia. Olikin kuin olisi katsellut sadetta aavikolla kun sain (tosin vain jälkikäteen) tutustua professori Martin Scheininin esitykseen "Perusoikeuskajoamisten vakavuusasteen arviointi". Hän esitteli Robert Alexyn punnintakaavaa lähtökohtanaan käyttävän toimintamallin Helsingin yliopistolla järjestetyssä verkkovalvontaa pohtineessa korkeatasoisessa seminaarissa.

Käytännön elämässä rekisterinpitäjien toimien tieviittana toimii henkilötietolainsäädäntö. Kuten niin monta kertaa olen sanonut, odotamme asetusta innokkaasti. Siellä on eräitä aivan keskeisiä juttuja tästä ennakointinäkökulmasta: suunnittelu- ja huolellisuusvelvoite eli hienosti sanottuna ja brändättynä Privacy by Design ja toisena vaatimus vaikutusten ennakkoarvioinnin eli Data Protection Impact Assessmentin (DPIA) tekemiseen. Parlamentti lisää vielä osaltaan vaatimuksia esittäessään, että vastuu tietojärjestelmien oikeudellisesta laadusta ulotetaan koskemaan yhtä lailla niiden suunnittelijoita.

Kesäkuun puolessa välissä tiedämme, alkavat trilogineuvottelut arvioidussa aikataulussa. Kävipä niissä niin tai näin, on meidän kansallisestikin syytä lyödä viisaat päämme yhteen ja alkaa panostaa kykyymme osata tehdä tällaisia osin jo nyt vaadittuja ennakkoarviointeja. Toivoisin, että siihen joku kehittäisi sovelluksen, ohjelmiston, palvelun tai ihan minkä tahansa apuvälineen rekisterinpitäjille ja tietojärjestelmien suunnittelijoille.