Poisoppimista

Julkaistu 26.10.2017

Tietosuojan historia tuntuu olevan täynnä mitä ihmeellisimpiä kaupunkilegendoja. Unohdettavien, virheellisten kaupunkilegendojen listalle laittaisin esimerkiksi tarinan pakkoruotsin kieltämisestä (ks. KK 449/2013 vp ja ministerin vastaus), reissuvihkojen käytöstä kuntien kotipalveluissa (ks. blogini 30.3.2015) ja veteraanien auttamisen vaikeuksista (ks. esim. KK 195/2003 vp ja ministerin vastaus). Usein kuulemme selityksen "meillä ei ole rekisteriä, keräämme henkilötietoja vain kotisivujemme kautta" tai "anonymisoimme potilaiden tiedot poistamalla henkilötunnuksen". Tämän genren klassikko on usein ministerienkin suulla lausuttu selitys "tieto ei kulje viranomaisten välillä" (ks. blogini 4.4.2016).

Eipä lista onneksi ole kovinkaan pitkä. Virheelliset legendat elävät kuitenkin yhä omaa elämäänsä. Minusta ne kuvaavat tyypillistä tilannetta, jossa ei vaivauduta selvittämään asian todellista tilaa, vaan mennään luulojen varassa. Elämme totuuden jälkeistä aikaa!

Yksi tietosuoja-asetuksen kulmakivistä on ajatus siitä, että henkilötietodirektiivin 95/46/EY tavoitteet ja periaatteet ovat edelleen pätevät. Mutta kun nykyistäkään henkilötietolakia tai julkisuuslakia tai mitä tahansa erityislakia ei oikein osata. Valmistaudu siinä sitten tulevaan.

Moni toimija on haistanut tässä osaamattomuudessa hyvän markkinaraon. Oletteko huomanneet, miten tietosuoja-asiantuntijoita on noussut viimeisen vuoden aikana kuin sieniä sateella? Osa heistä on pätevöitynyt kopioimalla meidän sivuillamme julkaistuja tarkastuslistoja. Sanktioilla on ollut helppo pelotella osaamatonta asiakaskuntaa. Samalla sanktioilla pelottelu on estänyt monia ymmärtämästä asetuksen hyötyjä.

Myös uusia kaupunkilegendoja on syntynyt. Tässä taas muutamia herkkupaloja: museoiden toiminta maassamme lakkaa, pseudonymisointi luo oikeusperusteen käsittelylle ja asiakkailta on aina pyydettävä suostumus henkilötietojen käsittelyyn. Viimeisenä mainittu virheellinen väite, jonka kuulin ensin eräältä kansanedustajalta ja luin sitten oikein ammattilehdestä, on näistä suosikkini.

Suostumuksesta ja sopimuksesta säädetään tietosuoja-asetuksen kuudennessa artiklassa henkilötietojen käsittelyn lainmukaisuudesta. Tuon erinomaisen tärkeän artiklan johdantolause kuuluu: " Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy". Asiakassuhteessa edellytyksiä on usein useampia. Rekisterinpitäjän ja rekisteröidyn väliseen suhteeseen liittyy usein myös lakisääteisiä velvoitteita tai oikeutettuja etuja. Suostumusta tulisi käyttää vain sellaisissa tilanteissa, joissa rekisterinpitäjän käytössä ei ole muuta oikeusperustetta henkilötietojen käsittelylle. Jotain pitäisi tehdä virheellisistä käsityksistä poisoppimiseksi.

Viimeksi pidetyssä Tietosuojafoorumin seminaarissa esitettiin aivan loistava näkemys, jonka mukaan tarvitsemme tässä maassa mentaalisen tietosuojavallankumouksen. Kiitos Laura ja Minna ja muut. Me olemme mielellämme airueina tässä muutoksessa, mutta haluaisimme muutkin mukaan. Viljelemämme tietosuojamantra on ollut "tietosuoja on iloinen asia". Ehkä yksi tietosuoja-asetukseen liittyvä iskulause voisi olla "älä luule, opi!"

 
Sivun alkuun |