Paljon uutisoitu EU:n tietosuoja-asetus ”GDPR” on oikeastaan aika hyvä keksintö. Se antaa tarpeellisia ohjeita, rajoituksia ja mahdollisuuksia sekä voi helpottaa EU:n sisäistä kauppaa. Ongelma vaan on että se on laadittu Baabelin tornissa, jossa on raamatullisen version lisäksi mukana myös tuhansia lobbaria. Lopputulos on epäselvä.
Vertailu: Henkilötietolaki vs Tietosuoja-asetus
Osoitan pointtini vertailemalla henkilötietolakia (yksi vanhoista laeista) ja tietosuoja-asetusta (uusi asetus).
Henkilötietolaissa lain tarkoitus sanoo:
Tämän lain tarkoituksena on toteuttaa yksityiselämän suojaa ja muita yksityisyyden suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä sekä edistää hyvän tietojenkäsittelytavan kehittämistä ja noudattamista.
Tietosuoja-asetuksessa lain laatimistarkoituksen osuus on 16 146 sanaa tai printattuna 38 sivua pitkä.
Otetaanpa konkreettisempi, kielto-oikeus suoramarkkinoinnin osalta. Henkilötietolaki sanoo…
Rekisteröidyllä on oikeus kieltää rekisterinpitäjää käsittelemästä häntä itseään koskevia tietoja suoramainontaa, etämyyntiä ja muuta suoramarkkinointia sekä markkina- ja mielipidetutkimusta samoin kuin henkilömatrikkelia ja sukututkimusta varten.
Ja tietosuoja-asetus puolestaan…
1. Rekisteröidyllä on oikeus henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä, joka perustuu 6 artiklan 1 kohdan e tai f alakohtaan, kuten näihin säännöksiin perustuvaa profilointia. Rekisterinpitäjä ei saa enää käsitellä henkilötietoja, paitsi jos rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet tai jos se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
2. Jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä tällaista markkinointia varten, mukaan lukien profilointia silloin kun se liittyy tällaiseen suoramarkkinointiin.
3. Jos rekisteröity vastustaa henkilötietojen käsittelyä suoramarkkinointia varten, niitä ei saa enää käsitellä tähän tarkoitukseen.
4. Viimeistään silloin, kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran, 1 ja 2 kohdassa tarkoitettu oikeus on nimenomaisesti saatettava rekisteröidyn tietoon ja esitettävä selkeästi ja muusta tiedotuksesta erillään.
5. Tietoyhteiskunnan palvelujen käyttämisen yhteydessä ja sen estämättä, mitä direktiivissä 2002/58/EY määrätään, rekisteröity voi käyttää vastustamisoikeuttaan automaattisesti teknisiä ominaisuuksia hyödyntäen.
(6. kohta jätetty pois koska ei suoraan relevantti)
Heitän vielä yhden lainauksen henkilötietojen käsittelijän roolista. Tämä on uusi teksti, joka aiemmin sisältyi käsittelyn tehtävään, ei henkilöön. Tässä lauseessa on sitä jotain mistä on pienet byrokraatit tehty.
Kun henkilötietojen käsittelijä käyttää toisen henkilötietojen käsittelijän palveluksia erityisten käsittelytoimintojen suorittamiseksi rekisterinpitäjän puolesta, kyseiseen toiseen henkilötietojen käsittelijään sovelletaan sopimuksen tai unionin oikeuden tai jäsenvaltion lainsäädännön mukaisen muun oikeudellisen asiakirjan mukaisesti samoja tietosuojavelvoitteita kuin ne, jotka on vahvistettu 3 kohdassa tarkoitetussa rekisterinpitäjän ja henkilötietojen käsittelijän välisessä sopimuksessa tai muussa oikeudellisessa asiakirjassa erityisesti antaen riittävät takeet siitä, että käsittelyyn liittyvät asianmukaiset tekniset ja organisatoriset toimet toteutetaan niin, että käsittely täyttää tämän asetuksen vaatimukset. Kun toinen henkilötietojen käsittelijä ei täytä tietosuojavelvoitteitaan, alkuperäinen henkilötietojen käsittelijä on edelleen täysimääräisesti vastuussa toisen henkilötietojen käsittelijän velvoitteiden suorittamisesta suhteessa rekisterinpitäjään.
Yksi lause sisältää 71 sanaa, 653 merkkiä ja kolme ulkoista referenssiä.
Sama ihmisten kielellä
Arvon lukijat, tämä ei ole kysymys siitä että suomennos on huono. Lakiteksti on englanniksi aivan samanlaista soopaa. Lähes jokainen lause referoi kymmentä muuta kohtaa, jotka referoivat edelleen toisia kohtia. Kielioppi on kankeaa, lauseet pitkiä ja koko ajatus hukkuu viimeistään kolmannessa sivulauseessa. Tämä on laki joka koskee jokaisen ihmisten arkea jatkuvasti. Kuten olen todennut, tässä laissa on hyvä ajatus ja hyvä tarkoitus. Sen voisi ilmaista noin kahdella aanelosella. EU käyttää sivuja 88 kappaletta.
Lainkirjoittajan opas kertoo myös lakikielen vaatimuksista. Tosi hyvää luettavaa, josta tiivistän vain pari avainsanaa: asiallisuus, selkeys, yleiskieli, tiivis, ytimekäs. EU:n tietosuoja-asetus ei täytä näistä ensimmäistäkään. Se ei auta kansalaisten tietosuojassa, koska kansalainen ei pysty lakia ymmärtämään. Se on kokoelma tuhannen ja yhden lobbarin vaateita, tietotekniikasta täysin pihalla olevien byrokraattien epätoivoa ja sinivalaan mentäviä porsaanreikiä.
Voin edelleen kunnioittaa EU:ta hyvästä tahdosta ja tärkeään aiheeseen puuttumisesta. Se ei muuta sitä, että lopputuloksessa menetettiin mahdollisuus tuoda EU:ta lähemmäs sen kansalaisia. Tällainen poliittinen romaani tekee täysin päinvastaista. Vain juristit voittavat tässä pelissä.
Tähänkin asiaan sopii vanha sanonta: ”Lyhyestä virsi kaunis”
Rekisteröidyllä on oikeus kieltää
–
Maallikon ajatus että miksi ei ole kiellettyä ja vain luvalla saisi käyttää?
Siksi, että ijhmiset eivät pääsisi kieltämään, kun eivät asiaa ymmärrä ja bisnes kukoistaa.
Mitenkäs Kyuu tuota kielletään ja mihin?
Yksi ongelma pitkien ja käsittämättömien lakitekstien kanssa on, että niitä kirjoitetaan kollegiaalisesti. Monen henkilön pitää saada puumerkkinsä paperiin ja kenelläkään ei ole oikeutta poistaa jonkun muun lisäystä.
Yhden henkilön pitäisi kirjoittaa ehdotus. Sitä saisi kommentoida, mutta se alkuperäinen kirjoittaja muuttaisi tai olisi muuttamatta tekstiä.
Siten saataisiin lyhyitä ymmärrettäviä tekstejä.
Kielto-oikeudelle on monta pointtia. Selkein varmasti on oikeus kieltää suoramarkkinointi. Muita esimerkkejä vaikkapa:
1. Olit firman x asiakas mutta et ole enää ja haluat ettei heillä ole enää sinusta tietoja.
2. Tietosi ovat tahtomattasi päätyneet tiettyyn rekisteriin, firmalle tai yhdistykselle, vaikkapa toisen henkilön toimesta ja haluat ne pois.
3. Haluat pois postituslistalta.
Lopulta lain tärkein pointti on, että syytä ei tarvitse olla. Lukuun ottamatta sopimussuhteita tai viranomaisasiointia, ei millään firmalla ole oikeus käsitellä sinun tietojasi jos et niin halua. Silloin on oikeus sanoa ei, eikä sitä tarvitse perustella.
Mistä saat tiedon siitä, missä rekisterissä olet?
Nyt kysyit kymmenen pisteen kysymyksen, Juha.
Eihän sitä tiedä. Lain mukaan sinulle pitäisi aina etukäteen ilmoittaa asiasta. Sinun ei pitäisi olla missään rekisterissä mihin et ole nimenomaan halunnut ilmoittautua (pl. väestörekisteri, yms).
Tosiasiassa kukaan meistä ei muista mihin kaikkialle on nimi, sähköpostiosoite tai puhelinnumero tullut pistettyä.
Tosiasiassa ihmisiä on lain vastaisesti liitetty rekistereihin tuon tuosta ja liitetään yhä. Maamme lähihistorian pari räikeää esimerkkiä ovat keskustapuolueen haamujäsentapaus sekä uskonnollisten yhteisöjen laittomat rekisterit potentiaalisista kohteista. Useampikin yritys on kärähtänyt asiattomuuksista. Rekisterinpidon ei toki tarvitse olla pahantahtoista kuten näissä esimerkeissä. Moni pieni yhdistys on ihan hyvällä tahdolla kerännyt listoja, tavoitteena viestinjako, tiedotus, jäsenrekry tai vastaava.
Eli miten tietää? Yleensä reaktion kautta. Tiedät olevasi jonkun firman rekisterissä kun saat heiltä kirjeen, puhelinsoiton tai sähköpostin. Tällaisessa kohtaa yhteystietojen lähde ja rekisterin käyttöperiaatteet pitää aina ilmoittaa. Kotimaisista suuremmista yrityksistä S-ryhmä on yksi malliesimerkki siitä miten tämä asia pitää hoitaa.
Muistaakseni ” kantakirjassa ”, eli Omakannassa kysytään ensimmäistä kertaa kirjautuessa, ” saako terveystietojasi luovuttaa ” kolmannelle osapuolelle. Jossain muuallakin törmännyt samantapaiseen kysymykseen.
Jos muistini pitää, terveystiedoissa tuo taisi tarkoittaa luovutusta toisille rekisteröidyille ja valvotuille terveyspalvelujen tuottajille, eli esim. työterveys saa nähdä mitä julkisella puolella sinusta on kirjattu ja päinvastoin. En ole vielä nähnyt terveyspuolen sopimusta jossa puhuttaisiin tietojen luovutuksista vapaasti 3. osapuolille.
…vielä.