GDPR:n soveltaminen käytännössä – humaaneissa trendeissäkin on riskinsä
Julkaistu : 19.12.2019

Euroopan unionissa on tehty huolellista työtä ihmisten yksityisyyden suojaamiseksi. EU on pystynyt luomaan eräänlaisen kolmannen tien, humaanin vaihtoehdon totalitaarisempien ratkaisuiden ja toisaalta täysin yksilöä suojaamattoman vaihtoehdon välillä. Eräänlainen kulmakivi tälle on koko EU:ta koskeva GDPR, joka määrittele miten yksilöön liittyvää tietoa saa käsitellä. Pyrkimys on se, että yksilö voi saada selville kaiken hänestä talletetun tiedon ja voi itse olla päättämässä tiedon käytöstä ja säilyttämisestä. Tämä kuulostaa oikein hyvältä aikomukselta, mutta tässä, kuten monessa muussakin trendissä on riskinsä.

Miten hallinnoida omia tietojaan?

Keskeisenä ongelmana yksilön kannalta oman tiedon hallinnassa on ollut se, että tietoja on hajallaan monessa eri paikassa. On ollut käytännössä mahdotonta hallinnoida kaikkia eri palveluita ja niiden sisältämää dataa. Yhtenä ratkaisuna on nostettu esiin ajatus omadatasta (MyDataeli mallista, jossa kaikki yksilön henkilökohtainen tieto on kerättynä yhteen paikkaan ja yksilö pystyy kontrolloimaan, missä ja kuka käyttää hänen tietojaan. Käytännössä tämä tarkoittaisi sitä, että ottaessaan käyttöön uuden palvelun yksilö voi tapauskohtaisesti päättää, antaako omat tietonsa kyseisen palvelun käyttöön vai ei.  

Kaiken yksilöllisen tiedon koostaminen yhteen paikkaan siten, että käyttäjä täysin hallinnoi omia tietojaan kuulostaa hyvältä ja noudattaa GDPR:n henkeä. Mutta mitä tapahtunee käytännössä? Oletetaan, että sähkökatkon yllättäessä käyttäjä K haluaa puhelimeensa pikaisesti taskulampun ja lataa sovelluskaupasta hyvän sovelluksen siihen. Kyseinen sovellus kuitenkin pyytää käyttöoikeutta käyttäjän K omadataan. Käyttäjä K on tottunut vastaamaan enemmittä pohdinnoitta kaikkiin kyselyihin ”kyllä”, koska muuten halutut sovellukset eivät yleensä toimi. Samalla lähtevät maailmalle käyttäjä K:n kaikki henkilökohtaiset tiedot ja ilmaan haihtuvat myös ylevät GDPR-periaatteet. Pahimmillaan hyvässä tarkoituksessa tehty omadataratkaisu voi siis pahentaa lähtötilannetta merkittävästi: aiemmin vakoiluohjelman saaliiksi jäivät vain puhelutiedot ja valokuvat, jatkossa menevät myös terveys-, vero- ja muut henkilökohtaiset tiedot.  

 

Omadatan hiekkalaatikkoversiota tarvitaan

Omadatan käytössä pitäisikin huomioida yksilöiden kyvyttömyys kieltäytyä sovellusten käyttöönotossa tulevista kysymyksistä. Kyse ei useinkaan ole siitä, etteikö yksilö periaatteessa ymmärtäisi, vaan siitä että tilanne ei ole reilu: sovellus pitää saada, ja ainoa vaihtoehto on hyväksyä kaikki. Kyseessä ei ole yksilön kannalta aito valintatilanne.  

Yksi ratkaisu voisi olla se, että jokaisella olisi todellisen omadatan lisäksi omadatan hiekkalaatikkoversio, jossa ei olisi mitään oikeaa yksilöön liittyvää tietoa. Yksilö itse voisi päättää, antaako kunkin sovelluksen nähdä todelliset tiedot vai pelkän hiekkalaatikkoversion, ja tämä pitäisi olla toteutettu siten, että kyseisellä sovelluksella ei olisi mahdollisuutta nähdä eroa. Tällöin yksilö voisi sovellusta ladatessaan aidosti valita, jakaako henkilökohtaiset tietonsa maailmalle vai ei. Tarvitseeko kyseinen sovellus oikeasti terveystietoja vai riittävätkö sille hiekkalaatikosta löytyvät satunnaistiedot? 

Ilman hiekkalaatikko-ominaisuutta omadata on vain yksi niistä hyvistä aikomuksista, joilla on paljon kivetty ikävään paikkaan johtavia teitä.