Hylätäänkö ePrivacy-asetusehdotus ja muita kuumia perunoita – Tietosuojauutiset.fi:n matkaraportti IAPP:n Brysselin kongressista

BrysseliViime viikolla puolitoistatuhatpäinen osallistujajoukko kerääntyi Brysseliin kansainvälisen tietosuoja-asiantuntijoiden järjestön IAPP:n (International Association of Privacy Professionals) vuotuiseen tietosuojakongressiin kuulemaan ja keskustelemaan ajankohtaisista tietosuojakysymyksistä. Tietosuojauutiset.fi kävi paikan päällä, ja purkaa tässä artikkelissa joitakin kongressin keskeisimmistä puheenaiheista. Päällimmäisenä huomiona lienee syytä nostaa esille tietosuojakentällä tällä hetkellä vallitseva kollektiivinen epävarmuus: suurten muutosten edessä kysymyksiä on paljon, mutta varmoja vastauksia vähemmän.

Odotetusti sähköisen viestinnän tietosuoja-asetus (lyhyemmin ePR), oli esillä lähes jokaisessa puheenvuorossa. Lokakuun loppupuolella niukalla enemmistöllä hyväksytty EU-parlamentin näkemys sisälsi useita sellaisia tarkistuksia komission alkuperäiseen asetusehdotukseen, jotka vaikuttaisivat erityisesti sähköisen markkinointiviestinnän saralla. Erityisesti tarkistukset, joiden mukaisesti lähes kaikki mainonta ja suoramarkkinointi kohdennetusta verkkomainonnasta lähtien vaatisi jatkossa käyttäjän suostumuksen, kirvoittivat kannanottoja sekä puolesta että vastaan. Tarkistuksiin kriittisesti suhtautuneet esittivät muutosten tuovan takaisin joitakin sellaisia ongelmia, joita yleisen tietosuoja-asetuksen säännöksillä pyrittiin ratkaisemaan. Pohdittiin myös sitä, miten verkkomarkkinoinnin markkinarealiteetit käytännössä mahdollistavat suostumuksen pyytämisen: koska markkinoijan ja markkinoinnin julkaisevan tahon välillä on useita toimijoita, voi suostumuksen oikeaoppinen pyytäminen muodostua ongelmaksi. Markkinointia tehdään markkinoijan intressissä, joten tämän tahon tulisi varmistua suostumuksen pyytämisestä – ei markkinoinnin julkaisijan tai muiden välikäsien.

EU-parlamentin tarkistuksia puoltavissa mielipiteissä esitettiin, että yritykset ovat kyllin innovatiivisia pystyäkseen luomaan keinoja, joilla käyttäjän laillinen suostumus voidaan kerätä. On tärkeää säilyttää käyttäjän asema päätösvaltaisena data subjektina ja välttää vallan valumista yritysten käsiin siten, että käyttäjälle jää näyteltäväksi pelkkä data objektin rooli. Epäilyt ns. consent fatiguesta ohitettiin toteamalla, että tärkeissä asioissa käyttäjät ovat kyllä hereillä, eivätkä siten jatkossakaan automaattisesti vain hyväksyisi kaikkea: Eihän kukaan anna vieraan henkilön tulla omaan kotiinsa lukemaan kaikkia kirjeitänsäkään riippumatta siitä, kuinka monta kertaa suostumusta tähän pyydetään. Tämä kuitenkin edellyttää paitsi sisäänrakennetun ja oletusarvoisen tietosuojan toteutumista, myös sitä, että käyttäjät todella ymmärtävät oikeutensa.

Rekisteröityjen oikeuksista keskusteltiin laajemminkin kuin vain suostumukseen liittyen. Tekoälyn eri sovellutuksia koskien nostettiin esille huomio siitä, että tekoälyn toimintaa ei aina voida perinpohjaisesti selittää. Valistuneita arvauksia tekevä algoritmi muuttuu jatkuvasti, kun se erilaisia koneoppimisen tekniikoita käyttäen muokkautuu järjestelmän analysoidessa kertyvää tietoa, joten yritys ei välttämättä itsekään pysty yksityiskohtaisesti selittämään henkilötietojen käsittelyyn liittyvää logiikkaa. Mutta jos tarkkaa tietoa ei ole saatavilla, toteutuvatko rekisteröityjen oikeudet täysimääräisesti?

Tietojen anonymisointi puhutti erityisesti terveystietojen sekä biometristen ja geneettisten tietojen osalta. Jatkuvan teknologisen kehityksen ja saatavilla olevan tiedon määrän kasvun vuoksi on hyvä pohtia sitä, voidaanko enää mitään tietoa tosiasiassa pitää peruuttamattomasti anonymisoituna. Sellainen tieto, joka teknisestä näkökulmasta ehkä onkin anonyymia, ei sitä välttämättä ole lainsäädännön näkökulmasta. Hyvä esimerkki tästä dikotomiasta on EU-tuomioistuimen tuomio tapauksessa C-582/14 (Breyer), jossa tuomioistuin selvensi henkilötiedoiksi katsottavan myös dynaamiset IP-osoitteet tilanteessa, jossa henkilön tunnistamiseksi tarvittavat lisätiedot olivat täysin ulkopuolisen kolmannen tahon hallussa. Kyseisessä tapauksessa tuomioistuin katsoi dynaamisen IP-osoitteen olevan henkilötieto suhteessa verkkomediapalvelun palveluntarjoajaan, jos tällä on käytettävissään oikeudelliset keinot, joiden perusteella se voi tunnistaa yksittäisen käyttäjän sellaisten lisätietojen avulla, jotka ovat tämän henkilön internetyhteyden tarjoajan käytettävissä.

Oman näkökulmansa anonymisointikeskusteluun toi taiteilija ja biohakkeri Heather Dewey-Hagborg, jonka viimeisimmän produktion keskiössä on verkosta kaupallisen toimijan kautta hankittu anonyymi sylkinäyte. Analysoimalla näytettä kaupallisia, kaikkien saatavilla olevia DNA-geenitestaustyökaluja käyttäen, Dewey-Hagborg sai selville tiettyjä keskeisiä tiedonmurusia näytteen antaneesta henkilöstä. Yhdistettyään nämä tiedonmuruset sosiaalisessa mediassa saatavilla oleviin tietoihin, Dewey-Hagborgin onnistui melko varmasti selvittää anonyymin näytteenantajan henkilöllisyys. Produktio jatkuu vielä, ja kutkuttavan jännitysnäytelmän ratkaisua joudumme odottamaan tammikuulle.

Sopivasti kongressin toisen päivän aamuna geneettisten tietojen anonymiteetin säilyminen oli esillä myös kotimaisessa mediassa, kun Ylen aamu-tv:ssa keskusteltiin sosiaali- ja terveystietojen toissijaisesta käytöstä hiljattain annetusta hallituksen esityksestä 159/2017 ja ennen kaikkea siitä, voidaanko tämän ”aarrearkuksi” tituleeratun tietovarannon tietojen anonymiteetti tosiasiassa säilyttää, kun tietoja jatkossa luovutetaan tieteellisen tutkimuksen tarkoituksiin julkisille tai kaupallisille toimijoille.

Kongressista jäi käteen paljon aprikoitavaa ja valtava määrä ihan uusia kysymyksiä. Lohduttava on kuitenkin huomio siitä, että kaikkia askarruttavat samat kysymykset, eikä kaikista kiperimmissä kysymyksissä kukaan ole toista viisaampi. Tällä hetkellä avoimia asioita nyt vaan on valtavasti – kuten esimerkiksi se, että varmuutta ePR:n maaliin menosta tämän hetkisessä muodossaan ei ole. ePR:n voimaansaattamista koskevat kysymykset ovat pitkälti myös poliittisia, ja parlamentin näkemyksen hyväksymiseen liittynyt poliittinen draama osoitti sen, että yksistään parlamentti on kannassaan pahasti jakautunut. Tämä ei ole ihme, sillä jotkin hyväksytyistä muutosehdotuksista eivät näyttäisi olevan linjassa yleisen tietosuoja-asetuksen kanssa. Spekulointia siitä, päästäänkö näillä eväillä koskaan maaliin vai joudutaanko koko valmistelutyö aloittaa alusta, kuultiin kyllä.

Vallitsevassa epävarmuuden tilassa yksi parhaimmista neuvoista tietosuoja-asetukseen valmistautuville tahoille kuuluu seuraavasti: Suhtaudu tietosuoja-asetukseen mahdollisuutena, mutta vältä perfektionismia. Et ole kysymyksinesi ja pulminesi yksin, vaan sama epätietoisuus vallitsee kaikkialla. Siksipä ensi toukokuussa sellaisia toimijoita, joiden toiminta on sataprosenttisesti kaikkien tietosuojavaatimusten mukaista, tulee olemaan vain kourallinen.