SUOMALAISET EIVÄT LUOTA YRITYKSIIN HENKILÖTIETOJEN KÄSITTELIJÖINÄ
Kun olin nuori mies, näin elokuvan, joka suorastaan räjäytti tajuntani. Merimies, jonka aallot hylkäsivät, oli teoksen nimi. Siinä oli mielestäni kaikkea, mitä teinipoika tarvitsi (säästän teidät kuitenkin sisällön kertomiselta ja annan mielikuvitukselle tilaa). Kehuinkin elokuvaa estoitta ystävilleni. Kysyttäessä mistä se kertoo, kerroin itse jotain hämärää. Elokuvan syvin olemus oli auttamatta peittynyt noiden mieltäni syvästi kutkuttaneiden kohtausten alle. Harmi sinällään, sillä elokuva on omalla karulla tavallaan vallan mainio.
Vastaava hämmennys valtasi mieleni lukiessani Tiedon teettämästä tietosuojaan liittyvästä tutkimuksesta (HS 13.2.2019). Jutun mukaan lähes puolet suomalaista kokee nimenomaa yritykset joko jonkin verran, tai peräti erittäin epäluotettavina henkilötietojen käsittelijöinä. Mitenkäs tämä voi olla mahdollista? Etenkin kun suurin osa suomalaisista yrityksistä kertoo kysyttäessä tehneensä GDPR:n edellyttämiä muutoksia ja kaikki on nyt sen suhteen enemmän kuin kunnossa. Tarkennetaan sen verran, että tuo viimeisin väittämä perustuu osittain tutkimuksiin, mutta ennen kaikkea empiiriseen palautteeseen. Väittämän perusteella on kaiketi pakko uskoa, että asiat ovat todella kunnossa. Vai olisiko sittenkin pienen skeptisyyden paikka? Mitäpä, jos uskoisimmekin englantilaista matemaatikkoa ja filosofia William Kingdon Cliffordia? Hän kun väitti, että on suorastaan moraalitonta uskoa mihinkään ilman riittäviä perusteita.
Haaste ei siis välttämättä ole siinä, etteikö asioita olisi tehty. Varmasti on tehty. Enemmän tai vähemmän, mutta tehty on. Voisiko ongelmaksi siis muodostua suomalainen perisynti, eli vaatimattomuus? Ajatusmalli siitä, että mitä niillä tehdyillä asioilla nyt repostelemaan, kun lainpykälät kerran täytetään. Harmittavasti kapuloita rattaisiin lyö saman tutkimuksen Ruotsissa saadut tulokset. Ne kun ovat perin samansuuntaisia. Ja koska me, jos jotkut, tiedämme, että vaatimattomuus ei välttämättä ole se suurin ruotsalainen perisynti, on syytä siis etsittävä jostain muualta.
Asetuksen yksi olennaisimmista asioista on henkilötietojen käsittelyn läpinäkyvyys. Rekisteröidyn tulee tietää mitä tietoja hänestä on kerätty, miksi näin on tehty, mihin tietoja luovutetaan ja kauanko niitä säilytetään. Omat tiedot tulee päästä myös tarkastamaan ja tietyissä tilanteissa poistamaan. Nyt kun mediat pullistelevat uutisia epämääräisistä tietojen luovutuksista ja tietomurroista ja näiden aiheuttamista murheista, on entistä tärkeämpää, että yksilö todella tunnistaa ja tiedostaa itsestään kerätyt tiedot ja niiden käyttötarkoituksen. Asetuksen minimivaade tämän ehdon täyttämiselle on rekisteröidyn informointilomake. Oikein laadittuna se kyllä, ainakin periaatteessa, kertoo nuo yllä mainitut asiat. Mutta sitten toisaalta, eikös tuo tutkimuksen tulos kerro, että tämä ei tunnu oikein riittävän? Käsittelyyn kun ei selosteista huolimatta luoteta. Tuleekin olla siis vielä avoimempi ja läpinäkyvämpi.
Ennen tietosuoja-asetuksen voimaantuloa Tietosuojavaltuutetun toimisto lanseerasi tietotilinpäätös -konseptin. Sisäiseen ja ulkoiseen käyttöön tarkoitetun raportin, joka kuvaa läpinäkyvästi kaikki organisaation tietovarannot, tietovirrat ja tietojen käsittelyyn liittyvät järjestelmät sekä tietojen käyttötarkoitukset.Lisäksi se ottaa kantaa rekisteröidyn oikeuksiin, tiedon käsittelijöihin, käsittelyyn liittyviin riskeihin, tiedon elinkaareen, sekä sihen, miten tietosuoja ja tietoturva toteutuvat organisaation toiminnassa. Siis ylipäätään kaikkiin niihin asioihin, jotka rekisteröidyn kannalta ovat olennaisia. Tietotilinpäätöksen hienoin puoli on se, että lähtökohtaisesti sitä ei tuoteta kertaluonteisesti, vaan vuosittain osana hyvin hallittua tietoturvallisuutta. Näin varmistutaan, että kaikki vuoden aikana tapahtuneet muutokset huomioidaan ja viestitään rekisteröidyille. Tämä jos mikä tuo läpinäkyvyyttä ja auttaa luomaan luottamusta organisaation henkilötietojen käsittelyyn. Eli tekemään juuri sitä, mikä tuntuu tällä hetkellä olevan hieman kateissa. Olisiko siis nyt aika tuottaa tietotilinpäätös? Ettei vain kävisi, kuten sille elokuvan merimiehelle.