Euroopan tietosuoja-asetus tuli lopullisesti voimaan jo yli vuosi sitten (25.5.2018, kahden vuoden siirtymäajan jälkeen), mutta useat organisaatiot eivät edelleenkään ole saaneet tietosuoja-asioitaan kuntoon. Pari viikkoa sitten julkaistussa YLEn artikkelissa kerrotaan, miten 25-vuotias IT-työntekijä ja viestinnän maisteriopiskelija Emilia Laurila kokeili saada tietojaan useista yrityksistä joiden asiakkaana hän oli ollut.
Tulokset vaihtelivat suuresti. Huonoimmassa tapauksessa (kahdessa majoitusalan yrityksessä, Hostelling International ja AirBNB) yritykset poistivat Emilian tiedot (HI:n tapauksessa peruuttamattomasti) kun hän pyysi niitä nähtäväkseen.
Emilia käytti Open Knowledge Finlandin tekemää, ja Eurooppatiedotuksen sekä Internet Societyn rahoittamaa maksutonta kurssia, GDPR for Citizensiä, jossa opetetaan ihmisille heidän perusoikeutensa tietosuojan suhteen.
Kurssissa käydään läpi oikeutesi:
- saada tietoa henkilötietojesi käsittelystä
- saada pääsy tietoihin
- oikaista tietoja
- poistaa tiedot ja tulla unohdetuksi
- rajoittaa tietojen käsittelyä
- siirtää tiedot järjestelmästä toiseen
- vastustaa tietojen käsittelyä
- olla joutumatta automaattisen päätöksenteon kohteeksi
Emilia sai toki useassa tapauksessa vastauksen tietopyyntöihinsä. Torin, Finnairin ja Norwegianin sivuilla hän sai tietopyynnön matkaan muutamassa minuutissa. Tiedot tai linkki niihin toimitettiin myöhemmin sähköpostilla. Esim. Torin portaali ei kuitenkaan toiminut, eikä tietopyynnön tekeminen johtanut tietojen saamiseen.
Prosessit tietopyyntöjen tekemiseksi ovat hyvin erilaisia, ja kurssi auttaakin navigoimaan näiden prosessien kanssa sekä tarjoaa kansalaisten käyttöön erilaisia malleja tietopyyntöjen tekemiseksi.
Samaa kurssia käsiteltiin myös HS:n aiemmassa artikkelissa, joka oikeutetusti kirjoittaa otsikossaan ”Tietopyyntöjen lähettäminen on tehty kansalaisille ylivoimaisen vaikeaksi”. Näin tuntuu tosiaan nyt edelleen olevan, yli vuoden GDPR:n voimaanastumisen jälkeen. Suomessa ei olla vielä ilmeisesti kertaakaan annettu sakkoja GDPR:ään nojaten, vaikka syytä siihen selvästi olisikin. Ilman kansalaisten aktiivisuutta, toimimattomia palveluja ei kuitenkaan tule testattua, eikä ilman toimimattomuuden havaitsemista voi tehdä asiasta valitusta Suomen tietosuojavaltuutetulle.
GDPR for Citizens käyttääkin harjoituksissaan palautelomakkeita, joiden tiedot anonymisoidaan ja kerää niiden avulla tietokantaa palveluista, jotka ovat joutuneet tietopyyntöjen kohteiksi. Tämän palautteen avulla voidaan tehdä valitus TSV:lle, joka toivottavasti johtaa valituksen kohteena olevan organisaation tietosuojakäytänteiden parantamiseen. Voit osallistua kurssille ja antaa palautetta organisaatioista joille lähetät tietopyyntöjä täällä.
EU:n yleinen tietosuoja-asetus on tullut voimaan 14.4. 2016. Sen käyttöönotossa oli siirtymäaika, jonka kuluessa oli tarkoitus säätää kansalliset, asetusta täydentävät tietosuojalait eri maissa ja tehdä tarvittavat hallinnolliset toimenpiteet.
25.5. 2018 tämä siirtymäaika loppui. Siihen mennessä piti olla tehtynä kaikki toimenpiteet. Tästä ja monesta muustakin tarinasta opimme, että 2 vuoden siirtymäaika ei riittänyt monelle organisaatiolle.