Oletko koskaan seurannut rantahiekkaan jääneitä jalanjälkiä? Hetken päästä ne huuhtoutuvat mereen, ja vievät tiedon askeleiden suunnasta ja kesäisistä seikkailuista mukanaan.
”Tieto” voi tarkoittaa hyvin erityyppisiä asioita, klassisesta filosofisesta määritelmästä henkilötietoon ja kaikkea siltä väliltä. ”Tiedon” määritelmää koskevissa artikkeleissa tai muissa pohdinnoissa olen harvoin törmännyt syvempään analyysiin tiedosta omaisuutena, jolla voi olla merkittävääkin varallisuusarvoa – toisin kuin jalanjäljillä hiekassa.
Kuka omistaa henkilötietojesi taloudellisen arvon? Digitalisaatio, Internet-of-Things eli IoT, tietoyhteiskunta, Big Data… tuttuja käsitteitä, mutta oletko ajatellut mitä kaikkea tiedon, erityisesti henkilötiedon, oikea arvottaminen tarkoittaa niiden yhteydessä?
Kenelle kuuluu tiedon arvonnousu?
Tiedon sisältämä omaisuusarvo mielletään usein esimerkiksi Big Datan analyyseistä tai ostoskäyttäytymisen perusteella luodusta profiilitiedosta saatavana uutena tietona käyttäytymisestämme. Voisiko kuitenkin jo alkutuotteena olevalla tiedolla olla omaa varallisuusarvoa? Ja ennen kaikkea: kenelle tuo arvo – ja mahdollinen arvonnousu – kuuluu?
Henkilötietojen suojaaminen on perinteisesti ymmärretty yksityiselämän suojaamiseksi ja sitä on kohdeltu pikemminkin yrityksen pakollisena velvoitteena kuin osana liiketoiminnan kehittämistä. Mahdollisuus kerätä ja hyödyntää käyttäytymiseemme liittyvää tietoa kaupallisesti on nostanut tiedon arvottamisen useissa yhteyksissä liiketoiminnan keskiöön. Samalla itsemääräämisoikeuteemme perustuva juridinen viitekehys on jäänyt melko ahtaaksi. Kun uusia periaatteita omaisuuden suojan piiristä omaksutaan, on yritysten huolehdittava siitä, että yksilön oikeudet eivät jää taloudellisen hyödyn tavoittelun jalkoihin.
Uuden EU-asetuksen myötä tietosuojan merkitys korostuu
Tietosuojan merkitys on kasvanut lähes salakavalasti ennen kaikkea yritysten keräämien henkilötietojen määrän sekä uusien teknologisten hyödyntämistapojen myötä. Samalla lainsäädäntö on jäänyt teknisen kehityksen myllerryksessä jälkeen, eikä voimassaolevassa henkilötietolaissa oteta suoraan kantaa edes moniin jokapäiväisiin henkilötietojemme käsittelytilanteisiin. Tekninen kehitys on myös lisännyt sitä nopeutta, jolla tietoja voidaan kerätä, ja yhteiskunnan verkottumisen myötä on syntynyt täysin uudenlaisia profilointi- ja muita käyttäytymisemme ennustamistyökaluja.
EU:n uusi tietosuoja-asetus tulee voimaan 25.5.2018. Asetus on seurausta uudenlaisesta henkilötietojen ja yksityisyyden suojan korostamista koskevasta ajattelutavasta. Asetuksen myötä henkilötietojemme oikeanlainen käsittely sekä niiden käytön kontrollointi on tunnustettu eurooppalaiseksi arvoksi myös käytännön säädöstasolla. Samalla näiden tietojen virheellisestä käsittelystä voi koitua merkittäviäkin sanktioita asetuksen voimaantultua.
Vastaus yllä esitettyyn kysymykseen siitä, kenelle henkilötietojemme arvo kuuluu, näyttää asetuksen myötä vahvasti kallistuvan henkilötiedon kohteen eli rekisteröidyn suuntaan. Yksityisellä henkilöllä on oikeus määrätä omista henkilötiedoistaan, oikeus ottaa tiedot pois yhdeltä palveluntarjoajalta ja siirtää ne toiselle (”Data Portability”) ja oikeus vaatia tietojensa poistamista (”Right to be Forgotten”).
Uusi tietosuoja-asetus tuo mukanaan huomattavasti lisävelvoitteita henkilötietoja käsitteleville. Velvoitteet eivät koske vain alussa mainittua Big Dataa louhivia taikka IoT-järjestelmiä rakentavia tai hyödyntäviä yrityksiä, vaan aivan kaikkia yrityksiä ja muita yhteisöjä, joilla on hallussaan henkilötietojamme. Asetuksen myötä myös sellaiset toimijat, jotka ovat hoitaneet henkilötietojen käsittelyä varsinaisen rekisterinpitäjän puolesta, voivat joutua vastuuseen rekisteröityä kohtaan.
Henkilötunnuksen suojaaminen on omaisuuden suojaamista
Tietoturva ymmärretään yleensä toimenpiteiksi, joilla turvataan tiedon eheyttä, luottamuksellisuutta ja saatavuutta. Tietosuojan yhteydessä on huolehdittava riittävästä tietosuojan tasosta, ja tietosuoja-asetuksen voimaantultua rekisterinpitäjällä on oltava selkeät käytännöt tietovuotojen varalle. Rekisterinpitäjän on esimerkiksi ilmoitettava rekisteröidyille tietovuodosta, jos vuoto todennäköisesti aiheuttaa suuren riskin yksilön oikeuksille ja vapauksille, esimerkiksi identiteettivarkauden muodossa.
Mutta turvaavatko nämä ”riittävän tietoturvan” keinot henkilötiedolla olevaa varallisuusarvoa? Tietokirjailija, tietotekniikka-asiantuntija ja kolumnisti Petteri Järvinen totesi YLE:lle 15.6.2016, että henkilötunnus on ”puolijulkinen tieto, joka on tarkoitettu erottamaan kaikki petterijärviset toisistaan.” Henkilötunnuksen väärinkäyttö voi sen puolijulkisesta asemasta huolimatta johtaa esimerkiksi identiteettivarkauksiin, ja Järvisen mukaan onkin syytä huolehtia siitä, ettei henkilötunnus joudu vääriin käsiin. Ottaen huomioon kuinka vallattomasti henkilötunnuksemme leviävät esimerkiksi roskiemme seassa lienee perusteltua kysyä, missä piilevätkään ne suurimmat riskit henkilötietojemme väärinkäytölle.
Identiteettivarkaus ei vakavuudestaan huolimatta ole ainoastaan henkilöön kohdistuva loukkaus, vaan sitä voi perustellusti pitää myös henkilötiedon varallisuusarvon joutumisena vääriin käsiin. Henkilötieto kantaa entistä enemmän vastaavaa arvoa kuin muutkin yrityssalaisuudet tai esimerkiksi toimittaja- ja asiakasrekisterit. Tietojen käsittelyn ja suojaamisen periaatteiden tarkistaminen yrityksissä onkin tärkeää sen varmistamiseksi, että tiedon hallinta on sekä riskien hallintaa että omaisuuden suojaamista. Vaikka yksityishenkilöinä olemmekin suojan tarpeessa, eivät intressimme yritysten kanssa ole vastakkaiset. Askeleiden suunta riittävän tietoturvan tiellä on molemmilla sama. Meille matkantekijöille jää oikeus päättää siitä, mitä hiekkaan jäävät askeleet seikkailuistamme muille kertovat.