Valmistuin tietojenkäsittelytieteestä 1999. On varmasti rehellistä sanoa, että viehätyn täsmällisistä asioista. Monilla kollegoistani on samankaltainen koulutustausta ja hekin tuntevat itseni tavoin vetoa laskettaviin ja luokiteltaviin tosi-epätosi-vastauksiin. Tultuani DPO:ksi (data protection officer) olen havainnut että asiat eivät ole niin eksakteja, vaan tarvitsemme tulkintaa.
Mitä tekemistä tällä on GDPR:n kanssa? GDPR on periaatelähtöinen säädös, ei sääntöihin perustuva. Sääntöihin perustuvan asetuksen noudattaminen edellyttää vain vähäistä tulkintaa ja pohdintaa, aivan kuten nopeusrajoituksen noudattaminen. Periaatelähtöisen säännön noudattaminen taas edellyttää syvempää ymmärrystä kokonaisuudesta. Nopeusrajoitus on oikeastaan vain periaatteen toteutustapa, liikenteessä tulee olla varovainen ja ottaa muut huomioon. Voitte kuvitella kuinka kollegani reagoivat kun he kysyvät minulta jotakin GDPR:n liittyvää nopeusrajoituksen kaltaista seikkaa ja vastaan heille että huomioikaa ympäristö ja toimikaa turvallisesti.
Muutama esimerkki:
Onko sisäinen yksilöivä ID henkilökohtaista tietoa? DPO: ”Riippuu tilanteesta. Voidaanko tietoa käyttää suoraan vai epäsuorasti luonnollisen henkilön tunnistamiseen?”
Onko meillä lupa käsitellä tätä henkilökohtaista tietoa? DPO: ”Riippuu tilanteesta. Onko se välttämätön edellytys tiedon käsittelylle? Onko tiedon käsittelylle oikeudellinen peruste? Suojaammeko tiedon käsittelyn riittävällä tavalla?”
Onko tämä toiminto riittävän turvallinen? DPO: ”Riippuu tilanteesta. Oletko tarkastellut asiaa yksilön oikeuksien ja vapauksien kannalta?”
“Aargh!”
(Tämä ei tarkoita etteikö GDPR:än liittyisi paljon nopeusrajoituksen kaltaisia täsmällisiä sääntöjä. Ajan kuluessa rajoitukset, käytänteet ja ohjeistus tulee kehittymään jolloin tosi-epätosi-tyyppisiä vastauksia on helpompi antaa.)
Selvää on että tämä tilanne ei ole haastava vain kollegoilleni vaan myös asiakkaillemme. Asiakkaidemme tulee arvioida mitä tietoa heillä on oikeus käsitellä, mitä tietoa tulee käsitellä henkilökohtaisen tiedon tavoin ja ovatko käytettävät järjestelmät riittävän turvallisia tiedon käsittelyyn.
Ehkäpä suurin haaste asiakkaillemme ovat rekisteröityjen oikeudet (data subject rights). GDPR tiukentaa rekisteröityjen oikeuksia, kuten oikeutta tulla unohdetuksi. Koukku piilee kuitenkin tässä: nämä oikeudet ovat periaatteellisia, eivät absoluuttisia. Näitä oikeuksia tulee pohtia kokonaisuutena. Moni asiakkaamme työskentelee alueella jota ohjataan usean eri lain kautta: koulutusta koskevat lait ja asetukset, julkisia palveluita koskeva lainsäädäntö, vähemmistöjen oikeudet jne.
Kuvataan rekisteröityneen oikeuksia vielä konkreettisen tosielämän esimerkin kautta: Huoltaja ottaa yhteyttä kouluun tyttärensä puolesta ja tahtoo käyttää hyväsi oikeuttaan päästä henkilökohtaiseen tietoon käsiksi. Hän vaatii kopiota kaikesta henkilökohtaisesta tytärtään koskevasta digitaaliseen oppimisympäristöön tallentuneesta tiedosta. GDPR:n valossa tämä on yksi perusoikeuksista. Koulun täytyy kuitenkin tarkastella asiaa koulutusta koskevan lainsäädännön kautta, yksityisyyttä koskevien lakien kautta sekä julkisia palveluita tarjoavaa tahoa koskevien vaatimusten ja velvollisuuksien kautta.
Mitä GDPR:än tulee, olet sitten digitaalisen oppimisympäristön tuottaja tai tarjoat koulutuspalveluita, sinun tulee pohtia tietosuojaa monesta näkökulmasta. On vain muutama kysymys, johon löytyy valmiina tosi-epätosi-vastaus Mutta ymmärtäessäsi GDPR:n perusajatuksen ja periaatteet, olet jo puolessa välissä.
Näissä ”harmaalle alueelle” sijoittuvissa tapauksissa, kuka on GDPR:n osalta se henkilö, joka osaa sanoa oliko päätös oikea vai väärä? Viimekädessä, jos kiistoja syntyy, päätöksentekijänä toimii valvontaviranomainen. Omasta mielestäni on paljon parempi tehdä väärä valinta perusteellisen päätöksenteon pohjalta, kuin suhtautua asiaan täysin välinpitämättömästi. Valvontaviranomaiset eivät pidä ajattelemattomuudesta.
