Kilpailuetua tietosuoja-asioiden huolellisesta hoitamisesta
Euroopan unionin yleisen tietosuoja-asetuksen voimassaolon kuusivuotisrajapyykki lähestyy ja koittaa toukokuussa. Kun tietosuoja-asetus kuusi vuotta sitten asteli estradille, keskittyi uutisointi ja julkinen keskustelu lähinnä uhkakuviin, pääasiassa siihen, että ennen pitkää sakot tulee kuitenkin. Tämä näkökulma on toki edelleenkin hallitseva tietosuoja-asetuksen noustessa esiin uutisoinnissa, mistä esimerkkinä mainittakoon tietosuojavaltuutetun tuore päätös määrätä Verkkokauppa.com:ille 856 000 euron hallinnollinen seuraamusmaksu, koska asiakastiedoille ei ollut määritelty säilytysaikaa tietosuoja-asetuksen mukaisesti. Kuitenkin sen sijaan, että tässäkin kirjoituksessa rummutettaisiin tietosuoja-asetusta totuttuun tapaan pelkästää sanktiokeskeisesti, on näkökulma se, että tietosuoja-asetuksen noudattaminen voi tuoda mukanaan myös hyviä asioita, kuten kilpailuetua.
Alkuun nostan esiin, että vaikka tietosuoja-asetus on kuuden vuoden ikään saapuessaan ollut voimassa jo kohtalaisen kauan, ei tietosuojasääntelyssä ole kyse kertaluontoisesta operaatiosta. Monesti tietosuoja-asetuksen velvoittamalla toimijalla itsellään saattaa hyvinkin olla käsitys, että esimerkiksi aikanaan internetsivuille laadittu tietosuojaseloste täyttää edelleenkin vaatimukset. Tämä koettu tietosuojalainsäädännön noudattaminen on noussut esiin myös Statistan huhti-toukokuussa 2023 Euroopan unionissa ja Yhdistyneessä kuningaskunnassa (UK) liiketoimintaa harjoittavien yritysten keskuudessa teettämässä kyselyssä. Siinä selvisi, että yli puolet vastaajista, 53 prosenttia, koki olevansa erittäin hyvin valmistautunut yleiseen tietosuoja-asetukseen. Lisäksi 35 prosenttia yrityksistä uskoi olevansa kohtalaisesti valmistautunut, ja 10 prosenttia sanoi olevansa hieman valmistautunut noudattamaan EU:n ja UK:n tietosuojasäädöksiä. Yhteensä siis noin 98 prosenttia vastanneista koki olevansa ainakin jollakin asteella noudttavansa tietosuoja-asetusta.
Asiain laita näyttäytyy monesti tietosuojajuristille käytännön työssä hieman eri vinkkelistä ja juuri siksi tietosuoja-asetuksen lähestyvä merkkipäivä onkin hyvä tilaisuus muistuttaa siitä, että tietosuojan maailma ei suinkaan ole tullut tässä ajassa valmiiksi – eikä koskaan tulekaan. Se, mikä ei Statistan kyselystä ilmenevästä, paperilla suorastaan loistavasta valmistautumisen tasosta, suoraan ilmene, on se, että monesti itse koettu tietosuoja-asetuksen noudattaminen ei välttämättä vastaa jatkuvasti muuttuvaa todellisuutta. Kertaalleen, ehkäpä juuri tietosuoja-asetuksen voimaantulon yhteydessä, organisaatiossa läpikäydyt tietosuoja-asiat eivät välttämättä enää vastaa sitä, miten henkilötietoja tänä päivänä käsitellään. Osaksi toimitusketjua on voinut liittyä alihankkija, joka käsittelee henkilötietoja puolestasi, yritykseen on voitu palkata ensi kertaa työntekijöitä, joiden henkilötietoja käsitellään tai kerättäviä henkilötietoja on voitu alkaa käyttää uusiin tarkoituksiin kuin aikaisemmin.
Sinänsä tämä on varsin ymmärrettävää, sillä pelottelu tehokeinona ei varmaankaan missään kontekstissa ole omiaan lisäämään sisäistä motivaatiota tai ainakaan innostusta. Luultavammin pelottelu aiheuttaa halua hoitaa asia äkkiä pois alta ja unohtaa sen jälkeen. Mitä hyvää tietosuoja-asetuksen mukaisuuden jatkuvasta seurannasta sitten voi seurata?
Olen omakohtaisesti huomannut kiinnittäväni nykyisin aiempaa enemmän huomiota siihen, millaiset tietosuojaselosteet niillä toimijoilla on, joilta kuluttajana hankin tavaroita tai palveluita. Esimerkiksi tietosuoja-asetuksen voimaantulovuodelle 2018 päivätty tietosuojaseloste – saati sellaisen puuttuminen tyystin – herättävät ajatuksen, että hoitaakohan tämä taho muitakaan asioita toivomallani tarkkuudella. Rehellisyyden nimissä todettakoon, että oma tietosuojajuristin näkökulmani on varmasti hieman värittynyt, eikä keskivertokuluttajaa lueskele tietosuojaselosteita vapaa-aikansa ratoksi. Trendi on kuitenkin havaittavissa myös tavallisten kuluttajien keskuudessa. Statistan vuonna 2022 teettämässä tutkimuksessa todettiin, että 39 prosenttia kuluttajista maailmanlaajuisesti uskoo, että selkeän tiedon antaminen siitä, miten kuluttajien henkilötietoja käytetään, auttaisi yritystä rakentamaan luottamusta. Lisäksi 21 prosenttia sanoi, että yrityksistä voisi tulla luotettavampia, jos ne välttäisivät kuluttajatietojen myymistä, ja 20 prosentille tärkeää oli, että kaikkiea tietosuojasäännöksiä noudatetaan.
Suunta tästä on varmasti vain ylös päin, kunhan yhteiskuntana opimme tietosuojan merkityksestä lisää, kantapään kautta tai muuten. Lukija voikin kysyä itseltään, viimeaikaiseen kotimaiseen tietomurtoon viitaten, ostaisiko tämä jatkossa esimerkiksi psykoterapiapalveluita mieluummin taholta, joka ottaa tietosuojan vakavasti. Voiko tietosuojaan investointi tällöin tuottaa jopa kilpailuetua? Toivon kirjoituksen vierittävän kiven niiden sydämeltä, joita tietosuojan kehittäminen toiminnassaan edellä sanotuista syistä ymmärrettävästi pelottaa mutta myös varovasti kiinnostaa. Samalla haastan lukijan myös pohtimaan, tarvittaessa lakimiehen kanssa: millaista hyötyä tietosuojan parempi toteuttaminen voisi tuottaa juuri teidän toiminnallenne?