Tietosuoja myllerryksessä, osa I

Tietosuoja-asetus (englanniksi General Data Protection Regulation) on komission ajama, tulossa oleva, mutta ei vielä lopullisessa muodossaan oleva säännös, joka olisi tarkoitus vahvistaa ensi vuonna ja astua voimaan vuonna 2016. Olennaisin ero nykyiseen on teknisten erojen lisäksi siinä, että kyseessä ei ole direktiivi, vaan asetus. Tämä tarkoittaa, että tuleva tietosuoja-asetus astuu voimaan samanlaisena koko EU:n laajuisesti, toisin kuin hyvinkin vaihtelevasti toteutettu nykyinen tietosuojadirektiivi 95/46/EC. Keskeisiä tavoitteita onkin tietosuojasäädännön yhtenäistäminen unionin alueella. Tämän toivotaan lisäävän ihmisten luottamusta omien tietojensa käyttämiseen ja verkkoasiointiin, minkä puolestaan toivotaan johtavan sisämarkkinoiden kasvuun.

Yhdysvalloissa alkukesästä paljastunut verkkoseuranta tulee varmasti lisäämään oman lusikkansa tähän soppaan poliittisessa ja tietopalvelumarkkinamielessä, esimerkiksi safe harbor -käytäntöjen luotettavuuden arvioinnissa. Tilanteen kehittymisestä riippuen se voi toimia myös myyntivalttina Yhdysvaltain ulkopuolisille toimijoille. Nythän yhdysvaltalaisten pilvipalveluiden on arvioitu mahdollisesti menettävän jopa 35 miljardia kohun seurauksena.

Tulen käymään blogikirjoituksen seuraavissa osissa läpi säädöksen tämänhetkisiä ehdotuksia. On kuitenkin hyvä huomata, että luonnos on kerännyt uuden ennätyksen saatujen kommenttien määrässä, niitä tuli 3999, ja ihmisten tietojen ja profiilien käsittelyyn perustuvat suuryritykset Facebookista Googleen käyvät aktiivista lobbausta, joten lopullinen säännös ehtinee vielä muuttua. Myös puhtaasti tekniseltä kannalta ajatellen monet kaavailluista vaatimuksista, kuten tietovuodosta ilmoittaminen 24 tunnin sisään sen havaitsemisesta ja oikeus tulla unohdetuksi, nostavat ihan oikeutettujakin kysymyksiä siitä, kuinka realistista näiden toteuttaminen oikeasti on.