Kasvavan GDPR-kohinan ja -vyöryn keskellä EU:n tietosuoja-asetus (GDPR) tuntuu olevan välillä erikoisella, jopa oudolla tavalla kanonisoitu. Tätä esiintyy jokaisessa EU-maassa. Puhutaan isolla hehkulla eettisen henkilötietojen käsittelyn standardista, EU:sta ”liiderinä” uuden ajan datasääntelyssä,  kansalaisesta oman datansa täydellisenä ja kompetenttina haltijana.  Kaikissa noissa on totuuden siementä ja paljon enemmänkin. Mutta kun joku nostaa esiin jonkin GDPR:n konkreettisen ongelman, raskauden, virheen tai valuvian niin yllättävän usein sitä ei käsitelläkään vaan se ohitetaan jollain ihanteellisella mantralla tai artiklaa mekaanisesti toistamalla. Aivan kuin GDPR olisi kuin erään valtion erehtymätön ja kaikkialle valoa tuova johtaja jossa virheetkin loistavat, mutta vain poissaolollaan.

Sujuvasti ohi

Pieni esimerkki tästä oli viime viikon MyData-konferenssissa, sen eräässä GDPR-sessioissa pankin edustajan esittämä hyvä kysymys, jota ASML:nkin sessioissa on usean kerran työstetty. Kysymys kuului että jos yritys tekee modernin täysin automatisoidun profilointiin tukeutuvan onlinepalvelun niin miten ”opt-out profiloinnista” oikein toteutetaan kun koko palvelun idea ja konsepti on olla vailla manuaalista käsittelyä; olla sujuva, nopea, asiakasystävällinen uuden ajan palvelu. Session neljä luennoijaa vastasi salin edestä tyyliin: ”Ratkaisevassa roolissa on että palvelun arvolupaus tuodaan selkeästi esille, se ratkaisee / Täytyy olla läpinäkyvä ja kertoa asiakkaalle mistä palvelussa ja algoritmeissa on kysymys”.  Hyviä vastauksia mutta ei kysyjän kysymykseen. Kysyjän varsinainen tuska on että täytyykö tällaisissa tilanteissa GDPR:n vuoksi todella tehdä ylimääräinen tuoteputki, ylimääräinen manuaalinen palveluprosessi. Asiaan liittyvä tarkennuksena on syytä mainita että GDPR:n asiaa koskevassa artiklassa ei tarkkaan ottaen ole kysymys ”profiloinnin opt-outista” vaan oikeudesta olla olematta täysin automatisoidun profilointia sisältävän ”legal effect”-päätöksen kohteena.

Lehmä vai toteemi?

Tuo seminaaridialogi oli tyypillinen tilanne jossa GDPR:n kupru ohitetaan sujuvasti – ”keisaria” ei sovi arvostella tai alamainen on ymmärtänyt asian vain väärin. Kärjistetty lausuma mutta tällainen tunnelma on monissa tilanteissa jäänyt. EU:n tietosuoja-asetuksessa on monia valuvikoja vaikkapa käsittelyperusteiden suhde toisiinsa ei ole riittävän synkronoitu eri puolilla asetusta ja käyttäjän oikeuksissa on kivikautisia ja totaalisen kryptisiä elementtejä.

Ei kai GDPR:n pitäisi olla mikään pyhä lehmä tai betoninen pykälätoteemi jolle tietosuojan muutoshuumassa vain sokeasti kumarrellaan? Eikö GDPR:n itsensäkin tulisi olla ketterän digiajan tuote jota korjataan ja tuunataan lennossa palvelemaan paremmin tarkoitustaan? Vielä ei ihan siltä näytä. Esimerkiksi WP 29:n linjaukset eivät toistaiseksi ole olleet ns. korjaussarjoja vaan pikemminkin luoneet uutta tulkintatuskaa. Mutta eläkäämme toivossa, kaikki datayhteiskunnan osapuolet. Matka on vasta alussa ja kaikki retkikunnan jäsenet tarvitsevat toistensa ymmärrystä, rehellistä kohti puhumista ja avointa keskustelua. Tältä polulta eivät mielenkiintoiset mutkat nimittäin ihan heti lopu.

Kirjoittaja istunut säädöstyöryhmissä sorvaamassa tietosuojan, verkkokaupan, kuluttajansuojan pykäliä ja on oppinut että sääntely on kaikkea muuta kuin valmis syntyessään.

Jari Perko, @asiakkuus