Kanadassa ollaan valmistautumassa heidän oman tietosuojalainsäädäntönsä PIPEDA:n uusimiseen (Personal Information Protection and Electronic Documents Act). Uusimisprosessiin kytkeytyy vahvasti myös pohdintaa GDPR-tyyppisen sääntelyn sorvaamisesta myös Kanadaan. GDPR:n globaalista edelläkävijyydestä on ollut aika paljon tarinaa, nyt Canadian Marketing Association on tehnyt koostetyyppisen raportin GDPR-kokemuksista, erityisesti sen haasteista ja puutteista. “Privacy Law Pitfalls” -raportti (33-sivuinen pdf) kokonaisuudessaan löytyy täältä. Alla on muutamia poimintoja raportin sisällöstä.
# Raportissa nähdään GDPR-tyyppinen sääntelytoteuma nähdään erityisenä riskinä pienille ja keskisuurille yrityksille.
# Raportti nostaa esiin EU-komission GDPR-valmisteluvaiheen arvion, jonka mukaan GDPR toisi merkittäviä kustannussäästöjä. Todellisuus kompleksisen GDPR:n äärellä on ollut toista – raskaita kustannuksia ja monimutkaisuutta niin viranomaisille, rekisterinpitäjille ja palveluntarjoajille. Raportissa siteerataan Saksasta hampurin osavaltion tietosuojavaltuutettua Johannes Casparia: “The basic model of the procedure set up by GDPR has massive flaws and it just can’t work.”
# Raportissa (s.10-14) käydään läpi GDPR:n aiheuttamia investointikustannuksia ja nostetaan esiin mm. Saksasta BitKomin tutkimus, jonka mukaan yritysten digitalisaatiokehitys on hidastunut GDPR:n sekavan ja ristiriitaisen tulkintamaaston vuoksi.
# Asiakas- ja käyttäjäpuolen vaikutuksista esiin nostetaan “consent fatigue” ja informointien massiivinen raskautuminen.
# Mielenkiintoinen yksittäinen nosto on markkinoiden keskittämisvaikutus: “A week after GDPR implementation, a study found that market concentration increased by 17%, with websites deciding to no longer work with smaller vendors” (Regulatory Studies
Centre, George Washington University)
# Esiin nostetaan myös GDPR:ää seurannut kansainvälisten investointien ja venture capital -sopimusten väheneminen EU-alueella.
# Ja tämä. Raportissa (s.24) kritisoidaan, että GDPR:n lähtökohtana on virheellisen yksipuolinen oletus tai painotus, että henkilön datan käsittely tarkoittaisi lähtökohtaisesti aina yksityisyyden suojan loukkausta: “This fundamental conception of data use as an incursion on a human right is flawed, and potentially detrimental to a number of other societal objectives. ” Tähän tärkeään teemaan palaamme myöhemmin tarkemmin.
GDPR:n laadusta, vaikutuksista ja uudistamistarpeista voi olla montaa mieltä. Modernin datan käsittelyn ja tietosuojan kokonaismaasto on monella tapaa todella kompleksinen. EU-komission oma taannoinen GDPR:n kokemus- ja uusimistarvetarkastelu oli ehkä hiukan laiska, hymistelevä ja hallintolähtöinen. Tässä esillä oleva kanadalainen koosteraportti on yritystaustainen ja se toki näkyy raportissa mutta on aidosti mielenkiintoista nähdä minkälaiseen uuteen tietosuojasääntelyyn Kanada lopulta päätyy. On hyvä muistaa , että Kanada on ollut yksi modernin tietosuoja-ajattelun ja -sääntelyn kehittämisen pioneereja mm. Privacy by Design -ajattelun syntykoti.