Riikka Kostiainen

Tietosuoja mukana monessa

Kriminaalipolitiikan vaikuttajia -sarjassa on haastateltavana tietosuojavaltuutettu Reijo Aarnio. Hän näkee kehityksen tietosuoja-asioissa menneen koko ajan parempaan päin. Valitettavan usein opit ovat kuitenkin tulleet kantapään kautta. Tietosuojavaltuutetun toimistossa tehdään työtä sen eteen, että hallinto, yritykset ja kansalaiset voivat hyödyntää uutta teknologiaa turvallisesti.

Tietosuojavaltuutetun toimisto täytti 25 vuotta 1. marraskuuta. Reijo Aarniolla alkoi puolestaan samana päivänä neljäs viisivuotinen toimikausi tietosuojavaltuutettuna. Hän sanoo säilyttäneensä lapsenmielisen tulevaisuudenuskonsa ja pitävänsä työtään yhä innostavana ja mielekkäänä. Eniten tänä aikana on muuttunut teknologia, mutta myös ajattelussa ja tilanteissa on tapahtunut muutoksia. Silti jotkut asiat ovat säilyneet hämmästyttävän samana, kuten keskustelu viranomaisten välisestä tiedonkulusta. Aarnio kertoo ensimmäisestä työpäivästään:

– Pöydälle oli tullut Valtiontalouden tarkastusviraston raporttiluonnos, jossa yksi luku oli otsikoitu "Estääkö tietosuoja tehokkaan ATK-tekniikan hyödyntämisen?" Ihmettelin, mihin olen ryhtynyt, kun ihmisillä on tällaisia mielipiteitä. Raportin johtopäätös oli kuitenkin, että tietosuoja ei estä julkisen vallan tehokasta yhteistoimintaa, koska se on yleinen puitelaki ja viranomaisten välisen yhteistyön tulee rakentua lainsäädännölle. Jokaisen ministeriön pitää siis katsoa, että lainsäädäntö on riittävän hyvässä kunnossa.

Tietosuoja joutuu kuitenkin usein syntipukiksi, kun keskustellaan viranomaisyhteistyön ongelmista. Tänä syksynä tietosuojavaltuutettu on käynyt paljon kuultavana erilaisissa lastensuojelun tilaisuuksissa ja työryhmissä. Niitä on käynnistetty 8-vuotiaan helsinkiläistytön surman jälkeen, mutta viranomaisten tiedonkulusta ja salassapitosäännöksistä on keskusteltu vilkkaasti aiemminkin kouluampumisten ja yleensä rikoksentorjuntahankkeiden yhteydessä. Lakimuutoksiin keskustelun päätteeksi ei kuitenkaan yleensä ole ryhdytty.

– Organisaation johdolla on melkoinen vastuu siitä, että työntekijät tietävät, mitä heidän kuuluu ja mitä he saavat tehdä. Sehän on tiedon tai tiedolla johtamista. Viranomaisten toimintaa määrittää julkisuuslaki, jossa on hyvä tiedonhallintatapa. Lisäksi säännöksiä on erityislainsäädännössä kuten vaikka sosiaaliasiakkaan asemasta annetussa laissa. Tänä päivänä viranomaisorganisaatioiden ja myös yksityisen puolen johtamiseen kuuluu informaation hallinta. Mutta käytäntö on osoittanut, että siinä meillä on vielä paljon tekemistä.

Myös tutkimuksen ja tietosuojan eri tarpeista keskustellaan aika ajoin. Aarnio ei näe niiden välillä ristiriitaa. Tieteellisen ja muun tutkimuksen onnistumisen edellytys on korkea tietosuojan taso; kysymys on siitä, osaako tutkija sisällyttää tietosuojan riittävän hyvin työhönsä ja opetetaanko tutkijoille, miten tutkimushakemus tehdään, suunnitelma laaditaan ja missä mitäkin tietoa on. Tutkijoita pitäisi auttaa tässä enemmän. Tutkimus sinänsä on täysin tietosuojalainsäädännön hyväksymää toimintaa, Aarnio painottaa.

Hänen mukaansa ongelma viranomaisten välisessä yhteistyössä, tieteellisessä tutkimuksessa tai monessa muussa asiassa näyttää olevan se, että tietovirrat ovat kuvaamatta, ohjeistamatta ja opettamatta. Tai koska järjestelmät eivät ole yhteensopivia, esimerkiksi IT-teknologian keinot jäävät paljolti hyödyntämättä.

EU kehittää tietosuojaa aktiivisesti

Tietosuoja ei liity niinkään tietoon kuin ihmisten itsemääräämisoikeuteen. Tietosuojavaltuutetun toimisto auttaa kumpaakin osapuolta: rekisteröityjä omien oikeuksiensa toteuttamisessa sekä rekisterinpitäjiä lainsäädännön edellytysten ottamisessa riittävästi huomioon. Työmme juuret lähtevät kansainvälisestä ihmisoikeussopimuksesta, Aarnio kertoo.

Tietosuojavaltuutetun toimiston työstä hyvin suuri osa, ajankäytöllisesti 70–80 prosenttia menee ennalta estävään työhön. Se pitää sisällään konsultointia, kasvatusta sekä esimerkiksi käymistä eduskunnassa kuultavana 30–40 kertaa vuodessa. Jälkikäteisiin asioihin kuten kanteluihin menee noin viidennes työajasta.

– Lähes 10 prosenttia ajasta menee kansainvälisten asioiden hoitoon. Työssämme on paitsi teknologiasta myös normipohjasta johtuen vahva kansainvälinen ote. Suomalainen henkilötietolakihan perustuu eurooppalaiseen tietosuojadirektiiviin. Nyt direktiiviä ollaan kovaa vauhtia kumoamassa ja antamassa uutta tilalle. Jo viime tammikuussa annettiin komission ehdotus tietosuoja-asetukseksi, jonka tarkoituksena on entisestään harmonisoida tietosuojaa eri EU-jäsenmaissa.

Aarnion mukaan uudistus on lähtenyt liikkeelle EU:n ulkopuolisten verkkokauppojen vetovoimasta. Jotta EU:n digitaaliset sisämarkkinat saataisiin toimimaan paremmin, niputetaan yhteen kuluttajasuojan, kauppalainsäädännön ja tietosuojan harmonisointi ja lisäksi tulee luottamusta lisääviä toimia, kuten eurooppalainen sähköinen allekirjoitus, ylieurooppalainen tunnistautumisjärjestelmä ja verkkopalvelujen luotettavuuden parantaminen.

Asetusehdotukseen on kaavailtu mm. sakotusoikeutta tietosuojavaltuutetulle.

– Eurooppalaisen järjestelmän harmonisointipyrkimys ei ole onnistunut direktiivin avulla riittävän hyvin, joten komissio haluaa nyt eurooppalaiset tuomioistuimet mukaan. Sakotus on keino saada tietosuoja-asiat eurooppalaisten tuomioistuinten käsiteltäväksi. Eli ideana ei ole kerätä rahaa vaan saada parempaa harmonisointia, Aarnio selventää.

Pääasiassa tietosuojavaltuutetun keinot perustuvat ohjaukseen, jota tietyissä marginaalisissa tilanteissa voidaan tehostaa esimerkiksi uhkasakolla. Jos ohjaus ei riitä, takataskussa on viedä asia tietosuojalautakuntaan, joka voi antaa kieltoja tai lupia. Jos jonkin toiminta havaitaan törkeäksi, siitä voidaan ilmoittaa suoraan poliisille tai syyttäjälle. Poliisi sitten tutkii tietosuojarikokset esitutkintalain mukaisilla toimivaltuuksilla.

– Valitettavasti näyttää siltä, etteivät työt tule loppumaan silläkään puolella. Vuosittain annamme noin 80 lausuntoa rikosasioissa. Tosin sanoen tietosuojarikoksia käsitellään suomalaisessa oikeusjärjestelmässä useammin kuin viikoittain. Useimmissa tapauksissa on kyse urkinnasta; tietoja on katsottu uteliaisuudesta, joskus on hyväsydämisyyttään tehty palveluksia ja joskus on esiintynyt painostustakin.

Valvontateknologian käytössä mietittävä seuraukset

Kaikkeen toimintaan kuten vaikka valvontateknologioiden käyttöönottoon liittyy tarve arvioida mahdollisia seurauksia. Reijo Aarnio ottaa esimerkin erään kansanedustajan vuosien takaisesta ehdotuksesta, jonka mukaan Helsingin ulosmenoväylille pitäisi asentaa kameravalvontajärjestelmä, joka lukisi autojen rekisteritunnukset, ja näin varastetut ajoneuvot saataisiin pois liikenteestä. Iltapäivälehti pyysi myös Aarniolta kommentteja ehdotuksesta – ja otsikoksi tuli, että "Tietosuojavaltuutettu vastustaa varastettujen autojen löytymistä".

– Siitä ei tietysti ollut kysymys, vaan siitä mihin jokin teko johtaa. Esimerkiksi kameravalvonta ei välttämättä lopeta autovarkauksia. Todennäköisesti siinä tulisi käymään niin, että samalla kun varastetaan auto, varastetaan naapuriauton rekisterikilvet valvonnan hämäämiseksi. Toivon, että aina kun tehdään uudistuksia tai otetaan uutta teknologiaa käyttöön, pohditaan myös seurauksia. Vaikka järjestelmä olisi hyvää tarkoittava ja kaikki sen tietävät, valittu keino voi itse asiassa vaikeuttaa kunnon ihmisten elämää, hän arvioi.

– Eurooppalainen asetus tuleekin edellyttämään ennakollista vaikutusten arviointia uusien järjestelmien ja teknologioiden käyttöönotossa. Se on loistava idea, koska tuntumani mukaan moni kameravalvontajärjestelmä on myyty – markkinamiehet osaavat myydä, mutta emme aina osaa ostaa ja esittää oikeita kysymyksiä. Esimerkiksi kun isot yritykset laittavat kamerat, myös saman kadun pienet kampaamo- ja muut yritykset joutuvat laittamaan kalliin järjestelmän, jotteivät he puolestaan joutuisi rikosten kohteeksi. Onko tämä hyvä kehitys?

Identiteettivarkauksien ja digitaalisen väkivallan uhriin huomio

Uusista teknologioista sosiaalinen media herättää paljon keskustelua ja se näkyy myös tietosuojavaltuutetun toimistossa. Yksi iso ongelma viranomaisnäkökulmasta on se, voiko hallinto pakottaa ihmiset rekisteröitymään amerikkalaisen yrityksen palveluiden käyttäjäksi – esimerkiksi voivatko viranomaiset tiedottaa tai järjestää erilaisia asioita Facebookissa. Vaikka tämä ei ole tietosuoja-asia, se siinä mukana.

– Työllemme on tyypillistä, että perusilmiö on aivan muu, mutta tietosuoja liittyy siihen. Joudumme aina esittämään kysymyksen, onko perusilmiö asiallisesti perusteltu ja hyväksyttävä, sillä jos se ei ole sitä, ei myöskään henkilötietojen käsittely ole, tietosuojavaltuutettu Reijo Aarnio toteaa.

– Valtamedioiden kuten Facebookin ja LinkedInin suhteen teemme paljon eurooppalaista ja myös pohjoismaista yhteistyötä. Ideani on toimia sillä tavoin, että sosiaalisesta mediasta tulisi entistä parempi tai ainakin, että se toimisi kuten lainsäädäntö edellyttää. Sosiaalisen median käyttö hakee muotoaan – sekä viranomaisten että ihmisten yksityiselämän käyttö. Siihen liittyy monenlaisia ongelmia. Esimerkiksi on järkyttävää, miten paljon lasten kuvia päätyy pedofilisivustoille.

On tullut ilmiöitä, joista Aarnio on professori Ahti Saarenpään kanssa käyttänyt nimitystä digitaalinen väkivalta. Mannerheimin Lastensuojeluliiton mukaan neljännes lapsista joutuu digitaalisen kiusaamisen kohteeksi. Myös esimerkiksi parisuhdekiistat viedään nykypäivänä sosiaaliseen mediaan, jossa tehdään kaikenlaisia asioita. Pahimmillaan esiintyy identiteettivarkauksia. Aarnio on ehdottanut niiden kriminalisointia jo vuosia sitten.

– Sisäministeriö antaa identiteettivarkauksien kriminalisoinnille enemmän kuin vaaleanvihreää valoa, mutta tietääkseni oikeusministeriö näkee nykyisen rikostunnusmerkistön riittävän. Euroopan digitaalisella agendalla niiden kriminalisointi on kuitenkin erikseen mainittu. Eli vastakkaisia paineita on. Tietosuojavaltuutetulle kuuluu tässä pohtia uhrin asemaa, sillä epäasiallisen toiminnan kohteeksi joutuneen ihmisen elämänlaatu kärsii, hän painottaa.

– En aivan hyväksy, että sanotaan tilauspetoksen tai asiakirjaväärennöksen olevan jo nyt rikoslaissa. Jos petos kohdistuu kauppiaaseen, mutta siinä käytetään sinun henkilötietojasi, kumpi nukkuu yönsä rauhassa? Kauppiaalla on vakuutukset, mutta et voi tietää, missä asia putkahtaa uudelleen esiin. Jos rikosoikeusjärjestelmän yksi tehtävä on toimia ennaltaehkäisevästi pelotteena ja meiltä puuttuu identiteettivarkaus tällaisena ennaltaehkäisevänä tekijänä, teemme karhunpalveluksen tällaisen kohteeksi joutuville ihmisille.

Aarnio on myös julkisesti sanonut, että rikostaulukot pitäisi käydä uudelleen läpi, koska tietosuojarikoksista tulee keskimäärin vain joitain päiväsakkoja. Lisäksi rikosprosessipuolella tapahtuu koko ajan asioita, joissa tietosuoja pitää ottaa huomioon. Aarnio kiittääkin Rikosseuraamuslaitosta siitä, että tietosuojavaltuutetun toimisto pääsi mukaan pohtimaan valvontarangaistuksen käyttöönottoa.

– Ja asiat näyttävät menneen suhteellisen mukavasti, kun ei tullut lehtiin otsikoita, että tietosuoja estää rangaistusten täytäntöönpanoa, hän naurahtaa.

Aarnion mukaan ihmiset tulevat kaiken aikaa paremmin tietoisiksi omista oikeuksistaan. Tämä tarkoittaa, että informaatioon liittyvä paine lisääntyy koko ajan myös oikeusketjussa ja se pitäisi ottaa ajoissa riittävän hyvin haltuun. EU:n asetusesityksessä onkin idea, että jokaisessa julkisen sektorin yksikössä pitäisi olla tietosuojavastaava-niminen henkilö.

– Se kuulostaa byrokraattiselta, mutta sillä pyritään siihen, että organisaation johdon käytettävissä on riittävästi informaatio-oikeudellista ja -teknologista osaamista: kenelle tietoja välitetään, mikä on turvallinen tapa, mikä on lainsäädäntöperuste jne. Tällaista kehitystä haluamme tukea.

 
Julkaistu 19.12.2012
Sivun alkuun |