Tekniikan kehittyessä on tärkeää huolehtia siitä, ettei kukaan jää sen hyötyjen ja niiden hyödyntämisen tuomista mahdollisuuksista pahasti taka-alalle. Uusi teknologia ja modernimmat tavat toimia luovat kuitenkin vääjäämättä myös uudenlaisia positiivisia sekä negatiivisia riskejä. Näitä riskejä voidaan hallita mm. pohtimalla yhteisesti eettisiä pelisääntöjä henkilötietojen oikeaoppiseen käsittelyyn liittyen. Esimerkiksi tekoälyyn liittyvissä keskusteluissa keskeinen kysymys jota pohditaan, on se, pitäisikö tekoälyn painottaa enemmän yksilön vapauksia ja oikeuksia vaiko yleistä etua. Tieto on tekoälysovellusten öljy. Eurooppalainen tietosuojasääntely pyrkii hillitsemään tekoälyteknologioiden ja sovellusten hallitsematonta kehittymistä, koska sovellusten harkitsemattomilla käyttöönotoilla voi olla peruuttamattomia seuraamuksia. Teknologisten sovellusten kehitys ollut viime aikoina nopeaa verrattuna käytännesääntöjen ja maan tapojen muodostumiseen. Lainsäädäntö tulee askeleen kaksi perässä. Tämä on vaarallista. Eettinen keskustelu prosesseja suunniteltaessa ja toteutettaessa on siis tärkeää.
Miten etiikka liittyy tietosuojaan?
Olen latinisti. En 30 vuotta sitten nuorena lukiolaisena pystynyt mitenkään ymmärtämään sitä, kuinka syvällisesti antiikin Kreikassa ja Roomassa oli paneuduttu etiikkaan ja moraaliin liittyviin kysymyksiin. Puhumattakaan siitä, että olisin silloin sisäistänyt asioiden filosofisemman pohdiskelun tärkeyttä. Etiikalla tarkoitetaan mielestäni tutkimusta siitä, mikä tässä maailmassa on todella tärkeää ja mitä arvovalintoja tehdään päämäärään pääsemiseksi. Etiikka antaa lisäksi apukeinoja eettiseen pohdintaan ja sitä kautta myös päätöksentekoprosesseihin, joilla on vaikutuksia ihmisten arkeen tai jopa koko loppuelämään. Kun business muuttuu ja työtä jaetaan uudelleen tekoälyn edistymisen seurauksena, on mahdollista, että keskeisiä yrityksiä on maailmassa vähemmän kuin ennen ja voitot jakautuvat yhä harvemmille. Tämä on tärkeä ottaa huomioon pohdittaessa tulevaisuuden maailmaa. Sosiaalinen oikeudenmukaisuus tulee olemaan vaikea toteuttaa.
Hippokrateen valaa eli lääkärin sitoutumista eettisiin sääntöihin voidaan pitää tärkeänä osana tietosuojan kehitystä. Varsinkin siinä olevaa huomiota liittyen luottamuksellisten tietojen salassa pitoon eli ”mikäli parannustyössäni tai sen ulkopuolella ihmisten keskuudessa näen tai kuulen sellaista, mitä ei pidä levitettämän, vaikenen ja pidän sitä salaisuutena”. Uskoakseni taustalla oli ymmärrys siitä, että mikäli potilas ei voi luottaa lääkäriin, ei potilas uskalla kertoa kaikkia hoitoon vaikuttavia henkilökohtaisia asioita itsestään. Tämä taas vaikuttaisi lääkärin hoitolinjauksiin ja tätä kautta mahdollisesti negatiivisesti potilaan terveyteen ja potilasturvallisuuteen. Lisäksi valassa painotetaan tärkeyttä toimia aina potilaan parhaaksi ja torjua kaikki, mikä voi olla vahingoksi tai vääryydeksi. Terveydenhuoltoa tai ainakin lääketiedettä voidaan pitää siis ensimmäisenä toimialana, jossa on ymmärretty tietosuojan sekä eettisesti oikein toimisen merkitys. Eettisyys on aina arvovalinta, jota tukee työntekijöiden moraali ja tahto toimia oikein.
Tietosuojassa ei ole kyse tietojen panttaamisesta, kätkemisestä tai salaamisesta, vaan jostain paljon suuremmasta. Henkilötietojen käsittelyssä olennaista sekä kaikkien edun mukaista on se, että tietosuoja ei ole tarpeettoman tiukka eikä liian heikko. Tietosuojassa on kyse myös tietosuojan oikein mitoittamisesta ja toteuttamisesta henkilötietojen käsittelykäytänteissä. Tietosuojan yksi keskeinen elementti on yksityiselämän suoja. Se on perustuslaillinen oikeus, joka takaa ihmisen oikeuden elää elämäänsä niin kuin tahtoo ilman kenenkään perusteetonta puuttumista siihen. Tietosuojan voidaan katsoa olevan ”tiedollista kotirauhaa”.
Tietosuojaan liittyvissä keskusteluissa nousee ja pitääkin nousta keskeiseen rooliin etiikka ja moraali. Pitää muistaa, että tietojärjestelmillä ei ole moraalia. Siksi onkin tärkeä huolehtia, että sitä löytyy työntekijöillä, jotka suunnittelevat ja toteuttavat kansalaisille palveluita ja ICT-ratkaisuja. Kun eri palveluissa tehdään entistä enemmän automaattisesti ihmisten elämään liittyviä päätöksiä hyödyntäen tekoälyä ja ohjelmistorobotiikkaa, niin sen tarkemmin pitää etukäteen tunnistaa riskit. Lisäksi on eettisesti oikein tehdä erittäin huolellisesti tietosuojan etukäteinen vaikutusten arviointi (DPIA), jonka avulla kartoitetaan rekisteröityyn (kenen tietoja käsitellään) liittyvät riskit ja niiden vaikutukset kyseisen yksilön oikeuksiin ja vapauksiin. On muistettava se, että osa ihmisistä on heikommassa asemassa kuin toiset eivätkä välttämättä omaa kykyä tai voimia lähteä selvittämään omia oikeuksiaan tai varmistamaan, että onko henkilötietojen käsittelyssä tehty virheitä, joilla voi olla kauaskantoisiakin vaikutuksia. Esimerkiksi virheellinen automaattisella päätöksenteolla tehty eläkepäätös voi aiheuttaa kymmeniksi vuosiksi vääränsuuruisen eläkkeen maksun. Tällainen voisi olla mahdollista, jos tietojärjestelmän sisällä on menneet rekisterit tai rekisteröidyt sekaisin eikä kukaan virkailija ole tarkastanut päätöstä huolellisesti, vaan sen on tehnyt automatiikka. Tärkeä keino kansalaisten luottamuksen ylläpitämisessä on päätöksenteon läpinäkyvyys. Ihmisillä on oikeus tietää minkälaisen aineiston pohjalta ja miten heitä koskevat päätökset ovat tehty. Etukäteinen tietosuojan vaikutusten arviointi ja sen dokumentointi toimivat osana EU:n yleisen tietosuoja-asetuksen velvoittamaa rekisterinpitäjän osoitusvelvollisuutta. Kuitenkin vaikuttaa siltä, että Suomessa ollaan vasta lähtökuopissa rekisteröityyn liittyvien riskien ymmärtämisessä. On ilahduttavaa kuitenkin todeta se, että organisaatioiden kypsyystaso on noussut niiden riskien tunnistamisessa, jotka liittyvät rekisterinpitäjän omaan toimintaan.
EU:n yleistä tietosuoja-asetusta valmisteltiin pitkään. Lopputuleman velvoittavuus alkoi pakottavana lainsäädäntönä toukokuussa 2018. Asetukseen sisältyi myös kahden vuoden siirtymäaika. Kun ottaa huomioon pitkän valmistelun sekä siirtymäajan, ei yhdellekään organisaatiolle olisi pitänyt tulla yllätyksenä asetuksen velvoitteet. Asetus on keskeisessä roolissa parantamassa rekisteröidyn oikeuksia ja ohjaamassa rekisterinpitäjiä (data controller) toimimaan oikein myös eettisesti. Tietosuoja-asetus edellyttää nimittämään erityisen asiantuntijaroolin eli tietosuojavastaavan. Nimittämisvelvoite koskee kaikkia viranomaisia ja julkishallinnon elimiä (riippumatta siitä, mitä tietoja ne käsittelevät) sekä sellaisia muita organisaatioita, joiden ydintehtäviin sisältyy henkilöiden järjestelmällinen ja laajamittainen seuranta tai erityisiin henkilötietoryhmiin kohdistuva laajamittainen käsittely. Tietosuojavastaava on organisaation sisäinen asiantuntija, joka seuraa henkilötietojen käsittelyä ja auttaa tietosuojasäännösten noudattamisessa.
Tietosuojavastaava
- seuraa tietosuojalainsäädännön ja sääntöjen noudattamista koko organisaatiossa ja tuo esiin havaitsemiaan puutteita
- antaa tietoja ja neuvoja tietosuojasääntöjen mukaisista velvollisuuksista johdolle ja henkilötietoja käsitteleville työntekijöille
- antaa pyydettäessä neuvoja tietosuojan vaikutustenarvioinnin (DPIA) tekemisestä ja valvoo vaikutustenarvioinnin toteutusta
- on rekisteröityjen yhteyshenkilö henkilötietojen käsittelyyn liittyvissä asioissa
- on valvontaviranomaisen (tietosuojavaltuutettu) yhteyshenkilö ja tekee yhteistyötä tietosuojavaltuutetun toimiston kanssa.
Itse pidän tietosuojavastaavan nimittämistä erittäin onnistuneena velvoitteena, joka on selvästi nostanut organisaatioiden johdon ymmärrystä tietosuoja-asioihin ja auttanut organisoimaan tietosuojatyötä. Tietosuojavastaava kannattaa minusta nimittää, vaikka ehdoton tietosuoja-asetuksesta nouseva pakko ei täyttyisikään.
Uuden äärellä tarvitaan maan tapoja
Etiikkaan ja tietosuojaan liittyviä yhteistutkimuksia ja raportteja on alkanut ilmestyä enenevästi julkisuuteen. Asiaa on siis pohdittu paljon. Itse pidän tietosuojaa tärkeänä instrumenttina edistämään eettisesti oikeita ja kestäviä valintoja. Ohjaavaa lainsäädäntöä on, mutta edelleen yhteisiä käytänteitä on aivan liian vähän olemassa. Edes yksittäisen valtion sisällä ei tunnu kovin helposti syntyvän ”maan tapaa” ja esimerkiksi tekoälyyn liittyvissä keskusteluissa vastaukset keskeisiin kysymyksiin vaihtelevat suuresti riippuen mistä maasta ja yhteiskunnasta vastaukset tulevat. Lisäksi uudentyyppiset vastuukysymykset nostavat vasta päätään. Kuka määrittää laitteen tekoälyalgoritmin asetukset – insinööri, laitteen myyjä, asiakas itse vaiko lainsäätäjä. Tämä ei ole ollenkaan merkityksetön asia esimerkiksi vahinkotapahtuman vastuukysymysten ja vahingonkorvausvelvollisuuden näkökulmasta.
Tietosuoja on yhteinen asia. Yhdessä tekeminen eri osapuolten kanssa on ratkaisevassa roolissa, mikäli halutaan saada aikaan kestävää kehitystä ja läpinäkyvyyttä henkilötietojen oikeaoppisessa käsittelyssä. On tärkeää saada yhteisymmärrys siinä mikä tietojen käsittelyssä on oikein ja mikä väärin ja keskusteluissa pitää antaa merkittävä rooli myös rekisteröidyn äänen kuulumiselle. Yhteisiä standardeja ja käytännesääntöjä tarvitaan. Ihmisiä pitää valistaa, opettaa ja auttaa ymmärtämään mitä vaikutuksia erilaisilla tietojen käsittelytavoilla on eri osapuolille. Valistusta tarvitsevat yhtäläisesti ICT-ammattilaiset, organisaation johto, lakimiehet, tietosuojavastaavat kuin rekisteröidytkin eli tietojen käsittelyn objektit. Ymmärryksen kasvaessa suurimmat piikit eli yli- ja alilyönnit hioutuvat pois ja ratkaisuista tulee sellaisia, että niissä huomioidaan tasapuolisesti yksilön etua ja yleistä etua unohtamatta tietoturvaa.
Tietosuoja kiinnostaa kansalaisia
Pikkuhiljaa tietosuojasta on kehittymässä vääjäämättä nykyajan kansalaistaito. Ihmisten ymmärrys omien tai huollettaviensa tietojensa tärkeydestä ja arvosta on noussut huomattavasti viimeisen 5 vuoden aikana. Tämä näkyy erilaisina selvitys- tai oikaisupyyntöinä ja julkisuudessa käydyssä keskustelussa. Ihmisiä kiinnostaa myös se, kuka heidän tietojaan käsittelee ja miksi. Tietojen käyttö- ja luovutuslokitiedot alkavat olla suuressa osassa tietojärjestelmiä teknisesti hyvin toteutettu. Niiden avulla rekisterinpitäjä pystyy toteuttamaan tietojen käsittelyn valvontaa, jos vain haluaa siihen resursoida. Esimerkiksi sosiaali- -ja terveydenhuollossa käytönvalvonta on jo pitkään ollut lakisääteistä. Lokitiedot toimivat myös pelotteena tietoja käsitteleville työntekijöille. Kiinnijäämisen riski tietojen luvattomasta käsittelystä ja siitä seuraavat usein mittavatkin työ-, rikos-, ja vahingonkorvausoikeudelliset seuraamukset muistuttavat työntekijöitä siitä, että tiukasta moraalista kannattaa pitää kiinni. Tietoja saa ja pitää käsitellä vain silloin, kun työtehtävät sitä edellyttävät. Tietojen käsittelyn valvontaa on usein määritelty kuuluvaksi tietosuojavastaavan tehtävään. Täten lokitiedot ja tietosuojavastaava sekä muu tehty tietosuojatyö ovat tehokas tapa edesauttaa etiikan ja moraalin korkeaa tasoa organisaatioissa. Organisaation johdon ei pidä aliarvioida ihmisten kiinnostusta henkilötietojen käsittelyyn ja yksityisyyden suojaansa liittyen. Toisaalta ei pidä yliarvioida työntekijöiden osaamista ja sitä on syytä varmistaa erilaisin keinoin.
Tietosuojan tavoitetila eri organisaatioille voidaan kiteyttää seuraavasti:
- Osoita teknisillä ja hallinnollisilla toimilla, että noudatat EU:n yleistä tietosuoja-asetusta ja muuta henkilötietojen käsittelylainsäädäntöä velvoitteineen
- Mitoita ja toteuta tietosuoja oikein henkilötietojen käsittelykäytänteissä -tällöin saavutat lisää tuottavuutta ja tehokkuutta
- Muista asiakkaille tarjottavissa palveluissa ja ICT-ratkaisuissa etiikka, moraali ja läpinäkyvyys -tällöin organisaatio näyttäytyy luotettavana toimijana ja haluttuna yhteistyökumppanina
- Hallinnoi riskit. Pohdi riskejä ja niiden vaikutuksia erityisesti henkilötietojen käsittelyn kohteen (rekisteröity) kannalta -voit välttää valvontaviranomaisen sakot ja muut sanktiot
- Panosta henkilöstön kouluttamiseen
- Kannusta työntekijöitä ilmoittaa kaikki vakavat tietoturva- ja tietosuojapuutteet tai poikkeamat
- Testaa ja valvo ohjelmistojen toimivuutta. Suunnittele ja toteuta henkilötietojen käytönvalvonta systemaattisesti
- Lopputuloksena kaikki osapuolet hyötyvät.
Ari Andreasson on työskennellyt Tampereen kaupungilla yli 20 vuotta tietosuojatyöhön liittyvissä tehtävissä. Kirjoittaja on sivutoiminen tietokirjailija ja OpiTietosuojaa.fi -sivuston perustaja.