GDPR astui voimaan - so what?
GDPR on ollut voimassa viikon. Taivas ei pudonnut niskaamme, emmekä myöskään hukkuneet vedenpaisumukseen. Los Angeles Times ja muutama muu amerikkalainen media on tätä kirjoitettaessa evännyt pääsyn sivuilleen. Kaupallisilla alustoilla bloggaavat ja vloggaavat ovat menettäneet seuraajiaan, koska käyttäjät eivät ole hyväksyneet palveluntarjoajien ehtoja. Todennäköisesti kyse on tilapäisestä ja ohimenevästä ilmiöstä.
GDPR:stä selvitään, kuten selvittiin parikymmentä vuotta aiemmin Y2K:stakin. Useimmille nettikäyttäjille GDPR on tähän mennessä merkinnyt kymmeniä enemmän tai vähemmän ärsyttäviä meilejä, joissa on vakuuteltu palvelujen tietoturvaa ja kysytty käyttäjiltä suostumusta tietojen keräämiseen ja hyödyntämiseen.
Tulkinnat GDPR:n merkityksestä vaihtelevat: monien mielestä kyse on ihmisten yksityisyyden suojasta, jolla on myös demokratiaa vahvistavaa vaikutusta, kun taas toiset näkevät, että GDPR:llä yritetään vauhdittaa EU-alueen digitaalisten sisämarkkinoiden syntymistä.
Tietosuojavaltuutettu Reijo Aarnion mukaan GDPR antaa uusia mahdollisuuksia sekä eurooppalaisille kuluttajille että EU-alueella toimiville yrityksille (HS 23.5.2018). GDPR ei ole niin mullistava kuin sen ympärillä käytävästä touhotuksesta voisi päätellä. Tietojen keräämistä ja hyödyntämistä on säännelty ennenkin ja esimerkiksi kansalaisella on ollut oikeus tietoihinsa myös aiemmin. Alla kuva Aarnion esityksestä 600Minutes Mid-Market Exec -tapahtumassa 14.3.2018.
Merkittävimpiä GDPR:n mukanaantuomia muutoksia ovat tiukempi valvonta ja kovemmat sanktiot sekä EU:n lainsäädännön ulottaminen EU-alueen ulkopuolisiin yrityksiin silloin, kun ne käsittelevät eurooppalaisten tietoja. On myös arveltu, että GDPR luo painetta yksityisyydensuojan parantamiseen Euroopan ulkopuolella (ks. oheinen poiminta TIME-lehdestä, 4.6.18).
Oikeus omiin tietoihin on periaatteessa yksiselitteinen, mutta muuttuu monimutkaiseksi, kun asiaa tarkastelee pintaa syvemmältä. Esimerkiksi BBC:n Click -ohjelmassa arveltiin 26.5.18, että GDPR:n ytimessä oleva tietoon perustuva suostumus (informed consent) jää osittain kuolleeksi kirjaimeksi. Kysymys ei ole siitä, etteivätkö palveluntarjoajat kykenisi muotoilemaan käyttäjien suostumusta pyytäviä proseduurejaan GDPR:n mukaiseksi. Enemmän ohjelmassa oltiin huolestuneita siitä, että GDPR:ssa ihmisten oletetaan olevan rationaalisia valintoja tekeviä kuluttajia. Kuluttaja nähdään toimijana, joka puntaroi tietoihinsa liittyviä uhkia ja valitsee itselleen sopivan riskitason. Tämä on kuitenkin vaikeaa, sillä tekoäly ja koneoppiminen etenevät sellaista vauhtia, että keskivertokuluttajan on mahdotonta pysyä kehityksen mukana. Jo nyt iso osa data-analytiikasta pyrkii ymmärtämään käyttäjien emootioita, niiden leviämistä ja vaikutusta käyttäjien tekemiin valintoihin. Esimerkiksi teksteistä ja kuvista voidaan päätellä asioita, joihin on vaikea antaa aidosti GDPR:n edellyttämää tietoon perustuvaa suostumusta.