Organisaatiot tinkivät ihmisten tietosuojasta edelleen

Euroopan tietosuoja-asetus tuli voimaan jo yli vuosi sitten (25.5.2018), mutta useat organisaatiot eivät edelleenkään ole saaneet tietosuoja-asioitaan kuntoon. Pari viikkoa sitten julkaistussa YLEn artikkelissa kerrotaan, miten 25-vuotias IT-työntekijä ja viestinnän maisteriopiskelija Emilia Laurila kokeili saada tietojaan useista yrityksistä joiden asiakkaana hän oli ollut.

Tulokset vaihtelivat suuresti. Huonoimmassa tapauksessa (kahdessa majoitusalan yrityksessä, Hostelling International ja AirBNB) yritykset poistivat Emilian tiedot (HI:n tapauksessa peruuttamattomasti) kun hän pyysi niitä nähtäväkseen.

Emilia käytti  Open Knowledge Finlandin tekemää, ja Eurooppatiedotuksen sekä Internet Societyn rahoittamaa maksutonta kurssia, GDPR for Citizensiä, jossa opetetaan ihmisille heidän perusoikeutensa tietosuojan suhteen.

Kurssissa käydään läpi oikeutesi:

Emilia sai toki useassa tapauksessa vastauksen tietopyyntöihinsä. Torin, Finnairin ja Norwegianin sivuilla hän sai tietopyynnön matkaan muutamassa minuutissa. Tiedot tai linkki niihin toimitettiin myöhemmin sähköpostilla. Esim. Torin portaali ei kuitenkaan toiminut, eikä tietopyynnön tekeminen johtanut tietojen saamiseen.

Prosessit tietopyyntöjen tekemiseksi ovat hyvin erilaisia, ja kurssi auttaakin navigoimaan näiden prosessien kanssa sekä tarjoaa kansalaisten käyttöön erilaisia malleja tietopyyntöjen tekemiseksi.

Samaa kurssia käsiteltiin myös HS:n aiemmassa artikkelissa, joka oikeutetusti kirjoittaa otsikossaan ”Tietopyyntöjen lähettäminen on tehty kansalaisille yli­voimaisen vaikeaksi”. Näin tuntuu tosiaan nyt edelleen olevan, yli vuoden GDPR:n voimaanastumisen jälkeen. Suomessa ei olla vielä ilmeisesti kertaakaan annettu sakkoja GDPR:ään nojaten, vaikka syytä siihen selvästi olisikin. Ilman kansalaisten aktiivisuutta, toimimattomia palveluja ei kuitenkaan tule testattua, eikä ilman toimimattomuuden havaitsemista voi tehdä asiasta valitusta Suomen tietosuojavaltuutetulle.

GDPR for Citizens käyttääkin harjoituksissaan palautelomakkeita, joiden tiedot anonymisoidaan ja kerää niiden avulla tietokantaa palveluista, jotka ovat joutuneet tietopyyntöjen kohteiksi. Tämän palautteen avulla voidaan tehdä valitus TSV:lle, joka toivottavasti johtaa valituksen kohteena olevan organisaation tietosuojakäytänteiden parantamiseen. Voit osallistua kurssille ja antaa palautetta organisaatioista joille lähetät tietopyyntöjä täällä.

Leave a Comment

Your email address will not be published. Required fields are marked *