Vastuuvapauslausekkeiden mongerruksesta käyttäjäystävälliseen tietoturvaan
Kuulostaako utopialta? Juu, niin tekee. Ei sitä kuitenkaan ole, vaan kyse on tulossa olevasta eurooppalaisesta tietosuoja-asetuksesta.
Euroopan unionin toiminta eurokansalaisten tietosuojan puolesta ansaitsee julkisen tunnustuksen.
Unionin mahdollinen hajoaminen – sehän välähtää vasemmisto- ja oikeistopopulistien vaatimuksissa – olisi paha takaisku niin eurooppalaisten yritysten kuin eurokansalaistenkin digiturvallisuudelle.
Turva-asioissa tarvitaan näet vahva neuvottelumandaatti ylikansallisia toimijoita vastaan. Yksittäiset kansalliset toimijat eivät millään yllä samaan vaikuttavuuteen kuin unioni. Ensi vuonna voimaan astuvan EU-asetuksen myötä kaikkien portaalien ja verkkopalveluiden tulee kertoa yksiselitteisesti, ymmärrettävästi ja tiiviisti, mitä tietoja heidän keksinsä päätelaitteilta tallentavat ja mihin. Olennaista on myös se, miten kerättyä dataa käytetään. Ei enää riitä, että keksien hankkimaa tietoa käytetään ”palvelumme kehittämiseen”.
Muutos on suuri, jos EU:n vaatimusta verrataan vaikkapa Microsoft-mallisiin verkkopalvelujen vastuuvapauslausekkeisiin, jotka käytännössä on pakko hyväksyä. Disclaimer-tyyppinen käyttäjäsoppari kertoo monimutkaisella lakikielellä, mistä kaikesta vastuusta ohjelmistotoimittaja tai verkkopalvelu vapautuu käyttäjäsopimuksen hyväksymisen myötä. Toisaalta taas ylimalkaisesti ilmoitetaan, mitä oikeuksia palvelun ylläpitäjälle luovutetaan yhdellä continue-napin klikkauksella.
Moniko on tilanteessa asiaa tarkkaan punninnut?
Tämä on logiikaltaan nurinkurista. Palvelun tuottaja sanelee yksipuolisesti vastuuvapauslausekkeensa. Lukea nuo rimpsut voi, että tietää, mihin sitoutuu. Ne ovat monissa oikeusasteissa ennakkopäätöksien kautta vahvistettua juridista jargonia. Tietosuojavaltuutettu Reijo Aarnio on maininnut, että yksityisyydensuojatiedoilla ja käyttösopimuksilla ”on mittaa kuin maratonilla”.
Nyt tapahtuu muutos: palvelun ylläpitäjä joutuu nöyrtymään. Se joutuu huolehtimaan siitä, että käyttäjä ymmärtää tietosuojaa koskevat asiat. Tämä on asetuksen henki, arvioivat unionimaiden tietosuojavaltuutetut.
Direktiivi muuttaa tilannetta niin, että jatkossa kenellekään ei pitäisi tulla yllätyksenä, mitä tietoja käyttäjästä tallennetaan, minne, millä valtuuksilla ja mihin niitä käytetään. EU-asetuksen myötä verkkopalveluiden tulee kertoa nämä asiat ymmärrettävän yksiselitteisesti ja tiiviisti.
Palveluilta edellytetään jatkossa, että ne käyttävät selkeitä, yksinkertaisia ja yleisesti ymmärrettäviä ilmaisuja kaikessa, mitä he pyytävät. Mitä tämä simppeliys voisi olla?
Tietosuojaa koskevat tietopyynnöt voisivat olla esimerkiksi ikoneja, koska niitä on käytetty jo pitkään eri yhteyksissä. Myös joissakin älytelevisioissa ikonilla on jo kerrottu käyttäjään kohdistuneesta tallennuksesta. Tämä ei aivan vielä riitä, mutta suunta on oikea.
Voinemme sanoa hyvästit vanhanmallisille ”kaikki keralla meille” -paketeille. Valtuudet yksityisiin tietoihimme eivät enää siirry sokkona suuryhtiöiden omistukseen.
