Tietosuojasääntely luo pohjan turvallisille somepalveluille – kunhan lakeja myös noudatetaan

Somejättien käytännöt ovat aivan perustellusti nousseet viime viikkoina keskusteluun. Tällä hetkellä erityisesti TikTokin käytännöt huolettavat. Samalla myös muiden somealustojen toiminnassa on edelleen parantamisen varaa. Tietosuojasääntelyn olemassaolo ja noudattaminen ovat avainasemassa siinä, että somepalvelujen käyttäminen on turvallista. Eurooppalaisen datasääntelyn tavoitteena on turvallisen digitaalisen ympäristön luominen. Tietosuoja perusoikeutena on myös demokratian edellytys.

Yleinen ymmärrys somejättien tiedonkeruusta on kasvanut vasta viime vuosina. Moni peruskäyttäjä mieltää kuitenkin edelleen yksityisyyden koskevan pääasiassa omia postauksia. Merkittävästi isompi asia on kuitenkin se, miten somealustat keräävät, yhdistelevät ja hyödyntävät tietoja käyttäjistään. Eli esimerkiksi tietoja siitä, millä sivuilla käyttäjä vierailee, mitä hän peukuttaa, keitä hän peukuttaa, missä hän liikkuu sekä millaisia intressejä on niillä ihmisillä, joihin hänellä on yhteyksiä. Listaa voisi helposti jatkaa.

Tieto yksittäisestä tykkäyksestä onkin yleensä kohtuullisen harmiton. Miljoonista ja miljardeista harmittomista tiedonjyväsistä voi kuitenkin rakentaa algoritmeja ja profiileja. Niiden avulla käyttäjille voidaan kohdentaa informaatiota, jolla voidaan tehdä monenlaista: luoda koukuttavia feedejä tai pyrkiä vaikuttamaan käyttäjän ajatteluun ja toimintaan – esimerkiksi äänestyskäyttäytymiseen.

Somejättien toiminnassa herättää perustellusti huolta myös tietojen siirtäminen EU:n ulkopuolelle. Eli se, voidaanko Euroopasta siirtää ihmisten tietoja kolmansiin maihin, joissa tiedoilla voidaan tehdä muutakin kuin mihin tarkoitukseen ne alkujaan on kerätty. Erityisesti valtiollisen toimijan pääsy kolmanteen maahan siirrettyihin tietoihin huolestuttaa.

Tässä mennään suoraan eurooppalaisen tietosuojasääntelyn ytimeen. On tärkeää arvioida tietojen siirtoa autoritäärisiin maihin, joissa ei ole sisäänrakennettuna demokraattisen yhteiskunnan suojamekanismeja.

Yhdysvaltoihin voi jälleen siirtää tietoja helposti komission tekemän tietosuojan riittävyyspäätöksen ansiosta. Tällä hetkellä tietoja voi siirtää riittävyyspäätöksen nojalla myös esimerkiksi Japaniin, Etelä-Koreaan ja Yhdistyneeseen kuningaskuntaan.

Tietojen siirtämisessä yksi keskeinen kysymys on valtiollisten toimijoiden suora pääsy somejättien keräämiin tietoihin. Kokonaan oma kysymyksensä on, että somealustoilta kerättyä tietoa voidaan ylipäätään käyttää vaikuttamistarkoituksissa esimerkiksi ostamalla alustoilta mainonnan kohdentamista tai käyttäjien tietoja.

TikTokin tiedonsiirrot tulossa viranomaisten arvioitavaksi

Tällä hetkellä on vireillä useita eri somejättejä, mukaan lukien TikTokia, koskevia asioita. Euroopan tietosuojaneuvostolla ja Irlannin tietosuojaviranomaisella on näissä merkittävä rooli.

Euroopan tietosuojaneuvosto antoi kesällä 2023 päätöksen, josta seurasi 345 miljoonan euron sakot TikTokille. Sakot määrättiin rikkomuksista lasten tietojen käsittelyssä. Päätös ei kuitenkaan herättänyt Suomessa juurikaan keskustelua.  Metalle on puolestaan määrätty seuraamusmaksut muun muassa lainvastaisesta henkilötietojen käsittelystä käyttäytymisen seurannassa ja mainonnan kohdentamisessa.

Somejättejä koskevien päätösten sisällöstä päättävät kaikki EU/ETA-alueen valvontaviranomaiset yhdessä, tahdin taas määrää vetovastuussa oleva Irlanti, joka on niin sanottu johtava valvontaviranomainen. Jos valvontaviranomaiset ovat erimielisiä siitä, miten GDPR:ää tulisi tulkita, antaa Euroopan tietosuojaneuvosto sitovan päätöksen. Euroopan tietosuojaneuvoston jäseniä ovat kansallisten valvontaviranomaisten johtajat.

TikTok on somejättien joukossa vielä suhteellisen tuore tulokas. Merkittävä toimija TikTokista tuli vuoden 2018 nurkilla, samoihin aikoihin alkoi EU:n yleisen tietosuoja-asetuksen eli GDPR:n soveltaminen. Tuolloin unionin tuomioistuin antoi myös ensimmäisen Facebookin (Metan) tiedonsiirtoja koskevan päätöksen. Takana oli useamman vuoden prosessi.

Irlannin tietosuojaviranomainen tutkii parhaillaan TikTokin tiedonsiirtoja. Asia on tulossa kaikkien EU:n tietosuojaviranomaisten arvioitavaksi vuoden 2024 alkupuolella.

Oikeusvaltiossa yrityksen toiminnan lainmukaisuuden arviointi ei tapahdu aina käden käänteessä. Kun viranomaisen päätöksellä on merkittäviä vaikutuksia yrityksen toimintaan, sen tulee nojata vahvoihin perusteluihin. Moni jo vuonna 2018 vireillä ollut asia on saanut päätöspisteensä tämän vuosikymmenen puolella.

Vastuulliset digimarkkinat

EU:n datasääntelyllä tavoitellaan nimenomaan vastuullisia digimarkkinoita. Riippumatta lähtömaasta, on EU:ssa toimivien somejättien noudatettava Euroopan unionin datasääntelyä. Tämä sääntely kattaa kysymyksen siitä, millaisin reunaehdoin kolmannen maan viranomaisella on pääsy EU-alueelta kerättyihin tietoihin.

Kun yrityksen toiminta täyttää GDPR:n ja muun EU-sääntelyn vaatimukset, käyttäjä voi luottaa siihen, että palvelu on turvallinen. Lainsäädännön raamit ovat paikallaan. Keskeistä on, että sääntelyä myös noudatetaan.

Tietosuojasääntely on olemassa meitä ihmisiä varten.

Anu Talus
tietosuojavaltuutettu