Yli kymmenen vuotta kestäneen pihtisynnytyksen jälkeen EU:n uusi tietosuoja-asetus – GDPR – astui 25.5.2018 velvoittavana voimaan. Viime metreillä mediakin innostui aiheesta – kiitos Trumpin sekoiluihin yhdistetyn Cambridge Analyticsin. Kuvaa luotiin siitä, kuinka valtavat ylikansalliset hakukoneet ja niiden lonkerot jyräävät kohta meitit täällä Suomen niemelläkin. Ja toisaalta pelättiin, että digimainonta droppaa tai ainakin hankaloituu GDPR:n takia.

Näissä tunnelmissa Suomen Markkinointitutkimusseura järjesti aamuseminaarin kuullakseen asiantuntijoilta missä nyt mennään tutkimusalan näkökulmassa – onko taivas putoamassa tutkimusyhteisön tai busineksen päälle? Kotiin  vietäväksi jäi paljon tietoa, mielestäni ne voi kiteyttää kolmeen pointtiin.

Ensinnäkin  uutisointi ampui yli. Samoja uhkakuvia luotiin vähän kuin euroon siirtyessä tai milleniumin tullessa – eli uhkia ja vaaroja nähtiin siellä täällä.  Dataa saa tallentaa ja siirrellä kuten ennenkin kunhan seuraa sääntöjä. Myöskin  käsitys siitä, että IP-osoite olisi henkilötieto on virheellinen. Laitteiden päällekkäiskäyttö on hyvin tavallista kotitalouksissa. Reijo  Aarniokin on minulle takavuosina väittänyt, että henkilö voidaan tarkasti personoida IP-osoitteenkautta. Yhtä hyvin  DNA löytyy ovenkahvasta –  käyttääkseni ASML:n toimarin Jari Perkon vertausta.

Toiseksi tietosuoja-asetuksen käytännön soveltaminen on samanlaista kun laatujärjestelmän ylläpito,  eli datan käsittely ja hallinta on tarkasti dokumentoitava. Tästä huolehtii yrityksen DPO eli tietosuojavastaava. Kun asiat on kerrottu ja ohjeistettu henkilöstölle ei asetus juuri järkytä tavallisen tutkimusasiantuntijan arkea. Tietoja saa edelleenkin käyttää ja hyödyntää tutkimustoiminnassa  ja näytteitä voi ostaa lähes yhtä vapaasti viime kuun alussa. Jos kesäfestareilla tarvitaan makkaran paistoon hygieniapassi ei liene kohtuutonta vaatia, että asiakastietojen ja muiden kuten VRK-tietojen käytössä on selvät  pelisäännöt.  Selvää on, että jos ja kun tutkimusrekistereitä syntyy esim. panelisteista, heillä tulee tulee oikeus tietää mitä tietoa heistä on kerätty ja miten sitä käytetään.  Myös suostumukset asiakastietojen kasvavaan käyttöön on uudistettava ja kirjattava.  Ryntäystä ei ole kuluttajien toimesta  nähty. Bisnoden Matti Rahikan mukaan kyselyitä oli tullut ensimmäisen viikon aikana tasan yksi.

Vaikeuttako tämä businesta?  Kyllä ja ei – toki monien asiakkaiden kanssa joudutaan vääntämään erilaisia puitesopimuksia ja selvittämään auditointi- ja mahdollisia korvausehtoja.  Ylimääräiset hallinnointikulut harvoin parantavat businesta. Arvaan, että etenkin pörssiyhtiöiden juristijoukon edessä  pienen yrityksen GPO voi olla alakynnessä. Vaikuttavampi tekijä lienee tutkimusalan ”uuden öljyn” tutkimustiedon ja muun datan datan – vaikkapa some datan – yhdistämisen hankaloituminen. Plussana näkisin kuten Kantar TNS:n  Asko Hyytiäinen totesi: GDPR tuo alalle läpinäkyvyyttä ja uudenlaista ammattimaisuutta,  joka erottaa jyvät akanaoista tässäkin siassa.

En usko, että kansalaisten into  asioida ja viihtyä verkossa  tai luovuttaa tietojaan tästä hiipuu. Olemme vain lähestymässä sitä takavuosien tutkimusvisiota, jonka mukaan kuluttaja haluaa vastiketta luovuttaessaan tietojaan eri toimijoille  ja näinhän on tapahtumassa yhä enenemässä määrin.  Näyttöjä muuten siitä, että Trump olisi saanut vaalivoiton facebook dataa peukaloimalla ei parinkaan akateemisen tutkijan mukaan ole saatu. Alunperin Hilaryn esikunnan piti tässäkin asiassa olla harpauksen kilpailijaansa edellä.