Tietosuojauudistus: ohjeistukset koskien suostumusta ja läpinäkyvyyttä

Uudet tietosuoja-asetusta koskevat tulkintaohjeet käsittelevät läpinäkyvyyden vaatimusta sekä suostumusta. Ohjeistuksissa on otettu jälleen kerran tiukka linja asetuksen tulkintaan, ja monet laajalti käytössä olevat toimintatavat todetaan yksiselitteisesti riittämättömiksi. EU:n tietosuojaviranomaisten yhteistyöelin "Article 29 Working Party", suomalaisittain tietosuojatyöryhmä, on julkaissut pitkin vuotta ohjeistuksia, joiden on tarkoitus tukea toukokuusta 2018 sovellettavan EU:n yleisen tietosuoja-asetuksen (GDPR) tulkitsemista. Nyt julkaistut ohjeistukset ovat molemmat alustavia versioita ja avoinna kommenteille tammikuun 23. päivä saakka.

1. Suostumus: mission impossible

Suostumusohjeistuksessa käsitellään tietosuoja-asetuksesta löytyviä vaatimuksia pätevälle suostumukselle kohta kohdalta: suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, sen tulee olla helposti peruutettavissa ja rekisterinpitäjän pitää voida osoittaa, että näitä kaikkia edellytyksiä on noudatettu. Lisäksi ohjeistuksessa käsitellään vanhemman lapsensa puolesta antamaa suostumusta ja nimenomaista suostumusta arkaluonteisten henkilötietojen käsittelyperusteena.

Ohjeistus sisältää jonkin verran toistoa aiemmista ohjeistuksista, kuten esimerkiksi suostumuksen vapaaehtoisuutta koskien, että suostumuksen niputtaminen osaksi muiden sopimusehtojen hyväksymistä ei täytä vapaaehtoisuuden kriteeriä. Erityistä huomiota tulee kiinnittää tilanteisiin, joissa henkilötietojen käsittely ei ole välttämätöntä tarjotun palvelun suorittamiseksi. Suostumus henkilötietojen käsittelylle ei tällaisissa tilanteissa saa olla palvelun tarjoamisen edellytys. Vapaaehtoisuuden osalta muistutetaan myös, että erityisesti työelämässä suostumuksen käyttäminen käsittelyn oikeusperusteena on ongelmallista. Tämän lisäksi alle on poimittu kolme erityistä huomiota ansaitsevaa kohtaa.

• Yksilöity suostumus. Tietosuojatyöryhmä toteaa selkeästi, että rekisteröityjen tulisi voida valita, mitä käsittelytarkoituksia varten he suostumuksensa antavat. Tämä tarkoittaa sitä, että käsittelytarkoitukset tulee ylipäätään määritellä riittävällä tarkkuudella, mitä on käsitelty läpinäkyvyyttä koskevassa ohjeistuksessa. Suostumuksen antaminen eri käsittelytarkoituksia varten ei tällä hetkellä monilla rekisterinpitäjillä vielä toteudu. Rekisterinpitäjien olisi tärkeä kartoittaa, mitkä käsittelyn tarkoitukset vaativat suostumusta oikeusperustaksi ja varmistaa, että rekisteröidyt ymmärtävät eri käyttötarkoitukset ja antavat niille suostumuksensa.
• Tietoinen tahdonilmaisu. Suostumusohjeistuksen kenties erikoisin tulkinta koskee tietojen antamista rekisteröidylle suostumusta hankittaessa. Tietosuojatyöryhmä tulkitsee asetusta siten, että suostumuksen yhteydessä tulisi antaa lähestulkoon kaikki samat tiedot kuin artiklan 13 mukaisessa tietosuojaselosteessa, mutta tästä huolimatta kyseessä on erilliset velvoitteet. Tulkintamme mukaan käytännössä on kuitenkin riittävää, että suostumusta pyydettäessä tietosuojaseloste on asetettu selvästi saataville.
• Suostumuksen ilmaiseva teko. Erityisesti sähköisessä ympäristössä tulee kiinnittää huomiota siihen, että suostumuksen voidaan katsoa olevan nimenomainen tahdonilmaisu. Usein tämä toteutetaan rastittamalla ruutu esimerkiksi nettisivulla. Älylaitteiden sovelluksissa voi kuitenkin olla tarpeen miettiä vaihtoehtoisia menetelmiä. Tietosuojatyöryhmän ohjeistuksessa huomioidaan se tietosuoja-asetuksen johdanto-osissakin mainittu lähtökohta, että suostumuspyyntö ei kaikesta huolimatta saisi tarpeettomasti haitata palvelun käyttöä. Tähän tietosuojatyöryhmä toteaa, että jonkinasteinen haitta voi olla tarpeen sen varmistamiseksi, että suostumus varmasti on pätevä. Tämän tietosuojaryhmä kuitenkin jättää rekisterinpitäjien ratkaistavaksi, eikä anna varsinaisia ratkaisuja ongelmaan. Ehdotuksena edellä mainittuun älylaite-ongelmaan ehdotetaan kuitenkin esimerkiksi kameralle vilkuttamista suostumuksen ilmaisemiseksi, mutta uusista esimerkeistä huolimatta tulkintamme mukaan myös perinteisempi rasti ruutuun -menetelmä on edelleen sallittu.

Ja entä vanhat, henkilötietolain alla kerätyt suostumukset? Tähän on kaksi vastausta. Jos vanhat suostumukset täyttävät kaikki tietosuoja-asetuksen vaatimukset, ovat suostumukset edelleen päteviä. Jos suostumukset eivät täytä tietosuoja-asetuksen vaatimuksia, tulee rekisterinpitäjän hankkia uusi suostumus. Esimerkiksi jo se, että rekisterinpitäjä ei pysty osoittamaan hankkineensa suostumuksen tietosuoja-asetuksen vaatimalla tavalla, asettaa vaatimuksen hankkia uusi suostumus.

Lisäksi asiakirjassa mainitaan erikseen, että nyt julkaistun 35-sivuisen paketin lisäksi tietosuojatyöryhmän aikaisemmin julkaisemat ohjeistukset koskien suostumusta (Opinion 15/2011) pätevät edelleen soveltuvin osin.

2. Läpinäkyvyyden periaate

Läpinäkyvyyttä koskevassa ohjeistuksessa selvennetään toisaalta artiklan 12 vaatimuksia siitä, millaista tietosuojaselosteessa olevan tekstin tulee olla ("tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa") ja toisaalta käydään läpi yksittäin artikloissa 13 ja 14 asetettuja vaatimuksia tietosuojaselosteille.

Erityistä huomiota kannattaa kiinnittää ohjeistuksen kappaleisiin 9 ja 11, jotka tiukentavat huomattavasti sitä, kuinka tietosuoja-asetusta tulee tulkita. Näistä ensimmäisessä todetaan, että artikloissa 13 ja 14 mainittujen asioiden lisäksi tietosuojaselosteessa tulisi mainita käsittelyn seuraukset rekisteröidylle – eikä pelkästään "best case"-tilanteet, vaan myös mitä seurauksia käsittelyllä voi pahimmillaan olla rekisteröidylle. Tulkinnan tausta läpinäkyvyyden periaate huomioon ottaen on ymmärrettävissä, mutta tulkinta voidaan myös perustellusti kyseenalaistaa. Käsittelyn seurauksia ei vaadita mainittavan itse tietosuoja-asetuksessa, eikä liene kenenkään intressissä että joka ikinen henkilötietoja hyväksi käyttävä palvelu pelottelee rekisteröityjä identiteettivarkauden vaaroista.

Ohjeistuksen kappaleessa 11 puolestaan otetaan kantaa siihen, millä tarkkuudella käsittelyn tarkoitukset tulisi määritellä tietosuojaselosteessa. Ohjeistuksessa todetaan nimenomaisesti, että seuraavat esimerkit eivät täytä tietosuoja-asetuksen vaatimuksia:

• "Saatamme käyttää henkilötietojasi uusien palvelujen kehittämiseksi" (epäselvää on, mitä nämä palvelut ovat ja kuinka henkilötiedot liittyvät niiden kehittämiseen);
• "Saatamme käyttää henkilötietojasi tutkimustarkoituksia varten" (epäselvää on, millaista tutkimusta tarkoitetaan); ja
• "Saatamme käyttää henkilötietojasi voidaksemme kohdistaa palveluja paremmin" (epäselvää on, mitä kohdistaminen sisältää).

Ohjeistuksessa tarjotut esimerkit ovat tähän mennessä olleet hyvin yleisessä käytössä useissa tietosuojaselosteissa, johtuen pitkälti siitä, että käsittelytarkoituksia on kovin paljon tarkemmin vaikea määritellä. Onkin otettava huomioon, että kyseessä on edelleen tulkintaohje, ei sitova laki. Ohjeistuksessa on kuitenkin erotettavissa sävyeroja ja yllä mainitut esimerkit on selkeästi poimittu käytännön elämästä ja todettu viranomaisten kannan mukaan huonoiksi. Tässä tilanteessa ohjetta on suositeltavaa noudattaa siinä määrin kuin on mahdollista, kun viranomaisten kannanotto on näin selkeä.

Yllä olevien huomioiden lisäksi tietosuojaselosteiden yksittäisistä kohdista on poimittavissa seuraavat asiat:

• Oikeutettu etu. Jos tietosuojaselosteessa on ilmoitettu käsittelyn oikeusperustaksi oikeutetun edun, selosteeseen tulisi sisällyttää myös pääpiirteittäin tiedot siitä, kuinka rekisterinpitäjän ja rekisteröidyn oikeuksia on tässä kontekstissa harkittu.
• Henkilötietojen vastaanottajat. Selosteen tässä kohdassa on lueteltava kaikki rekisterinpitäjät, yhteisrekisterinpitäjät ja henkilötietojen käsittelijät joille tietoja siirretään tai luovutetaan. Tietosuojatyöryhmä suosittelee lähtökohdaksi, että vastaanottajat mainitaan nimeltä. Jos vastaanottajia ei mainita nimeltä, tulee vastaanottajaryhmät määritellä mahdollisimman tarkasti.
• Säilytysajat. Tietosuojatyöryhmä pitää riittämättömänä toteamaa siitä, että tietoja säilytetään niin kauan kuin on tarpeen. Säilytysajat tulisi erotella henkilötietokategorian ja/tai käsittelyn tarkoituksen mukaan.

Summa summarum: mitä ohjeista jäi käteen? Ensinnäkin, jos vain mahdollista, on suositeltavaa käyttää henkilötietojen käsittelyn oikeusperusteena jotain muuta kuin suostumusta. Ohjeistus tiukentaa lain jo ennestään tiukkoja vaatimuksia pätevän suostumuksen hankkimiselle, ja kun ottaa myös huomioon suostumuksen peruutettavuuden, on henkilötietojen käsittely varmemmalla pohjalla, jos siihen soveltuu jokin muu tietosuoja-asetuksen mukainen oikeusperuste. Ja toiseksi, ohjeistuksia on suotavaa lukea kriittisesti, koska kyseessä on kuitenkin suositus. Ohjeista löytyy erittäin hyviä huomioita, mutta myös kannanottoja, jotka määräävät tekemään asioita, joita laissa ei vaadita.

Ohjeistukset löytyvät kokonaisuudessaan englanniksi EU:n komission nettisivuilta.

Lisätietoja saat tietosuojatiimiltämme:
Sakari Halonen, Tobias Bräutigam, Maria Aholainen, Karoliina Kallasvuo ja Milla Keller