Oikeutettujen rekisterinpitäjien esiinmarssi – Tietosuoja-asetuksen ”legitimate interest”-käsittelyperusteesta

Oikeutettujen rekisterinpitäjien esiinmarssi – Tietosuoja-asetuksen ”legitimate interest”-käsittelyperusteesta

Aktiivisesta lukijakunnastamme on tuullut pyyntöjä eri aiheiden käsittelystä. Kuuntelemme pyyntöjä herkällä korvalla ja pyrimme mahdollisuuksien (ja mielenkiinnon) mukaan toteuttamaan näitä lukijatoiveita. Tämän kirjoituksen idea tuli lukijaltamme. Tietosuoja-asetuksen ”legitimate interest”-käsittelyperusteeseen on kaivattu selvennystä.

Suomessa on perinteisesti ajateltu, että lainsäätäjä yksin, eksplisiittisesti ja täydellisesti määrittelee milloin henkilötietojen käsittely on oikeutettua. Käsittelyn oikeutus on siten perustunut keskeisesti henkilötietolakiin ja noin 500 – 600 erityislakiin. Monessa eurooppalaisessa valtiossa on kuitenkin katsottu, että näiden lisäksi on tarpeen myös säätää henkilötietojen käsittelylle erityinen peruste tilanteeseen, jossa rekisterinpitäjällä tai sillä, jolle tiedot luovutetaan, on ”oikeutettu etu” (”legitimate interest”) käsittelyyn. Tästä traditiosta, sekä aikaisemman henkilötietodirektiivin 7(f) artiklasta, uuteen EU:n tietosuoja-asetukseen periytyi 6(1)(f) artikla.

Artikla toteaa lyhykäisyydessään, että henkilötietojen käsittely on lainmukaista milloin ”käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi”.

Maissa joissa vastaava pykälä on sisältynyt myös asetusta edeltävään lainsäädäntöön, on muotoutunut tulkintakäytäntö jossa ”oikeutetulle edulle” on annettu rajat, jonka harmaa alue on ympäröinyt. Asetuksen tullessa sovellettavaksi, on odotettavissa, että Euroopan unionin tuomioistuin tulee katsomaan, että ”oikeutettu etu” on unionin oikeuden käsite jota pitää tulkita samalla tavalla kautta unionin.

Kestää kuitenkin aikansa ennen kuin arjen ristiriidat ovat Luxemburgissa kokeneet ennakkoratkaisupyyntöjen ratkaisuissa metamorfoosin oikeusohjeiksi. Mistä rekisterinpitäjä tässä välissä hakee tukea oikeutukselleen?

Artiklan tulkinnan kannalta keskeisiksi muodostuvat seuraavat kysymykset:

  1. Mikä etu on oikeutettu?
  2. Milloin rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut?

Asetuksen tulkintaa ohjaavista resitaaleista (esim. 47) opimme, että eurooppalainen lainsäätäjä on erityisesti ajatellut, että oikeutettu etu voi liittyä esimerkiksi rekisteröidyn ja rekisterinpitäjän merkitykselliseen ja asianmukaiseen suhteeseen. Oikeutettua etua ei pitäne tulkita turhan suppeasti ja asetuksessa todetaankin nimenomaisesti , että esimerkiksi suoramarkkinointitarkoituksessa tapahtuva käsittely voidaan katsoa suoritettuna oikeutetun edun toteuttamiseksi.

Hieman ristiriitaisesti todetaan myös, että oikeutetun edun olemassaoloa pitäisi arvioida muun muassa sen kautta, voiko rekisteröity kohtuudella odottaa henkilötietojen keruun ajankohtana ja sen yhteydessä, että näitä voidaan käsitellä tätä tarkoitusta varten. Tällainen pohdinta soveltuisi kuitenkin luonnollisemmin osaksi harkintaa rekisterinpitäjän käsittelyperusteen syrjäyttävistä rekisteröidyn oikeutetuista eduista. Ei voitane ajatella, että rekisterinpitäjän oikeutettu etu olisi riippuvainen siitä pystyikö rekisteröity kohtuudella näkemään tämän ennalta.

Vaikka vanhan direktiivin tulkintaa ei suoraan voida pitää soveltuvana uuden asetuksen osalta, jonkinlainen kompassisuunta siitä voidaan kuitenkin hakea. Tietosuoja-viranomaisten työryhmä Working Party 29 (”WP29”) onkin tulkinnut aikaisemman direktiivin mukaista ”oikeutetun intressin” mukaista perustetta laajassa lausunnossaan ja tämä lausunto antaa arvokkaan lähtökohdan myös uuden 6(1)(f) artiklan analyysille.

WP29 korostaa lausunnossaan, että direktiivin 7(f) artiklaa ei pidä nähdä viimekätisenä käsittelyperusteena, muttei myöskään ymmärtää automaattiseksi käsittelyperusteeksi kaikkiin tilanteisiin joissa rekisterinpitäjällä on perusteltu intressi henkilötietojen käsittelyyn. Lausunto asettaa tulkinnan lähtökohdaksi rekisterinpitäjän ja rekisteröidyn etujen punninnan. Punninta ei kuitenkaan ole suoraviivaista kilpailevien intressien vastakkain asettamista, vaan sen pitää huomioida kaikki asiaan vaikuttavat näkökohdat. Keskeisiksi punnintaan vaikuttaviksi näkökohdiksi WP29 katsoi muun muassa:

  1. oikeutetun intressin lähteen ja luonteen, ja erityisesti onko kyseessä perusoikeuden turvaamiseksi suoritetusta käsittelystä tai on muutoin yleisen edun mukaista;
  2. käsittelyn vaikutus rekisteröityyn, rekisteröidyn perustellut odotukset tietojen käytöstä, sekä tietojen luonteen; ja
  3. käsittelyyn kohdistuvat toimenpiteet jotka suojaavat rekisteröidyn etuja (kuten esimerkiksi tietoturvanäkökohdat).

Kotimaisista lähteistä jonkinlaista tulkinta-apua (tai ainakin inspiraatiota) saataneen tietosuojalautakunnan ratkaisukäytännöstä. Tietosuojalautakunnan lupa onkin toiminut varaventtiilinä tilanteissa, joissa henkilötietojen käsittely on ollut perusteltua esimerkiksi yleisen edun kannalta, mutta erityinen laintasoinen käsittelyperuste on puuttunut. Valaisevana esimerkkinä tästä on ”Google Street View” palvelu, jossa henkilötietojen käsittely Suomessa perustui yhtiön oikeutetun edun nojalla annettuun Tietosuojalautakunnan päätökseen.

Oikeutettu etu jääkin käsittelyperusteena suurta herkkyyttä vaativaksi tulkintalajiksi. Tähän perusteeseen turvautuvan rekisterinpitäjän kannattanee tehdä huolellinen kokonaisarvio jossa arvioidaan myös vaihtoehtoisia käsittelyperusteita. Kuitenkin esimerkiksi suoramarkkinointia hyödyntävät tahot tulevat varmasti ottamaan perusteen omakseen kun suoramarkkinointiin erikseen resitaalissa 47 viitataan. Toisaalta kokonaisarviossa monella rekisterinpitäjällä varmasti painaa myös esimerkiksi se, että tässäkin blogissa käsitelty asetuksen 20 artiklan mukainen ”data portability” oikeus ei kohdistu asetuksen 6(a)(f) perusteella toteutettavaan käsittelyyn. Toisin sanoen, mikäli henkilötietoja käsitellään ”legitimate interest” perusteella, rekisteröidyllä ei ole oikeutta pyytää tietojen siirtoa suoraan toiselle käsittelijälle.

Tietosuojauutiset.fi jää mielenkiinnolla odottamaan ensimmäisiä viitteitä siitä mihin suuntaan tietosuoja-asetuksen tulkinta tältä osin lähtee muotoutumaan.