Vuosi tietosuoja-asetukseen – Mitä tiedämme nyt?

LakikirjatEU:n yleinen tietosuoja-asetus astuu voimaan päivälleen vuoden päästä. Vuoden päästä keskiyöllä tietosuojakentällä otetaan ei vain eurooppalaisittain, vaan myös laajemmin, historiallinen askel, kun sovellettavaksi tulee EU-tasoinen sääntelyinstrumentti, joka vaikuttaa lähes jokaisen EU-alueella toimivan organisaation toimintaan. Tietosuojauutiset.fi on koonnut tähän kirjoitukseen muutamia huomioita siitä, mitä tietosuoja-asetuksesta tiedetään EU-tasoisen ja kansallisen ohjeistuksen valossa nyt, kun valmistautumisaikaa on jäljellä vuoden päivät.

Usean EU-jäsenvaltion tietosuojaviranomaiset ovat antaneet kansallista tulkintaohjeistusta tietosuoja-asetuksesta ja siihen valmistautumisesta. UK:n Information Commissioner’s Office (ICO) on hyvä esimerkki kansallisesta viranomaisesta, joka on onnistunut riisumaan tietosuoja-asetuksen säännökset turhasta lakijargonista ja osannut antaa näiden perusteella käytännönläheistä ja soveltavaa ohjeistusta. Malliesimerkki ICO:n käytännönläheisestä ohjeistuksesta on suostumusta koskeva ohjeistusluonnos, jonka lopullisen version julkaisua on suunniteltu kesäkuulle. Lausuntokierroksella ohjeistusluonnos tosin sai yleisöltä osakseen tyytymätöntäkin palautetta, jonka mukaisesti ohjeistus ontuu sääntelyn ohjaamiseen vaadittavalta selkeyden tasoltaan.

Jos ICO onkin saanut palautetta annetun ohjeistuksen selkeyden tason puutteesta, ollaan Suomessa vielä takamatkalla ohjeistuksen antamisessa ylipäätään. Suomessa viranomaistahot ovat toistaiseksi pitäneet asiassa melko matalaa profiilia, ja annettu viranomaisohjeistus rajoittuu valtiovarainministeriön alaisen VAHTIn vuodentakaiseen julkaisuun EU:n tietosuojan kokonaisuudistuksesta ja Tietosuojavaltuutetun ja oikeusministeriön yhteistyössä laatimaan, alkuvuonna julkaistuun oppaaseen tietosuoja-asetukseen valmistautumisesta. Näistä etenkin viimeksi mainittu on tosin loistava lähinnä käytännönläheisen soveltamisohjeistuksen puutteessaan, ja opas tyytyykin pelkästään copy-pastaamaan tietosuoja-asetuksen säännöksiä.

Oman jännitysmomenttinsa Suomessa toimivien organisaatioiden valmistautumistoimiin tuo oikeusministeriön henkilötietojen suojaa koskevan lainsäädännön tarkistamista pohtivan työryhmän tuleva näkemys kotimaisen tietosuojalainsäädännön tulevaisuudesta. Työryhmän tulee saada hallituksen esitykseen laadittu mietintönsä lainsäädännön muutosehdotuksista valmiiksi tämän kuun loppuun mennessä. Tietosuojauutiset.fi:n saamien tietojen mukaan tietoja siitä, mikä ylipäänsä on säädösympäristömme jatkossa, saadaan odottaa vielä kesäkuulle. Odotuksena on, että lakiesitys menee eduskunnan käsiteltäväksi syksyllä ja astuu voimaan toukokuussa 2018.

Lainsäädännön tarkistaminen on epäilemättä aikaa vievää puuhaa (Suomessa henkilötietojen käsittelyä koskevia säännöksiä löytyy jopa noin 1000 eri laista ja asetuksesta!), mutta yksittäisen henkilötietoja käsittelevän organisaation näkökulmasta aikataulu voi olla haastava. Ottaen huomioon sen, että vasta tietosuoja-asetus on pakottanut monet henkilötietoja käsittelevät toimijat pohtimaan tietosuoja-asioitansa ensimmäistä kertaa, voi tarvittavien järjestelmä- ja toimintatapojen muutosten toteuttaminen olla melkoinen ponnistus. Esimerkiksi yksistään järjestelmämuutosten suunnittelu- ja toteutustyössä saattaa itsessään, riippuen käytössä olevista järjestelmistä, niiden iästä, toiminnallisuuksista ja määrästä, vierähtää lähes pari vuotta, ja jos työn aloittamista lykätään kesälomien jälkeiselle ajalle, (mikä useimmissa organisaatioissa lienee realismia, jos riittävät tiedot tarvittavista muutoksista saadaan vasta juuri ennen kesälomille kirmaamista,) ollaan asiassa auttamatta myöhässä.

Painetta valmistautumisessa kiirehtimiselle lisää tietysti epätietoisuus hallinnollisten sanktioiden asettamisen tulevista käytännöistä. Viimeaikainen eurooppalainen liikehdintä tietosuojapuutoksista armotta rokottamiselle (esimerkiksi tämä tapaus Italiasta) kielii siitä, että helpotuksia sakkojen asetukselle ei liene tiedossa edes asetuksen soveltamisajan alussa. Tietosuojauutiset.fi on kuulostellut tarkalla korvalla kotimaisten viranomaisten mielipiteitä laillisuusvalvonnan toteuttamisesta ja sen seurauksena mahdollisesti esiin tuleviin puutteisiin puuttumisesta. Saatujen tietojen mukaan tietosuojavaltuutettu ainakin valmistautuu jo laillisuusvalvonnan toteuttamiseen ja suunnittelee laillisuusvalvonnan kohdistamis- ja toteuttamistapoja.

Matka tietosuojalainsäädännön soveltamiskäytäntöjen yhtenäistämiseen yleisemminkin on vielä pitkä olkoonkin, että myös EU-tasoista tulkintaohjeistusta saadaan kiihtyvällä tahdilla. EU:n tietosuojaviranomaisista koostuva työryhmä WP29 tekee jatkuvasti töitä soveltamiskäytännön yhtenäistämisen eteen antamalla lausuntoja ja mietintöjä EU:n tietosuojalainsäädännön tulkitsemisesta. Lausuntojen ja mietintöjen ei-sitovasta luonteesta huolimatta niistä on saatu arvokas lähtökohta sallittujen tulkintojen etsimiselle, ja itseasiassa tietosuoja-asetus itsessäänkin heijastelee varsin paljon WP29:n vuosien mittaan antamaa tulkintaohjeistusta. Työryhmän tulkintakannanottojen rooli jatkossa on kuitenkin hiukan aiempaa epäselvempi, sillä EU-komission osoittama erimielisyys työryhmän rekisteröidyn tietojen siirtoa koskevan data portability -oikeuden tulkintaa kohtaan on aiheuttanut jonkinasteisen kolauksen työryhmän arvovallalle. Annettu kritiikki kohdistuu työryhmän näkemykseen tietojensiirto-oikeuden piiriin kuuluvista tiedoista, sillä työryhmän näkemys näyttäisi aggressiivisesti laajentavan lainsäätäjän alkuperäistä tarkoitusta siitä, mitä rekisteröidyn tietoja siirto-oikeuden piiriin kuuluisi. Työryhmä nimittäin katsoo, että rekisteröidyn rekisterinpitäjälle ”toimittamiin” tietoihin lukeutuisivat myös rekisterinpitäjän rekisteröidyn toimia seuraamalla keräämät tiedot, esimerkiksi ns. clickstream-data, minkä näkemyksen voidaan perustellusti katsoa laajentavan tulkintaa artiklan sanamuodosta.

Mutta jos WP29 antaakin laajentavia tulkintoja, niin kyllä laajojen tietosuojaa koskevien tulkintojen antamisessa on kunnostauduttu muissakin EU:n toimielimissä. Esimerkiksi EU-tuomioistuimen tuomiossa tapauksessa C-582/14 (Breyer) henkilötiedon käsitteen laajuus kasvoi entisestään kun tuomioistuin selvensi henkilötiedoiksi katsottavan myös dynaamiset IP-osoitteet tilanteessa, jossa henkilön tunnistamiseksi tarvittavat lisätiedot ovat täysin ulkopuolisen kolmannen tahon hallussa. Tuomio ei sinänsä ollut yllättävä ottaen huomioon sen, että tuomioistuin on jo tapauksissa C-293/12 (Digital Rights Ireland) ja C-131/12 (Google) antamistaan tuomioista lähtien ottanut asiakseen aktiivisesti ajaa tietosuoja-asetuksen henkeä, mutta henkilötiedon käsitteen näin laaja tulkinta edellyttää organisaatioilta yhä suurempaa herkkyyttä pohdittaessa sitä, käsitelläänkö niiden toiminnassa henkilötietoja.

EU-tuomioistuin on muutenkin osoittanut reippautta korostaessaan tietosuojaperusoikeuden merkitystä rikkaassa tietosuojaoikeuskäytännössään, ja tehnyt selväksi sen, että puutteistaan huolimatta myös henkilötietodirektiivi on taipunut melko ketterästi yhä uusien tietosuojakysymysten tarpeisiin. Tuomioistuimen viimeisin tietosuojaa koskeva, tämän kuun alussa annettu tuomio tapauksessa C-13/16 (Rigas), valottaa tuomioistuimen kantaa ns. oikeutetun edun tulkintaan henkilötietojen käsittelyperusteena. Vaikka tuomion oikeusohje rajoittuukin kolmannen oikeutetun edun tulkintaan siltä osin, saattoiko viranomainen luovuttaa henkilötietoja niitä vaativalle kolmannelle vahingonkorvauskanteen nostamista varten (ja vaikka tietosuoja-asetus poistaa viranomaisilta mahdollisuuden ylipäänsä käyttää oikeutettua etua henkilötietojen käsittelyperusteena), on oikeutettuun etuun annettuihin tulkintaratkaisuihin ainakin meillä Suomessa hyödyllistä tutustua, sillä meillä oikeutettua etua ei ole käsittelyperusteena sellaisenaan laajasti sovellettu. Suomalainen lainsäätäjä on nimittäin toteuttanut henkilötietodirektiivin 7 f) artiklan implementoinnin täsmentämällä niitä henkilötietojen käsittelyn tilanteita, joissa oikeutettu etu voi olla kyseessä (Henkilötietolain 8.1 §:n 5 – 9 momentit). EU-tuomioistuin on tosin tapauksessa C-268/10 (ASNEF) antamassaan tuomiossa todennut, että oikeutetulla edulla on ns. välitön oikeusvaikutus jokaisessa jäsenvaltiossa, minkä tuomion vuoksi voidaan pohtia sitä, onko suomalaisittain implementoitu oikeutetun edun käsittelyperuste alun perinkään ollut täysin EU-oikeuden mukainen.

Jos henkilötietodirektiivi onkin mahdollistanut laveaa tulkintaa, on se kuitenkin sisältönsä ja sanamuotojensa puolesta hiukan vanhanaikainen, sillä se lähtenyt 90-luvun tarpeista, eikä säännöksiä laadittaessa (henkilö)tietojen käsittely ollut laisinkaan niin innovatiivista ja kansainvälistä kuin nykyisin. Etenkin direktiivin vanhempi tulkintakäytäntö heijastelee vanhentuneisuutta, kuten EU-tuomioistuimen reilun vuosikymmenen takainen näkemys siitä, että valokuvien tai muiden tunnistettavissa olevaa henkilöä koskevien tietojen käsittely sinänsä yksityisiin tarkoituksiin kuuluisi henkilötietojen käsittelyä koskevan lainsäädännön piiriin, mikäli tiedot tallennetaan kaikille avoimelle internetsivustolle (tuomio tapauksessa C-101/01, Bodil Lindqvist). Tietosuoja-asetuksen johdanto-osan kappaleessa 18 todetaankin nyt nimenomaisesti, että jatkossa tilanne on toinen. Toisaalta esiin on jo noussut kysymyksiä, joihin tietosuoja-asetuskaan ei anna täysin tyydyttävää vastausta ja joihin vastauksen löytyminen ei edes ole ihan yksinkertaista. Esimerkkinä tällaisista kysymyksistä voidaan esittää erilaisten tekoälysovellutusten avulla tehtävä henkilötietojen käsittely, jossa tekoälyn toteuttama käsittely voi olla hyvinkin itsenäistä, mikä herättää kysymyksen siitä, mikä taho tällaisessa tapauksessa on rekisterinpitäjä eli mikä taho tosiasiassa ”määrittelee henkilötietojen käsittelyn tavat ja keinot”.

Tietosuojauutiset.fi:n toimitustiimi on huomioinut, että tietosuojakysymysten ympärillä käy valtava kuhina, ja tietosuoja-asiat nousevat asiakastoimeksiannoissa esille kiihtyvällä tahdilla. Joskus tietosuojakysymykset saattavat näytellä pääroolia yllättävämmissäkin yhteyksissä. Esimerkiksi erään yrityskaupan allekirjoitusta hiersi loppumetreille saakka erimielisyys tietosuojaa koskevien vastuiden jaosta. Lontoossa lakimiesten yleinen huoli on, että tietosuojasta tulee kauppapoliittinen lyömäase Brexit-neuvotteluissa: jos Englanti haluaakin rajoittaa ihmisten vapaata liikkuvuutta, Englannilla ei ole vara jäädä datan vapaan liikkuvuuden ulkopuolelle. Kuka olisi vielä muutama sitten vuosi uskonut, että tietosuoja nousee merkitykseltään tällaisille tasoille! Nykyhetki lieneekin historian mielenkiintoisinta aikaa tietosuoja-asioista kiinnostuneen juristin näkökulmasta nyt, kun edessä avautuu aitiopaikka maailman valtavasta digitaalisesta muutoksesta aiheutuvien lainopillisten seurausten tarkasteluun ja mahdollisuus päästä ratkaisemaan kysymyksiä, joita kukaan ei jotakin vuosia takaperin edes osannut kysyä. Tietosuojauutiset.fi:n toimitustiimi jatkaakin innokkaana aihepiirin äärellä sekä asiakastoimeksiannoissa että blogin puolella.