Kuusi kuukautta tietosuoja-asetukseen – mitä tiedämme nyt?

KomissioHiekka valuu tietosuojan compliance-hankkeiden tiimalaseissa tasaiseen tahtiin, kun henkilötietoja toiminnassaan käsittelevät tahot kiireen vilkkaa varmistelevat toimintojensa tietosuoja-asetuksenmukaisuutta. Tänään tietosuoja-asetuksen soveltamisen alkuun on päivälleen kuusi kuukautta, ja jatkona keväiselle artikkelillensa Tietosuojauutiset.fi palaa tarkastelemaan, missä tietosuojasääntelyn uudistamisesta tällä hetkellä mennään ja mitä aihepiiristä tällä hetkellä tiedetään. Ja nyt seuraa juonipaljastus: ei ratkaisevan paljoa enempää kuin kuusi kuukautta sitten.

Kuluneessa puolessa vuodessa on kuitenkin ehditty ottaa merkittäviä askelia: kuten Tietosuojauutiset.fi kesäkuussa kirjoittikin, julkaisi kansallinen tietosuoja-asetuksen täytäntöönpanotyöryhmä TATTI juhannuksen alla ehdotuksensa tietosuojalakiesitykseksi. Tietosuojavaltuutetun mukaan tavoitteena on  tai ainakin oli  että lausuntovaiheen jälkeen oikeusministeriön käsissä hallituksen esityksen muotoon jalostunut lakiehdotus annettaisiin eduskunnalle syksyllä. TATTI:n ehdotuksen lausuntovaihe päättyikin syyskuun alkupuolella, mutta lopullinen hallituksen esitys antaa yhä odottaa itseään. Kaupungilla onkin liikkunut huhuja, joiden mukaan annettujen lausuntojen määrä ja intensiteetti aiheutti ennakoitua suuremman muutospaineen, ja muutosten pohtimisen vuoksi hallituksen esityksen antamisen aikataulu venyy suunnitellusta jopa vuodenvaihteen yli. Annettuja lausuntoja voi tarkastella oikeusministeriön lausuntopalvelu.fi -palvelussa täällä.

Kansallinen lainsäädäntötyö etenee vaihtelevalla menestyksellä myös muissa EU-jäsenvaltioissa. Baker & McKenzien heinäkuussa julkaisemassa selvityksessä kartoitettiin muutamin kysymyksin niitä kansallisia toimia, joihin kussakin jäsenvaltiossa on ryhdytty tai aiotaan ryhtyä tietosuoja-asetuksen soveltamisen alkamiseen valmistautumisen eteen, sekä sitä, miten kukin jäsenvaltio aikoo käyttää tietosuoja-asetuksen kansallista liikkumavaraa. Selvitys kattaa 28 EU-jäsenvaltiosta kaikki paitsi Kyproksen.

Muista jäsenvaltioista saaduista vastauksista ilmenee, että lähes jokaisessa on ryhdytty jonkinlaisiin kansallisiin valmistautumistoimiin. Jokseenkin yllättävää tosin on, että joistakin, pääasiassa itäeurooppalaisista valtioista sekä esimerkiksi Maltalta kuuluneiden vastausten perusteella kansallisten viranomaisten toimeen ryhtymistä oli vielä ennen kesää saatu odottaa. Kuitenkin useimmissa jäsenvaltioissa tietosuoja-asetuksen kansallisen liikkumavaran käytöstä linjaavat kansalliset lakiesitykset olivat tuolloin joko työn alla tai jo julkaistu. Tietosuojanäkökulmasta synkän historian taakkaa kantava ja siksi tietosuojaan erityisellä vakavuudella suhtautuva Saksa pinkoo jäsenvaltiovertailussa omassa kategoriassaan, sillä maan parlamentti hyväksyi kansallisen, tietosuoja-asetuksen kansallisen liikkumavaran käytöstä säätävän lain jo loppukeväästä. Sittemmin Saksan laista on julkaistu myös englanninkielinen käännös.

”Saksan mallia” lukuisine kansallisine säännöksineen on arvosteltu monimutkaisuutensa vuoksi, ja esimerkiksi Luxemburgin syyskuussa parlamentin käsittelyyn annetussa lakiesityksessä otettiinkin maltillisempi linja kansallisen tietosuojasääntelyn antamisessa. Luxemburgin kansallinen tietosuojalakiesitys sisältää kansallisen tietosuojaviranomaisen toimivallan mukauttamista koskevia säännöksiä ja vain joitakin aineellisoikeudellisia säännöksiä koskien henkilötietojen käsittelyä tiettyihin erityisiin käsittelytarkoituksiin, kuten historiallisen ja tieteellisen tutkimuksen sekä tilastollisiin tarkoituksiin.

Kansallisen tietosuojalakiesityksen parlamenttikäsittelyn lisäksi Luxemburgista on hiljattain kuulunut muitakin tietosuojauutisia, nimittäin EU-tuomioistuimen julkisasiamies Yves Bot’n kuukauden takainen ratkaisuehdotus asiassa C-210/16. Kyseinen ratkaisuehdotus koskee saksalaisen alueellisen tietosuojaviranomaisen ja koulutusyhtiö Wirtschaftsakademie Schleswig-Holstein GmbH:n välistä kiistaa. Ennakkoratkaisupyynnön keskiössä on kysymys saksalaisen tietosuojaviranomaisen Wirtschaftsakademieta koskevan kieltopäätöksen laillisuudesta tilanteessa, jossa Facebookissa fanisivua pitävän Wirtschaftsakademien ei katsottu olevan fanisivulla vierailuista kertyville henkilötiedoille rekisterinpitäjä ja jossa tietojen rekisterinpitäjäksi katsottu taho (Facebook Ireland) sijaitsee toisessa jäsenvaltiossa.

Julkisasiamiehen ratkaisuehdotus on merkityksellinen monestakin syystä, eikä vähiten siitä, että se näyttäisi päätyneen laajentamaan rekisterinpitäjän käsitettä. Saksalaiset oikeusasteet olivat tulleet siihen lopputulokseen, että ilman tosiasiallisia vaikutusmahdollisuuksia Facebookin toteuttamaan henkilötietojen käsittelyyn, Wirtschaftsakademie ei ole rekisterinpitäjä niiden tietojen osalta, joita Facebook kerää Wirtschaftsakademien fanisivun kävijöistä. Julkisasiamies kuitenkin näki asian toisin: Wirtschaftsakademieta on pidettävä yhteisvastuullisena rekisterinpitäjänä käsittelyn sen vaiheen osalta, jossa Facebook kerää fanisivulla kävijöiden henkilötietoja. Mahdollistamalla fanisivulla vierailijoiden henkilötietojen käsittelyn, Wirtschaftsakademie osallistuu Facebookin toteuttamaan järjestelmään ja hyväksymällä ”— henkilötietojen käsittelyn keinot ja tarkoituksen, sellaisina kuin Facebook on määrittänyt ne etukäteen, sen on katsottava osallistuvan niiden määrittelemiseen” (ratkaisuehdotuksen kohta 56).

Tällä tavoin perusteltuna rekisterinpitäjän määritelmän kyllä voisi nähdä täyttyvän, mutta kysymys Wirtschaftsakademien tai muun sosiaalisen median fanisivun hallinnoijan rekisterinpitäjyydestä tällaisessa tapauksessa on ilmeisen kaksijakoinen. Yhtäältä vaakakupissa painaa julkisasiamiehen näkemys siitä, että päätöksillään perustaa fanisivu Facebookiin ja ottaa Facebookin tarjoama kävijäanalyysityökalu käyttöön, fanisivun hallinnoija mahdollistaa fanisivulla kävijöiden henkilötietojen käsittelyn ja siten osallistuu henkilötietojen käsittelyn keinojen ja tarkoituksen määrittelyyn. Toisaalta tiedot, jotka fanisivun hallinnoija saa Facebookin kävijäanalyysityökalun avulla, ovat anonyymejä tilastotietoja, ja siksi rekisterinpitäjän määritelmän ulottaminen myös fanisivun hallinnoijaan tällaisessa tapauksessa tuntuu menevän melko pitkälle.

Näinkin perustavanlaatuisten kysymysten selkeä linjaaminen on tarpeen, ja soveltamisohjeistusta ilman muuta kaivataan. Vaikka minkään ohjeistuksen ei voida katsoa EU-tietosuojan saralla olevan kiveen kirjoitettua kuin vasta nuijan heilahdettua Luxemburgin istuntosalissa, on WP29 pyrkinyt vastaamaan joihinkin askarruttaviin kysymyksiin ja julkaissut viime aikoina ahkerasti uusia ohjausasiakirjoja ja -luonnoksia. Lokakuun alussa lopullisen muotonsa sai tietosuojan vaikutustenarviointia (DPIA) koskeva ohjausasiakirja WP248, ja päivänvalon näkivät ensi kertaa henkilötietojen tietoturvaloukkauksia (WP250) sekä automatisoituja yksittäispäätöksiä ja profilointia (WP251) koskevat ohjausasiakirjaluonnokset. Perusteellisesta artiklojen tavaamisesta huolimatta etenkään mainitut ohjausasiakirjaluonnokset eivät kuitenkaan anna juurikaan sellaista lisätietoa, jota artikloista ei itsenäisellä päättelyllä olisi voinut saada irti. Huomiota tosin herättää esimerkiksi henkilötietojen tietoturvaloukkauksia koskevan ohjausasiakirjaluonnoksen sivulla 11 esitetty toteamus siitä, että myös rekisterinpitäjän voidaan katsoa saaneen tietoturvaloukkauksen tietoonsa silloin, kun tämän käyttämä henkilötietojen käsittelijä on saanut tietoturvaloukkauksen tietoonsa. Tällainen tulkinta asettaa rekisterinpitäjälle paineita laatia yhä täsmällisempiä sopimusvelvoitteita henkilötietojen käsittelijöiden kanssa.

No entäpäs sitten ne hallinnolliset sakot tuo monien toimijoiden kavahtama sanktiouutuus ja tietosuoja-asiantuntijoiden oman palvelutarjontansa myynninedistämisen mielikeino? Kauaa ei ollut edellä mainittujen ohjausasiakirjojen ja -luonnosten julkaisusta kulua, kun WP29 esitti kansallisille tietosuojaviranomaisille kohdistetun näkemyksensä hallinnollisten sakkojen määräämisestä (WP253). Korostettuaan ensin myös muiden sanktioiden olemassaoloa, WP29 esittää tietosuojaviranomaisille kriteeristön, jota tulee soveltaa niin sakon määräämisestä päättämisessä kuin sakon suuruutta määritettäessä. Sakoista puhuttaessa on kuitenkin hyvä muistaa myös tietosuojavaltuutetun liputtama huomio siitä, että sakoilla pelottelu on ”lyhytnäköistä kerman kuorintaa” ja useissa tapauksissa tarpeetonta: WP29:nkin esittämällä tavalla sakkojen rapsahtaminen ei ole mikään automaatio. Sakkojen osalta tosin kysymyksiä on vielä auki kuten se, voidaanko määrätä tuplasakot tilanteessa, jossa oikeudenloukkaus rikkoo sekä yleistä tietosuoja-asetusta että sähköisen viestinnän tietosuoja-asetusta, mutta asiat selkeytynevät ajallaan.

Kaikkiin kysymyksiin ei ehditä saada vastauksia seuraavan puolen vuoden aikana, mutta onneksi kuitenkin suurin osa tietosuoja-asetuksen velvoitteista on yksiselitteisiä. Lisäksi tietosuoja-asetuksen riskiperusteinen lähestymistapa joustavoittaa henkilötietoja käsitteleviin toimijoihin kohdistuvia vaatimuksia. Tämä mahdollistaa sen, että oman toiminnan kriittisen arvioinnin, selkeiden lainvastaisuuksien korjaamisen ja riittävien (dokumentoitujen) perustelujen avulla pääsee jo pitkälle, ja tietosuoja-asetuksen voi siten toivottaa tervetulleeksi rauhallisin mielin.