Läpinäkyvyyden periaatteen toteuttaminen käytännössä WP29:n hiljattain päivitetyn ohjausasiakirjan valossa

Tietosuojauutiset.fi:n vierailevien kirjoittajien sarjaa jatkaa nouseva tietosuojatähti Kristina Svinhufvud, joka viime aikoina on avustanut Tietosuojauutiset.fi:n toimitustiimiä erilaisissa tietosuojakiireissä myös asiakastoimeksiantojen saralla – sattuneesta syystä näissä asioissa riittää tällä hetkellä tekemistä. Kirjoituksessaan Kristina ruotii EU:n tietosuojaviranomaisista koostuvan työryhmän, WP29:n, aiemmin tässä kuussa julkaistua läpinäkyvyyttä koskevaa ohjausasiakirjaa ja pohtii, edellyttääkö tietosuoja-asetuksen soveltamisen alkaminen informoimisen osalta toimia.

Läpinäkyvyyden periaatteen toteuttaminen käytännössä WP29:n hiljattain päivitetyn ohjausasiakirjan valossa

Tietosuoja-asetuksen siirtymäajan määräpäivän, 25. toukokuuta 2018, lähestyessä monen sähköpostiin on alkanut tupsahdella tietosuojaselosteita ensikädeltä arvioituna ehkä jopa hieman yllättäviltäkin tahoilta. Tietosuoja-asetuksesta johtuva henkilötietojen käsittelyn läpinäkyvyyden vaatimus ja siitä johtuva rekisterinpitäjän informointivelvollisuus lienevät syynä tälle lähiviikkoina odotettavasti vain kasvavalle tietosuojaselosteiden sähköpostivirralle.

Moni rekisterinpitäjä varmasti pohtii parhaillaan, kuinka toukokuun 25. päivään tulisi valmistautua – tuleeko jokaisen rekisterinpitäjän toimittaa tietosuoja-asetuksen mukaisesti päivitetty tietosuojaseloste jokaiselle rekisteröidylle? Alla tästä muutamia huomioita 11.4.2018 hyväksytyn WP29:n läpinäkyvyyttä koskevan ohjausasiakirjan WP260 valossa.

Läpinäkyvyyttä ilmentävää rekisterinpitäjän tiedonantovelvoitetta säännellään olennaisimmilta osin tietosuoja-asetuksen 12-14 artikloissa. Rekisterinpitäjä joutuu ensinnäkin arvioimaan, missä tapauksissa informointivelvollisuus syntyy ja toisaalta, kuinka informointivelvollisuus toteutetaan käytännössä tietosuoja-asetuksen mukaisesti.

Informointivelvollisuuden syntyminen

WP29 ensinnäkin painottaa, että läpinäkyvyyttä koskeva ohjausasiakirja, kuten muutkin WP29:n asiakirjat, on tarkoitettu yleisesti sovellettavaksi jokaiseen rekisterinpitäjään sen toimialasta, teollisuudenalasta tai sitä koskevasta erityissääntelystä huolimatta. Myöskään henkilötietojen käsittelyn oikeusperustalla ei ole läpinäkyvyysperiaatteen soveltumisen kannalta merkitystä ja läpinäkyvyyden periaatetta on toteutettava koko henkilötietojen käsittelyn elinkaaren ajan.

WP29 kehottaakin nykyisiä rekisterinpitäjiä käymään ennen toukokuista määräpäivää läpi kaikki tiedot, jotka on tähän asti toimitettu rekisteröidyille henkilötietojen käsittelyä koskevan informaatiovelvoitteen toteuttamiseksi (tietosuojaselosteet yms.) ja arvioimaan, täyttävätkö jo toimitetut tiedot tietosuoja-asetuksen asettamat vaatimukset. Sikäli kun vaatimukset täyttyvät jo entuudestaan, ei synny erillistä informointitarvetta. Käytännössä lienee kuitenkin harvinaista, että rekisterinpitäjän toimittamat tiedot olisivat jo valmiiksi tietosuoja-asetuksen asettamalla varsin yksityiskohtaista informointia edellyttämällä tasolla.

Mikäli tietoja joudutaan muuttamaan tai täydentämään tietosuoja-asetusta vastaaviksi, rekisterinpitäjän tulee lähtökohtaisesti ilmoittaa muutoksista ja täydennyksistä rekisteröidyille. Ilmoittamisen yhteydessä rekisteröidylle tulisi tehdä selväksi, että muutokset johtuvat tietosuoja-asetuksen asettamista vaatimuksista.

Seuraavaksi on arvioitava, onko muutos olennainen tai huomattava. Mikäli tämä kynnys ei täyty, WP29:n mukaan on riittävää, että tieto muutoksesta saatetaan julkisesti saataville (esim. verkkosivuille). Muussa tapauksessa tieto on toimitettava rekisteröidylle rekisterinpitäjän aktiivisin toimenpitein.

blogi kuva

Olennaisuuden tai huomattavuuden kynnys täyttyy lähtökohtaisesti aina, kun muutos koskee käsittelyn tarkoitusta, tietoa rekisterinpitäjästä tai rekisteröityjen oikeuksien käyttämistä. Kynnyksen ei sen sijaan katsota ylittyvän kirjoitusvirheiden, tyylillisten tai kieliopillisten puutteiden kohdalla. Kynnyksen täyttymistä arvioitaessa on otettava huomioon ainakin muutoksen vaikutus rekisteröityjen oikeuksiin sekä se, kuinka yllättävänä tai ennakoimattomana muutosta on pidettävä rekisteröidyn kannalta.

Tietosuoja-asetuksen myötä rekisteröityjen oikeudet lisääntyvät ja laajentuvat merkittävästi. Näin ollen tuleekin arvioitavaksi, onko rekisteröityjen oikeuksien lisääntymisen ja laajentumisen katsottava olevan sellainen olennainen tai huomattava muutos, joka itsessään laukaisee rekisterinpitäjän informaatiovelvollisuuden. WP29 vaikuttaisi kannanotossaan varovasti kallistuvan tälle linjalle toteamalla, että rekisteröityjen oikeuksien käyttämistä koskeva muutos olisi lähtökohtaisesti aina olennainen tai huomattava muutos. Ohjausasiakirja ei kuitenkaan tarjoa lisätulkintaa siitä, mitä oikeuksien käyttämisellä tässä yhteydessä nimenomaisesti tarkoitetaan.

Informointivelvollisuuden toteuttaminen käytännössä

WP29 toteaa, että se, millä tarkkuudella ja millä konkreettisella tavalla informaatiovelvollisuus toteutetaan, jää rekisterinpitäjän oman harkinnan varaan. Rekisterinpitäjän on kuitenkin pidettävä mielessä, että osoitusvelvollisuusperiaatteen mukaan rekisterinpitäjän on pystyttävä tarvittaessa perustelemaan, miksi valittu tapa toteuttaa informaatiovelvollisuus on tietosuoja-asetuksen mukainen.

Rekisterinpitäjältä edellytettävästä aktiivisuudesta johtuu, että muutoksista on ilmoitettava siten, että useimmat vastaanottajat tosiasiallisesti huomaavat ilmoituksen. WP29 listaa tässä yhteydessä seuraavia konkreettisia esimerkkejä ilmoitusvelvoitteen toteuttamisesta: sähköposti, paperikirje tai verkkosivuille ilmestyvä pop up-ilmoitus. Ilmoituksen tulee nimenomaisesti koskea muutosta, eikä sitä näin ollen tulisi esittää muun markkinointimateriaalin ohessa. Ei myöskään ole riittävää, että rekisterinpitäjä velvoittaa rekisteröidyt tarkistamaan tietosuojaselosteen mahdollisten muutosten varalta. Tällainen käytäntö voitaisiin jopa katsoa tietosuoja-asetuksen 5(1)(a) artiklan nojalla kohtuuttomaksi. Muut WP29:n esiin nostamat konkreettiset keinot eivät sinänsä ole uusia, vaan ne perustuvat aiemmin julkaistuun ohjausasiakirjaan. Näitä muita keinoja on käsitelty yksityiskohtaisemmin taannoisessa blogipostauksessamme, jonka pääset lukemaan täältä.

Yllä esitetyn perusteella vaikuttaa siltä, että sähköpostitse lähetettävä ilmoitus lienee käytännössä helpoimpia ja itsestäänselvimpiä tapoja täyttää rekisterinpitäjälle asetettu velvollisuus ilmoittaa aktiivisesti yllä käsitellyistä muutoksista. Toisaalta, tietosuojaselosteita ei tule kuitenkaan lähetellä huolettomasti sinne sun tänne varmuuden vuoksi. UK:n tietosuojaviranomainen määräsi esimerkiksi hiljattain lentoyhtiö Flybe:lle ja Honda Motor Europe Ltd:lle yhteensä 83 000 puntaa sakkoja lainvastaisten markkinointisähköpostien lähettämisestä. Flybe oli tapauksessa lähetellyt yli 3,3 miljoonaa sähköpostia ihmisille, jotka olivat ilmoittaneet, etteivät he halua vastaanottaa markkinointiviestejä kyseiseltä yritykseltä. Markkinointiviesteissä pyydettiin asiakkaita päivittämään heidän tietoja markkinointimieltymyksiä koskien. Honda Motor Europe Ltd:n lähettämissä viesteissä tiedusteltiin niin ikään vastaanottajien markkinointimieltymyksistä. Honda ei myöskään pystynyt tapauksessa näyttämään toteen, että sähköpostien vastaanottajat olisivat antaneet suostumuksensa tämänkaltaisten markkinointiviestien lähettämiseen.

On kuitenkin pidettävä mielessä, että kyseisissä tapauksissa ei ollut kyse ei-kaupallisesta myynnin edistämiseen tähtäämättömästä asiakasviestinnästä, johon ei lähtökohtaisesti tarvita suostumusta, vaan viesteihin sisältyi markkinointisisältöä. Tapauksista voisikin napata korvan taakse sen neuvon, että tietosuoja-asetuksesta johtuvia informointiviestejä suunniteltaessa on oltava hyvin tarkkana viestien sisällöstä. Markkinointia sisältävän sähköisen viestinnän lähettäminen ilman vastaanottajan etukäteistä suostumusta on vastoin sähköistä viestintää koskevaa sääntelyä.