Päivitetty: 7. kesäk. 2023
Euroopan Unionin tuomioistuin katsoi 19.10.2016 antamassaan ratkaisussa C-582/14, että verkkosivuston käyttäjän dynaaminen IP-osoite on verkkosivuston ylläpitäjään nähden henkilötieto, jos kyseisellä verkkosivuston ylläpitäjällä on käytettävissään oikeudelliset keinot, joiden perusteella se voi tunnistaa kyseisen henkilön sellaisten lisätietojen avulla, jotka ovat käyttäjän internetyhteyden tarjoajan käytettävissä.
Useimmat verkkosivustot tallentavat kaikki sivuston käynnit lokitietoihin. Tietoihin tallennetaan käynnin päätyttyä haetun sivuston tai tiedoston nimi, hakukentissä käytetyt hakusanat, käynnin päivämäärä ja kellonaika, siirrettyjen tietojen määrä, ilmoitus sivustolle pääsyn onnistumisesta ja sen tietokoneen IP-osoite, jolta sivustolle on pyritty. Perinteisesti on katsottu, että dynaaminen IP-osoite eli IP-osoite, joka vaihtuu jokaisen uuden internetyhteyden ottamisen myötä, ei muodosta henkilötietoa, sillä verkkosivuston ylläpitäjällä ei ole käytettävissään tietoja dynaamisen IP-osoitteen liittämiseksi yksittäiseen päätelaitteeseen tai käyttäjään. Vain sivullisella, eli verkkoyhteyden tarjoajalla, on käytettävissään tunnistamiseen tarvittavia lisätietoja.
Henkilötiedoilla tarkoitetaan tietosuoja-asetuksen mukaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella. Jotta voidaan määrittää, onko luonnollinen henkilö tunnistettavissa, olisi otettava huomioon kaikki keinot, joita joko rekisterinpitäjä tai muu henkilö voi kohtuullisen todennäköisesti käyttää mainitun luonnollisen henkilön tunnistamiseen suoraan tai välillisesti, kuten kyseisen henkilön erottaminen muista.
Tuomiossa todettiin, että dynaaminen IP-osoite ei ole ”tunnistettua luonnollista henkilöä” koskeva tieto, koska tällaisesta osoitteesta ei käy suoraan ilmi, kenelle luonnolliselle henkilölle tietokone, jolta internetsivustolla on käyty, kuuluu, eikä tällainen osoite paljasta suoraan muun mahdollisesti tätä tietokonetta käyttävän henkilön henkilöllisyyttä. Dynaamista IP-osoitetta voidaan kuitenkin pitää ”tunnistettavissa olevaa luonnollista henkilöä” koskevana tietona, koska on olemassa laillisia keinoja, joiden avulla verkkosivuston ylläpitäjä voi kääntyä erityisesti kyberhyökkäystilanteessa toimivaltaisen viranomaisen puoleen, jotta tämä ryhtyy tarvittaviin toimiin näiden tietojen hankkimiseksi internetyhteyden tarjoajalta ja käynnistää rikosoikeudellisen menettelyn. Toisin sanoen, verkkosivuston ylläpitäjällä on käytettävissään kohtuullisesti toteutettavissa olevat keinot rekisteröidyn tunnistamiseksi tallennettujen IP-osoitteiden perusteella muiden tahojen eli toimivaltaisen viranomaisen ja internetyhteyden tarjoajan avulla. Jos taas rekisteröidyn tunnistaminen ei ole käytännössä toteutettavissa, koska se veisi suhteettomasti aikaa ja aiheuttaisi suhteettomasti kustannuksia ja työtä, kyse ei olisi henkilötietojen käsittelystä. Arviointi on näin ollen tehtävä tapauskohtaisesti.
Vaikka tuomioon sovellettiin henkilötietodirektiiviä, on tietosuoja-asetuksen määritelmä verrattain samanlainen kuin sitä edeltävän henkilötietodirektiivin. Tietosuoja-asetuksen henkilötiedon määritelmässä uutta on eksplisiittinen viittaus verkkotunnisteisiin sekä sen korostaminen, että epäsuoraan tunnistamiseen riittää henkilön erottelu muista. Tämä laaja henkilötiedon määritelmä – joka saanee yllä kuvatusta tuomiosta yhä vahvistusta – tulee ottaa huomioon valmistautuessa tietosuoja-asetuksen voimaantuloon. Käytännössä se tarkoittaa, että suuri osa yritysten liiketoiminnasta on tietosuoja-asetuksen piirissä, ja aikaisempi argumentti siitä, että yritys käsittelee vain laitteisiin liitettäviä anonyymeja tietoja, ei ole enää yhtä laajalti käytettävissä.
Rekisterinpitäjien kannalta hyvä asia on, että tuomiossa vahvistettiin myös se, että rekisterinpitäjällä voi olla oikeutettu etu tietojen käsittelyyn mm. sivustojen turvallisuuden ja toiminnan jatkuvuuden takaamiseksi, ja arvioitu Saksan lainsäädäntö, joka korosti suostumusta tietojen käsittelyyn, oli tältä osin liian rajoittava.
Lisätietoja asiasta antaa Anna Paimela.
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Päivitetty: 7. kesäk. 2023
Euroopan komissio hyväksyi heinäkuussa EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn, joka mahdollistaa eurooppalaisten yritysten siirtää EU-kansalaisten henkilötietoja Yhdysvaltoihin. Tällä viikolla, 1.8.2016, Yhdysvaltain kauppaministeriö avasi verkkopalvelun (www.privacyshield.gov), jonka kautta yhdysvaltalaiset yritykset voivat sertifioida itsensä ja sitoutua noudattamaan järjestelyn ehtoja.
Järjestely tuo mukanaan tiukemmat tietosuojastandardit, joiden noudattamista valvotaan aiempaa paremmin. Järjestelmä perustuu seuraaviin periaatteisiin:
Tiukat velvoitteet tietoja käsitteleville yrityksille: Uudessa järjestelyssä Yhdysvaltojen kauppaministeriö suorittaa järjestelyyn osallistuvia yrityksiä koskevia säännöllisiä päivityksiä ja tarkasteluja sen varmistamiseksi, että yritykset noudattavat sääntöjä, joihin ne ovat sitoutuneet. Jos yritykset eivät noudata sääntöjä käytännössä, niille voidaan määrätä seuraamuksia ja ne voidaan poistaa järjestelyyn osallistujien luettelosta. Tietojen edelleen siirtämistä kolmansille osapuolille koskevien edellytysten tiukentamisella taataan sama suojelun taso, jota vaaditaan Privacy Shield -järjestelyyn osallistuvalta yritykseltä.
Selkeät suojatoimet ja yhdysvaltalaisten viranomaisten pääsyä tietoihin koskevat avoimuusvelvoitteet: Yhdysvallat on antanut EU:lle vakuutuksen siitä, että viranomaisten mahdollisuuteen päästä tietoihin lainvalvontaan ja kansalliseen turvallisuuteen liittyvistä syistä sovelletaan selkeitä rajoituksia, suojatoimia ja valvontamekanismeja.
Yksilöiden oikeuksien tehokas suojelu: Kaikilla EU:n kansalaisilla, jotka katsovat, että heidän tietojaan on käytetty väärin Privacy Shield -järjestelyn puitteissa, on käytettävissään useita helposti saatavilla olevia ja kohtuuhintaisia riitojenratkaisumekanismeja.
Vuotuinen yhteinen tarkastelumekanismi: Mekanismin avulla seurataan Privacy Shield -järjestelyn toimintaa, mukaan lukien sitoumukset ja vakuutukset, jotka koskevat tietoihin pääsyä lainvalvontaan ja kansalliseen turvallisuuteen liittyvistä syistä.
Privacy Shield tuo selkeyttä epäselvään oikeustilaan, joka syntyi, kun aiempi Safe Harbor -järjestely viime lokakuussa todettiin pätemättömäksi. Euroopan Unionin tuomioistuimen päätöksen jälkeen useat yritykset ovat siirtäneet tietoja lainvastaisesti Yhdysvaltoihin, sillä vaihtoehdoksi tarjottuja EU:n mallisopimuslausekkeita on ollut haastavaa sisällyttää voimassaoleviin sopimuksiin. Nyt yritykset voivat siirtää Atlantin yli henkilötietoja Privacy Shield -järjestelyyn liittyneille yrityksille, ja ainakin periaatteessa luottaa siihen, että eurooppalaisten henkilötietoja suojataan riittävällä tavalla. Periaatteessa siksi, että useat tahot ovat jo esittäneet kritiikkiä järjestelmää kohtaan, ja näkevät sen olevan vain Safe Harbor puettuna uusiin vaatteisiin. Oletettavaa on, että kuohunta asian ympärillä vielä jatkuu.
Lisätietoja asiasta antaa Anna Paimela.
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.