Organisaatiot ovat soveltaneet tietosuoja-asetusta (GDPR) lähes vuoden. Periaatteisiin nojautuva lainsäädäntö johtaa ymmärrettävästi erilaisiin tulkintoihin ja mielipiteisiin. Osa näistä tulkinnoista näyttäytyy tietosuojajuristin silmiin kuitenkin väärinkäsityksiltä, joita on syytä oikaista. Esittelen alla niistä muutaman.

Henkilötietojen käsittelyyn pyydettävä rekisteröidyn suostumus

Useimmiten tarua.

Vaikka tätä myyttiä on sinnikkäästi pyritty kumoamaan, se nousee ajoittain esille. Suostumuksen ohella käsittely voi perustua esimerkiksi sopimukseen, rekisterinpitäjän oikeutettuun etuun tai lakisääteisen velvoitteen noudattamiseen. Esimerkiksi verkkopalveluun rekisteröityvältä käyttäjältä ei tarvitse pyytää suostumusta palvelun tarjoamiseen tai asiakasviestinnän lähettämiseen, mutta voi olla paikallaan pyytää käyttäjältä suostumus sähköiseen suoramarkkinointiin erityisesti, kun se koskee muita kuin palveluntarjoajan omia tuotteita. Se, että käyttäjä klikkaa palveluun rekisteröityessään lausetta ”annan suostumukseni henkilötietojeni käsittelylle tietosuojaselosteen mukaisesti”, ei ole suostumus. Se on korkeintaan (harhaanjohtavaa) informointia henkilötietojen käsittelystä.

Suostumuksen ei tarvitse aina olla nimenomainen, rasti ruutuun -tyyppinen suostumus (”explicit consent”). Tällaista nimenomaista suostumusta voidaan edellyttää, jos organisaatio käsittelee esimerkiksi erityisiä tietoryhmiä (arkaluonteisia henkilötietoja), kuten terveydentilatietoja. Muutoin suostumus voi olla myös muunlainen toimi, jolla rekisteröity ilmaisee suostumuksensa joko lausuman tai aktiivisen toimenpiteen kautta. Tärkeää on, että toimenpide on jälkikäteen todennettavissa.

Muista kuitenkin, ettei passiivisuus tai ennakolta rastitetut ruudut muodosta pätevää suostumusta, eikä suostumuksen antamatta jättämiseen tai peruuttamiseen saa liittyä haitallisia seuraamuksia. Tämän osalta on syytä olla tarkkana, sillä tähän mennessä suurimmat tietosuojasakot (Google, 50 MEUR) liittyvät osittain siihen, että suostumuspyyntö oli toteutettu väärin.

Lasten henkilötietojen käsittely perustuu huoltajan suostumukseen

Mahdollisesti tarua.

GDPR:n ja kansallisen tietosuojalain mukaan huoltajan tulee antaa suostumus alle 13-vuotiaan lapsen henkilötietojen käsittelyyn, jos kyse on: 1) tietoyhteiskunnan palveluiden tarjoamisesta, 2) suoraan lapselle, ja 3) käsittely perustuu suostumukseen.

Tietoyhteiskunnan palveluissa on kyse vastaanottajan henkilökohtaisesta pyynnöstä tavallisesti korvausta vastaan toimitettavasta sähköisestä etäpalvelusta, kuten sovelluksista tai sosiaalisen median palveluista. Jos kyse ei ole tällaisesta palvelusta, ko. säännös ei siis sovellu. Kun taas arvioidaan sitä, tarjotaanko palvelua ”suoraan lapselle”, on syytä tarkastella, millaista sisältöä palvelussa on, miten ja mille kohderyhmälle sitä markkinoidaan ja miten palveluntarjoaja on käyttöehdoissaan palvelun käytön määrittelyt (esim. ehto siitä, että palvelua saa käyttää vain täysi-ikäiset). Jos palvelu on muodollisesti ja tosiasiallisesti suunnattu aikuisille, ei ko. säännös sovellu, vaikka jotkut alaikäiset sattuisivatkin palvelua käyttämään.

Vaikka kyse olisi tietoyhteiskunnan palvelusta, ei lapsen henkilötietojen käsittely välttämättä perustu suostumukseen. Tietosuojavaltuutetun mukaan lapsi voi esimerkiksi käyttää neuvonta- ja tukipalveluja sekä ennalta ehkäiseviä palveluja ilman huoltajan suostumusta. Muihin käsittelyperusteisiin – kuten sopimukseen tai oikeutettuun etuun – vedottaessa on kuitenkin muistettava lapsen ikä, mahdollisuudet tehdä oikeustoimia ja oikeus erityiseen suojeluun. Se, että alaikäinen voi pätevästi tehdä vain merkitykseltään vähäisiä ja olosuhteisiin nähden tavanomaisia oikeustoimia, rajoittaa mahdollisuuksia käyttää sopimusta käsittelyperusteena. Toisaalta myös tasapainostesti, joka liittyy oikeutettuun etuun, voi johtaa siihen, että käsittelyn katsotaan olevan ristiriidassa lapsen perusoikeuksien ja -vapauksien kanssa. Selvää on, että lasten henkilötietojen käsittely edellyttää aina erityistä huolellisuutta.

Tietosuoja-asetus ei koske ”non-PII” dataa

Useimmiten tarua.

Varsinkin Pohjois-Amerikassa on käytetty termiä ”personally identifiable information” ("PII"), jolla viitataan karkeasti ottaen henkilötietoon, jolla voidaan tunnistaa rekisteröity. Esimerkiksi adtech-kumppanin tarjoamassa sopimusmallissa saatetaan todeta, että EU:n tietosuojasääntely ei sovellu sen suorittamaan käsittelyyn, sillä kyse on erilaisista tunnisteista, joiden avulla ei voida tunnistaa rekisteröityä ("non-PII”). Määritelmästä ei ole täyttä yksimielisyyttä: useat tahot antavat non-PII esimerkeiksi eväste- tai laitetunnisteet ja IP-osoitteet, kun taas Federal Trade Commission on viitannut siihen, että laitetunnisteet, MAC-osoitteet, evästeet ja staattiset IP-osoitteet voivat olla kohtuudella rekisteröityyn liitettävissä ja siten henkilötietoja.

Tietosuoja-asetuksen määrittelemä henkilötieto, ”personal data”, ja Yhdysvaltojen ”personally identifiable information” eivät täysin vastaa toisiaan, jolloin data, jota kumppani kuvaa termein ”non-PII”, voi olla tietosuoja-asetuksen tarkoittamaa henkilötietoa. Määritelmä voi usein täyttyä esimerkiksi digitaalisessa mainonnassa ja markkinoinnissa, jossa profiloidaan käyttäjiä käyttäen ei-sessiopohjaisia tunnisteita, kuten eväste- tai laitetunnisteita.

Se, että sinulla tai kumppanillasi ei ole käyttäjän nimeä, henkilötunnusta, puhelinnumeroa tai sähköpostiosoitetta, ei vielä vapauta teitä tietosuoja-asetuksen velvoitteista. Vain anonyymi tai anonymisoitu data – eli data, jota ei voida missään tilanteessa (edes jonkun toisen hallussa olevan tiedon avulla) yhdistää luonnolliseen henkilöön – on tietosuojasääntelyn ulkopuolella.

Tietosuojamyyttien kumoaminen jatkuu ensi viikolla ilmestyvässä toisessa osassa.

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.