Fanisivujen ylläpitäjästä tuli Facebookin kaveri

Kesällä julkaistun EU:n tuomioistuimen ratkaisun mukaan Facebookin fanisivujen ylläpitäjä on rekisterinpitäjä yhdessä Facebookin kanssa. Ratkaisulla voi olla laajakantoisia vaikutuksia ei ainoastaan somepalveluihin vaan ylipäätään sopimussuhteisiin tilanteissa, joissa datan “omistajuus” ei ole tarkoin määritelty tai edes määriteltävissä.

Ratkaisussa C-210/16 saksalainen yritys Wirtschaftsakademie Schleswig-Holstein  (kuulostaa koululta) ylläpiti “fanisivua” Facebookissa. Vuonna 2011 paikallinen Schleswig-Holsteinin  tietosuojaviranomainen vaati kyseistä yritystä lopettamaan fanisivun, koska se tai Facebook ei kertonut  fanisivulla vieraileville että käyttäjiä tultaisiin seuraamaan evästeiden avulla. Osapuolet riitauttivat asian ja päätyivät lopulta EU-tuomioistumeen ennakkoratkaisua hakemaan.

EU-tuomioistuimen mielestä evästeet sisälsivät henkilötietoja ja sen vuoksi  sovellettiin henkilötietodirektiiviä sekä paikallista lainsäädäntöä. Yllättävintä ratkaisussa oli kuitenkin se, että fanisivujen ylläpitäjäkin oli vastuussa tällaisten henkilötietojen käsittelystä, vaikka ylläpitäjällä ei ollut mitään pääsyä näihin evästeissä kerättyihin henkilötietoihin. Facebook tarjosi Facebook Insights -ominaisuuden fanisivujen ylläpitäjille, joiden avulla ylläpitäjät voivat nähdä tilastotietoja käyttäjistä. Ylläpitäjillä ei kuitenkaan ole mitään mahdollisuutta määrätä, millaisia tilastotietoja käyttäjistä näytetään, vaan ainoastaan hyödyntää Facebookin olemassa olevaa työkalua haluamallaan tavalla.

En tunne itse työkalua enkä varsinkaan sen vuoden 2011 versiota, mutta oma käsitykseni vastaavista työkaluista on, että käyttäjällä on loppujen lopuksi hyvin vähän mahdollisuuksia määrittää mitä tietoja kerätään.

abstract board game bundle business
Photo by Pixabay on Pexels.com

Ilman henkilötietojakin rekisterinpitäjä?

Kyseisessä Facebookin toiminnossa fanisivuston ylläpitäjälle näytetään vain ja ainoastaan anonymisoituja ja koostettuja  tilastotietoja eikä ylläpitäjä koskaan saa varsinaisesti tietää, kuka on hänen sivullaan käynyt. Ylläpitäjällä ei todennäköisesti ole mitenkään mahdollisuutta selvittää kävijöidensä henkilöllisyyttä tilastotietojen perusteella. Itse henkilötiedot pysyvät Facebookin hallussa ilman, että ylläpitäjällä on mitään pääsyä näihin tietoihin.

Ylläpitäjä voi ainoastaan päättää siitä, millaisia tilastotietoja näytetään kerätyistä henkilötiedoista. Tässä onkin oikeustapauksen keskeisin ongelma, sillä ajatus sopii varsin huonosti yhteen rekisterinpitäjän määritelmän kanssa.

Perinteisesti rekisterinpitäjänä on pidetty toimijaa, joka itsenäisesti (eli riippumatta muista) määrittelee tavat, joilla henkilötietoja käsitellään. Eli kun toimija päättää, että henkilöstä kerätään nimi, osoite ja puhelinnumero eikä esimerkiksi kengän kokoa, hän on rekisterinpitäjä. Lisäksi rekisterinpitäjä määrää, mitä tuolla tiedolla tehdään.

Vaihtoehtoisesti rekisterinpitäjä voi tehdä yllämainitut asiat yhdessä jonkun osapuolen kanssa, jolloin kysymyksessä on yhteisrekisterinpitäjä. Tavanomaisesti tämä on ymmärretty niin, että osapuolilla on jonkinlainen keskinäinen tarve tietojen käyttöön joko yhteistä tai kunkin osapuolen omaa käyttötarkoitusta varten. Loogisesti ajateltuna tämä edellyttäisi varmaankin jonkinlaista “omistajuutta” henkilötietoihin tai ainakin molempien osapuolten kykyä määrätä tiedoista.

Tässä tapauksessa kuitenkin vaikuttaisi siltä, että fanisivun ylläpitäjä ei kykenisi itsenäisesti määrittämään kuin muutaman asian jotka eivät sinänsä ole henkilötietoja eikä ylläpitäjä myöskään koskaan edes “koske” henkilötietoihin vaan saa vain valmiit “tulokset” Facebookilta.

Tuomiostuimen ajattelun mukaan ilmeisesti pelkästään se, että fanisivun ylläpitäjä “pyytää” Facebookia käsittelemään henkilötietoja tilastotietojen muodostamiseksi, riittää täyttämään rekisterinpitäjänä toimimisen edellytykset. Tuomiosta ei käy täysin selväksi miten tämä pyyntö tapahtuu, mutta ilmeisesti jo fanisivua perustettaessa ylläpitäjä päättää, mikä on kohderyhmä ja tätä pidettiin ilmeisesti myös merkittävänä määrittelynä rekisterinpitäjyyden kannalta.

Silmiinpistävää ratkaisussa on se, että vaikka fanisivujen ylläpitäjää pidetään rekisterinpitäjänä yhdessä Facebookin kanssa, tuomioistuin vaikuttaisi vihjaavan siihen suuntaan, että vastuu ei kuitenkaan jakaudu tasan Facebookin ja fanisivun ylläpitäjän kanssa. Tähän myös julkisasiamies Yves Bot kiinnitti huomiota omassa ratkaisuehdotuksesaan. Käytännössä tämä tarkoittaanee sitä, että koska fanisivun ylläpitäjällä ei ole laajaa pääsyä itse henkilötietoihin, sen vastuu on pienempi kuin Facebookin, jolla on käytössään ns. “kaikki henkilötiedot”.

Vastuun jakautuminen on mielenkiintoinen kysymys. Tietosuoja-asetuksen 26 artiklassa vaaditaan yhteisrekisterinpitäjiä sopimaan vastuistaan. Tällaista vaatimusta ei ollut henkilötietodirektiivissä, jonka ajalta kyseinen tapaus on. Itse yhteisrekisterinpitäjän käsite ja se, että molemmat rekisterinpitäjät ovat vastuussa rekisteröidylle ei kuitenkaan ole muuttunut asetuksen myötä.

Tietosuoja-asetuksessa oletuksena olisi siis, että mikäli vastuusta ei ole sovittu, osapuolten vastuu jakautuisi tasan. Sopimuksesta huolimatta rekisteröidyllä on oikeus käyttää rekisteröityjen oikeuksiaan (oikeutta tulla unohdetuksi, tarkastaa tietonsa, keskeyttää käsittely jne.)  kumpaakin yhteisrekisterinpitäjää kohtaan. Olisikin mielenkiintoista nähdä tämä käytännössä eli miten esimerkiksi rekisteröityi voisi vaatia fanisivun ylläpitäjää poistamaan henkilötietonsa, kun fanisivujen ylläpitäjällä ei ole muuta kuin anonymisoituja henkilötietoja. Tulisiko fanisivun ylläpitäjän tällöin vaatia Facebookia poistamaan tiedot vai mitä? Tarvitsisiko Facebookin tällöin totella?

agree agreement ankreuzen arrangement
Photo by Pixabay on Pexels.com

Vaikutukset Facebookia ja somea laajemmat

Vaikka kyseinen ratkaisu koskee vain Facebookia, sen vaikutuksia voidaan pitää Facebookia tai sosiaalisen median palveluita laajempana. Pahimmassa tapauksessa yhteisrekisterinpitäjyys voisi syntyä hyvin monessa normaalissa liikesuhteessa jo pelkästään siksi, että toimija pyytää toista toimijaa “käsittelemään” henkilötietoja siten, että sille toimitetaan asiakastilastoja. On kuitenkin epätodennäköistä, että määritelmä olisi näin laaja.

Ratkaisu koskee aikaa, jolloin henkilötietodirektiivi oli voimassa, mutta rekisterinpitäjän käsite tai yhteisrekisterinpitäjyyttä koskeva määritelmä ei ole olennaisesti muuttunut tietosuoja-asetuksen myötä. Olennaisimpana muutoksena voidaan pitää sitä, että nyt yhteisrekisterinpitäjiltä edellytetään sopimusta vastuiden ja velvollisuuksien osalta. Lisäksi vahingonkorvauksesta määrätään GDPR:ssä, kun aiemmin oltiin kansallisen lainsäädännön varassa. Silti ratkaisu on merkittävä myös tänä päivänä.

Facebook on ilmoittanut pitävänsä ratkaisua pettymyksenä. Facebook ja muut toimijat, kuten esimerkiksi Google, on käyttänyt jo jonkin aikaa vastaavissa tilanteissa sopimusta, jossa palvelun käyttäjä on rekisterinpitäjä ja Facebook tai Google ainoastaan henkilötietojen käsittelijä. Tämän ratkaisun myötä rekisterinpitäjän ankarampi vastuu “palautuu” nyt somejäteille.

Vaikka osapuolet voisivatkin sopimuksin järjestää vastuunsa millä tahansa tavalla, Facebook ei voi jatkossa “ulkoistaa” omaa rekisterinpitäjän vastuutansa sopimusteiste, ellei toimintamallia muuteta olennaisesti.

Sivustojen ylläpitäjille tuomioistuimen ratkaisu on sisältää jäätävän kauhuskenaarion. Tietosuoja-asetuksen 82 artiklassa nimittäin todetaan, että rekisteröity voi esittää vaatimuksensa kummalle tahansa yhteisrekisterinpitäjälle ja se joka vaatimuksen saa on myös korvausvastuussa riippumatta siitä, kenen vika oli. Ylläpitäjällä olisi korvauksen maksettuaan vaatia toiselta osapuolelta korvausta. Eli ylläpitäjä voisi saada korvausvaatimuksen viasta, jonka Facebook on aiheuttanut. Voin vain kuvitella, kuinka monella miljoonien fanisivujen ylläpitäjillä on valmius vastata tällaisiin vaatimuksiin ja ryhtyä sen jälkeen riitelemään yhden maailman merkittävimmän mediayhtiön kanssa korvauksen oikeellisuudesta ja vastuun jakautumisesta.

Sinänsä ratkaisun vaikutus ei ole kuitenkaan täysin mullistava. Aiempi näkemys ainakin Facebookin puolelta kun oli, että fanisivun ylläpitäjä oli rekisterinpitäjä ja Facebook “ainoastaan” käsittelijä. Tällöinkin ylläpitäjä olisi ollut ensisijaisesti vastuussa rekisteröidyille.

Todennäköisesti ratkaisu vaikuttaa siten, että ylläpitäjällä olisi jatkossa laajempi oikeus käyttäjien henkilötietoihin (epätodennäköistä) tai vaihtoehtoisesti tällaiset tilastointia varten luodut henkilötiedot anonymisoidaan siten, että niitä ei pidetä enää henkilötietoina. On myös hämärän peitossa, millaisia tätä tilannetta koskevista sopimuksista jatkossa muodostuu, koska fanisivujen ylläpitäjien neuvotteluasema suhteessa Facebookiin on hyvin heikko: käytännössä on nieltävä joko Facebookin ehdot tai poistuttava palvelusta.

Vielä vaikeampi kysymys ovat ne kaikki kolmannet osapuolet, jotka käyttävät sivustoja asettaakseen evästeitä käyttäjien tietokoneille. Onkin mielenkiintoista nähdä, miten tällaiseen tilanteeseen yhteisrekisterinpitäjien asema suhtautuu. Tulevassa Fashion ID -ratkaisussa (C-40/17) tarkastellaan tätä, joten elämme mielenkiintoisia aikoja tämän osalta.

View story at Medium.com

 

Calm the GDPR down! – Miten tietosuoja-asetus on vaikuttanut?

Reilu pari kuukautta GDPR:ää takana, miten on mennyt? No, omalta osaltani suuri panikki muuttui pieneksi lässähdykseksi heti asetuksen soveltamisen alkamisen jälkeen. Maailma ei räjähtänyt!

Uskalsin jopa lentää lentokoneella itse GDPR-päivänä, tosin koska lensin ranskalaisella lentoyhtiöllä lento ei mennyt kuten piti, koska lakko.

Suomessa tietosuojalain valmistuminen on nikotellut eduskunnassa ja näillä näkymin viivästystä on luvassa vielä jonkin aikaa. Helsingin Sanomien mukaan asian käsittely jatkuu vasta syyskuussa eduskunnan palattua istuntotauolta. Laki voisi tulla voimaan aikaisintaan alku­syksystä.

Nykyinen tietosuojavaltuutettu Reijo Aarnio on täysin aiheellisesti ilmaissut huolensa tietosuojavaltuutetun toimiston toimivallan säätämisen johtavan pahimmassa tilanteessa vakavaan limboon, jossa tietosuoja-asioista päättäisi asiantuntijalautakunta, jonka asiantuntemuksesta ei olisi takeita. Aarnio kertoo myös MTV:n uutisissa että toimiston työmäärä on tuplaantunut kahdessa kuukaudessa.

Tietenkin olisi hyvä erottaa tässäkin tuomiovalta ja viranomaisvalta, Aarnio kun näyttäisi toivovan “suoraa sakotusoikeutta” eli kykyä määrätä sakkoja itsenäisesti. Olisikin mielenkiintoista kuulla tarkempia yksityiskohtia Aarnion ajatuksesta. Esimerkiksi kilpailuasioissa  kilpailuvirasto tekee vain esityksen markkinaoikeudelle sakkojen määräämiseksi ja itse “sakotusvalta” on siten tuomioistuimella. Jos sakot määrää sama viranomainen joka myös tutkii asian, vaikkakin erillisellä “kolleegiolla”, ei päästä samanlaiseen oikeusturvaan kuin esimerkiksi kilpailuasioissa.

Nyt kun tietosuojalakia ei ole saatu säädettyä ajoissa, asetus on sellaisenaan voimassa, mutta samaan aikaan viranomaisilla ei ole riittäviä puuttumiskeinoja esimerkiksi tilanteissa, joissa toimitaan tietosuoja-asetuksen vastaisesti. Toisaalta, viranomainen voi jo nyt tehdä esimerkiksi tarkastuksia ja selvityspyyntöjä tarvittaessa. Suomessa ollaan muihin EU-maihin verrattuna hieman jälkijunassa, koska Aarnio mainitsee että vain kymmenessä maassa on kansallinen laki vielä säätämättä.

Joka tapauksessa asetuksen soveltamisen alkaminen on ollut hieno ja tärkeä juttu. Kaikesta ennakkohuumasta huolimatta olisi ollut myös väärin odottaa mitään älytöntä ryntäystä tietosuojan pariin. Kestää aikansa, kun asiakkaat, käyttäjät tai vaikkapa potilaat tutustuvat uusiin päivitettyihin tietosuojaselosteisiin ja käytäntöihin, joita monet yritykset ovat ottaneet käyttöönsä toukokuun lopussa.

Noyb, suostumus ja Somejätit

Yksi mielenkiintoisimmista uutisista GDPR-päivänä oli Max Schremsin perustaman Noyb –vapaaehtoisjärjestön suuri hyökkäys internet-jättejä kohtaan. Noyb vei Facebookin, Instagramin, Googlen ja Whatsappin suostumuskäytännöt neljän eri tietosuojaviranomaisen (Ranska, Belgia, Hampuri ja Itävalta) käsiteltäväksi heti 25 toukokuuta.

Kyseessä on mielenkiintoinen ja hyvin olennainen oikeustapaus, jossa käsitellään suostumuksen “vapaaehtoisuutta” erilaisten somepalveluiden käytössä. GDPR edellyttää suostumukselta vapaaehtoisuutta eli sitä että käyttäjällä tulee oikeasti olla mahdollisuus kieltäytyä ilman negatiivisia vaikutuksia. Tässä kiistassa keskeisessä asemassa onkin se, voiko käyttäjää estää käyttämästä somepalvelua jos hän ei suostu täysivaltaiseen henkilötietojen käyttöön esimerkiksi mainostamiseen? Samaten keskeisessä asemassa on se tapa, jolla suostumusta pyydetään, kuten esimerkiksi erilaisten “ärsyttävien” ja “tunkeilevien” pop-upien muodossa.

Sinänsä on hyvä huomata, että esimerkiksi Facebook tarjoaa nykyään aikaisempaa laajemmin käyttäjälle mahdollisuuden säätää omia suostumuksiaan, mutta ymmärtääkseni edelleen käytäntönä on se että lähtökohtaisesti kaikki suostumukset ovat “päällä” ellei niitä oteta pois. Tämä näyttäisi olevan ristiriidassa tietosuoja-asetuksen privacy by design ja default -periaatteiden kanssa jotka edellyttävät että palveluissa olisi aina vähiten yksityisyyttä luokkaava toiminto päällä. Tosin, tulkinnanvaraa on tietosuoja-asetuksessa vielä paljon, joten ratkaisu on kyllä tarpeen.

Minä ainakin odotan suurella mielenkiinnolla asian ratkaisua, koska sillä on suurta vaikutusta monien palveluiden käyttöehtoihin ja ylipäätään tapaan, miten dataa voidaan jatkossa käyttää.

Yllättävän hiljaista?

Ainakin tällä hetkellä näyttäisi kolleegoilta tehdyn yleisen GDPR-barometrin perusteella siltä, että yllättävän vähänkin ihmiset ova kiinnostuneet pelkästään tietosuojasta ja GDPR:n toteuttamisesta. Sen sijaan enemmänkin asia on noussut esille normaalissa kanssakäynnissä kuten asiakaspalvelutilanteessa tai vaikkapa silloin, kun on saatu yritykseltä markkinointipostia. Tällaisissa tilanteissa kiinnostusta on ollut runsaasti, mutta ainakaan vielä en ole kuullut kenenkään hukkuneen GDPR-kuvioihin.

Maailmalla yritykset ovat joutuneet muun muassa estämään verkkosivujen käytön Euroopasta koska GDPR. Omien kokemusteni perusteella lähestymistapoja on niin monia kuin on yrityksiäkin, skaala vaihtelee ylitiukasta tulkinnasta aina täyteen tietämättömyyteen tai aiheen kieltämiseen.

Sekin aika on tietysti vielä edessä, kun viranomaiset ympäri Eurooppaa tarttuvat toden teolla jonkin yrityksen linjaukseen ja haastavat toimijat toden teolla. Tällä hetkellä tilanne vaikuttaa siltä, että viranomaiset keskittyvät enemmän neuvontaan, ohjaamiseen ja opastukseen, mutta on selvää, että isoja sakkoratkaisuja jossakin vaiheessa alkaa tulla.

Oi ei! Tietosuojalaki myöhästyy, mitä tapahtuu GDPR-perjantaina?

Yleistä tietosuoja-asetusta aletaan soveltamaan perjantaina 25.5.2018. Viimeaikaisten uutisten perusteella vaikuttaisi siltä, että Suomessa ei ehditä säätää tietosuojalakia voimaan ennen perjantaita 25.5.2018.

Entä sitten? No, GDPR ei ole mikään direktiivi, joka vaatisi kansallista säätämistä vaan EU-asetus joka on sellaisenaan sovellettavaa oikeutta. Käytännössä ei siis tarvita mitään kansallista lainsäädäntöä, vaan GDPR on sellaisenaan voimassa perjantaista 25.5.2018 alkaen.

Suomessa henkilötietolaki säilyy siis vielä voimassa, mutta sitä sovelletaan yhdessä GDPR:n kanssa. Jos henkilötietolaki on ristiriidassa GDPR:n kanssa, sovelletaan GDPR:ää. Samoin, jos joitakin asioita puuttuu henkilötietolaista, sovelletaan GDPR:ää.

Esimerkki 1: GDPR:ssä on hieman tarkemmat vaatimukset suostumuksen sisällöstä kuin henkilötietolain 3 §:ssä. Jatkossa siis sovelletaan GDPR:n suostumusta.

Esimerkki 2: Henkilötietolaissa ei ole sääntelyä henkilötietojen käsittelylle ns. “oiketetun edun perusteella” kun taas GDPR:ssä on tällainen säädös. Tässä tapauksessa sovelletaan siis GDPR:n sääntelyä.

Molemmissa tapauksissa hyvä huomata, että ymmärtääkseni kummankaan esimerkin osalta ei ole tarkoitus säätää kansallista lainsäädäntöä. Siis tietosuoja-asetusta sovelletaan joka tapauksessa.

Ainakaan tällä hetkellä Suomen lainsäätäjillä tai valmistelijoilla ei näytä olevan edes tavoitteena säätää täydellistä kansallista tietosuojalainsäädäntöä, vaan jatkossa kansallisia lakeja sovelletaan yhtä aikaa tietosuoja-asetuksen kanssa.

Eli käytännössä siis kannattaa lukea tällä hetkellä tietosuoja-asetusta, jos epäilyttää, kuten juristit sanoisivat.

Mitä tapahtuu 25.5.2018 henkilötietolaille?

Tietosuoja-asetus tulee voimaan 25.5.2018. Tai itse asiassa tietosuoja-asetus on tullut voimaan jo 25.5.2016, mutta sitä aletaan soveltaa kahden vuoden siirtymäajan jälkeen  eli 25.5.2018. Asetuksen soveltamisen alkaminen tarkoittaa, että kansalliset tietosuoja/henkilötieto yms lait, jotka ovat jotenkin ristiriidassa tietosuoja-asetuksen kanssa, eivät ole enää voimassa.

Tietosuoja-asetus on EU-asetus, joka on sellaisenaan sovellettavaa EU-lainsäädäntöä. GDPR ei siis vaadi mitään kansallista voimaansaattamista tai mitään kansallisen lain säätämistä. Mikäli jäsenvaltio ei halua/jaksa säätää kansallista lainsäädäntöä, se voi vain antaa vanhojen lakien raueta/kumoutua/________(juristit lisätkää oikea juridinen termi tähän, kukaan muu ei välitä). Ja vaikka lait jäisivät voimaan, niitä ei voisi soveltaa, vaan esimerkiksi viranomaisten ja tuomioistuimien tulisi soveltaa tietosuoja-asetusta.

Toisin kuin voisi olettaa, monet jäsenmaat ovat siitä huolimatta päättäneet säätää omaa lainsäädäntöänsä tietosuoja-asetuksen “kastikkeeksi”. Jäsenvaltiot eivät voi kuitenkaan poiketa tietosuoja-asetuksesta kuin tietyissä säädellyissä kohdissa. Ongelmaksi monessa maassa on muodostunut se, että tietosuojaan liittyviä säädöksiä on hajallaan useissa eri laeissa ja niiden muuttaminen GDPR:n mukaisiksi vie aikaansa.

Suomessa henkilötietolaki jää historiaan

Suomessa EU:n yleisen tietosuoja-asetuksen mukaiset muutokset esitetään toteutettavan säätämällä uusi tietosuojalaki joka toimisi henkilötietojen käsittelyä koskevana yleislakina. Henkilötietolaki siis kumotaan ja korvataan tietosuojalailla. Lisäksi kumotaan laki tietosuojalautakunnasta ja tietosuojavaltuutetusta Käytännössä tietosuojalaissa todetaan, että Suomessa sovelletaan tietosuoja-asetusta ja lisäksi säädetään tiettyjä sallittuja poikkeuksia ja tarkennuksia. Suomen tietosuojalakia siis sovelletaan rinnakkain EU:n tietosuoja-asetuksen kanssa.

Tietosuoja-asetus koskee lähtökohtaisesti kaikenlaista henkilötietojen käsittelyä.  Hallituksen esitys HE 9/2018 eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi annettiin eduskunnalle 1.3.2018.

GDPR:n soveltaminen alkaa jäsenvaltioissa 25. toukokuuta 2018. Uusi tietosuojalaki tulisi esityksen mukaan voimaan samaan aikaan, eli eduskuntakäsittelyllä alkaa olla kiire. Ja osaltaan Suomen tietosuojasääntelyn uudistamisessa ollaan myöhässä. Henkilötietolaki ei nimittäin ole ainoa laki, jossa säädetään tietosuojasta, vaan useissa laeissa on omia säännöksiä ja viittauksia nykyiseen henkilötietolakiin. Ilmeisesti kaikkia näitä ei ehditä korjata tietosuoja-asetuksen mukaiseksi aikataulussa, vaan joidenkin lakien osalta jäädään ikävään välitilaan.

Mikäli tietosuojalain säätäminen myöhästyy, sovelletaan siis pelkästään tietosuoja-asetusta.

Mitä uudistuksia tietosuojalaki tuo?

Uusi tietosuojalaki sisältää kansallisia poikkeuksia muun muassa joukkoviestinnän toimitusten henkilötietojen käsittelyä varten. Eli jatkossakaan ryvettynyt politikko eivät voi vaatia vaikkapa Helsingin Sanomia poistamaan vanhojakaan henkilötietoja hänestä, koska tietojen säilyttämisellä lehden toimituksessa on sananvapauden kannalta merkitystä. Joukkoviestinnän toimijat eivät kuitenkaan ole täysin vapautettuja tietosuoja-asetuksen soveltamisesta, vaan niiden tulee edelleen huolehtia henkilötietojen käsittelyn yleisistä periaatteista eli esimerkiksi huolehdittava, että tiedot on suojattu riittävän hyvin. Sama poikkeus koskee myös akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten tehtyä henkilötietojen käsittelyä.

Mielenkiintoinen kansallinen poikkeus tietosuoja-asetukseen on myös se, että Suomessa jo jonkin aikaa voimassa ollut laki yksityisyyden suojasta työelämässä jää edelleen voimaan ja sitä sovelletaan työntekijän ja työnantajan välisessä suhteessa. Työ- ja elinkeinoministeriö on tosin juuri julkaissut luonnoksen uudesta laista.

Tietosuoja-asetuksessa on säädetty tietoyhteiskunnan palveluiden käytölle 16 vuoden ikäraja. Tai oikeammin kysymys on siitä, että alle 16-vuotiaalta on aina kysyttävä vanhempien lupa tietoyhteiskunnan palvelujen käytölle. Suomessa tämä ikäraja lasketaan 13 vuoteen, eli sitä nuoremmilta palveluiden on kysyttävä suostumus vanhemmilta. Käytännössä poikkeus koskee siis tietoyhteiskunnan palveluita kuten esimeriksi sosiaalisen median palveluita eli 13-vuotias voisi jatkossa käyttää  tällaisia palveluita itsenäisesti. Esimerkiksi Facebook on todennut ikärajan olevan jatkossa 13 vuotta Euroopassa, kun taas WhatsApp vastikään totesi rajan olevan silti 16 vuotta. Aikaisemmassa kirjoituksessa käsiteltiin laajemmin nuoria ja lakien ikärajoja.

Tutustu laajemmin tietosuojalain voimaantuloon Eduskunnan sivustolla.

Selvitys: tietosuoja-asetukseen edelleen huonosti valmistauduttu hankintasopimuksissa

Tietosuoja-asetuksen voimaantuloon on enää kohta kuukausi aikaa, mutta edelleen hankintayksiköt eli esimerkiksi valtion viranomaiset ja kunnat ovat huonosti valmistautuneita. Tämä käy ilmi JIT-blogin työryhmän läpikäymästä 30:sta hankintasopimuksesta. Kahdessakymmenessä sopimuksessa 31:sta  (noin 65 prosenttia) ei ole  ollenkaan mainintaa tietosuoja-asetuksesta tai sen voimaantulosta. Aikaisemmalla selvityskerralla marraskuussa lukema oli hieman pienempi, noin 59 prosenttia.

Näyttökuva 2018-4-11 kello 10.31.31 1

Aineisto käytiin läpi pääsiäisen tienoilla Hilma-ilmoituksista ja julkishallinnon laajasti käyttämästä Hanki-palvelusta. Kuten aiemmallakin kerralla mukaan poimittiin vain hankintoja, joissa olisi edes vähän merkitystä henkilötietojen käsittelyllä. Siksi esimerkiksi rakennusurakoita tai tavarahankintoja ei ole mukana. Hankinnat koostuvat ICT-palveluhankinnoista, terveyshankinnoista ja erilaisista muista palveluhankinnoista, kuten esimerkiksi koulutuksista.

Lukemien perusteella ei voida tehdä suuria tilastollisia päätelmiä mihin suuntaan tilanne on kehittymässä lähinnä siksi, että otoksen määrä on vielä suhteellisen pieni vaan kysymys on enemmänkin laadullisesta ja sisällöllisestä arvioinnista. On kuitenkin huolestuttavaa, että edelleen merkittävissä määrin sopimuksia tietosuoja-asetusta ei edes huomioida mitenkään eikä tilanne vaikuta muuttuneen viime marraskuusta juuri yhtään.

Hankintasopimuksen muuttaminen tietosuoja-asetuksen vuoksi ei välttämättä ole aina mahdollista ilman uutta kilpailutusta. Hankintayksiköiden tulisi pyrkiä ottamaan huomioon asia paremmin ja kokonaisvaltaisemmin jo tarjouspyyntövaiheessa, vaikka laki tuleekin voimaan vasta myöhemmin. Kyseessä ei varmastikaan ole asia, jota ei ole voitu etukäteen ennakoida, koska asetus on hyväksytty jo vuonna 2016. Siksi on varsin epätodennäköistä, että tietosuoja-asetuksen vuoksi voisi tehdä suorahankintoja.

Yksinkertaisella ratkaisulla asia kuntoon

Yhdessätoista sopimuksessa tietosuoja-asetus on mainittu ja huomioitu jollakin tavoin. Näistä sopimuksista seitsemässä on käytetty liitteenä viranomaisyhteistyönä laadittua yksinkertaista ja tehokasta sopimuspohjaa (ks. ohjeen lopussa oleva liite), joka käytännössä hoitaa tärkeimmät ongelmat.

Niissä sopimuksissa, joissa GDPR on jotenkin huomioitu, kahdessa ei kuitenkaan esimerkiksi ole sopimusehtoja, jotka täyttäisivät artiklan 28 pakolliset vaatimukset henkilötietojen käsittelylle. Miksi se on tärkeää? Yleensä hankintasopimuksissa viranomainen/hankintayksikkö on rekisterinpitäjä ja toimittaja taas käsittelijä. Tässä suhteessa tietosuoja-asetus edellyttää sopimusta, johon on kirjattu velvoitteita molemmille osapuolille juuri kyseisessä artiklassa tarkemmin kuvatulla tavalla. Käyttämällä tuota yllämainittua mallisopimusta tämäkin asia tulee hoidetuksi.

Koska suurimmassa osassa sopimuksista ei ole mainintaa GDPR:stä eikä esimerkiksi tuota mallisopimusta ole käytetty, yllämainitut vaatimukset eivät täyty. On hyvä huomata, että esimerkiksi pelkästään käyttämällä JYSE tai JIT -ehtoja sopimuksen “pohjana” ei täytetä vielä kyseisiä artikla 28:n vaatimuksia.   JYSE-ehdoissa on sentään määritelty osapuolten roolit (hankintayksikkö on rekisterinpitäjä ja toimittaja käsittelijä), mutta JIT-ehdoissa ei ole edes tällaista määrittelyä.

chart

Ainoastaan 40 %:ssa sopimuksista siis täytetään vaatimukset, eli tämän vuoden aikana tullaan todennäköisesti tekemään erittäin merkittävissä määrin muutoksia hankintasopimuksiin. Tietojemme mukaan myös JIT- ja JYSE -ehtoja tullaan päivittämään piakkoin, mutta tarkkaa aikataulua ei ole vielä saatavilla.  Ne sopimukset, jotka on tehty ennen näiden päivitysten voimaantuloa, eivät kuitenkaan korjaannu ja vaativat myös erillisen oman muutoksensa.

 

 

Suostumus ja GDPR, osa 2: markkinointi? (evästeet ja vähän oikeutettua etua)

Vähän aikaa sitten kirjoitin GDPR:stä ja suostumuksesta. Käytin tässä tilanteessa useammassa tilanteessa esimerkkinä markkinointia asiasta, joka olisi yleensä sillä tavalla esimerkiksi sopimuksen täytäntöönpanosta poikkeava käsittelyperuste, että se vaatisi suostumuksen. Moni näytti vetäneen tästä sen johtopäätöksen, että markkinointi vaatisi aina suostumuksen, tai ainakin ymmärtäneen minun väittävän niin. Joten tarkennetaanpa aihetta vielä hieman.

Kuten aiemmin todettiin, suostumus on vain yksi tietosuoja-asetuksen sallima käsittelyperuste henkilötietojen käsittelylle. Suostumus on myös ehkä käytännössä se kaikkein viimeisin vaihtoehto, eli suostumus on otettava silloin kuin mitään muuta käsittelyperustetta ei “keksitä”. Tämä on myös tietosuojaviranomaisten “virallinen kanta”, joka ilmenee heidän yhteistyöelimen eli WP 29:n ohjeistuksesta. Yleensä käsittelyperusteena on muun muassa sopimussuhde asiakkaaseen tai vaikkapa lakisääteiseen tehtävään perustuva velvoite.

On siis täysin mahdollista, että suostumusta käytetään käsittelyperusteena markkinointiin. Mutta mitä markkinoinnilla tarkoitetaan? Se onkin hyvä kysymys, koska suostumuksen tai muun perusteen käyttötarkoitus vaikuttaa merkittävästi siihen, millaista markkinointia on tarkoitus tehdä.

Jos kysymys on ns. “perinteisestä” markkinoinnista eli esimerkiksi postitse lähetettävistä tarjouksista yms, markkinointiin ei tarvita suostumusta vaan tällöin markkinointia voidaan tehdä ns. oikeutetun edun perusteella joka on yksi tietosuoja-asetuksen nimenomaisesti sallimista henkilötietojen käsittelyperusteista markkinointiin.

Oikeutettu etu tarkoittaa sitä, että yrityksellä on jokin intressi eli tarkoitus henkilötietojen käsittelylle. Oikeutetun edun ongelma ja riski on kuitenkin se, että se edellyttää varsin taidokasta “oikeuspunnintaa” eli perustelua sille, miksi esimerkiksi markkinointi olisi sekä yrityksen että rekisteröidyn etujen mukaista.

Oikeutettu etu asettaa myös varsin korkeat vaatimukset rekisteröidyn informoinnille eli rekisteröidyn tulee osata ymmärtää ja  tietyllä tavalla myös “odottaa” markkinoinnin tapahtuvan. Rekisterinpitäjällä on myös velvollisuus minimoida yksityisyyden “loukkaukset” eli vaikutukset rekisteröidyn tietosuojaan. Rekisterinpitäjän tulee dokumentoidusti osoittaa, että se on arvioinut käsittelyn tapahtuvan asianmukaiseen tarkoitukseen, että käsittely on tarpeen tarkoituksen saavuttamiseksi ja vaikutus rekisteröidyn yksityisyyteen on riittävän vähäinen.

Tyypillinen tilanne on esimerkiksi se, että asiakas tilaa tuotteen verkkokaupasta ja kauppias tämän jälkeen mainostaa samanlaisia tuotteita asiakkalleen samaa kanavaa käyttäen. GDPR antaa tällöinkin mahdollisuuden kieltäytyä moisesta ns. “opt-out” suostumuksen kautta eli ilmoittamalla että ei halua enää olla markkinoinnin kohteena. Itse asiassa GDPR:n oikeus “olla olematta suoramarkkinoinnin kohteena” koskee mitä tahansa käsittelyperustetta eli ymmärtääkseni opt-out vaihtoehto markkinoinnille tulisi tarjota myös sopimuksen tai suostumuksen perusteella tapahtuvan markkinoinnin osalta.

Sähköinen suoramarkkinointi

Jos taas puhutaan sähköisestä suoramarkkinoinnista, tähän tarvitaan ePrivacy-vaatimusten vuoksi suostumus. Eprivacyä käytetään lyhenteenä eprivacy-direktiivistä, joka Suomessa on implementoitu Tietoyhteiskuntakaareen, jonka nimi tulee muuttumaan 1.6.2018 alkaen tylsästi laiksi sähköisen viestinnän palveluista. Siksi käytän mielummin termiä eprivacy. Sekavaa? Ei se mitään, britit käyttävät siitä vielä termiä PECR.

Tietoyhteiskuntakaari/sähköisenviestinnänlaki/eprivacy/PECR sääntelee siis kaikkea tietoverkossa liikkuvaa tietoa, ei ainoastaan henkilötietoa ja tietosuojanäkökulmasta. Sääntely koskee varsinkin operaattoreita jotka välittävät tietoa sekä erityisesti tilanteita, joissa käyttäjän laitteelle joko asetetaan koodinpätkää (esimerkiksi evästeitä) tai sitten sieltä otetaan tietoja (kuten sijainti). Laissa säännellään lisäksi siis myös sähköistä suoramarkkinointia. Suomessa eprivacy on toteutettu niin, että sähköistä suoramarkkinointia varten tarvitaan opt-in eli ennakolta annettava suostumus.

Eprivacya ollaan kovaa vauhtia sorvaamassa EU:ssa direktiivistä asetukseksi, mutta työ on vielä joiltakin osin kesken, tavoitteena lienee saada uudistus voimaan ensi vuoden lopulla. Koska työ on vielä kesken, suostumusta koskevat säännökset sähköisen suoramarkkinoinnin osalta ovat vielä hieman arvoituksen peitossa.

Miljoonan dollarin kysymys onkin se, millainen tuon tietoyhteiskuntakaaren mukaisen suostumuksen tulee olla GDPR:n voimaan tullessa? Useampi tietosuoja-ammattilainen on todennut, että suostumuksen tulisi vastata GDPR:n vaatimuksia silloin kun käsitellään henkilötietoja kuten esimerkiksi IP-osoitteita.

Eprivacy/tietoyhteiskuntakaari/sähköinenviestinnänlaki viittaa nimittäin suoraan nykyiseen henkilötietodirektiivin suostumuksen osalta ja GDPR:n voimaantultua kaikki tällaiset viittaukset tulkitaan tarkoittavan tietosuoja-asetuksen vastaavia kohtia.

Tämä tarkoittaisi ilmeisesti sitä, että ainakin osittain joillakin sivuilla jouduttaisiin hakemaan GDPR-tyylinen suostumus evästeille. Tosin tämä ei ole ainoa vaihtoehto, koska tällöinkin henkilötietojen käsittelylle voidaan “kehitellä” toinenkin käsittelyperuste, kuten esimerkiksi oikeutettu etu, mutta sen perusteleminen henkilötietoja käsittelevien evästeiden kohdalla voi olla haastavaa, koska oikeutettu etu edellyttää myös rekisteröityjen oikeuksien tasapainottamista, ja harvoin rekisteröidyn voidaan katsoa saavan varsinaista “etua” markkinoinnista ja evästetietojen käsittelystä.

Samalla tavalla myös esimerkiksi sähköiseen suoramarkkinointiin tarvittava suostumus joutuisi täyttämään GDPR:n vaatimukset. Aika näyttää, tuleeko tämä olemaan myös tietosuojaviranomaisten näkemys.

Tähän tarvitaan suostumus, vai tarvitaanko?

Suostumus on yksi laillisista henkilötietojen käsittelyperusteista uuden tietosuoja-asetuksen nojalla. Suostumus on lähestulkoon kaikista GDPR-myyteistä eniten väärin ymmärretty asia. Syy tähän lienee siinä, että suostumuksen muotoa muutettiin tietosuoja-asetuksen myötä hieman ja sen myötä myöskin moni ymmärsi, että nyt tarvitaan tietyn muotoinen suostumus kaikkeen. Tässä kirjoituksessa käsitellään tietosuojaviranomaisten yhteistyöryhmä WP29:n tuoreinta suostumus-ohjeistusta.

Tosiasia on kuitenkin se, että tavanomaisessa liiketoiminnassa suostumusta tarvitaan varsin harvoin. Jos toimii esimerkiksi verkkokauppana ja toimittaa asiakkaalle tuotteita, suostumusta ei tarvita koska henkilötietojen käsittelyn perusteena on sopimuksen täytäntöönpano. Samoin esimerkiksi viranomainen käsittelee tyypillisesti henkilötietoja täyttääkseen lainsäädännöllisen velvoitteensa.

Suostumuksen tulisi siis sen sijaan olla viimesijainen keino henkilötietojen käsittelylle. Syynä tähän on se, että suostumuksessa on muutama merkittävä operatiivinen riski.

Ensinnäkin, suostumuksen voi peruuttaa minä hetkenä hyvänsä ilman negatiivisia vaikutuksia. Rakenna siinä sitten toimivaa bisnestä kun se voidaan missä tahansa hetkessä romuuttaa sillä, että asiakas ilmoittaa suostumuksensa päättyneen. Se, mitä nuo negatiiviset vaikutukset tarkoittavat, on tarkastelussa myöhemmin tässä kirjoituksessa.

Suostumuksen käyttö siis käytännössä edellyttää, että suostumuksella pyörivää palvelua pitäisi pystyä ainakin jossakin laajuudessa käyttämään myös ilman suostumusta. Eli suunnittelussa tulisi varautua siihen, että kun asiakas/käyttäjä peruuttaa suostumuksensa, palvelua voi vielä käyttää.

Toinen merkittävä riski on suostumuksen toteennäytön vaatimukset. Palveluntoimittaja on suostumuksen osalta syyllinen kunnes toisin todistetaan. Eli palveluntarjoajalla pitää olla kyky todistaa suostumuksen olemassaolo ja jos tähän ei pystytä, suostumusta ei ollut JA suostumuksen nojalla kerätyt henkilötiedot on kerätty laittomasti.

Siksi palvelun pitää pystyä varsin tarkasti erittelemään esimerkiksi, milloin suostumus on annettu ja etenkin se, että suostumus oli tietosuoja-asetuksen vaatimusten mukainen (eli vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn).

Suostumukselta edellytetään myös ymmärrettävyyttä eli se ei saa olla juristijargonia (there goes my day job!) vaan suostumus pitää laatia selkeällä ja yksinkertaisella kielellä.

Mitä suostumus on?

Suostumus on juridisessa mielessä yksipuolinen tahdonilmaisu  eli henkilöllä on itse oikeus päättää antaako suostumuksen vai ei ja samoin oikeus vetää suostumus halutessaan. Samantyyppisiä yksipuolisia tahdonilmaisuja ovat muun muassa valtuutus, jonka henkilö voi myös missä tahansa vaiheessa peruuttaa. Tietosuoja-asetuksessa on kaksi suostumustyyppiä: “tavallinen” ja nimenomainen.

“Tavallinen” suostumus tarkoittaa “vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen.”

Puretaanpa tätä hieman osiin. Vapaaehtoinen tarkoittaa sitä, että suostumus ei ole validi jos henkilöllä ei oikeasti ole mahdollisututa jättää suostumusta antamatta. Esimerkiksi tavanomaisessa tilanteessa työnantaja ei voi pyytää työntekijältään suostumusta henkilötietojen käsittelyyn. Samoin esimerkiksi viranomainen ei voi pyytää lakisääteistä tehtävää hoitaessaan suostumusta (WP 29 ohjeen sivulla 7 muuten selostetaan tilanteita milloin työnantaja tai viranomainenkin voi pyytää suostumuksen).

Yksilöity tarkoittaa että suostumuksessa on pystyttävä erittelemään riittävän tarkasti, mihin suostumus annetaan. Eli rekisterinpitäjä ei voi pyytää erittäin yleisluontoista suostumusta vaan rekisteröidyllä tulee olla oikeus “valita” suhteellisen tarkasti mihin suostumuksensa antaa.  Tyypillinen esimerkki viranomaisten näkemyksestä on se, että esimerkiksi lisäpalvelun ja markkinoinnin suostumukset tulisi erottaa eli käyttäjältä ei voisi edellyttää markkinoinnin hyväksymistä esimerkiksi lisäpalvelun toimittamiseksi. Tästä eivät kaikki ole samaa mieltä ja onkin mielenkiintoista nähdä miten tarkkaan yksilöity suostumuksen tulee käytännössä olla. Sananmukaisesti GDPR:n teksti edellyttää yksilöintiä, mutta ei välttämättä yksittäisiä valintoja.

Tietoinen ja yksiselitteinen tahdonilmaisu edellyttää sitä, että käyttäjä ymmärtää oikeasti antavansa suostumuksen. Tämä siis edellyttää, että käyttäjä tekee jonkin toimen, kuten esimerksi laittaa rastin ruutuun tai painamalla “hyväksyn” -nappia. Suostumusta ei voi siis ottaa esimerkiksi siten, että sivuston käyttäjäehdoissa todetaan “jatkamalla sivuston käyttöä annat suostumuksesi”. Eli ammattikielellä suostumukselta edellytetään “Opt-In” suostumusta. Lyhyesti todettuna “opt-in” tarkoittaa että asiakas tekee toimen jonka perusteella hän ilmaisee antavansa suostumuksen. Joissakin tilanteissa aiemmin on ollut käytössä ns. “Opt-out” suostumus eli toimija on olettanut että asiakas on antanut suostumuksensa ja halutessaan voi vetää suostumuksensa pois.

Esimerkiksi markkinoinnissa on joissakin kohdin käytetty opt-out vaihtoehtoa eli esimerkiksi sitä, että saadessaan suoramarkkinointisähköpostin asiakas voi poistua sähköpostilistalta. Asiaa sekoittaa se, tällaista asiaa sääntelee ns. ePrivacy-direktiivi, jota ollaan muuttamassa GDPR:n tyyliin EU asetukseksi. Nykykäytäntö on ollut esimerkiksi Suomessa, että suoramarkkinointiin vaaditaan opt-in suostumus (pl. yritysmarkkinointi).

Opt out
Vasemmalla Opt-Out, oikealla Opt-In. Huomaatko eron? Vihje: se on rasti siinä ruudussa.

No milloin sitten se suostumus otetaan?

Yksi tyypillisimpiä suostumuksen käyttökohteita ovat siis erilaiset lisäarvo- ja lisäpalvelut, kuten lisätietojen toimittaminen tai vaikkapa markkinointi. Suostumus tarvitaan esimerkiksi silloin, kun tarkoituksena on käsitellä henkilötietoja johonkin muuhun tarkoitukseen kuin mihin se alkuperäisesti on kerätty. Eli jos vaikka henkilötietoja on käsitelty sopimuksen perusteella, tietojen käsittely vaikkapa markkinointia varten vaatii suostumuksen.

On tärkeä huomata, että mikä tahansa selkeästi alkuperäisestä tarkoituksesta poikkeava käsittelytarkoitus johtaa ainakin tietosuojaviranomaisten mielestä suoraan siihen, että tarvitaan suostumus. Eli kuten markkinointiin, henkilötietojen käsittely esimerkiksi palvelujen kehittämiseen todennäköisesti edellyttää suostumusta. Arvioitaessa sitä, miten paljon käsittely poikkeaa alkuperäisestä tarkoituksesta, käytetään sellaisia kriteerejä kuten mitä tietoa alun perin annettiin ja mikä on näiden kahden eri käsittelytarkoituksen suhde. Mitä kauemmas mennään alkuperäisestä tarkoituksesta, sitä suuremmalla todennäköisyydellä tarvitaan suostumus.

Yllä olevan perusteella vaikuttaa kuitenkin, että esimerkiksi kattavalla tietosuojaselosteella voi laajentaa jonkin verran käsittelytarkoitusta. Eli mitä avoimemmin käyttäjälle kerrotaan siitä, mihin henkilötietoja käytetään, sitä laajempi käyttötarkoitus voi olla. En kuitenkaan usko, että palveluntarjoaja voisi esimerkiksi pitää “suoramarkkinointia” kiinteästi palvelun osana ja siten sallia suoramarkkinoinnin ilman suostumusta. Jotkut toimijat ovat eri mieltä tästä ja lähiaikoina tullaankin varmasti näkemään mielenkiintoista taistoa viranomaisten ja erilaisten markkinatoimijoiden välillä markkinointiin liittyen.

Markkinointi ylipäätään on oma kysymyksensä, koska sitä koskevat GDPR:n lisäksi omat sääntönsä. Esimerkiksi yrityksellä on oikeus markkinoida ns. “opt-out” periaatteella asiakkailleen samoja tuotteita joita asiakas on heiltä ostanut jos se tehdään samassa kanavassa. Tältä osin tosin markkinointisäännökset ovat muuttumassa ns. ePrivacy -asetuksen myötä.

Mitä ovat ne negatiiviset vaikutukset?

Suostumus ei ole “aito”, jos rekisteröity ei pysty vetämään suostumustaan takaisin ilman negativiisia vaikutuksia. No millaisia ne negatiiviset vaikutukset voivat olla? WP29 toteaa esimerkiksi, että suostumuksen vetämisestä ei saa aiheutua kustannuksia. Tämä on vielä ymmärrettävää, mutta lisäksi viranomaiset edellytävät, että suostumuksen vetäminen ei saisi johtaa myöskään palvelutason laskuun.

Tältäkin osin on mielenkiintoista nähdä, miten viranomaiset tulevat suhtautumaan esimerkiksi sellaiseen palveluun, jossa suostumuksella saadaan jotain lisäpalveluja käyttöön. Suostumuksen takaisinvetäminen ei siis käytännössä muuttaisi itse palvelun käyttöä vaan ottaisi vain yhden lisäominaisuuden “pois päältä”.

Oma kysymyksensä on myös se, miten tuo “kustannusvaikutus” tulisi ymmärtää. Eli jos palvelua käyttöönotettaessa käyttäjälle esitetään kaksi vaihtoehtoa: maksullinen palvelu, vaikkapa 5 euroa/kk tai vaihtoehtona antaa suostumus henkilötietojensa käyttöön johonkin muuhun, jolloin palvelu on ilmainen. Tällöinhän käyttäjä on “maksanut” omilla henkilötiedoillaan palveluista ja suostumuksen pois vetäessän “kustannusvaikutusta” ei ole vaikka hän jatkossa joutuukin maksamaan palvelusta.

Suostumusmyytti: Profilointiin vaaditaan suostumus?

Tarua! Suostumusta ei tarvita profilointiin, vaikkakin käytännössä suostumus on ehkä järkevin tapa tehdä profilointia jolla ei ole muuta tietosuoja-asetuksen mukaista perustetta (kuten sopimuksen täytääntöönpano tai lakivelvoitteen täyttäminen).

GDPR:n 22 artiklan mukaan “rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi.” Eli rekisteröidyllä on kielto-oikeus profilointiin eli oikeus keskeyttää se.

Tärkeä on huomata että jos profilointia tehdään sopimuksen täytäntöönpanemiseksi, lakivelvoitteen täyttämiseksi tai suostumuksen perusteella, henkilöllä ei ole oikeutta keskeyttää profilointia vaan ainoastaan vaatia jälkikäteistä “ihmisarviointia”.

Jos profilointia tehdään suostumuksen perusteella, suostumuksen tulee olla nimenomainen, joka tarkoittaa korkeampaa kynnystä kuin “tavanomainen” GDPR suostumus. Lisäksi monet markkinointi-ihmiset ovat sitä mieltä, että tietynlainen markkinointia varten tehty profilointi ei luo oikeusvaikutuksia ja siksi se ei myöskään olisi edes tuon kielto-oikeuden piirissä. Tuosta näkemyksestä odotan vielä tuomioistuimen tai viranomaisen ratkaisua, mutta muuten tämä myytti on täyttä tarua.

 

Minkä ikäisenä lapsi saa yksityisyyttä?

Omakanta.fi tehtyjen linjausten vuoksi vanhemmilla ei ole pääsyä yli 10-vuotiaiden lasten terveystietoihin.  Aiheesta on mainitun Ylen jutun lisäksi kirjoitettu useassa muussakin yhteydessä. Terveydenhuollon sähköistä asiointia vanhemmat eivät voi enää tehdä yli 10-vuotiaan puolesta. Ylen jutussa vedotaan lasten tietosuojaan ja oikeuteen päättää omista asioistaan. Asiaan puuttui jonkin aikaa sitten myös kansanedustaja Jukka Kopra blogissaan sekä esimerkiksi kansanedustaja Sari Essayah. Hän jätti aiheesta kirjallisen kysymyksen eduskunnalle marraskuussa.

Brittien tietosuojaviranomainen ICO julkaisi viime vuoden lopulla lausuntokierrokselle ohjeistuksensa lasten asemasta tietosuoja-asetusta sovellettaessa, jossa on myös hyviä lähtökohtia tähän keskusteluun.

Mielestäni Omakanta-palvelua koskeva linjaus vaikutti varsin mielekiintoiselta tulkinnalta. Käytäntö ei rajoitu ainoastaan Omakanta-palveluun, vaan monilla terveydenhuollon organisaatioilla tuo 10 vuoden ikäraja on käytössä myös muissa tiedoissa. Asiaa on ilmeisesti pohdittu laajasti sosiaali- ja terveydenhuollon ammattilaisten toimesta sillä kyseessä on  sosiaali- ja terveysministeriön tulkinta. En myös itse ole mikään terveydenhuollon juriidiikan asiantuntija. Joten tutkitaanpa hieman mitä lainsäädäntö sanoo alaikäisistä eli lapsista ja tietosuojasta.

Lapsi Suomen oikeudessa

Karkeasti yleistäen voidaan todeta, että Suomessa alle 18-vuotiaat ovat lain edessä lapsia. Vaikka lapsi siis voi pienestä pitäen omistaa asioita, hän ei voi tehdä sopimuksia ilman vanhempiensa (tai oikeastaan edunvalvojiensa mutta puhutaan yksinkertaisuuden nimissä vain vanhemmista) hyväksyntää. Yksi kummallisuus onkin esimerkiksi se, että mikäli 10-vuotias ottaa vaikkapa Omakannan käyttöön, hänen yksin antamansa hyväksyntä palvelun käyttöehdoille ei ole pätevä. Suostumus henkilötietojen käyttöön on myös sopimusoikeudellinen toimenpide eli yksipuolinen tahdonilmaisu joka myös vaatii vanhempien hyväksynnän (tässä on poikkeuksia joista tarkemmin edempänä).

Yksi poikkeus ylläolevaan sääntöön on 15-vuotias, joka on esimerkiksi tienannut itse rahansa kesätöillä. Tällaisia varoja 15 vuotta täyttänyt saa käyttää ilman vanhempiensa “lupaa”.

Rikosoikeudellinen vastuu alkaa 15-vuotiaana eli 15-vuotiasta voidaan syyttää ja tuomita rikoksesta. Alle 15-vuotias voi silti joutua esimerkiksi korvausvastuuseen vahingosta ilman rikosoikeudellista vastuuta. Laskun tässä tapauksessakin yleensä maksavat vanhemmat.

Oikeudessa yli 15-vuotias saa myös itse päättää omasta oikeudenkäynnistään eli käyttää puhevaltaa. 15-vuotiaan ei siis tarvitse kysyä vanhempien hyväksyntää oikeudessa vaan voi sopia asioiden hoitamisesta itsenäisesti asiamiehensä kanssa.

Todistajaksi kelpaa käytännössä minkä ikäinen lapsi tahansa, koska oikeuden keskeinen tehtävä on arvioida lapsen kertomuksen luotettavuutta. Todistajan luotettavuus ja kyky ymmärtää oikeudessa käsiteltäviä asioita arvioidaan tapauskohtaisesti.

Lapsen asema terveydenhuollossa

Terveydenhuollossa lapsi on “asiakas” siinä missä aikuisetkin. Terveydenhuollossa hoitajilla on velvollisuus arvioida lapsen kykyä päättää omasta hoidostaan. Tämä perustuu lakiin potilaan asemasta ja oikeuksista ja sen 2. Luvun 7 §:n jossa todetaan että

Alaikäisen potilaan asema

Alaikäisen potilaan mielipide hoitotoimenpiteeseen on selvitettävä silloin, kun se on hänen ikäänsä ja kehitystasoonsa nähden mahdollista. Jos alaikäinen ikänsä ja kehitystasonsa perusteella kykenee päättämään hoidostaan, häntä on hoidettava yhteisymmärryksessä hänen kanssaan.

Jos alaikäinen ei kykene päättämään hoidostaan, häntä on hoidettava yhteisymmärryksessä hänen huoltajansa tai muun laillisen edustajansa kanssa.

Pykälää on luettava yhdessä edellisen 6 §:n kanssa jossa puhutaan potilaan itsemäärämisoikeudesta eli siitä, että potilasta on hoidettava yhteisymmärryksessä hänen kanssaan. Jos potilas kieltäytyy tietystä hoidosta tai hoitotoimenpiteestä, häntä on mahdollisuuksien mukaan hoidettava yhteisymmärryksessä hänen kanssaan muulla lääketieteellisesti hyväksyttävällä tavalla. Kiireellisissä ja hengenvaarallisissa tilanteissa potilaan yhteisymmärrystä ei yleensä tarvitse hakea, tarkoituksena on pelastaa henkiä ja silloin tällaiset säännöt lentävät romukoppaan.

Yllämainitun lisäksi lain 9 §:ssä todetaan tiedonsaantioikeudesta näin:

Tiedonsaantioikeus ja toimivalta

Potilaan laillisella edustajalla taikka lähiomaisella tai muulla läheisellä on 6 §:n 2 ja 3 momentissa tarkoitetussa tapauksessa oikeus saada kuulemista ja suostumuksen antamista varten tarpeelliset tiedot potilaan terveydentilasta. (9.4.1999/489)

Jos alaikäinen potilas ikäänsä ja kehitystasoonsa nähden kykenee päättämään hoidostaan, hänellä on oikeus kieltää terveydentilaansa ja hoitoansa koskevien tietojen antaminen huoltajalleen tai muulle lailliselle edustajalleen.

Edellä 5 §:n 1 ja 2 momentissa tarkoitettu selvitys on 7 §:n 2 momentissa tarkoitetussa tapauksessa annettava alaikäisen potilaan huoltajalle tai muulle lailliselle edustajalle.

Alaikäisen tai 6 §:n 2 momentissa tarkoitetun potilaan huoltajalla tai muulla laillisella edustajalla ei ole oikeutta kieltää potilaan henkeä tai terveyttä uhkaavan vaaran torjumiseksi annettavaa tarpeellista hoitoa. (9.4.1999/489)

Lapsi saa siis estää tietojensa näkymisen, jos terveydenhuoltohenkilökunnan mielestä lapsi on riittävän kypsä ymmärtämään ja päättämään tällaisesta asiasta. Toisaalta taas, lapsen vanhemmilla on oikeus saada tietoja lapsen terveydestä tietyissä tilanteissa.

Omakanta -palvelussa vanhemmilta on järjestelmällisesti estetty yli 10-vuotiaiden lasten tietojen näkeminen. Ilman siis mitään erityistä pyyntöä lapselta tai arviota siitä, onko lapsi riittävän kehittynyt tekemään tällaisen päätöksen.  Syyksi tähän näyttää paljastuvan tietojärjestelmämäärittely, jossa on jouduttu vetämään raja mahdollisimman alas varmuuden vuoksi. Tavoitteena on, että järjestelmä sallisi jatkossa kielto-oikeuden eli että lapsi voisi itse kieltää terveystietojensa näkymisen vanhemmilleen ja tällöin myös tuosta automaattisesta ikärajasta voitaisiin luopua. Silti itse ikäraja kieltämiseen pysyisi ilmeisesti samana eli edelleen yli 10-vuotias voisi estää tietojensa näkymisen.

On mielenkiintoista, että tässä tapauksessa ikäraja on vedetty näinkin alas kun muualla lainsäädännössä ei vastaavaa ikärajaa tunneta. Sen sijaan esimerkiksi yllämainittu 15-vuotias on oikeutettu tekemään tiettyjä toimenpiteitä. Toisaalta taas, esimerkiksi tietosuojavaltuutettu on todennut, että periaatteessa minkä tahansa ikäinen lapsi voi ainakin tarkistaa terveystietonsa itsenäisesti, kunhan on kykenevä siihen ikänsä, kehitystasonsa ja asian luonteen perusteella. Tärkeää tässä on huomata se, että merkitystä on myös asian luonteella, eli esimerkiksi terveysasiat lapsi saattaa ymmärtää helpommin kuin vaikkapa talousasiat.

GDPR:n ikäraja 13-16 vuotta

Tietosuoja-asetus salli ikärajan asettamisen kansallisesti jopa 13-vuoteen tiettyjen tietoyhteiskunnan palvelujen käytön osalta. Muutoin ikäraja on 16 vuodessa. Eli alle 13/16-vuotias ei tarvitsisi vanhempiensa hyväksyntää esimerkiksi somen käyttöön. On hyvä huomata, että tässäkin suostumuksen antaminen on rajattu selkeästi vain tietoyhteiskunnan palveluihin eikä siten esimerkiksi vaikuttaisi ainakaan suoraan terveydenhuoltoon. Lisäksi kyseinen säännös koskee ainoastaan suostumusta eli esimerkiksi edelleen palvelun käyttöä koskevat ehdot vaatisivat vanhempien hyväksynnän, ellei palvelun käyttöä pidettäisi “tavanomaisena”. Riskinä liian nuoren kanssa tehdyssä sopimuksessa on sopimuksen pätemättömyys, joka ei ole vähäpätöinen asia.

Lapsilla on täsmälleen samat oikeudet kuin aikuisilla tietosuoja-asetuksen näkökulmasta. Alaikäisten erityinen asema kuitenkin tarkoittaa sitä, että se, kuka saa toimia heidän puolestaan esimerkiksi toteutettaessa rekisteröityjen oikeuksia (esimerkiksi oikeus poistoon, käsittelyn rajoitukseen, tietojen oikaisuun).

Tietosuoja-asetus edellyttää, että alaikäisille suunnatut palvelut ovat myös alaikäisille ymmärrettäviä. Eli ei riitä pelkästään se, että palvelu sallii esimerkiksi rekisteröitymisen alle 16-vuotiaalle. Palvelun on kyettävä selittämään “nuorten ja lasten kielellä” mitä rekisteröityminen tarkoittaa ja myös mitä tietosuojaan liittyviä oikeuksia käyttäjillä on. Lapsilla on GDPR:ssä tämän vuoksi erityisasema ja on selvää, että viranomaiset tulevat tämän vuoksi varsin tiukasti arvoimaan lapsille suunnattuja palveluja.

Suomessa tietosuojalainsäädännön kansallista uudistusta luonnosteleva TATTI-työryhmä ei osannut vielä päättää suosittaako se ikärajaksi 13 vai 15 vuotta. Päätöstä ei haluttu vielä tehdä vaan tarkoitus on seurata muiden Pohjoismaiden käytäntöä. Ruotsissa näytetään päätyvän 13 ikävuoteen, joten on odotettavaa että näin käy myös Suomessakin. Vaikka ikäraja on menossa varsin alhaiseksi, en mitenkään usko, että noita yllämainittuja ikärajoja (rikosoikeudellinen vastuu tai vaikkapa sopimuksen tekeminen) ryhdyttäisiin systemaattisesti alentamaan.

Omakanta-palvelun osalta ikäraja on vedetty alas todennäköisesti siksi, että on hyvin mahdollista että on olemassa 10-vuotiaita, jotka ovat riittävän kypsiä päättämään omasta hoidostaan ja myös siitä, saavatko hänen vanhempansa tietoja. Ja on myös mahdollista, että eteen sattuu tilanteita, joissa vanhemmille tai yhdelle vanhemmalle ei haluta antaa tietoja lapsen terveydentilasta. On selvää, että tällä pyritään suojelemaan lapsia ja näin pitääkin olla.

 

WP29:n tuore ohjeistus vaikuttaa merkittävästi kaikkiin tietosuojaselosteisiin

Vuosi 2018 on täällä ja samoin GDPR:n voimaantulo! Enää muutama kuukausi ja uutta asetusta sovelletaan kaikkailla EU:ssa. Moni yritys ja toimija on päässyt jo hyvään vauhtiin GDPR-työnsä kanssa, mutta tietosuojaviranomaisten yhteistyöelin Article 29 Working Party eli tuttavallisemmin WP29 heittää välillä melko isoja kapuloita rattaisiin.

Käymme blogissa läpi seuraavien viikkojen aikana näitä ohjeistuksia. Tällä kertaa suuntaamme katseet marraskuussa julkaistuun ohjeistusluonnokseen koodinimellä WP260 joka koskee transparencya eli läpinäkyvyyttä. Keskeisenä tavoitteena on antaa selvyyttä tietosuoja-asetuksen 13 ja 14 artiklan jo varsin laajaan ja seikkaperäiseen listaan siitä, mitä rekisteröidylle on kerrottava henkilötietojen käsittelystä. Artikla 13 koskee tilanteita, joissa rekisterinpitäjä kerää henkilötiedot suoraan rekisteröidyltä kun taas artikla 14 taas koskee tilanteita, jossa henkilötiedot kerätään muista lähteistä kuin rekisteröidyltä itseltään.

Lyhyenä kertauksena vielä vaatimuksista, jotka ovat kutakuinkin molemmissa tilanteissa samat. Rekisterinpitäjän on toimitettava rekisteröidylle kaikki seuraavat tiedot:

  1. rekisterinpitäjän tai tämän edustajan identiteetti ja yhteystiedot;
  2. tietosuojavastaavan yhteystiedot;
  3. henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste;
  4. rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut, jos käsittely perustuu 6 artiklan 1 kohdan f (eli kolmansien osapuolien oikeutettua etua varten) alakohtaan;
  5. henkilötietojen vastaanottajat tai vastaanottajaryhmät;
  6. tieto siitä, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle, ja tieto tietosuojan riittävyyttä koskevan komission päätöksen olemassaolosta tai puuttumisesta,
  7. henkilötietojen säilytysaika tai tämän ajan määrittämiskriteerit;
  8. rekisteröidyn oikeudet
  9. oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen, jos suostumus on käsittelyperuste
  10. oikeus tehdä valitus valvontaviranomaiselle
  11. onko henkilötietojen antaminen lakisääteinen tai sopimukseen perustuva vaatimus taikka sopimuksen tekemisen edellyttämä vaatimus sekä onko rekisteröidyn pakko toimittaa henkilötiedot ja tällaisten tietojen antamatta jättämisen mahdolliset seuraukset
  12. automaattisen päätöksenteon, kuten mm. profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.

Kun henkilötietoja ei ole saatu rekisteröidyltä itseltään, rekisterinpitäjän on lisäksi kerrottava mistä henkilötiedot on saatu ja se onko ne saatu yleisesti saatavilla olevista lähteistä. Tämän lisäksi on vielä kerrottava, mitä henkilötietoryhmiä käsittely koskee.

Jos rekisterinpitäjä aikoo käsitellä henkilötietoja yllämainitun lisäksi muuhun tarkoitukseen kuin siihen, johon henkilötiedot kerättiin, rekisterinpitäjän on ilmoitettava rekisteröidylle ennen kyseistä jatkokäsittelyä tästä muusta tarkoituksesta ja annettava kaikki asiaankuuluvat tiedot yllämainitun mukaisesti.

WP29:n tarkennuksia ohjeistukseen

Tietosuojaviranomaisten ohjeistus muuten ei ole toimijoita sitovaa, vaan ilmaisu siitä, miten EU:n tietosuojaviranomaiset tulkitsevat tulevaa asetusta. Tietenkin tällä hetkellä kysymys on vain luonnoksesta, johon voidaan vielä vaikuttaa kommenttien muodossa 23.1.2018 asti. Mikäli ohjeistus hyväksytään sellaisenaan, yrityksillä on siis vaihtoehtona joko täysin noudattaa suositusta tai sitten mennä niin sanotusti GDPR:n mukaan ja tulkita itse asetusta toisella tavalla. Tämä on tietysti iso riski, koska viranomaiset tulevat varmasti haastamaan heidän näkemyksensä vastaisen tulkinnan.

Läpinäkyvyys-ohjeistuksen keskeisenä tarkoituksena on antaa suuntaa siihen, miten rekisterinpitäjät informoivat rekisteröityjä (eli esimerkiksi asiakkaitaan tai työntekijöitään) tietosuoja-asetuksen vaatimusten mukaisesti. Yleensä tämä tieto kootaan ns. “tietosuojailmoitukseen” eli privacy statementiin. Tällä tavalla rekisterinpitäjä täyttää tietosuoja-asetuksen 13 ja 14 artiklan mukaiset velvoitteensa. Tämä ilmoitus ei ole tietenkään ainoa tapa, mutta yleisimmin käytetään varsin yleisluontoista selostusta henkilötietojen käsittelystä.

Läpinäkyvyys-ohjeistuksen suurimpana ongelmana on se, että vaatimuksissa mennään hyvin syvälle detaljitasoihin ja samalla vaaditaan, että rekisteröidylle toimitetaan tiedot “selkeästi, tiiviisti ja helposti saatavasti”. On erittäin haastavaa ellei mahdotonta tuottaa tietoa tiiviisti, jos vaatimuksena on samalla kattavuus ja selkeys. Selvää on, että ohjeistuksella tulee olemaan vaikutusta kaikkiin tietosuojaselosteisiin, riippumatta siitä, koskevatko ne ennen tai jälkeen GDPR:n voimaantuloa tehtävää henkilötietojen käsittelyä.

Privacy notice kahden klikkauksen päässä

Tässä muutamia poimintoja WP29:n läpinäkyvyyttä koskevasta ohjeluonnoksesta:

Tietosuojaan liittyvät tiedot tulee olla helposti saatavilla (ohjeen sivu 8). Ohjeistuksessa esimerkiksi edellytetään, että henkilötietojen käytöstä kertovaan sisältöön tulisi päästä online-palveluissa “kahden klikkauksen” kautta. Eli esimerkiksi sovelluksen valikossa tulisi olla suoraan erillinen “tietosuoja/henkilötietojen käyttö” -kohta josta pääsee tarkastamaan tietosuojaa koskevat tiedot. Tämä on muuten sovelluskehityksessä yleinen valituksen aihe, kun kaiken maailman privacypolicyjen takia kännykän ruudun tila (eli “real estate”) täytyy täyttää kaikella tylsällä eikä päästä myymään käyttäjälle peliä halvalla (eli saada koukuttavaa hintaa riittävän isolla ruudulle).

Yksinkertainen ja selkeä kieliasu (sivu 9). Käytettävän kielen tulisi olla yksinkertaista eikä se saisi sisältää “juridisia termejä”. Tietoa ei myöskään saa jakaa “varmuuden vuoksi” tai epäselvyyden lisäämiseksi. Esimerkiksi seuraavat toteamukset eivät täytä “selkeysvaatimusta”:

  •  Saatamme/voimme käyttää henkilötietojasi uusien palveluiden kehittämiseksi. -> Tässä ongelmana on se, että lukijalle ei avaudu, mitä nämä kyseiset  palvelut ovat ja miten henkilötietoja käytettäisiin kehityksessä.
  • Saatamme/voimme käyttää henkilötietojasi tutkimukseen. -> Ongelmana se, että ei tarkemmin määritellä millaiseen tutkimukseen (kaupalliseen/tieteelliseen/yrityksen sisäiseen) tietoja käytetään.
  • Saatamme/voimme käyttää henkilötietojasi palvelujen personointiin. -> Ongelmana se, että ei tarkemmin kerrota mitä personointi käytännössä tarkoittaa (eli miten tietoja käytetään ja miten personoinnin tulokset näkyvät käyttäjälle.

Kahden ensimmäisen osalta oma kysymyksensä on esimerkiksi se, miksi palveluntarjoaja käyttäisi juuri henkilötietoja tällaiseen palvelun kehittämiseen tai tutkimukseen. Tällaisissa tilanteissa voisi olla järkevää esimerkiksi anonymisoida tiedot siten, että ne eivät ole enää henkilötietoja (ja siten eivät informointivelvoitteen piirissä). Viranomaiset pyrkivät osoittamaan, että epävarman kielen (saatamme, ehkä, voi olla että) käyttäminen hämärtää rekisteröidyn mahdollisuutta täysin ymmärtää henkilötietojen käsittelyä.

Ensimmäisen esimerkin osalta WP29 edellyttää rekisterinpitäjältä mahdotonta: sen pitäisi pystyä ennustamaan, mitä palveluja se tulee kehittämään ja kertomaan tämän, keskeisimmän liikesalaisuutensa, rekisteröidylle.

Asteittainen/kerroksittainen tietosuojaseloste (sivu 17). Ohjeistuksessa tuodaan esiin myös ns. “Layered notice/Just in time notice” joka tässä nyt suomennettakoon vaikkapa asteittaiseksi tai kerroksittaiseksi tietosuojaselosteeksi. Ajatuksena on siis se, että esimerkiksi sovelluksen käyttäjälle näytetään hänen sovelluksensa tekemän toimenpiteen (vaikkapa kuvan lataaminen palveluun) kannalta keskeisiä tietosuoja-asioita (esimerkiksi kuka voi nähdä kuvan, keneltä pitää kysyä lupa kuvan julkaisemiseen jne). Lisäksi käyttäjälle annetaan mahdollisuus tutustua tarkemmin (esimerkiksi linkin muodossa) koko tietosuojaselosteeseen ennen tai jälkeen toimenpiteen tekemisen. Toteutusmuotoja on satoja: ponnahdusikkunoita, videoita, ääniviestejä jne jne.

Juristien ammatin pelastus on ollut se, että harva lukee pitkiä sopimustekstejä ja ilmeisesti vielä harvempi lukee tietosuojaselosteita (minä kyllä luen ja pidän niitä kiehtovina!). WP29:n toiveena ilmeisesti on, että tiedon palasteleminen auttaisi rekisteröityjä ymmärtämään paremmin hänen käytämänsä palvelun tietosuojavaikutuksia hänelle ilman että käyttäjä “väsyy” tietoon ja “hyväksyy kaiken” lukematta. On tietenkin aika paksua vaatia rekisterinpitäjää innostamaan rekisteröityjä innostumaan tietosuojasta, mutta toisaalta mielestäni GDPR:n henki on, että halutessaan tieto on helposti saatavilla.

Ohjeistuksessa on myös muita varsin mielenkiintoisia tulkintoja, kuten esimerkiksi se, että liitteenä olevassa taulukossa edellytetään että henkilötietojen siirrosta ETA-alueen ulkopuolelle tulisi kertoa erittäin seikkaperäisesti rekisteröidylle. Vaatimus edellyttäisi, että rekisterinpitäjän tulisi esimerkiksi mainita kaikki maat joihin henkilötietoja siirretään. Tämä on jo selkeää GDPR:n ylitulkintaa, koska artikla 13:ssa edellytetään ainoastaan mainitsemaan, että tehdäänkö siirtoja ETA:n ulkopuolelle vai ei.

Toteutuessaan ehdotetun muotoisena uusi ohjeistus tulee vaikuttamaan moneen tietosuojaselosteeseen, jopa ns. “GDPR-valmiiseen”, koska harva on varmasti osannut arvioida vaatimusten menevän näin tiukaksi. Toivottavaa on, että kommenttikierroksella saadaan palautetta joka muuttaa ohjeistusta lievemmäksi. Aiempien ohjeistuksien, perusteella vaikuttaa kuitenkin siltä, että viranomaisten ambitiotaso on korkealla.

Vuoden 2017 top 5: GDPR, suorahankinnat, #milläoikeudella, ulkomaille lähteminen ja kiitos!

Vuosi 2017 on nyt paketissa ja on aika katsoa tämä vuoden JIT-Blogin ilmiöitä ja keskeisimpiä aiheita.  Eli vuoden 2017 top 5 on seuraava:

1. GDPR, GDPR, Kekkonen, GDPR

Tietosuoja-asetuksen eli GDPR:n voimaan tuloon on enää muutama hassu kuukausi. Meno alkoi selvästi kiristyä loppuvuodesta 2017, kun konsultit ovat pääseet “veren makuun” ja myllyttäneet GDPR myyttejä (isot sakot kaikesta!) ja paniikkia. Kirjoitin aiheesta myös runsaasti, kuten esimeriksi sitä, miten tietosuoja-asetus tulisi huomioida hankintasopimuksissa (osa 1 ja osa 2). Lisäksi tarkasteltiin hankintarintamalta muun muasssa siitä, miten asetuksen voimaantulo on huomoitu hankintasopimuksissa (spoiler: huonosti) ja jos ei ole, oikeuttaako tietosuoja-asetus hankintasopimuksen muutokseen?

Kesäkuussa myös julkaistiin tietosuoja-asetuksen kansallista voimaansaattamista pohtineen työryhmän mietintö, joka ehdotti että henkilötietolaki kumotaan ja tilalle säädetään tietosuojalaki. Työryhmän työtä on jatkettu ja hallituksen esitys on tulossa lähiaikoina, merkittäviä laajennuksia ei ainakaan tällä hetkellä ole työryhmän mietintöön tulossa.

Muita aiheita tietosuoja-asetuksen osalta olivat muun muassa tietojen poistaminen.

2. Suorahankinnat

Tänä vuonna blogissa puhuttiin paljon suorahankinnoista, kuten esimerkiksi autoverotuksen uudistuksen yhteydessä käytetyistä konsulteista. Useampi konsulttiyhtiö oli  laskuttanut liikenne- ja viestintäministeriöltä: alle silloisen hankintalain 30.000 euron soveltamisrajan. Valtio käyttää myös runsaasti asianajajia konsultteinaan, sillä heille maksettiin lähes kolmen miljoonan euron edestä palkkioita vuonna 2016.

Lisäksi mielenkiintoinen tapaus oli markkinaoikeuden ratkaisu, jossa roskapostisuodatuksesta pärähti 50.000 euron lasku.

3. No, kannattiko ulkomaille lähteä?

Vuonna 2017 tuli myös täyteen ensimmäinen kokonainen vuosi Suomessa kolmen vuoden ulkomaillaolon jälkeen. Ihme ja kumma, vieläkin poden välillä pientä kulttuurishokkia tässä hiljaisten kansalaisten maassa. Uuden vuoden myötä moni varmaan pohtii tai haaveilee että lähtisinkö ulkomaille ja kannattaisiko lähteä. Oman näkemykseni tähän kysymykseen voi varmaan jo arvatakin, mutta sen löydät parhaiten lukemalla itse postauksen. Suomi 100 -juhlavuoden kunniaksi kirjoitin myös pienen pätkän siitä, mitä kaikkea hollantilaiset tekevät meitä paremmin.

4. #milläoikeudella

Vuoden 2017 lopussa juristipiireissä toden teolla kohahti, kun #milläoikeudella -kampanja julkisti kertomuksia laajasta ahdistelukulttuurista juristien piirissä. Tähän tarinaan on vastanneet jo lakimiesliitto ja asianajajaliitto omilla selvityksillään, mutta selvästi työ on vasta alussa. Esimerkiksi asianajotoimistojen johtopaikoilla on vielä varsin suuri miesvalta.

5. Te, rakkaat lukijat ja kuulijat!

JIT-blogi on vuoden 2017 aikana kasvattanut hurjasti lukijakuntaansa ja tässä hyvin kapean alan asiantuntijablogissa on kuukausittain jo yli tuhat lukijaa. Aivan uskomattoman hurjaa! Siitä suuri kiitos teille, rakkaat lukijat! Ensi vuonna meno jatkuu samanlaisena, mutta mielelläni otan palautetta vastaan siitä, mistä ja miten pitäisi kirjoittaa. Tervetuloa siis kommentoimaan, esimerkiksi @twitterissä, Linkedinissä tai Facebookissa.

Bloggaamisen lisäksi siirryin loppuvuodesta myös podcastien tekemiseen. Se on ollut todella hauskaa. Ensi vuonna on tarkoitus jo ihan haastatellakin ihmisiä juridiikan ilmiöistä, joten pysykää kuulolla. Podcastin nimi on Ibid Podcast ja se löyty tällä hetkellä ainakin Soundcloudista .

Eli kiitos kiitos kiitos kuluneesta vuodesta ja tavataan ensi vuonna, virtuaalisesti tai ihan henk koht!

Podcast: Juristien paimenkirjeet

Jit-blogi on nyt myös kuulokkeissasi! Ensimmäisessä podcastissa aiheena paljon puhutut juristien paimenkirjeet.

 

Juristien ala on miesvaltainen, ja #milläoikeudella avaa tärkeän keskustelun

Olen seurannut epäuskoisena ja hyvin harmistuneena #milläoikeudella -sivustolle kerättyjä kertomuksia naisten kokemasta ahdistelusta ja seksuaalisesta häirinnästä juristien ammattikunnassa. Sivustolle (tiistaihin mennessä) kerätyt 200 kertomusta piirtävät kuvan pitkään jatkuneesta ilmapiiristä, jossa ahdistelu on sallittua tai ainakin se on painettu villaisella.

Tämä ei ole mitenkään oikein. Naisten ei pitäisi joutua kohtaamaan tällaista syrjintää, ahdistelua tai häirintää työskennellessään juristina tai missään muussakaan työssä. On suuri vääryys, että näin on päässyt tapahtumaan ja asian on muututtava.

Kertomukset luovat kuvan juristien ammatista erittäin epämieluisan kuvan. Toisaalta se mustamaalaa myös kunnollisesti käyttäytyviä miesjuristeja, -osakkaita, -laamanneja ja -virkamiehiä. Lisäksi sivuston julkilausuma on sellainen, jota on vaikea tasa-arvoa rakentavasti tavoittelevan miehen allekirjoittaa: “Ongelman ydin ei ole vain muutamassa huonosti käyttäytyvässä miehessä, vaan koko juristikuntaan pesiytyneessä kulttuurissa, joka sallii naisten epätasa-arvoisen kohtelun ja jättää uhrit yksin.”

On ehkä hieman ylilyönti syyttää koko juristikuntaa, yhtään vähättelemättä itse ongelmaa. Olen itsekin todistanut, että ahdisteluun on puututtu ja pyrkinyt hillitsemään esimerkiksi seksistä kommentointia tai vitsailua. En ole havainnut esimerkiksi kertomuksissa mainitun kaltaista käyttäytymistä nykyisellä työpaikallani. Ahdisteluun myös puututaan eikä mielestäni kyseessä ole aivan koko juristikuntaan pesiytyneestä kulttuurista, mutta tietyissä työpaikoissa kuulemani mukaan meno on aika pitkälle kertomusten kaltaista. Ahdistelu ja epätasa-arvoinen kohtelu on laaja ilmiö, mutta on väärin leimata kaikki juristit asian hyväksyviksi.

Koska itse olen ollut aktiivisesti tämäntyyppistä epäasiallista ja syrjivää kohtelua vastaan, olen siksi todennäköisesti jäänyt myös suurelta osin tällaisen syrjivän keskustelun ulkopuolelle. On siis mahdollista, että omakin kuvani alasta on “vääristynyt” eli että en ole saanut nähdä ahdistelua niin laajana kuin se todellisuudessa on.

Numeroilla nähden tilanne on selkeä

Mutta yritetäänpä piirtää kertomusten ja saatavilla olevien faktojen avulla edes jonkinlainen kuva tästä miesvaltaisesta alasta. On nimittäin numerojen perusteella selvää, että miehillä on valtaa juridiikassa.

Oikeustieteen opiskelijoissa on jo pitkään ollut naisvalta: esimerkiksi Turun yliopistossa vuonna 2016 oikeustieteen opiskelijoista naisia oli 65,4 % ja miehiä loput 34,6%. Lukemat ovat samansuuntaisia kaikissa muissakin yliopistoissa, joissa oikeustiedettä opetetaan: naisia on selvä enemmistö. Sukupuolijakauma on ollut samansuuntainen jo pitkään, reilusti yli 15 vuotta.

Tutkin viime vuoden alussa asianajotoimistojen osakkaiden sukupuolijakaumaa. Tarkoituksena oli selvittää, onko naisilla vaikutusta asianajotoimiston tulokseen. Lievä veikkaukseni on että kyllä vaikuttaa ja positiivisesti. Tarkoituksenani on tehdä sama vertailu myös tänä vuonna ja siksi keräsin jälleen mies- ja naisosakkaiden määrät. Naisia oli 20 suurimmassa asianajotoimistossa osakkaina keskimäärin 24,1 %, määrä on noussut viime vuoden 22 %:sta.

Näyttökuva 2017-12-11 kello 22.29.33

Määrä on mielestäni pieni, jos vertaa sitä naisopiskelijoiden määrään. Samoin määrä on pieni, jos sitä vertaa esimerkiksi yrityksessä johtoasemassa olevien juristien sukupuolijakaumaan. Tästä minulla ei ole tarkkaa tietoa, mutta tutkin viime vuonna pörssiyhtiöiden lakiasianjohtajien sukupuolijakaumaa ja oma käsitykseni on, että naisia on merkittävästi suurempi määrä johtavissa juristien tehtävissä yrityksissä kuin tuo 24,1%.

Olisi naiivia ajatella, että tuollaisella sukupuolijakaumalla ei olisi vaikutusta alan kulttuuriin ja toimintatapoihin. Lisääntyvä naisten määrä asianajotoimistojen johtotehtävissä toivottavasti tuo tähän muutosta. En ole tarkkaan tutkinut tilannetta, mutta oma käsitykseni on myös, että osakkaiden alapuolella työskentelevissä johtotehtävissä on suurempi määrä naisia, eli oletettavaa on, että jossakin vaiheessa tulevaisuudessa naisosakkaiden määrä tulee kasvamaan. Mutta ihmeellisen hidasta kehitys on ollut, kun ottaa huomioon esimerkiksi juuri tuon opiskelijoiden sukupuolijakauman. Ympärillä oleva yhteiskunta on muuttunut nopeammin kuin juristien maailma.

Otetaanpa vertailukohdaksi esimerkiksi korkeimmissa tuomioistuimissa, eli korkeimmassa oikeudessa ja korkeimmassa hallinto-oikeudessa johtoasemissa eli jäseninä olevien sukupuolijakauma. KKO:ssa naisia on jäsenistössä 32% ja KHO:ssa 45 %.

Näyttökuva 2017-12-11 kello 22.47.03

Eli luvut ovat huomattavasti korkeampia kuin esimerkiksi asianajotoimistoissa. Asianajomaailma on siis merkittävästi miesvaltaisempi kuin vaikkapa ylimmät tuomioistuimet. Korkeimman oikeuden jäseneksi pääsy on pidemmän työkierron takana kuin asianajotoimiston osakkaaksi pääseminen. Tästä huolimatta osakkaiksi päätyy vähemmän naisia. #milläoikeudella kampanjan yksi suuri pyrkimys vaikuttaa olevan kulttuurimuutos. Juuri tällainen muutos on vaikein toteuttaa. Mutta se on ehdottomasti tehtävä. On todella väärin, että kokemus tällaisesta vaikenemisen ja hyssyttelyn kulttuurista on olemassa. Naisten määrän kasvu johtotehtävissä ei automaattisesti tarkoita sitä, että kulttuuri muuttuisi, mutta varmasti sillä on suuri vaikutus kulttuuriin. Pyrkimyksenä ei myöskään tarvitse mielestäni olla se, että joka paikassa olisi naisia yhtä paljon kuin miehiä johtotehtävissä, vaan siitä, että tehtäviin valitaan sopivimmat, olivat he sitten miehiä tai naisia.

Juridiikassa ei ole miesten tai naisten töitä, vaan ainoastaan töitä. Asianajotyö ei ole sen enempää miehille kuin naisille sopivaa. Samoin työ tuomarina, virkamiehenä tai vaikkapa yrityksen juristina on yhtä lailla yhtä kovaa ja vaikeaa miehelle kuin naiselle. Tämä työ vaatii itseluottamusta, osaamista ja kokemusta, ei tiettyä sukupuolta. Mitään perustetta vähätellä vastakkaista sukupuolta ei siis ole.

Liittojen on puututtava epätasa-arvoiseen kohteluun

Kävin nopeasti läpi asianajajaliiton ja lakimiesliiton sivustot ja suuri yllätys ja pettymys oli se, että  kumpikaan ei ilmeisesti ole tehnyt vielä yhtään selvitystä aiheesta, vaikka sen olemassaolosta on ilmeisesti tiedetty jo pitkään. Lisäksi tarjolla ei ole ilmeisesti ollut minkäänlaista foorumia syrjinnän tai ahdistelun ilmituomiseksi.

Tähän olen todella pettynyt. Olen kiltisti maksanut lakimiesliiton jäsenmaksua, jota ei todellakaan ole käytetty järkevään, jos tämä tieto pitää paikkansa.  Liittojen on nyt näytettävä tietä ja avattava omat resurssinsa ongelman ratkaisemiseksi laajamittaisesti.  Kyselyjen lisäksi molemmilla liitoilla tulisi olla henkilökuntaa tämän asian käsittelyyn.

#milläoikeudella nostaa rohkeasti esiin ilmiön, johon on puututtava. Toivon hartaasti että työhön otetaan mukaan myös kertomuksia jakaneita ja julkilausuman allekirjoittaneita.