Selvitys: tietosuoja-asetukseen edelleen huonosti valmistauduttu hankintasopimuksissa

Tietosuoja-asetuksen voimaantuloon on enää kohta kuukausi aikaa, mutta edelleen hankintayksiköt eli esimerkiksi valtion viranomaiset ja kunnat ovat huonosti valmistautuneita. Tämä käy ilmi JIT-blogin työryhmän läpikäymästä 30:sta hankintasopimuksesta. Kahdessakymmenessä sopimuksessa 31:sta  (noin 65 prosenttia) ei ole  ollenkaan mainintaa tietosuoja-asetuksesta tai sen voimaantulosta. Aikaisemmalla selvityskerralla marraskuussa lukema oli hieman pienempi, noin 59 prosenttia.

Näyttökuva 2018-4-11 kello 10.31.31 1

Aineisto käytiin läpi pääsiäisen tienoilla Hilma-ilmoituksista ja julkishallinnon laajasti käyttämästä Hanki-palvelusta. Kuten aiemmallakin kerralla mukaan poimittiin vain hankintoja, joissa olisi edes vähän merkitystä henkilötietojen käsittelyllä. Siksi esimerkiksi rakennusurakoita tai tavarahankintoja ei ole mukana. Hankinnat koostuvat ICT-palveluhankinnoista, terveyshankinnoista ja erilaisista muista palveluhankinnoista, kuten esimerkiksi koulutuksista.

Lukemien perusteella ei voida tehdä suuria tilastollisia päätelmiä mihin suuntaan tilanne on kehittymässä lähinnä siksi, että otoksen määrä on vielä suhteellisen pieni vaan kysymys on enemmänkin laadullisesta ja sisällöllisestä arvioinnista. On kuitenkin huolestuttavaa, että edelleen merkittävissä määrin sopimuksia tietosuoja-asetusta ei edes huomioida mitenkään eikä tilanne vaikuta muuttuneen viime marraskuusta juuri yhtään.

Hankintasopimuksen muuttaminen tietosuoja-asetuksen vuoksi ei välttämättä ole aina mahdollista ilman uutta kilpailutusta. Hankintayksiköiden tulisi pyrkiä ottamaan huomioon asia paremmin ja kokonaisvaltaisemmin jo tarjouspyyntövaiheessa, vaikka laki tuleekin voimaan vasta myöhemmin. Kyseessä ei varmastikaan ole asia, jota ei ole voitu etukäteen ennakoida, koska asetus on hyväksytty jo vuonna 2016. Siksi on varsin epätodennäköistä, että tietosuoja-asetuksen vuoksi voisi tehdä suorahankintoja.

Yksinkertaisella ratkaisulla asia kuntoon

Yhdessätoista sopimuksessa tietosuoja-asetus on mainittu ja huomioitu jollakin tavoin. Näistä sopimuksista seitsemässä on käytetty liitteenä viranomaisyhteistyönä laadittua yksinkertaista ja tehokasta sopimuspohjaa (ks. ohjeen lopussa oleva liite), joka käytännössä hoitaa tärkeimmät ongelmat.

Niissä sopimuksissa, joissa GDPR on jotenkin huomioitu, kahdessa ei kuitenkaan esimerkiksi ole sopimusehtoja, jotka täyttäisivät artiklan 28 pakolliset vaatimukset henkilötietojen käsittelylle. Miksi se on tärkeää? Yleensä hankintasopimuksissa viranomainen/hankintayksikkö on rekisterinpitäjä ja toimittaja taas käsittelijä. Tässä suhteessa tietosuoja-asetus edellyttää sopimusta, johon on kirjattu velvoitteita molemmille osapuolille juuri kyseisessä artiklassa tarkemmin kuvatulla tavalla. Käyttämällä tuota yllämainittua mallisopimusta tämäkin asia tulee hoidetuksi.

Koska suurimmassa osassa sopimuksista ei ole mainintaa GDPR:stä eikä esimerkiksi tuota mallisopimusta ole käytetty, yllämainitut vaatimukset eivät täyty. On hyvä huomata, että esimerkiksi pelkästään käyttämällä JYSE tai JIT -ehtoja sopimuksen “pohjana” ei täytetä vielä kyseisiä artikla 28:n vaatimuksia.   JYSE-ehdoissa on sentään määritelty osapuolten roolit (hankintayksikkö on rekisterinpitäjä ja toimittaja käsittelijä), mutta JIT-ehdoissa ei ole edes tällaista määrittelyä.

chart

Ainoastaan 40 %:ssa sopimuksista siis täytetään vaatimukset, eli tämän vuoden aikana tullaan todennäköisesti tekemään erittäin merkittävissä määrin muutoksia hankintasopimuksiin. Tietojemme mukaan myös JIT- ja JYSE -ehtoja tullaan päivittämään piakkoin, mutta tarkkaa aikataulua ei ole vielä saatavilla.  Ne sopimukset, jotka on tehty ennen näiden päivitysten voimaantuloa, eivät kuitenkaan korjaannu ja vaativat myös erillisen oman muutoksensa.

 

 

Suostumus ja GDPR, osa 2: markkinointi? (evästeet ja vähän oikeutettua etua)

Vähän aikaa sitten kirjoitin GDPR:stä ja suostumuksesta. Käytin tässä tilanteessa useammassa tilanteessa esimerkkinä markkinointia asiasta, joka olisi yleensä sillä tavalla esimerkiksi sopimuksen täytäntöönpanosta poikkeava käsittelyperuste, että se vaatisi suostumuksen. Moni näytti vetäneen tästä sen johtopäätöksen, että markkinointi vaatisi aina suostumuksen, tai ainakin ymmärtäneen minun väittävän niin. Joten tarkennetaanpa aihetta vielä hieman.

Kuten aiemmin todettiin, suostumus on vain yksi tietosuoja-asetuksen sallima käsittelyperuste henkilötietojen käsittelylle. Suostumus on myös ehkä käytännössä se kaikkein viimeisin vaihtoehto, eli suostumus on otettava silloin kuin mitään muuta käsittelyperustetta ei “keksitä”. Tämä on myös tietosuojaviranomaisten “virallinen kanta”, joka ilmenee heidän yhteistyöelimen eli WP 29:n ohjeistuksesta. Yleensä käsittelyperusteena on muun muassa sopimussuhde asiakkaaseen tai vaikkapa lakisääteiseen tehtävään perustuva velvoite.

On siis täysin mahdollista, että suostumusta käytetään käsittelyperusteena markkinointiin. Mutta mitä markkinoinnilla tarkoitetaan? Se onkin hyvä kysymys, koska suostumuksen tai muun perusteen käyttötarkoitus vaikuttaa merkittävästi siihen, millaista markkinointia on tarkoitus tehdä.

Jos kysymys on ns. “perinteisestä” markkinoinnista eli esimerkiksi postitse lähetettävistä tarjouksista yms, markkinointiin ei tarvita suostumusta vaan tällöin markkinointia voidaan tehdä ns. oikeutetun edun perusteella joka on yksi tietosuoja-asetuksen nimenomaisesti sallimista henkilötietojen käsittelyperusteista markkinointiin.

Oikeutettu etu tarkoittaa sitä, että yrityksellä on jokin intressi eli tarkoitus henkilötietojen käsittelylle. Oikeutetun edun ongelma ja riski on kuitenkin se, että se edellyttää varsin taidokasta “oikeuspunnintaa” eli perustelua sille, miksi esimerkiksi markkinointi olisi sekä yrityksen että rekisteröidyn etujen mukaista.

Oikeutettu etu asettaa myös varsin korkeat vaatimukset rekisteröidyn informoinnille eli rekisteröidyn tulee osata ymmärtää ja  tietyllä tavalla myös “odottaa” markkinoinnin tapahtuvan. Rekisterinpitäjällä on myös velvollisuus minimoida yksityisyyden “loukkaukset” eli vaikutukset rekisteröidyn tietosuojaan. Rekisterinpitäjän tulee dokumentoidusti osoittaa, että se on arvioinut käsittelyn tapahtuvan asianmukaiseen tarkoitukseen, että käsittely on tarpeen tarkoituksen saavuttamiseksi ja vaikutus rekisteröidyn yksityisyyteen on riittävän vähäinen.

Tyypillinen tilanne on esimerkiksi se, että asiakas tilaa tuotteen verkkokaupasta ja kauppias tämän jälkeen mainostaa samanlaisia tuotteita asiakkalleen samaa kanavaa käyttäen. GDPR antaa tällöinkin mahdollisuuden kieltäytyä moisesta ns. “opt-out” suostumuksen kautta eli ilmoittamalla että ei halua enää olla markkinoinnin kohteena. Itse asiassa GDPR:n oikeus “olla olematta suoramarkkinoinnin kohteena” koskee mitä tahansa käsittelyperustetta eli ymmärtääkseni opt-out vaihtoehto markkinoinnille tulisi tarjota myös sopimuksen tai suostumuksen perusteella tapahtuvan markkinoinnin osalta.

Sähköinen suoramarkkinointi

Jos taas puhutaan sähköisestä suoramarkkinoinnista, tähän tarvitaan ePrivacy-vaatimusten vuoksi suostumus. Eprivacyä käytetään lyhenteenä eprivacy-direktiivistä, joka Suomessa on implementoitu Tietoyhteiskuntakaareen, jonka nimi tulee muuttumaan 1.6.2018 alkaen tylsästi laiksi sähköisen viestinnän palveluista. Siksi käytän mielummin termiä eprivacy. Sekavaa? Ei se mitään, britit käyttävät siitä vielä termiä PECR.

Tietoyhteiskuntakaari/sähköisenviestinnänlaki/eprivacy/PECR sääntelee siis kaikkea tietoverkossa liikkuvaa tietoa, ei ainoastaan henkilötietoa ja tietosuojanäkökulmasta. Sääntely koskee varsinkin operaattoreita jotka välittävät tietoa sekä erityisesti tilanteita, joissa käyttäjän laitteelle joko asetetaan koodinpätkää (esimerkiksi evästeitä) tai sitten sieltä otetaan tietoja (kuten sijainti). Laissa säännellään lisäksi siis myös sähköistä suoramarkkinointia. Suomessa eprivacy on toteutettu niin, että sähköistä suoramarkkinointia varten tarvitaan opt-in eli ennakolta annettava suostumus.

Eprivacya ollaan kovaa vauhtia sorvaamassa EU:ssa direktiivistä asetukseksi, mutta työ on vielä joiltakin osin kesken, tavoitteena lienee saada uudistus voimaan ensi vuoden lopulla. Koska työ on vielä kesken, suostumusta koskevat säännökset sähköisen suoramarkkinoinnin osalta ovat vielä hieman arvoituksen peitossa.

Miljoonan dollarin kysymys onkin se, millainen tuon tietoyhteiskuntakaaren mukaisen suostumuksen tulee olla GDPR:n voimaan tullessa? Useampi tietosuoja-ammattilainen on todennut, että suostumuksen tulisi vastata GDPR:n vaatimuksia silloin kun käsitellään henkilötietoja kuten esimerkiksi IP-osoitteita.

Eprivacy/tietoyhteiskuntakaari/sähköinenviestinnänlaki viittaa nimittäin suoraan nykyiseen henkilötietodirektiivin suostumuksen osalta ja GDPR:n voimaantultua kaikki tällaiset viittaukset tulkitaan tarkoittavan tietosuoja-asetuksen vastaavia kohtia.

Tämä tarkoittaisi ilmeisesti sitä, että ainakin osittain joillakin sivuilla jouduttaisiin hakemaan GDPR-tyylinen suostumus evästeille. Tosin tämä ei ole ainoa vaihtoehto, koska tällöinkin henkilötietojen käsittelylle voidaan “kehitellä” toinenkin käsittelyperuste, kuten esimerkiksi oikeutettu etu, mutta sen perusteleminen henkilötietoja käsittelevien evästeiden kohdalla voi olla haastavaa, koska oikeutettu etu edellyttää myös rekisteröityjen oikeuksien tasapainottamista, ja harvoin rekisteröidyn voidaan katsoa saavan varsinaista “etua” markkinoinnista ja evästetietojen käsittelystä.

Samalla tavalla myös esimerkiksi sähköiseen suoramarkkinointiin tarvittava suostumus joutuisi täyttämään GDPR:n vaatimukset. Aika näyttää, tuleeko tämä olemaan myös tietosuojaviranomaisten näkemys.

Tähän tarvitaan suostumus, vai tarvitaanko?

Suostumus on yksi laillisista henkilötietojen käsittelyperusteista uuden tietosuoja-asetuksen nojalla. Suostumus on lähestulkoon kaikista GDPR-myyteistä eniten väärin ymmärretty asia. Syy tähän lienee siinä, että suostumuksen muotoa muutettiin tietosuoja-asetuksen myötä hieman ja sen myötä myöskin moni ymmärsi, että nyt tarvitaan tietyn muotoinen suostumus kaikkeen. Tässä kirjoituksessa käsitellään tietosuojaviranomaisten yhteistyöryhmä WP29:n tuoreinta suostumus-ohjeistusta.

Tosiasia on kuitenkin se, että tavanomaisessa liiketoiminnassa suostumusta tarvitaan varsin harvoin. Jos toimii esimerkiksi verkkokauppana ja toimittaa asiakkaalle tuotteita, suostumusta ei tarvita koska henkilötietojen käsittelyn perusteena on sopimuksen täytäntöönpano. Samoin esimerkiksi viranomainen käsittelee tyypillisesti henkilötietoja täyttääkseen lainsäädännöllisen velvoitteensa.

Suostumuksen tulisi siis sen sijaan olla viimesijainen keino henkilötietojen käsittelylle. Syynä tähän on se, että suostumuksessa on muutama merkittävä operatiivinen riski.

Ensinnäkin, suostumuksen voi peruuttaa minä hetkenä hyvänsä ilman negatiivisia vaikutuksia. Rakenna siinä sitten toimivaa bisnestä kun se voidaan missä tahansa hetkessä romuuttaa sillä, että asiakas ilmoittaa suostumuksensa päättyneen. Se, mitä nuo negatiiviset vaikutukset tarkoittavat, on tarkastelussa myöhemmin tässä kirjoituksessa.

Suostumuksen käyttö siis käytännössä edellyttää, että suostumuksella pyörivää palvelua pitäisi pystyä ainakin jossakin laajuudessa käyttämään myös ilman suostumusta. Eli suunnittelussa tulisi varautua siihen, että kun asiakas/käyttäjä peruuttaa suostumuksensa, palvelua voi vielä käyttää.

Toinen merkittävä riski on suostumuksen toteennäytön vaatimukset. Palveluntoimittaja on suostumuksen osalta syyllinen kunnes toisin todistetaan. Eli palveluntarjoajalla pitää olla kyky todistaa suostumuksen olemassaolo ja jos tähän ei pystytä, suostumusta ei ollut JA suostumuksen nojalla kerätyt henkilötiedot on kerätty laittomasti.

Siksi palvelun pitää pystyä varsin tarkasti erittelemään esimerkiksi, milloin suostumus on annettu ja etenkin se, että suostumus oli tietosuoja-asetuksen vaatimusten mukainen (eli vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn).

Suostumukselta edellytetään myös ymmärrettävyyttä eli se ei saa olla juristijargonia (there goes my day job!) vaan suostumus pitää laatia selkeällä ja yksinkertaisella kielellä.

Mitä suostumus on?

Suostumus on juridisessa mielessä yksipuolinen tahdonilmaisu  eli henkilöllä on itse oikeus päättää antaako suostumuksen vai ei ja samoin oikeus vetää suostumus halutessaan. Samantyyppisiä yksipuolisia tahdonilmaisuja ovat muun muassa valtuutus, jonka henkilö voi myös missä tahansa vaiheessa peruuttaa. Tietosuoja-asetuksessa on kaksi suostumustyyppiä: “tavallinen” ja nimenomainen.

“Tavallinen” suostumus tarkoittaa “vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen.”

Puretaanpa tätä hieman osiin. Vapaaehtoinen tarkoittaa sitä, että suostumus ei ole validi jos henkilöllä ei oikeasti ole mahdollisututa jättää suostumusta antamatta. Esimerkiksi tavanomaisessa tilanteessa työnantaja ei voi pyytää työntekijältään suostumusta henkilötietojen käsittelyyn. Samoin esimerkiksi viranomainen ei voi pyytää lakisääteistä tehtävää hoitaessaan suostumusta (WP 29 ohjeen sivulla 7 muuten selostetaan tilanteita milloin työnantaja tai viranomainenkin voi pyytää suostumuksen).

Yksilöity tarkoittaa että suostumuksessa on pystyttävä erittelemään riittävän tarkasti, mihin suostumus annetaan. Eli rekisterinpitäjä ei voi pyytää erittäin yleisluontoista suostumusta vaan rekisteröidyllä tulee olla oikeus “valita” suhteellisen tarkasti mihin suostumuksensa antaa.  Tyypillinen esimerkki viranomaisten näkemyksestä on se, että esimerkiksi lisäpalvelun ja markkinoinnin suostumukset tulisi erottaa eli käyttäjältä ei voisi edellyttää markkinoinnin hyväksymistä esimerkiksi lisäpalvelun toimittamiseksi. Tästä eivät kaikki ole samaa mieltä ja onkin mielenkiintoista nähdä miten tarkkaan yksilöity suostumuksen tulee käytännössä olla. Sananmukaisesti GDPR:n teksti edellyttää yksilöintiä, mutta ei välttämättä yksittäisiä valintoja.

Tietoinen ja yksiselitteinen tahdonilmaisu edellyttää sitä, että käyttäjä ymmärtää oikeasti antavansa suostumuksen. Tämä siis edellyttää, että käyttäjä tekee jonkin toimen, kuten esimerksi laittaa rastin ruutuun tai painamalla “hyväksyn” -nappia. Suostumusta ei voi siis ottaa esimerkiksi siten, että sivuston käyttäjäehdoissa todetaan “jatkamalla sivuston käyttöä annat suostumuksesi”. Eli ammattikielellä suostumukselta edellytetään “Opt-In” suostumusta. Lyhyesti todettuna “opt-in” tarkoittaa että asiakas tekee toimen jonka perusteella hän ilmaisee antavansa suostumuksen. Joissakin tilanteissa aiemmin on ollut käytössä ns. “Opt-out” suostumus eli toimija on olettanut että asiakas on antanut suostumuksensa ja halutessaan voi vetää suostumuksensa pois.

Esimerkiksi markkinoinnissa on joissakin kohdin käytetty opt-out vaihtoehtoa eli esimerkiksi sitä, että saadessaan suoramarkkinointisähköpostin asiakas voi poistua sähköpostilistalta. Asiaa sekoittaa se, tällaista asiaa sääntelee ns. ePrivacy-direktiivi, jota ollaan muuttamassa GDPR:n tyyliin EU asetukseksi. Nykykäytäntö on ollut esimerkiksi Suomessa, että suoramarkkinointiin vaaditaan opt-in suostumus (pl. yritysmarkkinointi).

Opt out
Vasemmalla Opt-Out, oikealla Opt-In. Huomaatko eron? Vihje: se on rasti siinä ruudussa.

No milloin sitten se suostumus otetaan?

Yksi tyypillisimpiä suostumuksen käyttökohteita ovat siis erilaiset lisäarvo- ja lisäpalvelut, kuten lisätietojen toimittaminen tai vaikkapa markkinointi. Suostumus tarvitaan esimerkiksi silloin, kun tarkoituksena on käsitellä henkilötietoja johonkin muuhun tarkoitukseen kuin mihin se alkuperäisesti on kerätty. Eli jos vaikka henkilötietoja on käsitelty sopimuksen perusteella, tietojen käsittely vaikkapa markkinointia varten vaatii suostumuksen.

On tärkeä huomata, että mikä tahansa selkeästi alkuperäisestä tarkoituksesta poikkeava käsittelytarkoitus johtaa ainakin tietosuojaviranomaisten mielestä suoraan siihen, että tarvitaan suostumus. Eli kuten markkinointiin, henkilötietojen käsittely esimerkiksi palvelujen kehittämiseen todennäköisesti edellyttää suostumusta. Arvioitaessa sitä, miten paljon käsittely poikkeaa alkuperäisestä tarkoituksesta, käytetään sellaisia kriteerejä kuten mitä tietoa alun perin annettiin ja mikä on näiden kahden eri käsittelytarkoituksen suhde. Mitä kauemmas mennään alkuperäisestä tarkoituksesta, sitä suuremmalla todennäköisyydellä tarvitaan suostumus.

Yllä olevan perusteella vaikuttaa kuitenkin, että esimerkiksi kattavalla tietosuojaselosteella voi laajentaa jonkin verran käsittelytarkoitusta. Eli mitä avoimemmin käyttäjälle kerrotaan siitä, mihin henkilötietoja käytetään, sitä laajempi käyttötarkoitus voi olla. En kuitenkaan usko, että palveluntarjoaja voisi esimerkiksi pitää “suoramarkkinointia” kiinteästi palvelun osana ja siten sallia suoramarkkinoinnin ilman suostumusta. Jotkut toimijat ovat eri mieltä tästä ja lähiaikoina tullaankin varmasti näkemään mielenkiintoista taistoa viranomaisten ja erilaisten markkinatoimijoiden välillä markkinointiin liittyen.

Markkinointi ylipäätään on oma kysymyksensä, koska sitä koskevat GDPR:n lisäksi omat sääntönsä. Esimerkiksi yrityksellä on oikeus markkinoida ns. “opt-out” periaatteella asiakkailleen samoja tuotteita joita asiakas on heiltä ostanut jos se tehdään samassa kanavassa. Tältä osin tosin markkinointisäännökset ovat muuttumassa ns. ePrivacy -asetuksen myötä.

Mitä ovat ne negatiiviset vaikutukset?

Suostumus ei ole “aito”, jos rekisteröity ei pysty vetämään suostumustaan takaisin ilman negativiisia vaikutuksia. No millaisia ne negatiiviset vaikutukset voivat olla? WP29 toteaa esimerkiksi, että suostumuksen vetämisestä ei saa aiheutua kustannuksia. Tämä on vielä ymmärrettävää, mutta lisäksi viranomaiset edellytävät, että suostumuksen vetäminen ei saisi johtaa myöskään palvelutason laskuun.

Tältäkin osin on mielenkiintoista nähdä, miten viranomaiset tulevat suhtautumaan esimerkiksi sellaiseen palveluun, jossa suostumuksella saadaan jotain lisäpalveluja käyttöön. Suostumuksen takaisinvetäminen ei siis käytännössä muuttaisi itse palvelun käyttöä vaan ottaisi vain yhden lisäominaisuuden “pois päältä”.

Oma kysymyksensä on myös se, miten tuo “kustannusvaikutus” tulisi ymmärtää. Eli jos palvelua käyttöönotettaessa käyttäjälle esitetään kaksi vaihtoehtoa: maksullinen palvelu, vaikkapa 5 euroa/kk tai vaihtoehtona antaa suostumus henkilötietojensa käyttöön johonkin muuhun, jolloin palvelu on ilmainen. Tällöinhän käyttäjä on “maksanut” omilla henkilötiedoillaan palveluista ja suostumuksen pois vetäessän “kustannusvaikutusta” ei ole vaikka hän jatkossa joutuukin maksamaan palvelusta.

Suostumusmyytti: Profilointiin vaaditaan suostumus?

Tarua! Suostumusta ei tarvita profilointiin, vaikkakin käytännössä suostumus on ehkä järkevin tapa tehdä profilointia jolla ei ole muuta tietosuoja-asetuksen mukaista perustetta (kuten sopimuksen täytääntöönpano tai lakivelvoitteen täyttäminen).

GDPR:n 22 artiklan mukaan “rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi.” Eli rekisteröidyllä on kielto-oikeus profilointiin eli oikeus keskeyttää se.

Tärkeä on huomata että jos profilointia tehdään sopimuksen täytäntöönpanemiseksi, lakivelvoitteen täyttämiseksi tai suostumuksen perusteella, henkilöllä ei ole oikeutta keskeyttää profilointia vaan ainoastaan vaatia jälkikäteistä “ihmisarviointia”.

Jos profilointia tehdään suostumuksen perusteella, suostumuksen tulee olla nimenomainen, joka tarkoittaa korkeampaa kynnystä kuin “tavanomainen” GDPR suostumus. Lisäksi monet markkinointi-ihmiset ovat sitä mieltä, että tietynlainen markkinointia varten tehty profilointi ei luo oikeusvaikutuksia ja siksi se ei myöskään olisi edes tuon kielto-oikeuden piirissä. Tuosta näkemyksestä odotan vielä tuomioistuimen tai viranomaisen ratkaisua, mutta muuten tämä myytti on täyttä tarua.

 

Minkä ikäisenä lapsi saa yksityisyyttä?

Omakanta.fi tehtyjen linjausten vuoksi vanhemmilla ei ole pääsyä yli 10-vuotiaiden lasten terveystietoihin.  Aiheesta on mainitun Ylen jutun lisäksi kirjoitettu useassa muussakin yhteydessä. Terveydenhuollon sähköistä asiointia vanhemmat eivät voi enää tehdä yli 10-vuotiaan puolesta. Ylen jutussa vedotaan lasten tietosuojaan ja oikeuteen päättää omista asioistaan. Asiaan puuttui jonkin aikaa sitten myös kansanedustaja Jukka Kopra blogissaan sekä esimerkiksi kansanedustaja Sari Essayah. Hän jätti aiheesta kirjallisen kysymyksen eduskunnalle marraskuussa.

Brittien tietosuojaviranomainen ICO julkaisi viime vuoden lopulla lausuntokierrokselle ohjeistuksensa lasten asemasta tietosuoja-asetusta sovellettaessa, jossa on myös hyviä lähtökohtia tähän keskusteluun.

Mielestäni Omakanta-palvelua koskeva linjaus vaikutti varsin mielekiintoiselta tulkinnalta. Käytäntö ei rajoitu ainoastaan Omakanta-palveluun, vaan monilla terveydenhuollon organisaatioilla tuo 10 vuoden ikäraja on käytössä myös muissa tiedoissa. Asiaa on ilmeisesti pohdittu laajasti sosiaali- ja terveydenhuollon ammattilaisten toimesta sillä kyseessä on  sosiaali- ja terveysministeriön tulkinta. En myös itse ole mikään terveydenhuollon juriidiikan asiantuntija. Joten tutkitaanpa hieman mitä lainsäädäntö sanoo alaikäisistä eli lapsista ja tietosuojasta.

Lapsi Suomen oikeudessa

Karkeasti yleistäen voidaan todeta, että Suomessa alle 18-vuotiaat ovat lain edessä lapsia. Vaikka lapsi siis voi pienestä pitäen omistaa asioita, hän ei voi tehdä sopimuksia ilman vanhempiensa (tai oikeastaan edunvalvojiensa mutta puhutaan yksinkertaisuuden nimissä vain vanhemmista) hyväksyntää. Yksi kummallisuus onkin esimerkiksi se, että mikäli 10-vuotias ottaa vaikkapa Omakannan käyttöön, hänen yksin antamansa hyväksyntä palvelun käyttöehdoille ei ole pätevä. Suostumus henkilötietojen käyttöön on myös sopimusoikeudellinen toimenpide eli yksipuolinen tahdonilmaisu joka myös vaatii vanhempien hyväksynnän (tässä on poikkeuksia joista tarkemmin edempänä).

Yksi poikkeus ylläolevaan sääntöön on 15-vuotias, joka on esimerkiksi tienannut itse rahansa kesätöillä. Tällaisia varoja 15 vuotta täyttänyt saa käyttää ilman vanhempiensa “lupaa”.

Rikosoikeudellinen vastuu alkaa 15-vuotiaana eli 15-vuotiasta voidaan syyttää ja tuomita rikoksesta. Alle 15-vuotias voi silti joutua esimerkiksi korvausvastuuseen vahingosta ilman rikosoikeudellista vastuuta. Laskun tässä tapauksessakin yleensä maksavat vanhemmat.

Oikeudessa yli 15-vuotias saa myös itse päättää omasta oikeudenkäynnistään eli käyttää puhevaltaa. 15-vuotiaan ei siis tarvitse kysyä vanhempien hyväksyntää oikeudessa vaan voi sopia asioiden hoitamisesta itsenäisesti asiamiehensä kanssa.

Todistajaksi kelpaa käytännössä minkä ikäinen lapsi tahansa, koska oikeuden keskeinen tehtävä on arvioida lapsen kertomuksen luotettavuutta. Todistajan luotettavuus ja kyky ymmärtää oikeudessa käsiteltäviä asioita arvioidaan tapauskohtaisesti.

Lapsen asema terveydenhuollossa

Terveydenhuollossa lapsi on “asiakas” siinä missä aikuisetkin. Terveydenhuollossa hoitajilla on velvollisuus arvioida lapsen kykyä päättää omasta hoidostaan. Tämä perustuu lakiin potilaan asemasta ja oikeuksista ja sen 2. Luvun 7 §:n jossa todetaan että

Alaikäisen potilaan asema

Alaikäisen potilaan mielipide hoitotoimenpiteeseen on selvitettävä silloin, kun se on hänen ikäänsä ja kehitystasoonsa nähden mahdollista. Jos alaikäinen ikänsä ja kehitystasonsa perusteella kykenee päättämään hoidostaan, häntä on hoidettava yhteisymmärryksessä hänen kanssaan.

Jos alaikäinen ei kykene päättämään hoidostaan, häntä on hoidettava yhteisymmärryksessä hänen huoltajansa tai muun laillisen edustajansa kanssa.

Pykälää on luettava yhdessä edellisen 6 §:n kanssa jossa puhutaan potilaan itsemäärämisoikeudesta eli siitä, että potilasta on hoidettava yhteisymmärryksessä hänen kanssaan. Jos potilas kieltäytyy tietystä hoidosta tai hoitotoimenpiteestä, häntä on mahdollisuuksien mukaan hoidettava yhteisymmärryksessä hänen kanssaan muulla lääketieteellisesti hyväksyttävällä tavalla. Kiireellisissä ja hengenvaarallisissa tilanteissa potilaan yhteisymmärrystä ei yleensä tarvitse hakea, tarkoituksena on pelastaa henkiä ja silloin tällaiset säännöt lentävät romukoppaan.

Yllämainitun lisäksi lain 9 §:ssä todetaan tiedonsaantioikeudesta näin:

Tiedonsaantioikeus ja toimivalta

Potilaan laillisella edustajalla taikka lähiomaisella tai muulla läheisellä on 6 §:n 2 ja 3 momentissa tarkoitetussa tapauksessa oikeus saada kuulemista ja suostumuksen antamista varten tarpeelliset tiedot potilaan terveydentilasta. (9.4.1999/489)

Jos alaikäinen potilas ikäänsä ja kehitystasoonsa nähden kykenee päättämään hoidostaan, hänellä on oikeus kieltää terveydentilaansa ja hoitoansa koskevien tietojen antaminen huoltajalleen tai muulle lailliselle edustajalleen.

Edellä 5 §:n 1 ja 2 momentissa tarkoitettu selvitys on 7 §:n 2 momentissa tarkoitetussa tapauksessa annettava alaikäisen potilaan huoltajalle tai muulle lailliselle edustajalle.

Alaikäisen tai 6 §:n 2 momentissa tarkoitetun potilaan huoltajalla tai muulla laillisella edustajalla ei ole oikeutta kieltää potilaan henkeä tai terveyttä uhkaavan vaaran torjumiseksi annettavaa tarpeellista hoitoa. (9.4.1999/489)

Lapsi saa siis estää tietojensa näkymisen, jos terveydenhuoltohenkilökunnan mielestä lapsi on riittävän kypsä ymmärtämään ja päättämään tällaisesta asiasta. Toisaalta taas, lapsen vanhemmilla on oikeus saada tietoja lapsen terveydestä tietyissä tilanteissa.

Omakanta -palvelussa vanhemmilta on järjestelmällisesti estetty yli 10-vuotiaiden lasten tietojen näkeminen. Ilman siis mitään erityistä pyyntöä lapselta tai arviota siitä, onko lapsi riittävän kehittynyt tekemään tällaisen päätöksen.  Syyksi tähän näyttää paljastuvan tietojärjestelmämäärittely, jossa on jouduttu vetämään raja mahdollisimman alas varmuuden vuoksi. Tavoitteena on, että järjestelmä sallisi jatkossa kielto-oikeuden eli että lapsi voisi itse kieltää terveystietojensa näkymisen vanhemmilleen ja tällöin myös tuosta automaattisesta ikärajasta voitaisiin luopua. Silti itse ikäraja kieltämiseen pysyisi ilmeisesti samana eli edelleen yli 10-vuotias voisi estää tietojensa näkymisen.

On mielenkiintoista, että tässä tapauksessa ikäraja on vedetty näinkin alas kun muualla lainsäädännössä ei vastaavaa ikärajaa tunneta. Sen sijaan esimerkiksi yllämainittu 15-vuotias on oikeutettu tekemään tiettyjä toimenpiteitä. Toisaalta taas, esimerkiksi tietosuojavaltuutettu on todennut, että periaatteessa minkä tahansa ikäinen lapsi voi ainakin tarkistaa terveystietonsa itsenäisesti, kunhan on kykenevä siihen ikänsä, kehitystasonsa ja asian luonteen perusteella. Tärkeää tässä on huomata se, että merkitystä on myös asian luonteella, eli esimerkiksi terveysasiat lapsi saattaa ymmärtää helpommin kuin vaikkapa talousasiat.

GDPR:n ikäraja 13-16 vuotta

Tietosuoja-asetus salli ikärajan asettamisen kansallisesti jopa 13-vuoteen tiettyjen tietoyhteiskunnan palvelujen käytön osalta. Muutoin ikäraja on 16 vuodessa. Eli alle 13/16-vuotias ei tarvitsisi vanhempiensa hyväksyntää esimerkiksi somen käyttöön. On hyvä huomata, että tässäkin suostumuksen antaminen on rajattu selkeästi vain tietoyhteiskunnan palveluihin eikä siten esimerkiksi vaikuttaisi ainakaan suoraan terveydenhuoltoon. Lisäksi kyseinen säännös koskee ainoastaan suostumusta eli esimerkiksi edelleen palvelun käyttöä koskevat ehdot vaatisivat vanhempien hyväksynnän, ellei palvelun käyttöä pidettäisi “tavanomaisena”. Riskinä liian nuoren kanssa tehdyssä sopimuksessa on sopimuksen pätemättömyys, joka ei ole vähäpätöinen asia.

Lapsilla on täsmälleen samat oikeudet kuin aikuisilla tietosuoja-asetuksen näkökulmasta. Alaikäisten erityinen asema kuitenkin tarkoittaa sitä, että se, kuka saa toimia heidän puolestaan esimerkiksi toteutettaessa rekisteröityjen oikeuksia (esimerkiksi oikeus poistoon, käsittelyn rajoitukseen, tietojen oikaisuun).

Tietosuoja-asetus edellyttää, että alaikäisille suunnatut palvelut ovat myös alaikäisille ymmärrettäviä. Eli ei riitä pelkästään se, että palvelu sallii esimerkiksi rekisteröitymisen alle 16-vuotiaalle. Palvelun on kyettävä selittämään “nuorten ja lasten kielellä” mitä rekisteröityminen tarkoittaa ja myös mitä tietosuojaan liittyviä oikeuksia käyttäjillä on. Lapsilla on GDPR:ssä tämän vuoksi erityisasema ja on selvää, että viranomaiset tulevat tämän vuoksi varsin tiukasti arvoimaan lapsille suunnattuja palveluja.

Suomessa tietosuojalainsäädännön kansallista uudistusta luonnosteleva TATTI-työryhmä ei osannut vielä päättää suosittaako se ikärajaksi 13 vai 15 vuotta. Päätöstä ei haluttu vielä tehdä vaan tarkoitus on seurata muiden Pohjoismaiden käytäntöä. Ruotsissa näytetään päätyvän 13 ikävuoteen, joten on odotettavaa että näin käy myös Suomessakin. Vaikka ikäraja on menossa varsin alhaiseksi, en mitenkään usko, että noita yllämainittuja ikärajoja (rikosoikeudellinen vastuu tai vaikkapa sopimuksen tekeminen) ryhdyttäisiin systemaattisesti alentamaan.

Omakanta-palvelun osalta ikäraja on vedetty alas todennäköisesti siksi, että on hyvin mahdollista että on olemassa 10-vuotiaita, jotka ovat riittävän kypsiä päättämään omasta hoidostaan ja myös siitä, saavatko hänen vanhempansa tietoja. Ja on myös mahdollista, että eteen sattuu tilanteita, joissa vanhemmille tai yhdelle vanhemmalle ei haluta antaa tietoja lapsen terveydentilasta. On selvää, että tällä pyritään suojelemaan lapsia ja näin pitääkin olla.

 

WP29:n tuore ohjeistus vaikuttaa merkittävästi kaikkiin tietosuojaselosteisiin

Vuosi 2018 on täällä ja samoin GDPR:n voimaantulo! Enää muutama kuukausi ja uutta asetusta sovelletaan kaikkailla EU:ssa. Moni yritys ja toimija on päässyt jo hyvään vauhtiin GDPR-työnsä kanssa, mutta tietosuojaviranomaisten yhteistyöelin Article 29 Working Party eli tuttavallisemmin WP29 heittää välillä melko isoja kapuloita rattaisiin.

Käymme blogissa läpi seuraavien viikkojen aikana näitä ohjeistuksia. Tällä kertaa suuntaamme katseet marraskuussa julkaistuun ohjeistusluonnokseen koodinimellä WP260 joka koskee transparencya eli läpinäkyvyyttä. Keskeisenä tavoitteena on antaa selvyyttä tietosuoja-asetuksen 13 ja 14 artiklan jo varsin laajaan ja seikkaperäiseen listaan siitä, mitä rekisteröidylle on kerrottava henkilötietojen käsittelystä. Artikla 13 koskee tilanteita, joissa rekisterinpitäjä kerää henkilötiedot suoraan rekisteröidyltä kun taas artikla 14 taas koskee tilanteita, jossa henkilötiedot kerätään muista lähteistä kuin rekisteröidyltä itseltään.

Lyhyenä kertauksena vielä vaatimuksista, jotka ovat kutakuinkin molemmissa tilanteissa samat. Rekisterinpitäjän on toimitettava rekisteröidylle kaikki seuraavat tiedot:

  1. rekisterinpitäjän tai tämän edustajan identiteetti ja yhteystiedot;
  2. tietosuojavastaavan yhteystiedot;
  3. henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste;
  4. rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut, jos käsittely perustuu 6 artiklan 1 kohdan f (eli kolmansien osapuolien oikeutettua etua varten) alakohtaan;
  5. henkilötietojen vastaanottajat tai vastaanottajaryhmät;
  6. tieto siitä, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle, ja tieto tietosuojan riittävyyttä koskevan komission päätöksen olemassaolosta tai puuttumisesta,
  7. henkilötietojen säilytysaika tai tämän ajan määrittämiskriteerit;
  8. rekisteröidyn oikeudet
  9. oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen, jos suostumus on käsittelyperuste
  10. oikeus tehdä valitus valvontaviranomaiselle
  11. onko henkilötietojen antaminen lakisääteinen tai sopimukseen perustuva vaatimus taikka sopimuksen tekemisen edellyttämä vaatimus sekä onko rekisteröidyn pakko toimittaa henkilötiedot ja tällaisten tietojen antamatta jättämisen mahdolliset seuraukset
  12. automaattisen päätöksenteon, kuten mm. profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.

Kun henkilötietoja ei ole saatu rekisteröidyltä itseltään, rekisterinpitäjän on lisäksi kerrottava mistä henkilötiedot on saatu ja se onko ne saatu yleisesti saatavilla olevista lähteistä. Tämän lisäksi on vielä kerrottava, mitä henkilötietoryhmiä käsittely koskee.

Jos rekisterinpitäjä aikoo käsitellä henkilötietoja yllämainitun lisäksi muuhun tarkoitukseen kuin siihen, johon henkilötiedot kerättiin, rekisterinpitäjän on ilmoitettava rekisteröidylle ennen kyseistä jatkokäsittelyä tästä muusta tarkoituksesta ja annettava kaikki asiaankuuluvat tiedot yllämainitun mukaisesti.

WP29:n tarkennuksia ohjeistukseen

Tietosuojaviranomaisten ohjeistus muuten ei ole toimijoita sitovaa, vaan ilmaisu siitä, miten EU:n tietosuojaviranomaiset tulkitsevat tulevaa asetusta. Tietenkin tällä hetkellä kysymys on vain luonnoksesta, johon voidaan vielä vaikuttaa kommenttien muodossa 23.1.2018 asti. Mikäli ohjeistus hyväksytään sellaisenaan, yrityksillä on siis vaihtoehtona joko täysin noudattaa suositusta tai sitten mennä niin sanotusti GDPR:n mukaan ja tulkita itse asetusta toisella tavalla. Tämä on tietysti iso riski, koska viranomaiset tulevat varmasti haastamaan heidän näkemyksensä vastaisen tulkinnan.

Läpinäkyvyys-ohjeistuksen keskeisenä tarkoituksena on antaa suuntaa siihen, miten rekisterinpitäjät informoivat rekisteröityjä (eli esimerkiksi asiakkaitaan tai työntekijöitään) tietosuoja-asetuksen vaatimusten mukaisesti. Yleensä tämä tieto kootaan ns. “tietosuojailmoitukseen” eli privacy statementiin. Tällä tavalla rekisterinpitäjä täyttää tietosuoja-asetuksen 13 ja 14 artiklan mukaiset velvoitteensa. Tämä ilmoitus ei ole tietenkään ainoa tapa, mutta yleisimmin käytetään varsin yleisluontoista selostusta henkilötietojen käsittelystä.

Läpinäkyvyys-ohjeistuksen suurimpana ongelmana on se, että vaatimuksissa mennään hyvin syvälle detaljitasoihin ja samalla vaaditaan, että rekisteröidylle toimitetaan tiedot “selkeästi, tiiviisti ja helposti saatavasti”. On erittäin haastavaa ellei mahdotonta tuottaa tietoa tiiviisti, jos vaatimuksena on samalla kattavuus ja selkeys. Selvää on, että ohjeistuksella tulee olemaan vaikutusta kaikkiin tietosuojaselosteisiin, riippumatta siitä, koskevatko ne ennen tai jälkeen GDPR:n voimaantuloa tehtävää henkilötietojen käsittelyä.

Privacy notice kahden klikkauksen päässä

Tässä muutamia poimintoja WP29:n läpinäkyvyyttä koskevasta ohjeluonnoksesta:

Tietosuojaan liittyvät tiedot tulee olla helposti saatavilla (ohjeen sivu 8). Ohjeistuksessa esimerkiksi edellytetään, että henkilötietojen käytöstä kertovaan sisältöön tulisi päästä online-palveluissa “kahden klikkauksen” kautta. Eli esimerkiksi sovelluksen valikossa tulisi olla suoraan erillinen “tietosuoja/henkilötietojen käyttö” -kohta josta pääsee tarkastamaan tietosuojaa koskevat tiedot. Tämä on muuten sovelluskehityksessä yleinen valituksen aihe, kun kaiken maailman privacypolicyjen takia kännykän ruudun tila (eli “real estate”) täytyy täyttää kaikella tylsällä eikä päästä myymään käyttäjälle peliä halvalla (eli saada koukuttavaa hintaa riittävän isolla ruudulle).

Yksinkertainen ja selkeä kieliasu (sivu 9). Käytettävän kielen tulisi olla yksinkertaista eikä se saisi sisältää “juridisia termejä”. Tietoa ei myöskään saa jakaa “varmuuden vuoksi” tai epäselvyyden lisäämiseksi. Esimerkiksi seuraavat toteamukset eivät täytä “selkeysvaatimusta”:

  •  Saatamme/voimme käyttää henkilötietojasi uusien palveluiden kehittämiseksi. -> Tässä ongelmana on se, että lukijalle ei avaudu, mitä nämä kyseiset  palvelut ovat ja miten henkilötietoja käytettäisiin kehityksessä.
  • Saatamme/voimme käyttää henkilötietojasi tutkimukseen. -> Ongelmana se, että ei tarkemmin määritellä millaiseen tutkimukseen (kaupalliseen/tieteelliseen/yrityksen sisäiseen) tietoja käytetään.
  • Saatamme/voimme käyttää henkilötietojasi palvelujen personointiin. -> Ongelmana se, että ei tarkemmin kerrota mitä personointi käytännössä tarkoittaa (eli miten tietoja käytetään ja miten personoinnin tulokset näkyvät käyttäjälle.

Kahden ensimmäisen osalta oma kysymyksensä on esimerkiksi se, miksi palveluntarjoaja käyttäisi juuri henkilötietoja tällaiseen palvelun kehittämiseen tai tutkimukseen. Tällaisissa tilanteissa voisi olla järkevää esimerkiksi anonymisoida tiedot siten, että ne eivät ole enää henkilötietoja (ja siten eivät informointivelvoitteen piirissä). Viranomaiset pyrkivät osoittamaan, että epävarman kielen (saatamme, ehkä, voi olla että) käyttäminen hämärtää rekisteröidyn mahdollisuutta täysin ymmärtää henkilötietojen käsittelyä.

Ensimmäisen esimerkin osalta WP29 edellyttää rekisterinpitäjältä mahdotonta: sen pitäisi pystyä ennustamaan, mitä palveluja se tulee kehittämään ja kertomaan tämän, keskeisimmän liikesalaisuutensa, rekisteröidylle.

Asteittainen/kerroksittainen tietosuojaseloste (sivu 17). Ohjeistuksessa tuodaan esiin myös ns. “Layered notice/Just in time notice” joka tässä nyt suomennettakoon vaikkapa asteittaiseksi tai kerroksittaiseksi tietosuojaselosteeksi. Ajatuksena on siis se, että esimerkiksi sovelluksen käyttäjälle näytetään hänen sovelluksensa tekemän toimenpiteen (vaikkapa kuvan lataaminen palveluun) kannalta keskeisiä tietosuoja-asioita (esimerkiksi kuka voi nähdä kuvan, keneltä pitää kysyä lupa kuvan julkaisemiseen jne). Lisäksi käyttäjälle annetaan mahdollisuus tutustua tarkemmin (esimerkiksi linkin muodossa) koko tietosuojaselosteeseen ennen tai jälkeen toimenpiteen tekemisen. Toteutusmuotoja on satoja: ponnahdusikkunoita, videoita, ääniviestejä jne jne.

Juristien ammatin pelastus on ollut se, että harva lukee pitkiä sopimustekstejä ja ilmeisesti vielä harvempi lukee tietosuojaselosteita (minä kyllä luen ja pidän niitä kiehtovina!). WP29:n toiveena ilmeisesti on, että tiedon palasteleminen auttaisi rekisteröityjä ymmärtämään paremmin hänen käytämänsä palvelun tietosuojavaikutuksia hänelle ilman että käyttäjä “väsyy” tietoon ja “hyväksyy kaiken” lukematta. On tietenkin aika paksua vaatia rekisterinpitäjää innostamaan rekisteröityjä innostumaan tietosuojasta, mutta toisaalta mielestäni GDPR:n henki on, että halutessaan tieto on helposti saatavilla.

Ohjeistuksessa on myös muita varsin mielenkiintoisia tulkintoja, kuten esimerkiksi se, että liitteenä olevassa taulukossa edellytetään että henkilötietojen siirrosta ETA-alueen ulkopuolelle tulisi kertoa erittäin seikkaperäisesti rekisteröidylle. Vaatimus edellyttäisi, että rekisterinpitäjän tulisi esimerkiksi mainita kaikki maat joihin henkilötietoja siirretään. Tämä on jo selkeää GDPR:n ylitulkintaa, koska artikla 13:ssa edellytetään ainoastaan mainitsemaan, että tehdäänkö siirtoja ETA:n ulkopuolelle vai ei.

Toteutuessaan ehdotetun muotoisena uusi ohjeistus tulee vaikuttamaan moneen tietosuojaselosteeseen, jopa ns. “GDPR-valmiiseen”, koska harva on varmasti osannut arvioida vaatimusten menevän näin tiukaksi. Toivottavaa on, että kommenttikierroksella saadaan palautetta joka muuttaa ohjeistusta lievemmäksi. Aiempien ohjeistuksien, perusteella vaikuttaa kuitenkin siltä, että viranomaisten ambitiotaso on korkealla.

Vuoden 2017 top 5: GDPR, suorahankinnat, #milläoikeudella, ulkomaille lähteminen ja kiitos!

Vuosi 2017 on nyt paketissa ja on aika katsoa tämä vuoden JIT-Blogin ilmiöitä ja keskeisimpiä aiheita.  Eli vuoden 2017 top 5 on seuraava:

1. GDPR, GDPR, Kekkonen, GDPR

Tietosuoja-asetuksen eli GDPR:n voimaan tuloon on enää muutama hassu kuukausi. Meno alkoi selvästi kiristyä loppuvuodesta 2017, kun konsultit ovat pääseet “veren makuun” ja myllyttäneet GDPR myyttejä (isot sakot kaikesta!) ja paniikkia. Kirjoitin aiheesta myös runsaasti, kuten esimeriksi sitä, miten tietosuoja-asetus tulisi huomioida hankintasopimuksissa (osa 1 ja osa 2). Lisäksi tarkasteltiin hankintarintamalta muun muasssa siitä, miten asetuksen voimaantulo on huomoitu hankintasopimuksissa (spoiler: huonosti) ja jos ei ole, oikeuttaako tietosuoja-asetus hankintasopimuksen muutokseen?

Kesäkuussa myös julkaistiin tietosuoja-asetuksen kansallista voimaansaattamista pohtineen työryhmän mietintö, joka ehdotti että henkilötietolaki kumotaan ja tilalle säädetään tietosuojalaki. Työryhmän työtä on jatkettu ja hallituksen esitys on tulossa lähiaikoina, merkittäviä laajennuksia ei ainakaan tällä hetkellä ole työryhmän mietintöön tulossa.

Muita aiheita tietosuoja-asetuksen osalta olivat muun muassa tietojen poistaminen.

2. Suorahankinnat

Tänä vuonna blogissa puhuttiin paljon suorahankinnoista, kuten esimerkiksi autoverotuksen uudistuksen yhteydessä käytetyistä konsulteista. Useampi konsulttiyhtiö oli  laskuttanut liikenne- ja viestintäministeriöltä: alle silloisen hankintalain 30.000 euron soveltamisrajan. Valtio käyttää myös runsaasti asianajajia konsultteinaan, sillä heille maksettiin lähes kolmen miljoonan euron edestä palkkioita vuonna 2016.

Lisäksi mielenkiintoinen tapaus oli markkinaoikeuden ratkaisu, jossa roskapostisuodatuksesta pärähti 50.000 euron lasku.

3. No, kannattiko ulkomaille lähteä?

Vuonna 2017 tuli myös täyteen ensimmäinen kokonainen vuosi Suomessa kolmen vuoden ulkomaillaolon jälkeen. Ihme ja kumma, vieläkin poden välillä pientä kulttuurishokkia tässä hiljaisten kansalaisten maassa. Uuden vuoden myötä moni varmaan pohtii tai haaveilee että lähtisinkö ulkomaille ja kannattaisiko lähteä. Oman näkemykseni tähän kysymykseen voi varmaan jo arvatakin, mutta sen löydät parhaiten lukemalla itse postauksen. Suomi 100 -juhlavuoden kunniaksi kirjoitin myös pienen pätkän siitä, mitä kaikkea hollantilaiset tekevät meitä paremmin.

4. #milläoikeudella

Vuoden 2017 lopussa juristipiireissä toden teolla kohahti, kun #milläoikeudella -kampanja julkisti kertomuksia laajasta ahdistelukulttuurista juristien piirissä. Tähän tarinaan on vastanneet jo lakimiesliitto ja asianajajaliitto omilla selvityksillään, mutta selvästi työ on vasta alussa. Esimerkiksi asianajotoimistojen johtopaikoilla on vielä varsin suuri miesvalta.

5. Te, rakkaat lukijat ja kuulijat!

JIT-blogi on vuoden 2017 aikana kasvattanut hurjasti lukijakuntaansa ja tässä hyvin kapean alan asiantuntijablogissa on kuukausittain jo yli tuhat lukijaa. Aivan uskomattoman hurjaa! Siitä suuri kiitos teille, rakkaat lukijat! Ensi vuonna meno jatkuu samanlaisena, mutta mielelläni otan palautetta vastaan siitä, mistä ja miten pitäisi kirjoittaa. Tervetuloa siis kommentoimaan, esimerkiksi @twitterissä, Linkedinissä tai Facebookissa.

Bloggaamisen lisäksi siirryin loppuvuodesta myös podcastien tekemiseen. Se on ollut todella hauskaa. Ensi vuonna on tarkoitus jo ihan haastatellakin ihmisiä juridiikan ilmiöistä, joten pysykää kuulolla. Podcastin nimi on Ibid Podcast ja se löyty tällä hetkellä ainakin Soundcloudista .

Eli kiitos kiitos kiitos kuluneesta vuodesta ja tavataan ensi vuonna, virtuaalisesti tai ihan henk koht!

Podcast: Juristien paimenkirjeet

Jit-blogi on nyt myös kuulokkeissasi! Ensimmäisessä podcastissa aiheena paljon puhutut juristien paimenkirjeet.