Uusi tietosuoja-asetus ja suostumus

JIT-miehen blogissa aloitetaan nyt tietosuoja-asetusta koskevat talkoot ja lukemalla asetuksen pääkohtia läpi ja nostamalla esiin ajatuksia. Ensimmäisellä kerralla tarkastellaan suostumusta eli asiakkaan tai “rekisteröidyn” lupaa omien tietojensa käyttämiseen palvelun tuottamisessa (ja kaikessa muussa kivassa).

Suostumus on ollut pitkään eräänlainen vakiokuvio internetin tietosuojassa. Suostumuksen avulla lähestulkoon kaikki verkkopalveluja tarjoavat toimijat ovat pystyneet keräämään ja hyödyntämään runsaasti tietoa käyttäjistä muun muassa evästeiden avulla. Suostumusta on ollut monenlaista, kuten sellaisia, että asiakas antaa suostumuksen tietojen keräämiseen “jatkamalla sivujen käyttöä” eli aikalailla huomaamattaan. Esimerkiksi Facebook on laatinyt erittäin laajan sivuston käyttäjien antamien tietojen käytöstä:

facebook

Yllämainittu lähestymistapa on jo jonkin aikaa katsottu riittämättömäksi ja sen sijaan on vaadittu selkeätä suostumusta, jossa asiakas “sitoutuu” ja hyväksyy tietojen keräämisen. Tämä ajatus on alun perin lähtöisin Ranskan tietosuojaviranomaisen käytännöstä, joka sitten on vähitellen kopioitu monen muun maan käytäntöön. Muutoksen seurauksena hyvin monessa sivustossa on nykyään varsin ärsyttäviä “hyväksyn evästeiden käytön” bannereita tai ponnahdusikkunoita, kuten esimerkiksi tällaisia:

telegraaf

Moni sosiaalisen median palvelu toimii tällaisen “suostumuksen” avulla. Käyttöehdoissa on kohta, jossa todetaan, mitä kaikkea tiedoilla voidaan tehdä ja miten niitä käytetään. Monet palvelut ovat laatineet erillisen “yksityisyyden suojan ehdot” eli ns. “privacy policyn” joilla pyritään selventämään tietojen käyttöä. Käyttäjä yleensä hyväksyy nämä ehdot erikseen ja klikkaa rekisteröityessään “hyväksyn ehdot” kohtaa. Joskus ehdot hyväksytään myös esimerkiksi kun palveluun kirjaudutaan, kuten esimerkiksi Sanoman palveluissa:

Sanoma

Suostumuksen osalta on pitkään keskusteltu siitä, tuleeko käyttäjän antaa suostumus hiljaisesti eli siten, että lähtökohtaisesti hyväksyy ehdot, jotka ovat osana sopimusta (ns.”opt-out”). Toinen vaihtoehto on ollut se, että asiakkaan tulee selkeästi ja erikseen hyväksyä ehdot (ns. “opt-in”).

Suomessa erityisesti ensimmäinen vaihtoehto  (“opt-out”)on ollut käytössä pitkään esimerkiksi suoramarkkinoinnissa yrityksille, eli yritykset ovat ostaneet runsaasti yhteystietoja sisältäviä tietokantoja joiden perusteella on etsitty sopivia asiakkaita. Saan jatkuvasti tällaisia osoitetietotarjouksia itsekin koska oman yritykeni yhteystiedot löytyvät YTJ-tietokannasta, esimerkisi näin:

osoitetieto

(kertaakaan en muuten ole näitä tietoja ostanut)

Rekisteröidyt eivät välttämättä ole antaneet suostumustaan tietyn yrityksen markkinoinnille vaan tiedot voivat olla peräisin esimerkiksi jostain yleisestä luettelosta. Rekisteröidylle on sitten lähetetty sähköpostitse mainoksia ja sähköpostissa on tarjottu mahdollisuus poistua postituslistalta. Tämä käytäntö on kuitenkin poistumassa, eikä enää olisi mahdollista uuden tietosuoja-asetuksen myötä. Itse asiassa monessa Euroopan maassa käytäntö ei enää ole mahdollista.

Uusi suostumus eri käyttötarkoituksiin

Uusi tietosuoja-asetus vie suostumuksen vielä askeleen pidemmälle. Lähtökohtana on, että mikäli tietoja käytetään muuhun kuin palvelun tuottamiseen, tähän on oltava erillinen suostumus. Suostumuksella tarkoitetaan:

mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen

Asetuksen johdannon 32 kohdassa todetaan taas, että:

Suostumus olisi annettava selkeästi suostumusta ilmaisevalla toimella, kuten kirjallisella, mukaan lukien sähköisellä, tai suullisella lausumalla, josta käy ilmi rekisteröidyn vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla hän hyväksyy henkilötietojensa käsittelyn.

[…]

Toimi voisi esimerkiksi olla se, että rekisteröity rastittaa ruudun vieraillessaan internetsivustolla, valitsee tietoyhteiskunnan palveluiden teknisiä asetuksia tai esittää minkä tahansa muun lausuman tai toimii tavalla, joka selkeästi osoittaa tässä yhteydessä, että hän hyväksyy henkilötietojensa käsittelyä koskevan ehdotuksen. Suostumusta ei sen vuoksi pitäisi voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta

Suostumusta ei voisi enää antaa “vaikenemalla” eli siten että käyttäjä ei reagoi johonkin tiettyyn tekoon. Lisäksi suostumuksen olisi katettava kaikki käsittelytoimet, jotka toteutetaan samaa tarkoitusta tai samoja tarkoituksia varten. Asetuksen 7 artiklassa todetaan, että rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn. Vaatimuksena on myös, että suostumus on oltava eriteltävissä eri käsittelyjen osalta. Eli asiakkaalla tulisi olla oikeus esimerkiksi suostua tietojen käsittelyyn palvelun toimittamisen kannalta mutta kieltäytyä vaikkapa yrityksen markkinointikirjelmistä.

Siten esimerkiksi tällainen Finnairin lentolippujen ostolomakkeessa oleva kohta ei todennäköisesti enää olisi mahdollinen:

Finnair consent.pngYlläolevassa kohdassa Finnair siis sanoo sinulle varsin epäsuorasti, että keräämme sinun tietojasi, mukaanlukien sähköpostiosoitteesi sivulta ja lähetämme sinulle sähköpostia jos jätät varauksen kesken. Käyttäjä siis jättämällä tämän kohdan valitsematta antaa suostumuksen tietojen keräykseen ja prosessointiin. Tällainen ei enää olisi jatkossa mahdollista, koska ainakaan minun mielestäni tuo ei täytä keskeistä vaatimusta suostumuksen selkeästä “aktiivisesta” antamisesta. Asiakkaan passiivisuus johtaa tietojen prosessointiin eikä toisinpäin.

Suostumuksen peruutus aina mahdollista

Rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa ja rekisteröidylle on annettava selkeästi tieto tästä jo ennen suostumuksen antamista. Suostumuksen peruuttaminen ei vaikuta suostumuksen perusteella ennen sen peruuttamista tehdyn käsittelyn lainmukaisuuteen eli siihen mennessä kerätyt tiedot voidaan käsitellä entiseen tapaan. Suostumuksen peruuttamisesta ja sen vaikutuksista täytyy kirjoittaa joskus vielä laajemmin.

Suostumus ei saa olla edellytys palvelun käytölle

Suostumus on annettava “vapaaehtoisesti”.Arvioitaessa suostumuksen vapaaehtoisuutta on otettava mahdollisimman kattavasti huomioon muun muassa se, onko palvelun tarjoamisen tai muun sopimuksen täytäntöönpanon ehdoksi asetettu suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten. Asiakasta ei periaatteessa saisi pakottaa antamaan tietonsa kaikkien saataville. Nykyisentyyliset “ota tai jätä” ehdot eli “jos et suostu tietojen hyödyntämiseen, et voi käyttää palveluakaan” eivät olisi enää jatkossa mahdollisia.

Käyttäjällä tulisi olla mahdollisuus siis “valikoida” miten tämän tietoja prosessoidaan esimerkiksi palvelua käyttäessä. Google esimerkiksi jo nyt pyrkii houkuttelemaan käyttäjää tutustumaan ehtoihinsa silloin tällöin vaikkapa hakuja tehtäessä:

google

On mielenkiintoista nähdä, miten kyseinen nämä varsin tiukat vaatimukset muokkaavat tarjottavia palveluja ja erityisesti ns. “ilmaisia” verkossa tarjottavia palveluja, jotka tähän mennessä ovat pitkälti nojanneet käyttäjien tiedon kapitalisoinnin varassa.

Yksi tietosuoja-asetuksen periaatteista onkin, että omat henkilötiedot olisivatkin jatkossa “käypää valuttaa”, eli palvelun vastaanoton voisi maksaa luovuttamalla omia tietojaan. Olisi esimerkiksi hyvinkin mahdollista, että jotkut palvelutarjoajat antavat käyttäjille “premiumpalvelua” ilmaiseksi, jos nämä esimerkiksi suostuvat laajempaan tietojen hyödyntämiseen.

Varmaa on kuitenkin se, että käytännössä lähestulkoon kaikkien palvelujen käyttöehtoja ja käyttöä joudutaan ainakin jonkin verran muokkaamaan jatkossa ja käyttäjät todennäköisesti joutuvat hyväksymään kymmeniä sopimusehtojen muutoksia klikkailemalla siellä täällä ennen kuin pääsevät käsiksi viimeisimpään kissavideoon.

Asetuksen Luonnostekstin suomenkielinen versio.

Published by

Panu Pökkylä

Blogger, enterpeneur and a senior legal counsel at Nordea. Certified Information Privacy Professional / Europe (CIPP/E). I write in Finnish about technology and law, public procurement and privacy. All opinions are mine

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s