WP29:n tuore ohjeistus vaikuttaa merkittävästi kaikkiin tietosuojaselosteisiin

Vuosi 2018 on täällä ja samoin GDPR:n voimaantulo! Enää muutama kuukausi ja uutta asetusta sovelletaan kaikkailla EU:ssa. Moni yritys ja toimija on päässyt jo hyvään vauhtiin GDPR-työnsä kanssa, mutta tietosuojaviranomaisten yhteistyöelin Article 29 Working Party eli tuttavallisemmin WP29 heittää välillä melko isoja kapuloita rattaisiin.

Käymme blogissa läpi seuraavien viikkojen aikana näitä ohjeistuksia. Tällä kertaa suuntaamme katseet marraskuussa julkaistuun ohjeistusluonnokseen koodinimellä WP260 joka koskee transparencya eli läpinäkyvyyttä. Keskeisenä tavoitteena on antaa selvyyttä tietosuoja-asetuksen 13 ja 14 artiklan jo varsin laajaan ja seikkaperäiseen listaan siitä, mitä rekisteröidylle on kerrottava henkilötietojen käsittelystä. Artikla 13 koskee tilanteita, joissa rekisterinpitäjä kerää henkilötiedot suoraan rekisteröidyltä kun taas artikla 14 taas koskee tilanteita, jossa henkilötiedot kerätään muista lähteistä kuin rekisteröidyltä itseltään.

Lyhyenä kertauksena vielä vaatimuksista, jotka ovat kutakuinkin molemmissa tilanteissa samat. Rekisterinpitäjän on toimitettava rekisteröidylle kaikki seuraavat tiedot:

  1. rekisterinpitäjän tai tämän edustajan identiteetti ja yhteystiedot;
  2. tietosuojavastaavan yhteystiedot;
  3. henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste;
  4. rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut, jos käsittely perustuu 6 artiklan 1 kohdan f (eli kolmansien osapuolien oikeutettua etua varten) alakohtaan;
  5. henkilötietojen vastaanottajat tai vastaanottajaryhmät;
  6. tieto siitä, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle, ja tieto tietosuojan riittävyyttä koskevan komission päätöksen olemassaolosta tai puuttumisesta,
  7. henkilötietojen säilytysaika tai tämän ajan määrittämiskriteerit;
  8. rekisteröidyn oikeudet
  9. oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen, jos suostumus on käsittelyperuste
  10. oikeus tehdä valitus valvontaviranomaiselle
  11. onko henkilötietojen antaminen lakisääteinen tai sopimukseen perustuva vaatimus taikka sopimuksen tekemisen edellyttämä vaatimus sekä onko rekisteröidyn pakko toimittaa henkilötiedot ja tällaisten tietojen antamatta jättämisen mahdolliset seuraukset
  12. automaattisen päätöksenteon, kuten mm. profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.

Kun henkilötietoja ei ole saatu rekisteröidyltä itseltään, rekisterinpitäjän on lisäksi kerrottava mistä henkilötiedot on saatu ja se onko ne saatu yleisesti saatavilla olevista lähteistä. Tämän lisäksi on vielä kerrottava, mitä henkilötietoryhmiä käsittely koskee.

Jos rekisterinpitäjä aikoo käsitellä henkilötietoja yllämainitun lisäksi muuhun tarkoitukseen kuin siihen, johon henkilötiedot kerättiin, rekisterinpitäjän on ilmoitettava rekisteröidylle ennen kyseistä jatkokäsittelyä tästä muusta tarkoituksesta ja annettava kaikki asiaankuuluvat tiedot yllämainitun mukaisesti.

WP29:n tarkennuksia ohjeistukseen

Tietosuojaviranomaisten ohjeistus muuten ei ole toimijoita sitovaa, vaan ilmaisu siitä, miten EU:n tietosuojaviranomaiset tulkitsevat tulevaa asetusta. Tietenkin tällä hetkellä kysymys on vain luonnoksesta, johon voidaan vielä vaikuttaa kommenttien muodossa 23.1.2018 asti. Mikäli ohjeistus hyväksytään sellaisenaan, yrityksillä on siis vaihtoehtona joko täysin noudattaa suositusta tai sitten mennä niin sanotusti GDPR:n mukaan ja tulkita itse asetusta toisella tavalla. Tämä on tietysti iso riski, koska viranomaiset tulevat varmasti haastamaan heidän näkemyksensä vastaisen tulkinnan.

Läpinäkyvyys-ohjeistuksen keskeisenä tarkoituksena on antaa suuntaa siihen, miten rekisterinpitäjät informoivat rekisteröityjä (eli esimerkiksi asiakkaitaan tai työntekijöitään) tietosuoja-asetuksen vaatimusten mukaisesti. Yleensä tämä tieto kootaan ns. “tietosuojailmoitukseen” eli privacy statementiin. Tällä tavalla rekisterinpitäjä täyttää tietosuoja-asetuksen 13 ja 14 artiklan mukaiset velvoitteensa. Tämä ilmoitus ei ole tietenkään ainoa tapa, mutta yleisimmin käytetään varsin yleisluontoista selostusta henkilötietojen käsittelystä.

Läpinäkyvyys-ohjeistuksen suurimpana ongelmana on se, että vaatimuksissa mennään hyvin syvälle detaljitasoihin ja samalla vaaditaan, että rekisteröidylle toimitetaan tiedot “selkeästi, tiiviisti ja helposti saatavasti”. On erittäin haastavaa ellei mahdotonta tuottaa tietoa tiiviisti, jos vaatimuksena on samalla kattavuus ja selkeys. Selvää on, että ohjeistuksella tulee olemaan vaikutusta kaikkiin tietosuojaselosteisiin, riippumatta siitä, koskevatko ne ennen tai jälkeen GDPR:n voimaantuloa tehtävää henkilötietojen käsittelyä.

Privacy notice kahden klikkauksen päässä

Tässä muutamia poimintoja WP29:n läpinäkyvyyttä koskevasta ohjeluonnoksesta:

Tietosuojaan liittyvät tiedot tulee olla helposti saatavilla (ohjeen sivu 8). Ohjeistuksessa esimerkiksi edellytetään, että henkilötietojen käytöstä kertovaan sisältöön tulisi päästä online-palveluissa “kahden klikkauksen” kautta. Eli esimerkiksi sovelluksen valikossa tulisi olla suoraan erillinen “tietosuoja/henkilötietojen käyttö” -kohta josta pääsee tarkastamaan tietosuojaa koskevat tiedot. Tämä on muuten sovelluskehityksessä yleinen valituksen aihe, kun kaiken maailman privacypolicyjen takia kännykän ruudun tila (eli “real estate”) täytyy täyttää kaikella tylsällä eikä päästä myymään käyttäjälle peliä halvalla (eli saada koukuttavaa hintaa riittävän isolla ruudulle).

Yksinkertainen ja selkeä kieliasu (sivu 9). Käytettävän kielen tulisi olla yksinkertaista eikä se saisi sisältää “juridisia termejä”. Tietoa ei myöskään saa jakaa “varmuuden vuoksi” tai epäselvyyden lisäämiseksi. Esimerkiksi seuraavat toteamukset eivät täytä “selkeysvaatimusta”:

  •  Saatamme/voimme käyttää henkilötietojasi uusien palveluiden kehittämiseksi. -> Tässä ongelmana on se, että lukijalle ei avaudu, mitä nämä kyseiset  palvelut ovat ja miten henkilötietoja käytettäisiin kehityksessä.
  • Saatamme/voimme käyttää henkilötietojasi tutkimukseen. -> Ongelmana se, että ei tarkemmin määritellä millaiseen tutkimukseen (kaupalliseen/tieteelliseen/yrityksen sisäiseen) tietoja käytetään.
  • Saatamme/voimme käyttää henkilötietojasi palvelujen personointiin. -> Ongelmana se, että ei tarkemmin kerrota mitä personointi käytännössä tarkoittaa (eli miten tietoja käytetään ja miten personoinnin tulokset näkyvät käyttäjälle.

Kahden ensimmäisen osalta oma kysymyksensä on esimerkiksi se, miksi palveluntarjoaja käyttäisi juuri henkilötietoja tällaiseen palvelun kehittämiseen tai tutkimukseen. Tällaisissa tilanteissa voisi olla järkevää esimerkiksi anonymisoida tiedot siten, että ne eivät ole enää henkilötietoja (ja siten eivät informointivelvoitteen piirissä). Viranomaiset pyrkivät osoittamaan, että epävarman kielen (saatamme, ehkä, voi olla että) käyttäminen hämärtää rekisteröidyn mahdollisuutta täysin ymmärtää henkilötietojen käsittelyä.

Ensimmäisen esimerkin osalta WP29 edellyttää rekisterinpitäjältä mahdotonta: sen pitäisi pystyä ennustamaan, mitä palveluja se tulee kehittämään ja kertomaan tämän, keskeisimmän liikesalaisuutensa, rekisteröidylle.

Asteittainen/kerroksittainen tietosuojaseloste (sivu 17). Ohjeistuksessa tuodaan esiin myös ns. “Layered notice/Just in time notice” joka tässä nyt suomennettakoon vaikkapa asteittaiseksi tai kerroksittaiseksi tietosuojaselosteeksi. Ajatuksena on siis se, että esimerkiksi sovelluksen käyttäjälle näytetään hänen sovelluksensa tekemän toimenpiteen (vaikkapa kuvan lataaminen palveluun) kannalta keskeisiä tietosuoja-asioita (esimerkiksi kuka voi nähdä kuvan, keneltä pitää kysyä lupa kuvan julkaisemiseen jne). Lisäksi käyttäjälle annetaan mahdollisuus tutustua tarkemmin (esimerkiksi linkin muodossa) koko tietosuojaselosteeseen ennen tai jälkeen toimenpiteen tekemisen. Toteutusmuotoja on satoja: ponnahdusikkunoita, videoita, ääniviestejä jne jne.

Juristien ammatin pelastus on ollut se, että harva lukee pitkiä sopimustekstejä ja ilmeisesti vielä harvempi lukee tietosuojaselosteita (minä kyllä luen ja pidän niitä kiehtovina!). WP29:n toiveena ilmeisesti on, että tiedon palasteleminen auttaisi rekisteröityjä ymmärtämään paremmin hänen käytämänsä palvelun tietosuojavaikutuksia hänelle ilman että käyttäjä “väsyy” tietoon ja “hyväksyy kaiken” lukematta. On tietenkin aika paksua vaatia rekisterinpitäjää innostamaan rekisteröityjä innostumaan tietosuojasta, mutta toisaalta mielestäni GDPR:n henki on, että halutessaan tieto on helposti saatavilla.

Ohjeistuksessa on myös muita varsin mielenkiintoisia tulkintoja, kuten esimerkiksi se, että liitteenä olevassa taulukossa edellytetään että henkilötietojen siirrosta ETA-alueen ulkopuolelle tulisi kertoa erittäin seikkaperäisesti rekisteröidylle. Vaatimus edellyttäisi, että rekisterinpitäjän tulisi esimerkiksi mainita kaikki maat joihin henkilötietoja siirretään. Tämä on jo selkeää GDPR:n ylitulkintaa, koska artikla 13:ssa edellytetään ainoastaan mainitsemaan, että tehdäänkö siirtoja ETA:n ulkopuolelle vai ei.

Toteutuessaan ehdotetun muotoisena uusi ohjeistus tulee vaikuttamaan moneen tietosuojaselosteeseen, jopa ns. “GDPR-valmiiseen”, koska harva on varmasti osannut arvioida vaatimusten menevän näin tiukaksi. Toivottavaa on, että kommenttikierroksella saadaan palautetta joka muuttaa ohjeistusta lievemmäksi. Aiempien ohjeistuksien, perusteella vaikuttaa kuitenkin siltä, että viranomaisten ambitiotaso on korkealla.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: