Fanisivujen ylläpitäjästä tuli Facebookin kaveri

Kesällä julkaistun EU:n tuomioistuimen ratkaisun mukaan Facebookin fanisivujen ylläpitäjä on rekisterinpitäjä yhdessä Facebookin kanssa. Ratkaisulla voi olla laajakantoisia vaikutuksia ei ainoastaan somepalveluihin vaan ylipäätään sopimussuhteisiin tilanteissa, joissa datan “omistajuus” ei ole tarkoin määritelty tai edes määriteltävissä.

Ratkaisussa C-210/16 saksalainen yritys Wirtschaftsakademie Schleswig-Holstein  (kuulostaa koululta) ylläpiti “fanisivua” Facebookissa. Vuonna 2011 paikallinen Schleswig-Holsteinin  tietosuojaviranomainen vaati kyseistä yritystä lopettamaan fanisivun, koska se tai Facebook ei kertonut  fanisivulla vieraileville että käyttäjiä tultaisiin seuraamaan evästeiden avulla. Osapuolet riitauttivat asian ja päätyivät lopulta EU-tuomioistumeen ennakkoratkaisua hakemaan.

EU-tuomioistuimen mielestä evästeet sisälsivät henkilötietoja ja sen vuoksi  sovellettiin henkilötietodirektiiviä sekä paikallista lainsäädäntöä. Yllättävintä ratkaisussa oli kuitenkin se, että fanisivujen ylläpitäjäkin oli vastuussa tällaisten henkilötietojen käsittelystä, vaikka ylläpitäjällä ei ollut mitään pääsyä näihin evästeissä kerättyihin henkilötietoihin. Facebook tarjosi Facebook Insights -ominaisuuden fanisivujen ylläpitäjille, joiden avulla ylläpitäjät voivat nähdä tilastotietoja käyttäjistä. Ylläpitäjillä ei kuitenkaan ole mitään mahdollisuutta määrätä, millaisia tilastotietoja käyttäjistä näytetään, vaan ainoastaan hyödyntää Facebookin olemassa olevaa työkalua haluamallaan tavalla.

En tunne itse työkalua enkä varsinkaan sen vuoden 2011 versiota, mutta oma käsitykseni vastaavista työkaluista on, että käyttäjällä on loppujen lopuksi hyvin vähän mahdollisuuksia määrittää mitä tietoja kerätään.

abstract board game bundle business
Photo by Pixabay on Pexels.com

Ilman henkilötietojakin rekisterinpitäjä?

Kyseisessä Facebookin toiminnossa fanisivuston ylläpitäjälle näytetään vain ja ainoastaan anonymisoituja ja koostettuja  tilastotietoja eikä ylläpitäjä koskaan saa varsinaisesti tietää, kuka on hänen sivullaan käynyt. Ylläpitäjällä ei todennäköisesti ole mitenkään mahdollisuutta selvittää kävijöidensä henkilöllisyyttä tilastotietojen perusteella. Itse henkilötiedot pysyvät Facebookin hallussa ilman, että ylläpitäjällä on mitään pääsyä näihin tietoihin.

Ylläpitäjä voi ainoastaan päättää siitä, millaisia tilastotietoja näytetään kerätyistä henkilötiedoista. Tässä onkin oikeustapauksen keskeisin ongelma, sillä ajatus sopii varsin huonosti yhteen rekisterinpitäjän määritelmän kanssa.

Perinteisesti rekisterinpitäjänä on pidetty toimijaa, joka itsenäisesti (eli riippumatta muista) määrittelee tavat, joilla henkilötietoja käsitellään. Eli kun toimija päättää, että henkilöstä kerätään nimi, osoite ja puhelinnumero eikä esimerkiksi kengän kokoa, hän on rekisterinpitäjä. Lisäksi rekisterinpitäjä määrää, mitä tuolla tiedolla tehdään.

Vaihtoehtoisesti rekisterinpitäjä voi tehdä yllämainitut asiat yhdessä jonkun osapuolen kanssa, jolloin kysymyksessä on yhteisrekisterinpitäjä. Tavanomaisesti tämä on ymmärretty niin, että osapuolilla on jonkinlainen keskinäinen tarve tietojen käyttöön joko yhteistä tai kunkin osapuolen omaa käyttötarkoitusta varten. Loogisesti ajateltuna tämä edellyttäisi varmaankin jonkinlaista “omistajuutta” henkilötietoihin tai ainakin molempien osapuolten kykyä määrätä tiedoista.

Tässä tapauksessa kuitenkin vaikuttaisi siltä, että fanisivun ylläpitäjä ei kykenisi itsenäisesti määrittämään kuin muutaman asian jotka eivät sinänsä ole henkilötietoja eikä ylläpitäjä myöskään koskaan edes “koske” henkilötietoihin vaan saa vain valmiit “tulokset” Facebookilta.

Tuomiostuimen ajattelun mukaan ilmeisesti pelkästään se, että fanisivun ylläpitäjä “pyytää” Facebookia käsittelemään henkilötietoja tilastotietojen muodostamiseksi, riittää täyttämään rekisterinpitäjänä toimimisen edellytykset. Tuomiosta ei käy täysin selväksi miten tämä pyyntö tapahtuu, mutta ilmeisesti jo fanisivua perustettaessa ylläpitäjä päättää, mikä on kohderyhmä ja tätä pidettiin ilmeisesti myös merkittävänä määrittelynä rekisterinpitäjyyden kannalta.

Silmiinpistävää ratkaisussa on se, että vaikka fanisivujen ylläpitäjää pidetään rekisterinpitäjänä yhdessä Facebookin kanssa, tuomioistuin vaikuttaisi vihjaavan siihen suuntaan, että vastuu ei kuitenkaan jakaudu tasan Facebookin ja fanisivun ylläpitäjän kanssa. Tähän myös julkisasiamies Yves Bot kiinnitti huomiota omassa ratkaisuehdotuksesaan. Käytännössä tämä tarkoittaanee sitä, että koska fanisivun ylläpitäjällä ei ole laajaa pääsyä itse henkilötietoihin, sen vastuu on pienempi kuin Facebookin, jolla on käytössään ns. “kaikki henkilötiedot”.

Vastuun jakautuminen on mielenkiintoinen kysymys. Tietosuoja-asetuksen 26 artiklassa vaaditaan yhteisrekisterinpitäjiä sopimaan vastuistaan. Tällaista vaatimusta ei ollut henkilötietodirektiivissä, jonka ajalta kyseinen tapaus on. Itse yhteisrekisterinpitäjän käsite ja se, että molemmat rekisterinpitäjät ovat vastuussa rekisteröidylle ei kuitenkaan ole muuttunut asetuksen myötä.

Tietosuoja-asetuksessa oletuksena olisi siis, että mikäli vastuusta ei ole sovittu, osapuolten vastuu jakautuisi tasan. Sopimuksesta huolimatta rekisteröidyllä on oikeus käyttää rekisteröityjen oikeuksiaan (oikeutta tulla unohdetuksi, tarkastaa tietonsa, keskeyttää käsittely jne.)  kumpaakin yhteisrekisterinpitäjää kohtaan. Olisikin mielenkiintoista nähdä tämä käytännössä eli miten esimerkiksi rekisteröityi voisi vaatia fanisivun ylläpitäjää poistamaan henkilötietonsa, kun fanisivujen ylläpitäjällä ei ole muuta kuin anonymisoituja henkilötietoja. Tulisiko fanisivun ylläpitäjän tällöin vaatia Facebookia poistamaan tiedot vai mitä? Tarvitsisiko Facebookin tällöin totella?

agree agreement ankreuzen arrangement
Photo by Pixabay on Pexels.com

Vaikutukset Facebookia ja somea laajemmat

Vaikka kyseinen ratkaisu koskee vain Facebookia, sen vaikutuksia voidaan pitää Facebookia tai sosiaalisen median palveluita laajempana. Pahimmassa tapauksessa yhteisrekisterinpitäjyys voisi syntyä hyvin monessa normaalissa liikesuhteessa jo pelkästään siksi, että toimija pyytää toista toimijaa “käsittelemään” henkilötietoja siten, että sille toimitetaan asiakastilastoja. On kuitenkin epätodennäköistä, että määritelmä olisi näin laaja.

Ratkaisu koskee aikaa, jolloin henkilötietodirektiivi oli voimassa, mutta rekisterinpitäjän käsite tai yhteisrekisterinpitäjyyttä koskeva määritelmä ei ole olennaisesti muuttunut tietosuoja-asetuksen myötä. Olennaisimpana muutoksena voidaan pitää sitä, että nyt yhteisrekisterinpitäjiltä edellytetään sopimusta vastuiden ja velvollisuuksien osalta. Lisäksi vahingonkorvauksesta määrätään GDPR:ssä, kun aiemmin oltiin kansallisen lainsäädännön varassa. Silti ratkaisu on merkittävä myös tänä päivänä.

Facebook on ilmoittanut pitävänsä ratkaisua pettymyksenä. Facebook ja muut toimijat, kuten esimerkiksi Google, on käyttänyt jo jonkin aikaa vastaavissa tilanteissa sopimusta, jossa palvelun käyttäjä on rekisterinpitäjä ja Facebook tai Google ainoastaan henkilötietojen käsittelijä. Tämän ratkaisun myötä rekisterinpitäjän ankarampi vastuu “palautuu” nyt somejäteille.

Vaikka osapuolet voisivatkin sopimuksin järjestää vastuunsa millä tahansa tavalla, Facebook ei voi jatkossa “ulkoistaa” omaa rekisterinpitäjän vastuutansa sopimusteiste, ellei toimintamallia muuteta olennaisesti.

Sivustojen ylläpitäjille tuomioistuimen ratkaisu on sisältää jäätävän kauhuskenaarion. Tietosuoja-asetuksen 82 artiklassa nimittäin todetaan, että rekisteröity voi esittää vaatimuksensa kummalle tahansa yhteisrekisterinpitäjälle ja se joka vaatimuksen saa on myös korvausvastuussa riippumatta siitä, kenen vika oli. Ylläpitäjällä olisi korvauksen maksettuaan vaatia toiselta osapuolelta korvausta. Eli ylläpitäjä voisi saada korvausvaatimuksen viasta, jonka Facebook on aiheuttanut. Voin vain kuvitella, kuinka monella miljoonien fanisivujen ylläpitäjillä on valmius vastata tällaisiin vaatimuksiin ja ryhtyä sen jälkeen riitelemään yhden maailman merkittävimmän mediayhtiön kanssa korvauksen oikeellisuudesta ja vastuun jakautumisesta.

Sinänsä ratkaisun vaikutus ei ole kuitenkaan täysin mullistava. Aiempi näkemys ainakin Facebookin puolelta kun oli, että fanisivun ylläpitäjä oli rekisterinpitäjä ja Facebook “ainoastaan” käsittelijä. Tällöinkin ylläpitäjä olisi ollut ensisijaisesti vastuussa rekisteröidyille.

Todennäköisesti ratkaisu vaikuttaa siten, että ylläpitäjällä olisi jatkossa laajempi oikeus käyttäjien henkilötietoihin (epätodennäköistä) tai vaihtoehtoisesti tällaiset tilastointia varten luodut henkilötiedot anonymisoidaan siten, että niitä ei pidetä enää henkilötietoina. On myös hämärän peitossa, millaisia tätä tilannetta koskevista sopimuksista jatkossa muodostuu, koska fanisivujen ylläpitäjien neuvotteluasema suhteessa Facebookiin on hyvin heikko: käytännössä on nieltävä joko Facebookin ehdot tai poistuttava palvelusta.

Vielä vaikeampi kysymys ovat ne kaikki kolmannet osapuolet, jotka käyttävät sivustoja asettaakseen evästeitä käyttäjien tietokoneille. Onkin mielenkiintoista nähdä, miten tällaiseen tilanteeseen yhteisrekisterinpitäjien asema suhtautuu. Tulevassa Fashion ID -ratkaisussa (C-40/17) tarkastellaan tätä, joten elämme mielenkiintoisia aikoja tämän osalta.

View story at Medium.com

 

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: