Työryhmän mietintö: henkilötietolaki kumotaan, tilalle tietosuojalaki

Oikeusministeriön työryhmä esittää nykyisen henkilötietolain kumoamista ja tilalle uutta tietosuojalakia. Taustalla on EU:n 25.5.2018 voimaan tulevan tietosuoja-asetuksen kansallinen täytäntöönpano. Tämän lisäksi työryhmä esittää muutamia merkittäviä poikkeuksia tietosuoja-asetuksen soveltamisalaan esimerkiksi tiedonvälityksen ja julkisuusperiaatteen vuoksi.

Vaikka henkilötietolaki on tarkoitus kumota, se on toiminut perustana uudelle tietosuojalaille. Tietosuojalaki olisi kuitenkin ainoastaan tietosuoja-asetusta täydentävä laki. Pääosa sääntelystä tulisi siis tietosuoja-asetuksesta. Tällainen lähestymistapa ei ole tyypillistä Suomessa vaan tapana on ollut “kääntää” EU-säädökset kokonaan Suomen laeiksi. Tietosuoja-asetus on kuitenkin suoraan sovellettavaa EU-lainsäädäntöä joten mitään tarvetta toistaa asetuksen pykäliä kansallisessa laissa ei ole.

Esityksessä ehdotetaan tietosuoja-asetuksen säännösten soveltamista kattavasti kaikkeen henkilötietojen käsittelyyn, jollei laissa ole toisin säädetty. Tietosuojalaki yleislakina koskisi siten henkilötietojen käsittelyä laajasti yhteiskunnan eri sektoreilla. Lisäksi tietosuoja-asetusta ja tietosuojalakia sovellettaisiin sellaiseen henkilötietojen käsittelyyn, joka ei kuulu unionin lainsäädännön soveltamisalaan sekä osittain henkilötietojen käsittelyyn, joka tapahtuisi yhteisen ulko- ja turvallisuuspolitiikkaan liittyen.

Henkilötietolain lisäksi ehdotetaan kumottavaksi tietosuojalautakunnasta ja tietosuojavaltuutetusta annettu laki sekä asetus.

 

Tietosuojavaltuutetun toimistosta tietosuojavirasto

Tietosuojavaltuutetun toimisto ehdotetaan muutettvan tietosuojavirastoksi. Laissa ei kuitenkaan sinänsä ehdoteta perustettavaksi uutta viranomaista vaan muutaman organisatorisen muutoksen sisältävä nimenvaihdos.

Koska tietosuoja-asetuksen perusajatuksena on ollut rekisterinpitäjän osoitusvelvollisuus, tietosuojalautakunta lakkautettaisiin sen keskeisen lupatehtävän poistumisen myötä.

Tietosuojavirastossa olisi edelleen tietosuojavaltuutetun virka, joka toimisi viraston päällikkönä. Kasvavien asiamäärien sekä asioiden laadun ja laajuuden vuoksi tietosuojavirastoa vahvistettaisiin säätämällä, että virastossa olisi tietosuojavaltuutetun viran lisäksi yhden tai useamman apulaistietosuojavaltuutetun virka. Apulaistietosuojavaltuutettu toimisi omalla tehtäväalueella samoin toimivaltuuksin kuin tietosuojavaltuutettu.

Tietosuojavaltuutetun toimistolle annettaisiin laajat toimivaltuudet tehdä muun muassa tarkastuksia tietojen käsittelijöiden tiloissa, mukaan lukien myös kotona. Eli tarkastusta ei voisi kieltää vetoamalla kotirauhaan jos esimerkiksi serverit on kotinurkassa. Tietosuojavaltuutettu voi määrätä myös väliaikaisia rajoitteita tai jopa kieltää väliaikaisesti tietojen käsittelyn. Tällaisesta kieltopäätöksestä ei voisi valittaa.

Tietosuojaviraston sisällä valvontaviranomaisen päätöksentekoon liittyvää toimivaltaa jaettaisiin myös säätämällä, että virastossa toimisi valtuutettujen lisäksi seuraamuslautakunta. Seuraamuslautakunta koostuisi viidestä sivutoimisista jäsenistä ja, se käsittelisi hallinnollisen sakon määräämistä sekä pysyviä että määräaikaisia käsittelykieltoja koskevia asioita valtuutetun esittelystä. Seuraamuslautakunnan tarkoituksena on toimia yhtenä oikeussuojakeinona hallinnollisia sakkoja määrättäessä ja se voi tarpeen mukaan järjestää suullisia kuulemisia asian käsittelyn yhteydessä.

Muutoksia lehdistönvapauden turvaamiseksi

Työryhmä ehdottaa muutoksia henkilötietojen käsittelyyn tiedonvälityksessä. Pyrkimyksenä on helpottaa tietojen käsittelyä tilanteissa, joissa kysymys on henkilön asemaa, tehtäviä ja niiden hoitamista julkisyhteisöissä, elinkeinoelämässä, järjestötoiminnassa tai muussa vastaavassa toiminnassa kuvaavista tiedoista ja käsittely on yleisen edun mukainen ja käsittely oikeasuhtaista sillä tavoiteltuun oikeutettuun päämäärään nähden yleisen tietosuoja-asetuksen edellyttämällä tavalla. Tällainen käsittelyperuste on erillinen tietosuoja-asetuksen 6 artiklan mukaisista käsittelyperusteista (mun muassa henkilön suostumus, oikeutettu etu jne.).

Syynä kansalliselle poikkeukselle on se, että vastaava kohta on jo tällä hetkellä henkilötietolaissa. Pyrkimyksenä on siis vain säilyttää nykytilaa vastaava tila, jossa henkilötietojen käsittelyyn journalistisia tarkoituksia ja taiteellisen ja kirjallisen ilmaisun tarkoituksia varten sovelletaan säännöksiä, jotka liittyvät henkilötietojen suojaamisvelvoitteeseen ja vastaavasti rajoittaa tietyiltä osin tietosuojaviranomaisen näitä velvoitteita koskevia valtuuksia.

Käsittelyperusteen lisäksi lehdistön asemaa helpotetaan usealla eri poikkeuksella tietosuoja-asetuksen soveltamiseen. Esimerkiksi journalistisia, taiteellista tai akateemista tutkimusta varten kerätyn tiedon osalta ei tarvitsisi noudattaa 5 artiklan edellyttämää tietojen minimointia. Laissa kuitenkin edellytettäisiin, että henkilötietojen keräämisen ja muun käsittelyn olisi oltava perusteltua journalistisen taikka akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksien kannalta.

Samaten tietosuoja-asetuksen 5 artiklan mukaisen henkilötietojen täsmällisyyden vaatimusta ei tarvitsisi noudattaa. Vastineparina tälle poikkeukselle ovat esimerkiksi sananvapauslain 3 luvun edelllyttämät vastine- ja oikaisuoikeudet sekä rikoslain kunnianloukkaussäännökset. Eli vaikka henkilö ei pääsisi “oikaisemaan” vanhoja tietojaan lehtien arkistosta, päätoimittajat ja toimittajat olisivat edelleen vastuussa siitä, että julkaistu tieto on oikeaa. Lisäksi rekisteröidyn oikeudet eivät tulisi sovellettavaksi ja siksi rekisteröidyllä ei olisi oikeutta vaatia virheellisen tiedon oikaisemista yleisen tietosuoja-asetuksen nojalla.

Myös säilytyksen rajoittamisen periaatteesta säädettäisiin poikkeus, kun henkilötietoja käsitellään journalistisiin tarkoituksiin taikka akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten. Henkilötietoja voidaan tarvita esimerkiksi journalistiseen taustamateriaaliin pitkältä ajalta, eikä tiedon säilytysaikaa voida näin ollen aina yksiselitteisesti määrittää.

Journalistisiin tarkoituksiin, akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten voisi lisäksi käsitellä myös henkilötietojen erityisryhmiin kuuluvia ja rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja. Tällaisessa käsittelyssä tulisi kuitenkin edelleen noudattaa asianmukaisia suojatoimia. Henkilöllä ei myöskään olisi oikeutta vastustaa käsittelyä, vaatia tietojen käsittelyn rajoittamista, tietojen poistoa, tai oikeutta siirtää tietoja toiseen järjestelmään kun henkilötietoja käsitellään journalistisiin tarkoituksiin taikka akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten.

Journalistiseen tarkoitukseen henkilötietoja käsittelevät toimijat eivät myöskään olisi velvollisia ilmoittamaan tietoturvaloukkauksista rekisteröidylle, vaan ainoastaan viranomaisille. Viranomaiset voisivat tosin joissain tilanteissa edellyttää rekisterinpitäjää myös ilmoittamaan loukkauksesta rekisteröidylle.

Täysin vapaita kaikesta tietosuoja-asetuksen vaatimuksista eivät kuitenkaan journalistisiin tarkoituksiin käsittelevät toimijat ole. Muun muassa vaatimus tietojen suojaamisesta ja eheydestä sekä käsittelyn lainmukaisuudesta koskee edelleen näitäkin toimijoita ja joissakin tilanteissa myös toimitukset joutuisivat nimeämään tietosuojavastaavan.

Ikäraja vielä auki

Tietosuoja-asetus edellyttää, että ennen tietojen käsittelyä tietoyhteiskunnan palveluja tarjoavan toimijan on hankittava alle 16-vuotiaan vanhemmalta (tietosuoja-asetuksessa “vanhempainvastuunkantaja” joka lienee ilmeisesti yksi edunvalvojista) suostumus eli vain yli 16-vuotiaat saavat itse antaa suostumuksen. Työryhmä ehdottaa että ikärajaa laskettaisiin. Ehdotuksessa jätetään vielä avoimeksi lasketaanko raja 13 vai 15 vuoteen.

Työryhmä on pitänyt mahdollisena sekä 13 että 15 vuoden ikärajan asettamista ja aikoo tältä osin seurata muiden jäsenvaltioiden kehitystä. Työryhmän tavoitteena onkin, että ikäraja olisi mahdollisimman yhdenmukainen EU:ssa. Muussa tapauksessa tulisi ehdottaa säädettäväksi 15 vuoden ikärajasta joka on linjassa muualla lainsäädännössä omaksuttujen ikärajojen kanssa. Ruotsissa ikärajaksi on ehdotettu 13 vuotta.

Julkisyhteisöt eivät ole sakkojen piirissä?

Mielenkiintoisimpia asioita muiden ohella on se, että työryhmä ei ehdota mahdollisuutta määrätä hallinnollisia sakkoja viranomaisille tai julkishallinnon elimille samalla tasolla kuin yrityksillekin (eli 20 M€ tai 4 % liikevaihdosta). Tietosuoja-asetus sallisi myös mahdollisuuden määrätä kansallisesti myös sakoista esimerkiksi kunnille ja valtion virastoille, mutta Suomessa tätä vaihtoehtoa ei ilmeisesti käytetä. Ruotsissa tietosuojaviranomaisille on myös tarkoitus antaa mahdollisuus määrätä sakkoja myös viranomaisille ja julkishallinnon elimille, mutta sakkojen määrät tulevat ilmeisesti olemaan alhaisempia.

Rikosoikeudellinen vastuu muuttuu

Nykyinen rikoslaissa oleva henkilörekisteririkosta koskeva säännös ehdotetaan poistettavaksi kokonaan ja korvattavaksi uudella tietosuojarikosta koskevalla säännöksellä. Tämä johtuu pääosin siitä, että tietosuoja-asetuksen tuomat varsin raskaat hallinnolliset seuraamukset kattavat suurimman osan “rangaistustarpeesta”.

Tämän vuoksi tarpeelliseksi katsotaan vain säätää sellainen menettely rangaistavaksi, jossa esimerkiksi rekisterinpitäjän tai henkilötietojen käsittelijän palveluksessa oleva henkilö tahallaan tai törkeästä huolimattomuudesta hankkii (urkkii) henkilötietoja vastoin niiden käyttötarkoitusta. Rangaistussäännös tulisi sovellettavaksi ainoastaan tilanteessa, jossa henkilön ei voida katsoa toimineen rekisterinpitäjän tai henkilötietojen käsittelijän ominaisuudessa. Tällaisiin henkilöihin ei lähtökohtaisesti voida kohdistaa seuraamuksia suoraan yleisen tietosuoja-asetuksen perusteella.

 

Muita muutoksia

Yllämainittujen lisäksi tietosuojalakiin on tulossa muutamia muita täydennyksiä kuten

  • Vakuutusyhtiöille oikeus käsitellä rikostuomiohin liittyviä tietoja
  • Tieteellistä ja historiallista tutkimusta varten oikeus käsitellä erityisiä henkilötietoryhmiä koskevia tietoja (esim terveystiedot, sosiaalinen asema, poliittinen vakaumus ja rikostuomiot. Lakiin ehdotetaan tiettyjä suojatoimia joiden täyttyessä tällainen käsittely olisi sallittua
  • Tilastollisia tarkoituksia varten olisi edelleenkin mahdollista käsitellä erityisiä henkilötietoryhmiä koskevia tietoja

 

Oikeusministeriön työryhmän mietintö

Ruotsin mietintö SOU2017:39

 

Miten GDPR tulee huomioida hankintasopimuksessa? OSA I

Tietosuoja-asetuksen voimaantulo ensi vuoden toukokuussa aiheuttaa merkittäviä muutoksia organisaatioissa monen eri tekijän osalta. Yksi keskeisimpiä ajattelu- ja toimintatavan muutoksia on se, miten sopimussuhteet eri toimijoiden välillä järjestetään tietosuoja-asetuksen vaatimalla tavalla. Asetuksessa kun on nimenomaisia vaatimuksia toimittajan eli GDPR-kielessä käsittelijän ja asiakkaan eli rekisteripitäjän väliselle sopimukselle.

Tässä ensimmäisessä osassa tarkastellaan sitä, mistä tekijöistä asiakkaan ja toimittajan välinen suhde tietosuojan näkökulmasta muodostuu.

Keskity kumppanin valintaan

Kuten aina kaikissa sopimuksissa, terävän ja näppärän tekstin lisäksi myös kumppanin valintaan kannattaa kiinnittää paljonkin huomiota. Vaikka tietosuoja-asetus vyöryttää aiemmin lähes puhtaasti asiakkaan vastuulla olevia asioita myös käsittelijöille, asiakas on silti lähes aina ensimmäinen osoite, johon huomio kohdistuu ongelmatilanteissa. Siksi kumppanin valinnassa tulee kiinnittää huomiota erityisesti osapuolen tietosuojaosaamiseen.

Oman sopimuskokemuksen perusteella tietosuoja-asioiden avulla saa itse asiassa aika nopeasti selville sen, miten vakavasti otettava toimija on kyseessä. Vaikka myyntiesitteet olisivat hienot ja kiiltävät, jos sopimuksessa ei rittävän hyvin määritellä tietosuojaa koskevia edellytyksiä, kumppanin valitsemista kannattaa vielä harkita. Suurilla kansainvälisillä toimijoilla on tässä merkittävä etusija: niillä toiminta alkaa vähitellen olla varsin ammattimaisella tasolla. Suurien toimijoiden valinnassa on omia “taktisia” riskejä, kuten se, että suuren yrityksen toiminta voi olla hyvin jäykkää ja vain tiettyyn muottiin sopivaa. Voi olla myös vaikeata saada omaa toimialaa koskevia muutoksia läpi esimerkiksi siksi, että suuren kansainvälisen toimijan muut asiakkaat eivät moisia tarvitse.

Määritele roolit

Ensimmäinen tehtävä on selvittää osapuolten roolit ja sen mukaisesti myös vastuut sopimuksessa. Hyvänä lähtökohtana voisi pitää sitä, että asiakas on rekisterinpitäjä (“data controller”) eli osapuoli joka päättää, miten henkilötietoja käsitellään ja on myös ensisijaisesti vastuussa käsittelystä rekisteröidyille.

Tilanne ei kuitenkaan ole aina näin selvä ja on mahdollista, että toimittaja on rekisterinpitäjä. Yleensä tällaisissa tilanteissa kysymys on ns. “yhteishuoltajuudesta” eli siitä että sekä asiakas ja toimittajat ovat yhdessä rekisterinpitäjiä (ns. “yhteisrekisterinpitäjä”). Toinen vaihtoehto on, että sekä toimittaja ja asiakas ovat itsenäisiä ja erillisiä rekisterinpitäjiä (tällainen on tyypillistä esimerkiksi silloin, kun ostetaan asiakas- ja yhteystietoja omaan käyttöön). Hyvin harvoin eteen tulee tilanne, jossa pelkästään toimittaja olisi rekisterinpitäjä.

Mitä se sitten tarkoittaa sopimuksen kannalta? Sopimuksessa tulee selkeästi mainita että osapuoli A toimii rekisterinpitäjänä ja osapuoli B käsittelee henkilötietoja A:n lukuun. Esimerkiksi JIT 2015 ehdoissa lähtökohtana on se, että tilaaja (eli hankintayksikkö) on rekisterinpitäjä.

Alihankkijoiden käyttö vaatii luvan

Kun roolit ovat selvillä, voidaan tutustua tarkemmin GDPR:n vaatimuksiin. Tietosuoja-asetuksessa, itse asiassa tarkalleen 28 artiklassa, on määritelty tiettyjä asioita, joiden on löydyttävä jokaisesta sopimuksesta rekisterinpitäjän ja käsittelijän välillä.

Rekisterinpitäjä saa käyttää ainoastaan sellaisia käsittelijöitä, jotka toteuttavat riittävät tekniset ja organisatoriset toimet siten, että käsittely täyttää tämän tietosuoja-asetuksen vaatimukset. Eli toimittajan tietoturvan taso tulisi olla teknisesti ja myös toiminnan kannalta riittävällä tasolla suhteessa käsiteltävän tiedon laatuun. Tämä tarkoittaa sitä, että esimerkiksi henkilön terveystiedoilla on aivan erilainen suojaamisen tarve kuin esimerkiksi toimitusosoitteella.

Sopimukseen tulisi kirjata, että käsittelijä ei saa käyttää alihankkijaa tietojen käsittelyyn ilman rekisterinpitäjän lupaa. Mielenkiintoinen oma kysymyksensä on, mitä tarkoitetaan “käsittelyllä” eli tuleeko jokainen alihankkija hyväksyttää rekisterinpitäjällä? Lähtökohtana ei asetuksessa varmaankaan ole ollut, että esimerkiksi kuljetusyrityksen vaihtamiseen tarvitaan aina asiakkaan lupa. Asetuksen sallimassa riskiperusteisessa lähestymistavassa voisi esimerkiksi miettiä että käsittelyn kannalta keskeisten toimijoiden kuten esimerkiksi palveluntarjoajan hosting-alihankkijan vaihto vaatisi erikseen sopimisen.

Asetus tosin sallii myös ns. “yleisluontoisen” kirjallisen ennakkoluvan eli asiakas voi antaa toimittajalle oikeuden esimerkiksi tietyntyyppisten alihankkijoiden (vaikka juuri kuljetusyrityksen tai esim konserniyhtiön) vaihtamiseen tarvittaessa. Ennakkolupa ei kuitenkaan sekään ole “avoin kortti” vaan edellyttää käsittelijältä jatkuvaa asiakkaan informointia ja tarvittaessa asiakkaalla tulee olla oikeus myös vastustaa tällaisia muutoksia.

On selvää, että sopimuskumppanin lisäksi asiakkaan tulee ainakin jollain tasolla tutustua myös toimittajan keskeisimpiin alihankkijoihin, jotta ymmärretään, missä kaikkealla tietoa käsitellään ja minne päin maailmaa tietoa päätyy. Vaikka periaatteessa asian voi jättää kokonaan toimittajan päätettäväksi, käsittelijällä eli asiakkaalla tulee olla silti selkeä käsitys siitä käsittelyn laajuudesta ja toimintatavoista. Tämä on varmasti yksi isoista kiperistä kysymyksitä jatkossa, kun esimerkiksi monet it-toimittajat haluavat varmasti mahdollisimman laajasti itse päättää, miten toimintansa järjestävät (asiakas on harvoin paras asiantuntija toisen yrityksen bisneksen hoitamisessa). Siksi lieneekin järkevää luoda jonkinlainen vapaus toimittajalle järjestää toimintansa haluamallaan tavala ja jäykän muutosohjaamisen sijaan keskittyä siihen, että tietoa on riittävästi saatavilla ja vain keskeisimmistä muutoksista tulisi keskustella tai jopa sopia asiakkaan kanssa.

JIT ehdot vaativat muutosta

JIT 2015 ehdot eivät välttämättä aivan täysin vastaa tietosuoja-asetuksen vaatimuksia. Selvää on, että kaikissa nyt aloitettavissa ja käynnissä olevissa hankinnoissa tulisi huomioida tietosuoja-asetuksen vaatimukset, vaikka asetus ei olekaan vielä voimassa. Tämä johtuu siitä, että asetus tulee voimaan sopimuksen voimassaolon aikana joten sopimuksen tulee vastata 25.5.2018 tietosuoja-asetuksen vaatimuksia, mitään erillistä “siirtymäaikaa” sopimuksille ei ole.

Esimerkiksi kuntaliitto on ehdottanut tämänkaltaista “pikakorjausta” JIT ehtoihin perustuviin sopimuksiin:

Sen lisäksi mitä JIT 2015 Yleiset -ehtojen luvussa 18 on sovittu, Toimittaja noudattaa rekisterinpitäjänä tai henkilötietojen käsittelijänä kulloinkin voimassa olevan henkilötietolainsäädännön edellyttämiä velvoitteita.

Toimittaja vastaa siitä, että palvelu on kulloinkin voimassa olevan henkilötietolainsäädännön vaatimusten mukainen, ottaen erityisesti huomioon tietojärjestelmien oletusarvoisen ja sisäänrakennetun tietosuojan.

Toimittaja huolehtii käsittelemiensä tietojen asianmukaisesta suojaamisesta varmistaakseen tilaajan aineiston luottamuksellisuuden, eheyden ja saatavuuden.

Seuraavassa osassa tarkastellaan tarkemmin keskeisen tietosuoja-asetuksen 28 artiklan tarkkoja vaatimuksia hankintasopimusten osalta. On aika selvää, että yllämainittu lauseke ei kata kaikkia näitä vaatimuksia vaan laajempaa muokkausta tarvitaan. Tästä enemmän seuraavassa postauksessa ensi viikolla.

Ovatko tietosi oikeasti siellä missä luulet niiden olevan?

Erilaisten sovellusten käyttäminen jättää meistä runsaasti jälkiä eri järjestelmiin ja siten myös esimerkiksi palvelimiin ympäri maailmaa. Yllättävää on se, että tuoreen tutkimuksen mukaan merkittävä osa erilaisten mobiilisovellusten keräämästä datasta, mukaan lukien henkilötiedoista, päätyy melko hallitsemattomasti minne sattuu.

Ranskan tietosuojaviranomaisen (CNIL) tutkimusyksikkö LINC tutki Android-mobiilisovellusten tietojen käyttöä ja erityisesti sitä, mihin tiedot leviävät. Tutkimuksessa syvennyttiin 400 ETA-alueella suosittuun Android-sovellukseen ja niiden keräämään tietoon.

Tutkimus kokonaisuudessaan kattoi 2000 erilaista sovellusta. Tutkimus tehtiin ohjelmistolla, joka pyrki analysoimaan, minne kaikkialle tietoja päätyy. Tutkimus on tehty ennen Safe Harbor-päätöstä ja osa sovelluksista on käyttänytkin Safe Harboria tietojen siirron oikeutuksena. Tutkijat tutkivat myös iOS-laitteiden taustajärjestelmiä ja päättelivät että vastaavanlaisia tuloksia olisi todennäköisesti saatavissa myös Apple-laitteiden tietojen siirrosta.

Yhdysvallat pääosassa

Tutkimuksessa havaittiin, että kaksi kolmasosaa sovellusten käyttämistä palvelimista sijaitsi Yhdysvalloissa. Suurin osa sovelluksista ei kysynyt käyttäjältä suostumusta siirrolle Yhdysvaltoihin ainakaan selkeästi. Tämän lisäksi neljäsosa palvelimista sijaitsi ns. “kolmansissa maissa” eli maissa joissa EU:n komission mielestä ei ole riittävä tietosuojan taso. Tutkimuksessa tunnistettiin sovellusten lähettävän tietoa ainakin Kiinaan, Hong Kongiin ja Venäjälle. Kuvaavaa on myös se, että ainoastaan yksi prosentti sovelluksista välitti tietoa ainoastaan ETA:n sisällä.

Mikäli sovellusten tarjoajilla ei ole riittäviä sopimuksia tai muita sitoumuksia Euroopan Talousalueen ulkopuolella sijaitsevalta vastaanottajalta, kysymys voi olla laittomasta tietojen siirrosta. Vaikuttaisi myös siltä, että vain 53 sovellusta tukeutui jo kuopattuun Safe Harboriin eli merkittävä osa siirroista tapahtui joko muilla keinoin tai ilman mitään turvakeinoja. Tutkijat toteavatkin yksikantaan, että heidän mielestään ainakin 9,5 prosenttia sovelluksista rikkoo tietosuojadirektiivin 25 artiklan mukaista tietojen siirtokieltoa. Siirtokiellolla tarkoitetaan siis sitä, että henkilötietoja ei saa siirtää ETA-alueen ulkopuolelle mikäli rekisterinpitäjä ei ole varmistunut riittävästä tietosuojan tasota eli esimerkiksi käyttänyt EU:n mallisopimusta tai Privacy Shieldiä. Toinen vaihtoehto on kysyä käyttäjältä suostumus tietojen siirtoon.

Vielä hälyyttävämpää oli kuitenkin se, että yli puolella tutkituista sovelluksista ei ollut tarjolla riittäviä tietoja tietosuojan osalta. Sovelluksissa ei ollut esimerkiksi riittävää ns. “privacy policya” eli tietosuojaselostetta. Eli käyttäjät eivät todennäköisesti tiedä tai ainakaan ymmärrä että heidän tietojansa voi päätyä ympäri maailmaa.

Olisikin mielenkiintoista tutkia, miten tärkeänä käyttäjät pitävät sitä, että heillä ei ole mitään tietoja miten heidän tietoja käsitellään ja siirretään maiden rajojen yli. Vaikuttaisi, että sovellusten suosio kuitenkin osoittaa sen, että käyttäjiä ei tämä asia näytä kiinnostavan, vaikka viimeaikaisten tutkimusten mukaan asia on toisin.

Halpa ja tehokas syö lainmukaisuuden

Tutkimus on hyvä osoitus siitä, millaisen haasteen kanssa tietosuojan osalta nykymaailmassa eletään. Henkilötiedot leviävät hyvin laajalle, koska kehittäjät pyrkivät hyödyntämään olemassa olevaa infrastruktuuria mahdollisimman tehokkaasti.

Esimerkiksi Amazonin, Googlen ja Microsoftin tarjoamat virtuaaliset palvelinratkaisut ovat hinnaltaan niin halpoja ja suorituskyvyltään niin tehokkaita, että lähes kaikki aloittelevat sovellusten kehittäjät käyttävät jotakin näistä jossakin osassa palveluaan. Ongelma näissä palveluissa on vain, että monet palveluista pyrkivät mahdollisimman tehokkaaseen tilankäyttöön ja saatavuuteen tarkoittaen käytännössä sitä, että tiedot levitetään ympäri maailmaa.

Monesti palvelun ostajalla ei ole edes mahdollisuutta vaatia, että tieto säilytetään jossain tietyssä maassa tai tietyssä palvelinsalissa. Syy tähän on selvä: kun palveluntarjoaja saa itse päättää miten tilaa käytetään tehokkaasti, hinta pysyy alhaalla.

Tässä on myös keskeisin kysymys tietosuojan kannalta, johon sovelluskehittäjät joutuvat jatkossa vastaamaan: miten varmistan, että informoin ja suojaan käyttäjää riittävän hyvin samalla kun pyrin tekemään tuotteen mahdollisimman halvaksi, ellei jopa ilmaiseksi? Yllämainitun tutkimuksen perusteella on selvää, että monet suositutkin sovellukset joutuvat jatkossa muuttamaan käytäntöjään rajusti jotta ne vastaisivat tietosuoja-asetuksen vaatimuksiin.

En haluaisi uskoa, että kysymys on täysin tahallisesta virheestä vaan enemmänkin tietämättömyydestä: kaikki kehittäjät eivät ehkä ymmärrä tietojen siirron merkitystä. Pikemminkin on varmaan niin, että vahvasti luotetaan siihen, että kun alla on luotettu tekijä kuten Amazon, homma on kunnossa. Tietosuoja-asetus ei kuitenkaan toimi näin, vaan vastuu on rekisterinpitäjällä eli näissä tilanteissa sovelluksen tarjoajalla.

 

Hukassa tietosuoja-asetuksen kanssa? Aloita tutustuminen näistä ilmaisista lähteistä.

Asiakastietojen luvaton kopiointi olisi voinut maksaa Kiinteistömaailmalle miljoonia

Muun muassa Ilta-Sanomat ja Yle uutisoivat viime viikolla Kiinteistömaailmassa tapahtuneesta asiakastietojen luvattomasta kopioinnista. Mielestäni yritys hoiti asian ryhdikkäästi ilmoittamalla tästä asiakkailleen sekä tiedottamalla siitä verkkosivuillaan.

Kysymyksessä on ilmeisesti rikostutkinta, jossa yhtiön entinen työntekijä kopioi luvatta ilmeisesti hyötymistarkoituksessa asiakasrekisteristä 3500 Kiinteistömaailman asiakkaan yhteystiedot. Asiasta on tehty rikosilmoitus poliisille.

Asiakastietojen luvaton kopiointi on yritysmaailman “arkipäivää”. Kyseessä ei ole mikään jokapäiväinen asia, mutta ei ole tavattoman harvinaista, että vaikkapa asiakassuhdejohtaja ottaa mukaansa parhaiden asiakkaiden yhteystietoja kilpailijalle siirtyessään. Tällainen toiminta on tietysti jyrkästi kielletty ja jo sellaisenaan helposti jopa työsuhteen purkamisperuste (tosin mitäpä purat kun työntekijä on jo lähtenyt!). Monet yritykset pyrkivät rajoittamaan tätä toimintaa muun muassa salassapitosopimuksin sekä kilpailukielloin. Vakavimmissa tilanteissa yrityksellä voi olla oikeus vaatia vahingonkorvausta aiheutetusta vahingosta rikostutkinnan lisäksi.

Mielenkiintoista kyseisessä uutisessa on tietosuojan kannalta varsinkin se, että yrityksellä on hallussaan tietoa joka monelle hyvin herkkä asia: oma asuminen ja kodin etsintä. Ilta-Sanomien asiakaskommenttien perusteella on itse asiassa yllättävää miten paljon kiinteistövälittäjälläkin meistä on tietoa.

Kiinteistömaailmalle kävi siltä osin asiassa “munkki”, että kyseinen kopiointi tapahtui jo nyt. Ensi vuoden toukokuussa uuden tietosuoja-asetuksen myötä nimittäin kyseessä olisi ollut luvaton tietovuoto, joka pahimmassa tapauksessa olisi voinut johtaa sakkoihin. Tietojen luvaton kopiointi nimittäin myös on tietovuodon (asetuksen tekstissä “tietoturvaloukkaus”) käsitteen piirissä. Jos yrityksellä on esimerkisi hyvin leväperäinen tietoturvapolitiikka, joka mahdollistaisi mittavat tietojen kopioinnin liian helposti, tietosuojaviranomaiset voisivat katsoa tämä olevan selkeä rike. Tilanne voisi olla toinen vaikkapa silloin, kun tiedot olisi vaikkapa salattu niin, että niitä ei voida lukea.

Tietovuodosta tulee myös ilmoittaa 72 tunnin kuluessa viranomaisille. Pahimmassa tapauksessa sakkoa voisi rapsahtaa 10 miljoona tai 2 % vuotuisesta liikevaihdosta. En kuitenkaan usko enkä väitä, että tällainen sakko olisi määrätty nyt uutisoidusta tapauksesta ainakaan annettujen tietojen perusteella. Mutta sakko on erittäin voimakas keino pakottaa yritykset toimimaan vastuullisemmin.

Tietovuotoja tulee tapahtumaan tietosuoja-asetuksenkin myötä. Tämän ovat lainsäätäjätkin ymmärtäneet, sillä tuo määrättävä sakko on pienempi kuin asetuksen sallima maksimisakko (4% tai 20 miljoonaa euroa) varmaankin juuri siitä syystä, että vuodot ovat myös osittain yrityselämän “arkipäivää”.

Katso video! Tietosuoja-asetus haltuun: aloita näistä ilmaisista lähteistä

Tietosuoja-asetus tulee, kuten on jo monta kertaa aiemmin todettu ainakin täällä blogissa. Asetus on järkyttävän pitkä ja paikoin varsin monimutkainen. Nyt siihen pitäisi sitten valmistautua, mutta mistä aloittaa? No eipä mitään, aloita vaikka heti tästä! Kokosin alle muutamia ilmaisia aineistoja luettavaksi ja katsottavaksi.

Ei jaksa lukea? Katso alta mahtava tunnin pikakelaus tietosuoja-asetuksesta:

 

Tavoitteena on myös JIT-miehen blogissa jatkossa tehdä asetusta tutummaksi joten myös tätä blogia seuraamalla voit saada lisävalaistusta aiheeseen.

Terveisiä tietosuojaseminaarista: lähes tuhat lakia uusiksi?

Helsingin yliopiston oikeustieteellinen tiedekunta, ELSA ja It-Oikeuden yhdistys järjestivät tietosuojaseminaarin otsikolla “Henkilötiedot ja tietosuoja” torstaina illansuussa.

Seminaari veti legendaarisen Porthanian luentosalin miltei täyteen ja syystäkin, kyseessä oli ilmainen seminaari, jossa oli Suomen alan johtavat asiantuntijat, kuten viestintäoikeuden professori Päivi Korpisaari, tietosuojavaltuutettu Reijo Aarnio ja asianajaja Jaakko Lindgren. Käytännön näkökulmaa toivat yritysjuristit Kai Kuohuva, Leena Kuusniemi ja Laura Tarhonen. Puheenjohtajana toimi asianajaja Jukka Lång, joka Reino Aarnion mukaan oli yksi Suomen ensimmäisiä “nettipoliiseja” 2000-luvun alussa tehtävänään käydä läpi suomalaisia verkkosivuja tietosuojan näkökulmasta.

Tuhannen lain paletti

Minun on pakko myöntää, että vaikka olen suhteelisen perehtynyt tietosuojaan eurooppalaisella (hollantilaisella,saksalaisella, espanjalaisella) tasolla, Suomen lainsäädännön tietosuojan kokonaiskuva on minulle hetkittäin hieman “hakusessa”. Eikä ihme!

Viestintäoikeuden professori Päivi Korpisaari kertoi omassa alustuksessaan Helsingin yliopiston oikeustieteellisen tiedekunnan tekemästä selvityksestä, jossa kävi nimittäin ilmi, että henkilötietolaki “koskettaa” (eli ilmeisesti siihen viitataan tai erityissäännellään) lukuisia lakeja. Oikeusministeriön henkilötietolain uudistusta varten tilaamassa selvityksessä käytiin läpi lähes 600 (!!!!) suomalaista lakia, joissa oli jonkinasteinen yhteys (ilmeisesti pääasiallisesti lakiviittaus) henkilötietolakiin. Tämän lisäksi selvityksessä tunnistettiin vielä muitakin lakeja, joihin henkilötietolain muutos vaikuttaa. Yhteensä puhutaan lähes tuhannen lain paketista!

Tietosuojavaltuutettu Reijo Aarnion kommenttien perusteella kyseessä lienee jonkinasteinen “Euroopan ennätys”, sillä monissa muissa Euroopan maissa kosketuspinta on paljon suppeampi eli pärjätään muutamalla kymmenellä tai jopa yhdellä ainoalla lailla. Selvää on, että moista lakimassaa ei hallitse kukaan, ei edes Reijo Aarnio.

Henkilötietolaille hyvästit?

On mielenkiintoista myös nähdä, mihin suuntaan tietosuoja-asetuksen toimeenpanoa Suomessa suunnitteleva oikeusministeriön työryhmä päätyy eli esimerkiksi karsitaanko lainsäädäntöä ja viittauksia merkittäväksi vai lähdetäänkö todellakin päivittämään tuota tuhannen lain pakettia. Päivi Korpisaari väläytti jopa mahdollisuutta siihen, että henkilötietolaki kumottaisiin kokonaan ja sääntely jätettäisiin pitkälti tietosuoja-asetuksen varaan.

Asetuksessa on kuitenkin annettu joissakin kohdissa sääntelyvaraa jäsenvaltioille (esimerkiksi ikärajojen osalta) joten jonkinasteista kansallista lainsäädäntöä tarvittaneen, mutta iso kysymys lienee, miten paljon tarvitaan erillistä henkilötietolakia. Tietosuoja-asetus kun on “sellaisenaan” sovellettavissa voimaantulonsa jälkeen, joTyöryhmä esittää näkemyksensä muutostarpeista ensi vuoden kesäkuuhun mennessä.

Muutamia muita poimintoja seminaarista:

  • Henkilötiedoista käydään “pörssityylistä” kauppaa mainostajien ja mainostilan myyjien kesken. Esimerkiksi kohdennettu mainontaa vaikkapa toisella kolmanneksella raskaana olevalle naiselle maksaa 11 senttiä (ilmeisesti USD) ja reseptilääkkeitä käyttävälle 26 senttiä kappaleelta.
  • Sanomalla Privacy Managerina työskentelevä Laura Tarhonen tiivistä oman määritelmänsä henkilötiedosta sanoihin “kaikki tieto on henkilötietoa”. Hän määritteli tiedot kolmeen kategoriaan: henkilötietoon, yhdistettävissä olevaan tietoon sekä johdettuun tietoon.
  • Monelta tietosuojajuristilta joskus kysytään että miksi tietosuojaa tarvitaan, koska “eihän minulla ole mitään salattavaa” Rovion Leena Kuusniemi tiivisti asian monelta kantilta hienosti, kuten esimerkisi näin: “Miksi sinulla on vaatteet päällä? – Vaikka kaikki tietää miltä alla näyttää, silti ihmiset haluavat piilottaa ne vaatteiden alle.” Toinen tapa katsoa asiaa meni suunnilleen niin että “Jos et välitä tietosuojasta, et voi olla ystäväni, sillä en halua että omat asiani jotka kerron sinulle eivät ole turvassa”.-> Tämä otetaan heti käyttöön!

Ulos kuplasta

Seminaarin saama yleisösuosio on aika mielenkiintoinen osoitus siitä, että tietosuojauudistukseen on vihdoin herätty. Kaupalliset koulutusyritykset varmaankin tekevät sievoista tiliä alan koulutuksilla, mutta mielestäni tällaisia ilmaisia tilaisuuksia tarvitaan eritoten siksi, että siellä saa hyvän näkemyksen kokonaistilanteesta. Tietosuojaseminaareissa kun juristit ja alan asiantuntijat tahtovat elää “tietosuojakuplassa” jossa esimerkiksi asetuksen voimaantulo on jo vahvasti tiedossa ja sen vaikutuksista on ainakin alustava ymmärrys ja osaamis- ja ymmärrystaso on melko samantasoista. Lisäksi tässä “kuplassa” elämisessä on se vaara, että siitä ei välttämättä synny yhteyttä oikeaan maailmaan jossa esimerkiksi liiketoimintaa harjoitetaan.

Hyvä esimerkki tästä oli Jaakko Lindgrenin toteamus henkilötietojen poistamisen ja “oikeus tulla unohdetuksi” osalta. Lindgrenin (ja monen muun tietosuoja-asiantuntijan) mukaan kaikki tiedot on poistettava järjestelmästä kun tietoa ei enää käytetä. Tiukasti tulkiten tämä tarkoittaa esimerkiksi sitä, että tiedot on poistettava varmuuskopioiltakin. Monissa yrityksissä on vielä käytössä ns. nauhavarmistus, jonka yksi ominaisuus on se, että tietojen täydellinen poistaminen on vaikeaa ja erittäin aikaavievää, käytännössä järjetöntä. Ideana kun on juuri luoda “varma” varmuuskopio. Siksi juristimainen toteamus “kaikki pitää poistaa” saa aikaan kylmää hikeä jokaisen it-ihmisen otsalla, kun poistamisessa ei käytännössä ole mitään järkeä. Tällaisissa tilanteissa juristinkin on etsittävä käytännönläheisiä ratkaisuja, mutta ei aina. Joskus siltikin ne vaan pitää poistaa, koska laki.

Seitsemän myyttiä tietosuojasta – BUSTED

Hankintaturisti sen aloitti hankintamyyttien murtamisella, joten otetaanpa käsittelyyn muutama tietosuojaan liittyvä myytti murrettavaksi. Alla seitsemän maagista tietosuojaan  liitttyvää myyttiä, joihin tietosuojan parissa työskentelevät törmäävät hyvin usein.

1. Henkilötietolaki kieltää tietojen siirtämisen alihankkijalle tai toiseen valtioon

TARUA! Mikään säännös ei kiellä toimittajaa tai palvelun tarjoajaa siirtämästä henkilötietoja kolmanne osapuolelle. Mikään säännös ei myöskään estä esimerkiksi täysin ulkoistamasta tietojen käsittelyä kolmannelle osapuolelle. Tietosuojasäännökset (eli Suomessa esimerkiksi henkilötietolaki ja EU:n uusi tietosuoja-asetus) kuitenkin sääntelevät tarkasti tällaisia siirtoja ja ulkoistuksia. Ja vaikka itse toiminnan voisi ulkoistaa, vastuuta ei voi: se, joka kerää ja päättää miten tietoja käyttää on vastuussa siitä, miten tietoja käytetään ja vastaa myös väärinkäytöksistä ja lain noudattamisesta.

2. Amerikkaan ei saa siirtää henkilötietoja, koska NSA

TARUA! Vaikea asia, mutta yksinkertaistaen: tietosuojasäännöstö ei estä tietojen siirtämistä Yhdysvaltoihin. Henkilötietoja voidaan siirtää tämänhetkisten sääntöjen mukaan myös Yhdysvaltoihin, kunhan huolehditaan riittävästä suojasta: tähän on olemassa muutama käytännöllinen mekanismi: ns. Privacy Shield -järjestely tai EU:n hyväksymät mallilausekkeet. Mutta: koska Yhdysvalloissa on todettu tiettyjen tahojen, kuten esimerkiksi NSA:n. harjoittavan massavalvontaa, EU:n tuomioistuin on todennut tämän olevan ongelmallista. Siksi on mahdollista, että tämä myytti muuttuu jossakin vaiheessa todeksi.

3. Intiaan ei saa siirtää henkilötietoja, koska ne on EU:n ulkopuolella

TARUA! Henkilötietoja saa ja voi käsitellä EU:n ulkopuolella, mutta rekisterinpitäjän on huolehdittava, että käsittely hoituu EU:n tietosuojavaatimusten mukaisesti. Muualle kuin Yhdysvaltoihin tämä hoituu esimerkiksi EU:n mallilausekkeiden avulla. Yhtiö voi siis ulkoistaa asiakastietojen käsittelyn Intiaan tai esimerkiksi puhelintukensa Indonesiaan, kunhan vain sopimuksissa huolehditaan tietosuojasta riittävästi.

4. Meidän henkilötiedot on tallennettu suomalaiselle serverille ja alihankkijoilla on ainoastaan pääsy tietoihin, ei latausmahdollisuutta, joten ei ongelmia

TARUA! Vaikka henkilötiedot olisivat tallennettuna johonkin tiettyyn EU:n jäsenvaltioon, kysymys voi silti olla henkilötietolain mukaisesta tietojen siirrosta EU:n ulkopuolelle. Jo pelkkä pääsyoikeuden antaminen tai jopa pelkkä mahdollisuus pääsyyn katsotaan tietojen siirroksi EU:n ulkopuolelle. Jos esimerkiksi intialaiselle alihankkijalle annetaan pääsy suomalaisella serverillä sijaitsevaan tietokantaan, kysymys on henkilötietolain mukaisesta henkilötietojen siirrosta EU:n ulkopuolelle ja osapuolten on esimerkiksi allekirjoitetava EU:n mallilausekesopimus.

5. Ei meillä mitään henkilötietoja ole, ei meidän tarvitse tätä noudattaa

TARUA! En ole keksinyt vielä yritystä, joka ei käsittelisi henkilötietoja. Jos totta puhutaan, ei sellaista ole olemassakaan. Jos yhtiö toimittaa tuotteita tai palveluita jollekin yritykselle, tarvitaan aina yhteystietoja, sähköpostiosoitteita, puhelinnumeroja jne. Henkilötietolaki koskee kaikkia, tasapuolisesti. Sen lisäksi tietosuojalainsäädäntö tulee muuttamaan jokaisen yrityksen liiketoimintaa merkittävästi seuraavan kahden vuoden aikana. Be prepared!

6.Ok, meillä on asiakasrekisteri, mutta ei meillä muuten mitään henkilötietoja käsitellä

TARUA! Henkilötiedon käsite on laaja: mikä tahansa tieto, minkä perusteella henkilö voidaan tunnistaa on henkilötieto. Se voi olla yksi yksittäinen tieto, tai tietojen yhdistelmä. Se voi olla kuva tai IP-osoite. Tähän taruun törmään kaikkein eniten: hyvin harva vielä käsittää miten monella tapaa tietosuojalainsäädäntö koskettaa yrityksiä.

7. No problem! Asiakkaat ovat antaneet suostumuksen yleisten sopimusehtojen 7.12 ii) – kohdassa

TARUA! Suostumus on yksi keino käsitellä henkilötietoja. Ongelmana on kuitenkin se, että vaatimukset suostumuksen osalta kiristyvät koko ajan. Vielä suurempi ongelma on se, että suostumus voidaan peruttaa minä hetkenä hyvänsä.