Terveisiä tietosuojaseminaarista: lähes tuhat lakia uusiksi?

Helsingin yliopiston oikeustieteellinen tiedekunta, ELSA ja It-Oikeuden yhdistys järjestivät tietosuojaseminaarin otsikolla “Henkilötiedot ja tietosuoja” torstaina illansuussa.

Seminaari veti legendaarisen Porthanian luentosalin miltei täyteen ja syystäkin, kyseessä oli ilmainen seminaari, jossa oli Suomen alan johtavat asiantuntijat, kuten viestintäoikeuden professori Päivi Korpisaari, tietosuojavaltuutettu Reijo Aarnio ja asianajaja Jaakko Lindgren. Käytännön näkökulmaa toivat yritysjuristit Kai Kuohuva, Leena Kuusniemi ja Laura Tarhonen. Puheenjohtajana toimi asianajaja Jukka Lång, joka Reino Aarnion mukaan oli yksi Suomen ensimmäisiä “nettipoliiseja” 2000-luvun alussa tehtävänään käydä läpi suomalaisia verkkosivuja tietosuojan näkökulmasta.

Tuhannen lain paletti

Minun on pakko myöntää, että vaikka olen suhteelisen perehtynyt tietosuojaan eurooppalaisella (hollantilaisella,saksalaisella, espanjalaisella) tasolla, Suomen lainsäädännön tietosuojan kokonaiskuva on minulle hetkittäin hieman “hakusessa”. Eikä ihme!

Viestintäoikeuden professori Päivi Korpisaari kertoi omassa alustuksessaan Helsingin yliopiston oikeustieteellisen tiedekunnan tekemästä selvityksestä, jossa kävi nimittäin ilmi, että henkilötietolaki “koskettaa” (eli ilmeisesti siihen viitataan tai erityissäännellään) lukuisia lakeja. Oikeusministeriön henkilötietolain uudistusta varten tilaamassa selvityksessä käytiin läpi lähes 600 (!!!!) suomalaista lakia, joissa oli jonkinasteinen yhteys (ilmeisesti pääasiallisesti lakiviittaus) henkilötietolakiin. Tämän lisäksi selvityksessä tunnistettiin vielä muitakin lakeja, joihin henkilötietolain muutos vaikuttaa. Yhteensä puhutaan lähes tuhannen lain paketista!

Tietosuojavaltuutettu Reijo Aarnion kommenttien perusteella kyseessä lienee jonkinasteinen “Euroopan ennätys”, sillä monissa muissa Euroopan maissa kosketuspinta on paljon suppeampi eli pärjätään muutamalla kymmenellä tai jopa yhdellä ainoalla lailla. Selvää on, että moista lakimassaa ei hallitse kukaan, ei edes Reijo Aarnio.

Henkilötietolaille hyvästit?

On mielenkiintoista myös nähdä, mihin suuntaan tietosuoja-asetuksen toimeenpanoa Suomessa suunnitteleva oikeusministeriön työryhmä päätyy eli esimerkiksi karsitaanko lainsäädäntöä ja viittauksia merkittäväksi vai lähdetäänkö todellakin päivittämään tuota tuhannen lain pakettia. Päivi Korpisaari väläytti jopa mahdollisuutta siihen, että henkilötietolaki kumottaisiin kokonaan ja sääntely jätettäisiin pitkälti tietosuoja-asetuksen varaan.

Asetuksessa on kuitenkin annettu joissakin kohdissa sääntelyvaraa jäsenvaltioille (esimerkiksi ikärajojen osalta) joten jonkinasteista kansallista lainsäädäntöä tarvittaneen, mutta iso kysymys lienee, miten paljon tarvitaan erillistä henkilötietolakia. Tietosuoja-asetus kun on “sellaisenaan” sovellettavissa voimaantulonsa jälkeen, joTyöryhmä esittää näkemyksensä muutostarpeista ensi vuoden kesäkuuhun mennessä.

Muutamia muita poimintoja seminaarista:

  • Henkilötiedoista käydään “pörssityylistä” kauppaa mainostajien ja mainostilan myyjien kesken. Esimerkiksi kohdennettu mainontaa vaikkapa toisella kolmanneksella raskaana olevalle naiselle maksaa 11 senttiä (ilmeisesti USD) ja reseptilääkkeitä käyttävälle 26 senttiä kappaleelta.
  • Sanomalla Privacy Managerina työskentelevä Laura Tarhonen tiivistä oman määritelmänsä henkilötiedosta sanoihin “kaikki tieto on henkilötietoa”. Hän määritteli tiedot kolmeen kategoriaan: henkilötietoon, yhdistettävissä olevaan tietoon sekä johdettuun tietoon.
  • Monelta tietosuojajuristilta joskus kysytään että miksi tietosuojaa tarvitaan, koska “eihän minulla ole mitään salattavaa” Rovion Leena Kuusniemi tiivisti asian monelta kantilta hienosti, kuten esimerkisi näin: “Miksi sinulla on vaatteet päällä? – Vaikka kaikki tietää miltä alla näyttää, silti ihmiset haluavat piilottaa ne vaatteiden alle.” Toinen tapa katsoa asiaa meni suunnilleen niin että “Jos et välitä tietosuojasta, et voi olla ystäväni, sillä en halua että omat asiani jotka kerron sinulle eivät ole turvassa”.-> Tämä otetaan heti käyttöön!

Ulos kuplasta

Seminaarin saama yleisösuosio on aika mielenkiintoinen osoitus siitä, että tietosuojauudistukseen on vihdoin herätty. Kaupalliset koulutusyritykset varmaankin tekevät sievoista tiliä alan koulutuksilla, mutta mielestäni tällaisia ilmaisia tilaisuuksia tarvitaan eritoten siksi, että siellä saa hyvän näkemyksen kokonaistilanteesta. Tietosuojaseminaareissa kun juristit ja alan asiantuntijat tahtovat elää “tietosuojakuplassa” jossa esimerkiksi asetuksen voimaantulo on jo vahvasti tiedossa ja sen vaikutuksista on ainakin alustava ymmärrys ja osaamis- ja ymmärrystaso on melko samantasoista. Lisäksi tässä “kuplassa” elämisessä on se vaara, että siitä ei välttämättä synny yhteyttä oikeaan maailmaan jossa esimerkiksi liiketoimintaa harjoitetaan.

Hyvä esimerkki tästä oli Jaakko Lindgrenin toteamus henkilötietojen poistamisen ja “oikeus tulla unohdetuksi” osalta. Lindgrenin (ja monen muun tietosuoja-asiantuntijan) mukaan kaikki tiedot on poistettava järjestelmästä kun tietoa ei enää käytetä. Tiukasti tulkiten tämä tarkoittaa esimerkiksi sitä, että tiedot on poistettava varmuuskopioiltakin. Monissa yrityksissä on vielä käytössä ns. nauhavarmistus, jonka yksi ominaisuus on se, että tietojen täydellinen poistaminen on vaikeaa ja erittäin aikaavievää, käytännössä järjetöntä. Ideana kun on juuri luoda “varma” varmuuskopio. Siksi juristimainen toteamus “kaikki pitää poistaa” saa aikaan kylmää hikeä jokaisen it-ihmisen otsalla, kun poistamisessa ei käytännössä ole mitään järkeä. Tällaisissa tilanteissa juristinkin on etsittävä käytännönläheisiä ratkaisuja, mutta ei aina. Joskus siltikin ne vaan pitää poistaa, koska laki.

Seitsemän myyttiä tietosuojasta – BUSTED

Hankintaturisti sen aloitti hankintamyyttien murtamisella, joten otetaanpa käsittelyyn muutama tietosuojaan liittyvä myytti murrettavaksi. Alla seitsemän maagista tietosuojaan  liitttyvää myyttiä, joihin tietosuojan parissa työskentelevät törmäävät hyvin usein.

1. Henkilötietolaki kieltää tietojen siirtämisen alihankkijalle tai toiseen valtioon

TARUA! Mikään säännös ei kiellä toimittajaa tai palvelun tarjoajaa siirtämästä henkilötietoja kolmanne osapuolelle. Mikään säännös ei myöskään estä esimerkiksi täysin ulkoistamasta tietojen käsittelyä kolmannelle osapuolelle. Tietosuojasäännökset (eli Suomessa esimerkiksi henkilötietolaki ja EU:n uusi tietosuoja-asetus) kuitenkin sääntelevät tarkasti tällaisia siirtoja ja ulkoistuksia. Ja vaikka itse toiminnan voisi ulkoistaa, vastuuta ei voi: se, joka kerää ja päättää miten tietoja käyttää on vastuussa siitä, miten tietoja käytetään ja vastaa myös väärinkäytöksistä ja lain noudattamisesta.

2. Amerikkaan ei saa siirtää henkilötietoja, koska NSA

TARUA! Vaikea asia, mutta yksinkertaistaen: tietosuojasäännöstö ei estä tietojen siirtämistä Yhdysvaltoihin. Henkilötietoja voidaan siirtää tämänhetkisten sääntöjen mukaan myös Yhdysvaltoihin, kunhan huolehditaan riittävästä suojasta: tähän on olemassa muutama käytännöllinen mekanismi: ns. Privacy Shield -järjestely tai EU:n hyväksymät mallilausekkeet. Mutta: koska Yhdysvalloissa on todettu tiettyjen tahojen, kuten esimerkiksi NSA:n. harjoittavan massavalvontaa, EU:n tuomioistuin on todennut tämän olevan ongelmallista. Siksi on mahdollista, että tämä myytti muuttuu jossakin vaiheessa todeksi.

3. Intiaan ei saa siirtää henkilötietoja, koska ne on EU:n ulkopuolella

TARUA! Henkilötietoja saa ja voi käsitellä EU:n ulkopuolella, mutta rekisterinpitäjän on huolehdittava, että käsittely hoituu EU:n tietosuojavaatimusten mukaisesti. Muualle kuin Yhdysvaltoihin tämä hoituu esimerkiksi EU:n mallilausekkeiden avulla. Yhtiö voi siis ulkoistaa asiakastietojen käsittelyn Intiaan tai esimerkiksi puhelintukensa Indonesiaan, kunhan vain sopimuksissa huolehditaan tietosuojasta riittävästi.

4. Meidän henkilötiedot on tallennettu suomalaiselle serverille ja alihankkijoilla on ainoastaan pääsy tietoihin, ei latausmahdollisuutta, joten ei ongelmia

TARUA! Vaikka henkilötiedot olisivat tallennettuna johonkin tiettyyn EU:n jäsenvaltioon, kysymys voi silti olla henkilötietolain mukaisesta tietojen siirrosta EU:n ulkopuolelle. Jo pelkkä pääsyoikeuden antaminen tai jopa pelkkä mahdollisuus pääsyyn katsotaan tietojen siirroksi EU:n ulkopuolelle. Jos esimerkiksi intialaiselle alihankkijalle annetaan pääsy suomalaisella serverillä sijaitsevaan tietokantaan, kysymys on henkilötietolain mukaisesta henkilötietojen siirrosta EU:n ulkopuolelle ja osapuolten on esimerkiksi allekirjoitetava EU:n mallilausekesopimus.

5. Ei meillä mitään henkilötietoja ole, ei meidän tarvitse tätä noudattaa

TARUA! En ole keksinyt vielä yritystä, joka ei käsittelisi henkilötietoja. Jos totta puhutaan, ei sellaista ole olemassakaan. Jos yhtiö toimittaa tuotteita tai palveluita jollekin yritykselle, tarvitaan aina yhteystietoja, sähköpostiosoitteita, puhelinnumeroja jne. Henkilötietolaki koskee kaikkia, tasapuolisesti. Sen lisäksi tietosuojalainsäädäntö tulee muuttamaan jokaisen yrityksen liiketoimintaa merkittävästi seuraavan kahden vuoden aikana. Be prepared!

6.Ok, meillä on asiakasrekisteri, mutta ei meillä muuten mitään henkilötietoja käsitellä

TARUA! Henkilötiedon käsite on laaja: mikä tahansa tieto, minkä perusteella henkilö voidaan tunnistaa on henkilötieto. Se voi olla yksi yksittäinen tieto, tai tietojen yhdistelmä. Se voi olla kuva tai IP-osoite. Tähän taruun törmään kaikkein eniten: hyvin harva vielä käsittää miten monella tapaa tietosuojalainsäädäntö koskettaa yrityksiä.

7. No problem! Asiakkaat ovat antaneet suostumuksen yleisten sopimusehtojen 7.12 ii) – kohdassa

TARUA! Suostumus on yksi keino käsitellä henkilötietoja. Ongelmana on kuitenkin se, että vaatimukset suostumuksen osalta kiristyvät koko ajan. Vielä suurempi ongelma on se, että suostumus voidaan peruttaa minä hetkenä hyvänsä.

Kuka omistaa Pokestoppisi?

Nyt kun PokemonGon suosio on pikkuhiljaa hiipumassa, lienee aika tuoda esille yksi näkökulma peliin, joka on puhuttanut juristeja maailmalla. Muun muassa Samuli Simojoki avasi omassa kirjoituksessaan aihetta hieman, joten jatketaanpa keskustelua vielä tovi.

PokemonGo:n tarkoituksena on kerätä mahtavia pokemoneja, jotka ilmestyvät pelissä “kartalle”. Kartta vastaa oikeata karttaa ja siis ihan oikeata fyysistä maailmaa ja pelissä ei liikutakaan sovelluksessa, vaan pelaajan tulee itse liikkua “oikeassa maailmassa”, jotta pelihahmo liikkuisi pelissä. Pelaajat voivat kerätä kaikenlaista kivaa Pokestopeista, joita on sijoitettu pelissä kartalle sinne tänne kiinnostaviin paikkoihin. Lisäksi jotkut kiinnostavat paikat on merkitty PokeGymeiksi, joissa pokemonit taistelevat.

PokemonGo on perinyt kaikki nämä Pokestopit ja Pokegymit pelin kehittäneen Nianticin aiemmasta strategiapelistä nimeltään Ingress, jossa toiminta-ajatuksena on enemmänkin tiettyjen paikkojen “valtaaminen” ja alueiden muodostaminen. Ingressissä on portaaleja, jotka ovat kiinnostavia paikkoja kartalla. Kuulostaa tutulta vai? Portaalit ovat käyttäjien itse ehdottamia, jotka Niantic sitten lisää peliin, jos ehdotus täyttää pelin asettamat vaatimukset (mm. julkinen paikka, ei yksityisomaisuutta, jne..).

Jännitteet virtuaalisen ja oikean maailman välillä

Koska Pokestopit ovat oikeita pisteitä oikeassa maailmassa, pelin ja oikean maailman välille kehittyy konflikteja. Jotkut omistajat ovat valittaneet Nianticille siitä, että ihmisiä kerääntyy heidän talonsa eteen. Yhdysvaltojen länsirannikolla sijaitseva Des Moinesin kaupunki taas suunnittelee vaativansa Nianticia poistamaan kaikki kaupungissa olevat Pokestopit koska olevat nuoret “vetelehtivät” ja “rasittavat kaupunkia”. Vaikka en ole enää nuori, minullakin tulee muutama rolling eyes tälle pyynnölle. Amerikkalaisille näyttäisi olevan valtava ongelma se, että nuoriso kävelee kaupungilla. Ranskassa myös yksi pikkukylä on vaatinut Pokestoppien poistamista kaupungistaan. Milwaukeen kaupunki vaatii Nianticia hankkimaan ns. “geokätköilyluvan” kaupungilta Pokestopeille ja ilmeisesti jopa Pokemonien ilmestymispaikoille.

Mutta voiko Des Moines tai ranskalainen kylä tehdä näin? Kysymys on erittäin mielenkiintoinen. Puhtaasti juridisesta näkökulmasta Des Moinesin kaupunki tai kukaan yksityishenkilö ei omista Pokestoppia tai esimerkiksi Ingress -pelin portaaleja. Ne ovat Nianticin omaisuutta eivätkä mitään fyysisiä asioita vaan ainoastaan pätkä koodia miljoonien koodinpätkien seassa. Tilannehan on sama kuin esimerkiksi auton navigaattorissa, johon on luotu digitaalinen versio ympäröivästä maailmasta.

Muutamia juridisia “tarttumapintoja” tosin on: Pokestoppien kuvat voivat esimerkiksi loukata jonkun yksityisyyttä. Tai voi olla, että pelin aiheuttama “haitta” tietylle asumukselle voisi olla esimerkiksi kotirauhan rikkomista. Tällöinkin kotirauhaa rikkoo käsittääkseni peliä pelaava henkilö itse, eikä Niantic. Varmaankin yhdysvaltalaisesta oikeusjärjestelmästä löytyy keinoja haastaa tällaisessa tilanteessa myös Niantic oikeuteen “vaaran” tai “haitan” aiheuttamisesta.

Vielä mielenkiintoisempi kysymys on kuitenkin se, että voisiko omistajuus jossakin vaiheessa ulottua myös digimaailmaan? Olen muutamassa sivulauseessa kuullut tällaisia pohdintoja. Yksi vaihtoehto olisi ajatella digimaailmaan liittyviä oikeuksia samalla tavalla kuten esimerkiksi tontinomistajan oikeudet. Tontinomistaja omistaa siis tonttinsa, eli näkyvän osan maasta. Mutta hänellä on omistusoikeus tai oikeammin määräämisoikeus myös jossakin määrin tontin alapuolella (eli maa-ainekseen) ja yläpuolella sijaitsevaan tilaan (eli ilmatilaan). Tätä ajatusjuoksua seuraamalla voisi kuvitella tällaisten omistusoikeuksien ulottuvan digimaailmaankin. Tällä hetkellä lainsäädäntö ei tällaista mahdollista.

Paikkatieto: onko se henkilötieto?

Paikkatieto on erittäin arvokasta tietoa, joten voin hyvin kuvitella, että monella eri taholla on intressejä sen omistamisen suhteen. Toisaalta tietoa keräävät yritykset haluavat hyötyä maksimaalisesti  itse keräämästään tiedosta. Toisaalta taas fyysisten kohteiden omistajat haluaisivat itse päättää, kerätäänkö heistä tietoa vai ei. Suomessa on viime aikoina puhuttanut Metsäkeskuksen keräämät tarkat paikkatiedot.

Kuten Simojoki kirjoittaa, metsänomistajat ovat mielenkiintoisesti vedonneet juuri tähän aspektiin: metsätiloista kerättävä tieto on niin tarkkaa, että se menee jo yksityisyyden puolelle. Olen samaa mieltä Simojoen kanssa siitä, että tietyissä tilanteissa paikkatieto on niin yksityiskohtaista, että sitä voidaan pitää henkilötietona. Henkilötiedon edellytyksenähän on siis se, että tiedon avulla voidaan tunnistaa joku henkilö. Vaatimuksena ei ole esimerkiksi, että henkilön nimi tiedetään (näin on esimerkiksi kuvan osalta-  pystyt tunnistamaan ihmisen joukosta kuvan perusteella vaikka et tietäisi hänen nimeään). Henkilötieto ei ole ainoastaan jokin tietty yksittäinen tieto (kuten esimerkiksi vaikka osoiterivi), vaan myös tietojen yhdistelmä: esimerkiksi PokemonGo:n minusta keräämät yksittäiset paikkatiedot eivät vielä välttämättä vielä ole henkilötietoa, mutta olen aivan varma että yhtiö yhdistää nämä pienet pisteet kartalla reitiksi, josta aika pian käy ilmi esimerkiksi missä asun ja käyn töissä (tosin minähän en töissä pelaa..).

Tietosuoja onkin mielestäni tällä hetkellä paras keino “puolustautua”  paikkatiedon osalta niiden kerääjiä ja kehittäjiä vastaan. Koska paikkatiedosta muodostuu myös ainakin osittain henkilötietoa, yrityksellä on velvollisuus käsitellä tietoa lainsäädännön vaatimusten, eli esimerkiksi tietosuojaperiaatteiden mukaisesti. Tämä tarkoittaa, että tiedon on oltava esimerkiksi täsmällistä ja tarpeeton tieto on poistettava jos sitä ei enää käytetä. Tämä mielestäni myös tarkoittaa, että esimerkiksi kaupungilla tai muulla ulkopuolisella toimijalla ei ole mahdollisuutta puuttua pelien tuottamaan “ongelmiin”, ellei pelissä sitten esimerkiksi yllytetä rikokseen, tällöin kysymys on tietenkin poliisiasiasta.

Tietosuoja-asetuksen top 3: aloita valmistautuminen jo nyt

Tietosuojaan liittyvät asiat tulevat muuttamaan lähestulkoon jokaista vähänkin aktiivista verkkosivustoa seuraavan kahden vuoden aikana, riippumatta siitä onko sivusto EU:ssa vai ei.

Uusi EU:n tietosuoja-asetus tulee voimaan kahden vuoden kuluttua. Suomessa voimaantulo hoidetaan erittäin mittavalla lakiuudistuksella, jonka valmistumisaikataulu on vielä hieman avoinna.

Tietosuoja-asetus sääntelee henkilötietojen käsittelyä. Henkilötietoja ovat mitkä tahansa henkilöön liitettävissä olevat tiedot, kuten nimi, puhelinnumero, sähköpostiosoite, ip-osoite ja kuva. Siksi tietosuoja-asetuksen vaikutus verkossa liikkumisen, työskentelyn ja toimimisen arkeen on käsittämättömän laaja. Kuka tahansa joka ylläpitää verkkosivuja tai esimerkiksi uutiskirjettä on asetuksen vaikutuksen piirissä.

Mitä sitten tapahtuu? Alla oma top 3 lista asioista, jotka jokainen verkkosivuston ylläpitäjä (mukaan lukien minä blogini ylläpitäjänä) joutuu ainakin tarkistamaan.

  1. Suostumus tietojen käsittelyyn.
    • Aiemmin: Asiakas tai käyttäjä antoi palvelun ylläpitäjälle suostumuksen henkilötietojensa käsittelyyn tuhansiin eri tarkoituksiin. Suostumus oli haudattu jonnekin syvälle verkkosivuston kilometrejä pitkiin käyttöehtoihin, joihin käyttäjä automaattisesti suostui ryhtyessään käyttämään palvelua
    • Miten muuttuu: Palvelun ylläpitäjän on kysyttävä varsin tarkasti ja erikseen käyttäjältä lupa tietojen käsittelyyn muuhun kuin pelkästään palvelun tarjoaamiseen. Annettava suostumus on pystyttävä erittelemään eli jos tietoja käytetään palvelun tuottamisen lisäksi esimerkiksi suoramarkkinointiin, siihen on saatava erillinen suostumus, “yleisluontoinen” suostumus ei riitä. Tietojen edelleenluovutukseen suostuminen ei saa olla palvelun käytön ehdoton edellytys eli käyttäjän pitäisi pystyä käyttämään palvelua ilman, että hänen tietojaan luovutetaan muille osapuolille. On mahdollista että palvelujen ylläpitäjien (kuten esimerkisi tämän blogin Automatticin ehdot) yleiset ehdot eivät aina riitä vaan saatat joutua laatimaan lisäksi omat ehdot tietojen käsittelyllesi.
  2. Tiedottaminen henkilötietojen käytöstä.
    • Aiemmin: Varsin yleisluonteiset vaatimukset siitä, mitä käyttäjille pitää kertoa heidän henkilötietojensa käsittelystä. Ympäripyöreät ja epäselvät ehdot katsottiin usein “riittäviksi”
    • Miten muuttuu: Vaatimukset tietojen käsittelyn “läpinäkyyvyden” kasvavat merkittävästi. Esimerkiksi aiempaa selkeämmin on kerrottava siitä, mihin tarkoitukseen tietoja käytetään ja miten kauan tietoja säilytetään. Lisäksi käyttäjille on kerrottava että heillä on oikeus siirtää omat henkilötietonsa, pyytää ne poistettavaksi ja rajoittaa niiden käyttöä. Käyttäjälle on myös kerrottava minne he voivat valittaa, jos he eivät ole tyytyväisiä tietojen käsittelyyn.
  3. Tietojen siirtäminen EU:n ulkopuolelle
    • Aiemmin: Yleisluontoinen viittaus “tietojen turvallisesta siirrosta” EU:n ulkopuolelle oli riittävä.
    • Miten muuttuu: Käyttäjälle on kerrottava, mitä tietoja luovutetaan EU:n ulkopuolelle ja miten luovutus on suojattu. Lisäksi ilmeisesti myös tarvittaessa on annettava käyttäjän nähtäväksi kopiot tällaisista sopimuksellisista järjestelyistä, kuten esimerkiksi EU:n mallilausekkeista, ns. BCR-sopimuksista tai Safe Harbor/Privacy Shield-järjestelystä. Siis pelkästään toteamus, että näitä keinoja käytetään, ei olisi ilmeisesti riittävä, vaan käyttäjälle tulisi tarvittaessa antaa myös tietoja itse sopimuksen sisällöstä

Ylläolevat kohdat ovat varsin yleisluontoisia ja koskevat siis verkkosivuja, Tämän lisäksi uusi tietosuoja-asetus vaikuttaa monella tavalla yrityksen tai toimijan velvollisuuksiin ja tietojen käsittelyyn. Ja niitä tarkastellaan seuraavissa postauksissa.

Valtionvarainministeriön asettama valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmän (VAHTI) julkaisi hiljattain raportin jossa annetaan hyvä kuvaus tulevasta tilanteesta sekä varsin hyviä suosituksia siitä, miten organisaatioiden tulisi valmistautua uuden EU:n tietosuoja-asetuksen tuomiin muutoksiin. Kyseiset suositukset ovat hyvin “organisaatiolähtöisiä” ja osoittavat selvästi sen asennemuutoksen, jonka tietosuojan “uusi tuleminen” vaatii.

Uusi tietosuoja-asetus ja suostumus

JIT-miehen blogissa aloitetaan nyt tietosuoja-asetusta koskevat talkoot ja lukemalla asetuksen pääkohtia läpi ja nostamalla esiin ajatuksia. Ensimmäisellä kerralla tarkastellaan suostumusta eli asiakkaan tai “rekisteröidyn” lupaa omien tietojensa käyttämiseen palvelun tuottamisessa (ja kaikessa muussa kivassa).

Suostumus on ollut pitkään eräänlainen vakiokuvio internetin tietosuojassa. Suostumuksen avulla lähestulkoon kaikki verkkopalveluja tarjoavat toimijat ovat pystyneet keräämään ja hyödyntämään runsaasti tietoa käyttäjistä muun muassa evästeiden avulla. Suostumusta on ollut monenlaista, kuten sellaisia, että asiakas antaa suostumuksen tietojen keräämiseen “jatkamalla sivujen käyttöä” eli aikalailla huomaamattaan. Esimerkiksi Facebook on laatinyt erittäin laajan sivuston käyttäjien antamien tietojen käytöstä:

facebook

Yllämainittu lähestymistapa on jo jonkin aikaa katsottu riittämättömäksi ja sen sijaan on vaadittu selkeätä suostumusta, jossa asiakas “sitoutuu” ja hyväksyy tietojen keräämisen. Tämä ajatus on alun perin lähtöisin Ranskan tietosuojaviranomaisen käytännöstä, joka sitten on vähitellen kopioitu monen muun maan käytäntöön. Muutoksen seurauksena hyvin monessa sivustossa on nykyään varsin ärsyttäviä “hyväksyn evästeiden käytön” bannereita tai ponnahdusikkunoita, kuten esimerkiksi tällaisia:

telegraaf

Moni sosiaalisen median palvelu toimii tällaisen “suostumuksen” avulla. Käyttöehdoissa on kohta, jossa todetaan, mitä kaikkea tiedoilla voidaan tehdä ja miten niitä käytetään. Monet palvelut ovat laatineet erillisen “yksityisyyden suojan ehdot” eli ns. “privacy policyn” joilla pyritään selventämään tietojen käyttöä. Käyttäjä yleensä hyväksyy nämä ehdot erikseen ja klikkaa rekisteröityessään “hyväksyn ehdot” kohtaa. Joskus ehdot hyväksytään myös esimerkiksi kun palveluun kirjaudutaan, kuten esimerkiksi Sanoman palveluissa:

Sanoma

Suostumuksen osalta on pitkään keskusteltu siitä, tuleeko käyttäjän antaa suostumus hiljaisesti eli siten, että lähtökohtaisesti hyväksyy ehdot, jotka ovat osana sopimusta (ns.”opt-out”). Toinen vaihtoehto on ollut se, että asiakkaan tulee selkeästi ja erikseen hyväksyä ehdot (ns. “opt-in”).

Suomessa erityisesti ensimmäinen vaihtoehto  (“opt-out”)on ollut käytössä pitkään esimerkiksi suoramarkkinoinnissa yrityksille, eli yritykset ovat ostaneet runsaasti yhteystietoja sisältäviä tietokantoja joiden perusteella on etsitty sopivia asiakkaita. Saan jatkuvasti tällaisia osoitetietotarjouksia itsekin koska oman yritykeni yhteystiedot löytyvät YTJ-tietokannasta, esimerkisi näin:

osoitetieto

(kertaakaan en muuten ole näitä tietoja ostanut)

Rekisteröidyt eivät välttämättä ole antaneet suostumustaan tietyn yrityksen markkinoinnille vaan tiedot voivat olla peräisin esimerkiksi jostain yleisestä luettelosta. Rekisteröidylle on sitten lähetetty sähköpostitse mainoksia ja sähköpostissa on tarjottu mahdollisuus poistua postituslistalta. Tämä käytäntö on kuitenkin poistumassa, eikä enää olisi mahdollista uuden tietosuoja-asetuksen myötä. Itse asiassa monessa Euroopan maassa käytäntö ei enää ole mahdollista.

Uusi suostumus eri käyttötarkoituksiin

Uusi tietosuoja-asetus vie suostumuksen vielä askeleen pidemmälle. Lähtökohtana on, että mikäli tietoja käytetään muuhun kuin palvelun tuottamiseen, tähän on oltava erillinen suostumus. Suostumuksella tarkoitetaan:

mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen

Asetuksen johdannon 32 kohdassa todetaan taas, että:

Suostumus olisi annettava selkeästi suostumusta ilmaisevalla toimella, kuten kirjallisella, mukaan lukien sähköisellä, tai suullisella lausumalla, josta käy ilmi rekisteröidyn vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla hän hyväksyy henkilötietojensa käsittelyn.

[…]

Toimi voisi esimerkiksi olla se, että rekisteröity rastittaa ruudun vieraillessaan internetsivustolla, valitsee tietoyhteiskunnan palveluiden teknisiä asetuksia tai esittää minkä tahansa muun lausuman tai toimii tavalla, joka selkeästi osoittaa tässä yhteydessä, että hän hyväksyy henkilötietojensa käsittelyä koskevan ehdotuksen. Suostumusta ei sen vuoksi pitäisi voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta

Suostumusta ei voisi enää antaa “vaikenemalla” eli siten että käyttäjä ei reagoi johonkin tiettyyn tekoon. Lisäksi suostumuksen olisi katettava kaikki käsittelytoimet, jotka toteutetaan samaa tarkoitusta tai samoja tarkoituksia varten. Asetuksen 7 artiklassa todetaan, että rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn. Vaatimuksena on myös, että suostumus on oltava eriteltävissä eri käsittelyjen osalta. Eli asiakkaalla tulisi olla oikeus esimerkiksi suostua tietojen käsittelyyn palvelun toimittamisen kannalta mutta kieltäytyä vaikkapa yrityksen markkinointikirjelmistä.

Siten esimerkiksi tällainen Finnairin lentolippujen ostolomakkeessa oleva kohta ei todennäköisesti enää olisi mahdollinen:

Finnair consent.pngYlläolevassa kohdassa Finnair siis sanoo sinulle varsin epäsuorasti, että keräämme sinun tietojasi, mukaanlukien sähköpostiosoitteesi sivulta ja lähetämme sinulle sähköpostia jos jätät varauksen kesken. Käyttäjä siis jättämällä tämän kohdan valitsematta antaa suostumuksen tietojen keräykseen ja prosessointiin. Tällainen ei enää olisi jatkossa mahdollista, koska ainakaan minun mielestäni tuo ei täytä keskeistä vaatimusta suostumuksen selkeästä “aktiivisesta” antamisesta. Asiakkaan passiivisuus johtaa tietojen prosessointiin eikä toisinpäin.

Suostumuksen peruutus aina mahdollista

Rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa ja rekisteröidylle on annettava selkeästi tieto tästä jo ennen suostumuksen antamista. Suostumuksen peruuttaminen ei vaikuta suostumuksen perusteella ennen sen peruuttamista tehdyn käsittelyn lainmukaisuuteen eli siihen mennessä kerätyt tiedot voidaan käsitellä entiseen tapaan. Suostumuksen peruuttamisesta ja sen vaikutuksista täytyy kirjoittaa joskus vielä laajemmin.

Suostumus ei saa olla edellytys palvelun käytölle

Suostumus on annettava “vapaaehtoisesti”.Arvioitaessa suostumuksen vapaaehtoisuutta on otettava mahdollisimman kattavasti huomioon muun muassa se, onko palvelun tarjoamisen tai muun sopimuksen täytäntöönpanon ehdoksi asetettu suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten. Asiakasta ei periaatteessa saisi pakottaa antamaan tietonsa kaikkien saataville. Nykyisentyyliset “ota tai jätä” ehdot eli “jos et suostu tietojen hyödyntämiseen, et voi käyttää palveluakaan” eivät olisi enää jatkossa mahdollisia.

Käyttäjällä tulisi olla mahdollisuus siis “valikoida” miten tämän tietoja prosessoidaan esimerkiksi palvelua käyttäessä. Google esimerkiksi jo nyt pyrkii houkuttelemaan käyttäjää tutustumaan ehtoihinsa silloin tällöin vaikkapa hakuja tehtäessä:

google

On mielenkiintoista nähdä, miten kyseinen nämä varsin tiukat vaatimukset muokkaavat tarjottavia palveluja ja erityisesti ns. “ilmaisia” verkossa tarjottavia palveluja, jotka tähän mennessä ovat pitkälti nojanneet käyttäjien tiedon kapitalisoinnin varassa.

Yksi tietosuoja-asetuksen periaatteista onkin, että omat henkilötiedot olisivatkin jatkossa “käypää valuttaa”, eli palvelun vastaanoton voisi maksaa luovuttamalla omia tietojaan. Olisi esimerkiksi hyvinkin mahdollista, että jotkut palvelutarjoajat antavat käyttäjille “premiumpalvelua” ilmaiseksi, jos nämä esimerkiksi suostuvat laajempaan tietojen hyödyntämiseen.

Varmaa on kuitenkin se, että käytännössä lähestulkoon kaikkien palvelujen käyttöehtoja ja käyttöä joudutaan ainakin jonkin verran muokkaamaan jatkossa ja käyttäjät todennäköisesti joutuvat hyväksymään kymmeniä sopimusehtojen muutoksia klikkailemalla siellä täällä ennen kuin pääsevät käsiksi viimeisimpään kissavideoon.

Asetuksen Luonnostekstin suomenkielinen versio.

Privacy Shield käyntiin

Privacy Shield -järjestely on tullut virallisesti voimaan elokuun alussa. Järjestelyn verkkosivuilla ei vielä keskiviikkona ollut yhtään hyväksyttyä rekisteröintiä, mutta odotettavissa on, että lähipäivinä yhtiöiden nimiä alkaa ilmestyä.

Muun muassa Microsoft on jo ilmoittanut rekisteröityneensä Privacy Shieldiin heti ensimmäisenä päivänä.

Privacy Shield on järjestely, jossa yhdysvaltalaiset yritykset sertifioivat itse itsensä eli lupaavat noudattaa järjestelyn sääntöjä. Sertifiointi tehdään vuosittain. Privacy Shield korvasi aiemman Safe Harborin, joka todettiin pätemättömäksi viime vuoden lokakuussa.

Rekisteröintiin on odotettavissa ruuhkaa, koska jokainen vähänkin Eurooppaan palveluja tarjoava yhtiö todennäköisesti haluaa rekisteröityä. Safe harborissa oli aikanaan yli 5000 yrityistä, joista erään arvion mukaan noin 3300 oli aktiivisia.

Miksi tällainen sertifiointi tehdään? Siksi, että komission mielestä tällöin yritykselle voidaan siirtää henkilötietoja EU:n alueelta. Privacy Shield on sinänsä yritysten arkea helpottava järjestely, koska eurooppalaisten yritysten ei tarvitse käyttää aikaa vieviä EU:n mallilausekkeita eli käytännössä solmia erillinen sopimus koskien tietojen siirtoa.

Virallisesti Privacy Shield täytyy hyväksyttää komissiolla. Komissio antoi Privacy Shieldiä koskevan hyväksyvän päätöksen heinäkuussa.

Nyt siis eurooppalaisilla yrityksillä, jotka käyttävät yhdysvaltalaisia toimittajia on jälleen mahdollisuus “täysimääräisesti” käyttää näitä toimittajia. Olisin silti vielä varovainen Privacy Shieldin suhteen, sekin todennäköisesti ajautuu aikanaan EU:n tuomioistuimen tarkasteltavaksi, joten lienee hyvä olla jonkinlainen varasuunnitelma, kuten esimerkiksi tietojen siirtäminen EU:n alueelle.

Privacy Shield tuo käytännössä joiltain osin yhdysvaltalaisten yritysten henkilötietojen käsittelyn EU:n tietosuojasäännösten kaltaiseen sääntelyyn. On kuitenkin hyvä huomata, että Privacy Shieldin keskiössä on yhtiön itsesertifiointi eli yhtiöt pitkälti itse määrittelevät sen, onko niillä riittävä pätevyys järjestelyyn.

Komissio on julkaissut lyhyen oppaan Privacy Shieldistä, jonka löydät tästä.

Lue myös:

Tietosuoja-asetus hyväksyttiin, Privacy Shield vielä arvoitus

Mitä Safe harbor ja Privacy Shield oikeastaan tarkoittaa?

 

Onko embeddaus laillista?

Linkittäminen ja embeddaus on viime päivinä puhuttanut mediaa ja myös juristejakin, koska Pasi Kiviojan loistavassa blogissa kerrottiin erään lakimiehen kirjeestä, joka oli saanut lehtitalot varpailleen. Lakimies oli lähettänyt eräiden julkisuuden henkilöiden (suomalaisen formulakuljettajan ja tämän vaimon) puolesta kirjeen, jossa vaati mediataloja lopettamaan päämiestensä kuvien julkaiseminen embedattuna eli ns. suorana linkkinä omilla sivuillaan.

Kiviojan blogissa käydään juttu riittävän tarkasti läpi, joten keskityn tässä postauksessa vain asian juridiseen puoleen. Median edustajat näyttävät vetoavan tässä tapauksessa pari vuotta vanhaan EU:n tuomioistuimen BestWater (C-348/13) -tuomioon sekä ilmeisesti myös ns. Svensson (C-466/12) -tuomioon. Embeddaan tähän erään johtavan median edustajan twiitin:

 Mitä on Embeddaus?

Embeddaus (keksiikö joku paremman suomenkielisen sanan tälle?) on eräänlaista linkittämistä toisen sisältöön. Jo aiemmassa oikeuskäytännössä linkittäminen on katsottu sallituksi. Embeddauksessa sisältö tuodaan näkyviin linkittäjän sivulla esimerkiksi näin:

#falcon flying in #muiderslot #Nederland #Holland #valk #nofilter #sundaytrip #withbike

A post shared by @ppokkyla on

Vaikka näyttäisi siltä, että olen kopioinut kuvan Instagramistani (vai Instagrammista?), en itse asiassa ole kopioinut sitä mihinkään. Kuva on edelleen Instagramissani. Ylläoleva laatikko vain näyttää kuvani, joka on Instagramissa. Jos kuvaa klikataan, se näyttää kuvan Instagramissani. Eli käytännössä se on vain hieno linkki. Jouduin muuten muuttamaan omia “yksityinen käyttäjätili” -asetuksiani, jotta tämä kuva saatiin näkyviin.

Tekijänoikeudet

Tekijänoikeudet eivät todellakaan ole omaa ydinosaamistani, mutta joudun vääntämään niiden kanssa päivittäin ja onnekseni käytössäni on Euroopan huipputason IP-osaajat koko ajan. Typistetään tässä tekijänoikeus kuitenkin näin: kun otat kuvan, se on sinun. Kukaan muu ei saa käyttää kuvaasi ilman sinun lupaa (tiettyjä rajoituksia on, mutta ei puhuta niistä nyt). Tekijänoikeus tunnetaan hienommin kielto-oikeutena eli oikeutena estää muita hyödyntämästä sinun teostasi, kuten esimerkiksi valokuvaa.

Eli kukaan muu kuin sinä, valokuvan ottaja, ei saa rahallisesti hyötyä kuvastasi ilman sinun lupaasi.

Kun lataat kuvan esimerkiksi Twitteriin ja Instagramiin, palvelujen käyttöehdot toteavat, että sinä annat Twitterille ja Instagramille oikeuden julkaista/levittää kuvasi. Mutta se ei tarkoita sitä, että Twitter tai Instagram nyt omistaisi sinun kuvasi, ehei! Nämä yritykset saavat vain oikeuden käyttää kuvaasi palvelun toteuttamiseen eli siihen, että kuva näytetään palvelussa:

Insta

Linkittäminen ja embeddaus vs. tekijänoikeus

Tässä vaiheessa moni varmaan siis ajattelee, että hei! Lehdethän tekee rahaa julkkiksilla ja julkaisee niiden Insta/Face/Twitter-kuvia omille verkkosivuilleen. Sehän on rahantekoa eikö? Eikö silloin yritetä rahallisesti hyötyä kuvasta?

Näin ajatteli myös yllämainittu lakimies, joka mielestäni varsin nokkelasti (Kiviojan blogin mukaan) vetosi siihen, että lehdet julkaisevat eli levittävät luvatta päämiehensä kuvia verkkosivuillaan ja saavat sitten mainostajilta yms tuloja, koska sivuilla on kävijöitä.

Tarkastellaanpa asiaa ensiksi linkittämisen kannalta: onko linkittäminen “julkaisua”? Jos et näe itse teosta, mutta tiedät että tätä linkkiä klikkaamalla pääset näkemään sen, julkaisetko  teoksen eli levitätkö sen?

EU:n tuomioistuimen mielestä et. Loogisesti ajateltunahan tilanne on sama kuin se, että minä kerron että Amsterdamin Rijksmuseumissa on aivan mahtava Vermeerin teos nimeltä Het Melkmeisje. Mene sinne ja näe! Eli kerron missä tämä teos on nähtävillä, mutta en vie (eli varasta) sitä omaan kotiini.

Taustalla on muutama mielenkiintoinen EU:n tuomioistuimen ratkaisu, joista seuraavaksi tarkastelen viimeisintä ns. BestWater -ratkaisua (C-348/13).

Kuuluisa BestWater

BestWater -ratkaisussa oli kysymys Youtube-videosta, jonka saksalainen yritys nimeltä BestWater oli ilmeisesti teettänyt (BestWater väitti, että video oli päätynyt Youtubeen ilman sen lupaa). BestWater valmistaa vedenpuhdistusjärjestelmiä. Yhtiö tehnyt veden saastumista ja sen puhdistamista esittelevän videon, joka päätyi Youtubeen.

BestWaterin kilpailijat äkkäsivät tämän videon ja embeddasivat sen omille sivuillensa. Eli BestWaterin luoma video hyödytti nyt myös sen kilpailijan liiketoimintaa. Arschloch!!, BestWaterin omistajat varmaankin ajattelivat. Käyttäjät siis pystyivät katsomaan videon kilpailijan sivuilta, vaikka se todellisuudessa näytettiinkin Youtuben servereiltä.

BestWaterin mielestä sen kilpailija saattoi videon yleisön saataville eli julkaisi BestWaterin tekijänoikeuden alaista materiaalia omilla verkkosivuilla, hyötyen täten luvatta BestWaterin teoksesta.

No, käräjillehän siitä jouduttiin, ja saksalainen tuomioistuin pyysi lopulta EU:n tuomioistuinta ratkaisemaan asian. Tuomioistuin katsoi (viitaten mm. SGAE/Rafael Hoteles, C-306/05, Organismos Sillogokis, C-136/09 ja ITV Broadcasting, C-607/11 -ratkaisuihin), että julkaisemista on se kun materiaali julkaistaankin eri muodossa kuin alun perin (esim televisiolähetys esitetään Youtubessa = uusi julkaisu Youtubessa).

Tuomioistuimen mielestä keskeisin kysymys oli se, pyrittiinkö kilpailijan videon embeddauksella
saattamaan teos uuden yleisön saataville eli oliko kysymys uudesta julkaisusta uudessa muodossa tai alustalla (Youtuben sijaan kilpailijan verkkosivulla).

Tuomioistuimen mielestä näin ei ollut, koska teknisesti käyttäjät vain katsoivat videota Youtubesta. Katsominen vain tapahtui kilpailijan verkkosivun kautta. Täten embeddaus katsottiin sallituksi.

Soveltuminen Instagramiin ja muuhun Someen

Kyseinen BestWater-ratkaisu ei koskenut Instagramia, mutta aion nyt ottaa rohkean askeleen ja todeta, että ratkaisun periaate soveltunee sellaisenaan myös muihin sosiaalisen median kanaviin, joista voidaan tehdä vastaavia embeddauksia. Olennaista lienee se, että video, kuva tai postaus on saatettu julkisesti saataville eli esimerkiksi “julkisena postauksena” jolloin se on kaikkien palvelua käyttävien käyttäjien nähtävissä.

Lisäksi palvelut mahdollistavat embeddauksen sallimisen tai kieltämisen. Oletuksena lienee, että jos käyttäjä on sallinut embeddauksen, sen saa tehdä myös esimerkiksi media.

Onkohan tilanne toinen silloin, kun käyttäjällä ei ole julkista profiilia, vaan tämän postaukset ovat ainoastaan tietyn ryhmän (esim seuraajien tai ystävien) nähtävillä? Tällöin embeddauksessa voisi ehkä olla kysymys uudesta yleisöstä. Entäpä silloin, kun embeddausta ei ole sallittu? Tähän toivon jonkun aiheesta paremmin tietävän vastaavan.

Medialla on käsittääkseni myös eräitä “erivapauksia” eli uutisoinnissa voi käyttää esim kuvia jostain teoksesta, mukaan lukien myös ns. kuvakaappaukset kunhan uutisoinnin ainoa tarkoitus ei ole teoksen julkaisu ja siitä hyötyminen ja kunhan kysymys on uutisesta tai journalistisesta tuotteesta.  Eli tarkoitus on uutisoida jostain asiasta eikä niinkään periä rahaa itse teoksesta.  Pääosassa on siis uutinen, ei itse teos. Tällöin myös ymmärtääkseni voisi julkaista kuvia esimerkiksi Instagramista myös sellaisilta sivuilta, jotka eivät ole julkisesti saatavilla.

Toinen asia on yksityisyyden suoja, johon en mene tässä sen suuremmin. Yksityisyyden suoja tarkoittaa sitä, että tietyissä tilanteissa henkilöllä on oikeus pitää asiat yksityisinä eikä niitä saa saattaa muiden tietoon. Tällainen suoja vaihtelee mm. yhteiskunnallisen aseman mukaan (esim pääministerillä on erilainen yksityisyyden suoja kuin valtioneuvoston kanslian huoltomiehellä).