Trafin tietosuojaongelmat kielivät tietosuojan ja julkisuuslain syvästä ristiiriidasta

Liikenteen turvallisuusvirasto Trafin Kuljettajatiedot-palvelun tietosuojaongelmat herättivät nukkuvan karhun. Moni ei pitänyt ajatuksesta, että omia tietojaan pääsisi katsomaan tuosta vain internetissä muutamalla hakusanalla.

Palvelu ei sinänsä paljastanut mitään merkittävän laajoja tietoja henkilöstä: lähinnä henkilön kotikunnan, syntymäajan (tietyissä tilanteissa) sekä ajokortin voimassaoloajan. On mielenkiintoista havaita, että tällaiset tiedot viranomaisen julkistamana koettiin ongelmalliseksi samaan aikaan, kun lähes vastaavat tiedot, ellei jopa enemmän, voi saada selville monesta ihmisestä pelkällä Google-haulla tai Facebookista.

Ongelmallista oli kuitenkin tietojen saatavuuden laajuus, palvelussa kun olivat kaikki. Siis aivan kaikki, sillä ilmeisesti tietokannassa oli näkyvillä myös sellaisten henkilöiden tietoja, joiden ei olisi pitänyt olla näkyvillä kenellekään. Alun perin tietokannan tarkoituksena on ollut palvella siten, että henkilön ajo-oikeuden eli sen onko ihmisellä ajokorttia tai ei (vai onko se “kuivumassa”) voisi tarkastaa sen kautta helposti. Taustalla ovat erilaiset liikennepalvelulain uudistukset, kuten esimerkiksi taksilupien helpottaminen.

Vertailu some-palveluihin ei kuitenkaan ole täysin reilua, koska esimerkiksi Facebookiin liitytään vapaaehtoisesti, ainakin osittain tietoisena siitä, miten tieto leviää verkossa. Viranomaisten rekisterissä ollaan, halusitpa tai et ja kun viranomainen päättää julkistaa tietoja rekisteristä, on loppujen lopuksi hyvin vähän, mitä kansalainen voi tällöin tehdä.

Julkisuuslaki puristuksissa

Viranomaisten toiminnan julkisuus on pohjoismaisen yhteiskunnan peruspilareita. Sen avulla vallankäyttö on jatkuvan tarkastelun kohteena ja siten ihmisillä on mahdollisuus paremmin arvioida, toimiiko viranomainen oikein ja kohdellaanko kansalaisia tasapuolisesti.

Yksityisyys on myös keskeinen tekijä pohjoismaisessa yhteiskunnassa, Suomessa jopa perustuslaillinen oikeus. Julkisuus ja yksityisyys ovat keskenään suuressa ristiriidassa: toisen periaatteen tarkoituksena on esteettä kertoa tietoja kaikille kun taas toisen tarkoituksena on antaa mahdollisimman paljon valtaa levittämisestä tiedon kohteena olevalle henkilölle.

Viranomaisten toiminnan lisäksi julkisuus koskee myös niitä yksityisiä ihmisiä, jotka ovat jollakin tavoin tekemisissä viranomaisen vallankäytön kanssa. Eli kun henkilö tuomitaan esimerkiksi rattijuopumuksesta tai kun henkilö hakee rakennuslupaa, tämä tieto julkaistaan. Se, miten laajasti tietoja saa levittää edelleen on toinen asia ja ymmärretään tässä yhteydessä yksityisyyden suojaksi.

Kaikki on julkista

Suomessa julkisuuslaki (eli laki viranomaisten toiminnan julkisuudesta ) sääntelee sitä, miten viranomaisten tulee asiakirjojaan kohdella suhteessa yleisöön. Lähtökohta kaikessa on että mikä tahansa asiakirja tai tieto, joka on viranomaisen hallussa on julkinen ellei laissa toisin määrätä. Eli koko lain lähtökohta on että kaikki on julkista. Asioiden salaaminen on poikkeus, jota on tulkittava kapeasti.

Viranomaisella on itsenäinen oikeus päättää, onko tieto julkinen vai ei. Esimerkiksi hankinta-asioissa monesti esiintyy ongelmia liikesalaisuuksien vuoksi. Jotkut toimijat jopa pelkäävät luovuttaa tietoja viranomaisille tarjouksissaan siinä pelossa, että ne paljastuisivat kilpailijoille. Käytännössä tosin liikesalaisuusmerkintöjä kunnioitetaan, mutta joskus viranomainen voi olla myös asiasta eri mieltä, esimerkiksi kilpailu- ja kuluttajavirasto on joskus hyvin kriittinen liikesalaisuuksien määrittelyissä.

Se, että tiedot ovat julkisia, eli vapaasti viranomaiselta saatavissa, ei vielä tarkoita, että niitä voisi vapaasti levitellä lehtien palstoilla tai edes viranomaisten verkkosivuilla. Oman näkökulmansa tähän tuo juuri tietosuojalainsäädäntö sekä rikoslain yksityiselämän suojaa koskevat oikeudet.

Suomalaisen viranomaisen hallussa olevien henkilötietojen julkisuutta on pohdittu tietosuojanäkökulmasta esimerkiksi verotietoja koskevissa Euroopan Unionin  tuomioistuimen sekä ihmisoikeustuomioistuimen (sekä Suomen KHO:n) Veropörssi tai Satamediaratkaisuissa. Kysymys ei ollut ainoastaan siitä, saavatko tiedot olla julkisia ja saako niitä julkaista, vaan myös siitä voiko tällaisia verotietoja ylipäätään käsitellä journalistiseen tarkoitukseen. Esimerkiksi Euroopan ihmisoikeustuomioistuimessa käsiteltävänä oli Veropörssi-lehden SMS-palvelu, josta tekstiviestitse pystyi selvittämään kenen tahansa verotiedot.

Tapauksen arvioinnissa huomioitiin sitä, missä määrin toiminnan voitiin katsoa edistävän yhteiskunnallisesti kiinnostavaa keskustelua pikemmin kuin pyrkiä yhteiskunnallisesta keskustelusta irrallaan tyydyttämään yksittäisten henkilöiden uteliaisuutta. Tuomioistuimien mukaan henkilötietojen käsittelynä toimituksellista tarkoitusta varten ei kuitenkaan voida pitää tietojen sellaista käsittelyä, jossa toimituksellisessa tarkoituksessa muodostettu henkilörekisteri laajamittaisesti, lähes kokonaisuudessaan ja lähes sellaisenaan, vaikkakin eri osissa ja kunnittain, julkaistaan erillisinä luetteloina. 

EUTI taas katsoi ns Google Spain -ratkaisussa (C-131/12), ettei hakukoneen ylläpito ole journalistiseen tarkoitukseen tapahtuvaa henkilötietojen käsittelyä. Verkkosivuston julkaisijan toiminta voi olla journalistisessa tarkoituksessa tapahtuvaa, mutta hakukoneen tulokset eivät. 

Tässä onkin olennainen ero julkisuuden ja yksityisyyden suojan välillä. Henkilötieto voi olla julkinen tieto, mutta julkisenkin henkilötiedon käsittelyyn tarvitaan jokin lainmukainen peruste.  

Viranomaisella velvollisuus julkaista ja suojella

Viranomaisen toimintaan ei suoraan sovellu henkilötietojen käsittely journalistisessa tarkoituksessa, mutta siitä voidaan vetää johtopäätöksiä siihen, miten laajasti henkilötietoja tulisi pitää nähtävillä verkossa ja miten helposti ne on oltava saatavilla. Saatavuutta voi “vaikeuttaa” esimerkiksi maksullisuudella tai pakollisella tunnistautumisella, jolloin kynnys “tiedustella huvin vuoksi” on korkeampi. Viranomaisella on myös velvollisuus suojata henkilötietoja.

Julkisuuslain näkökulmasta se, miksi tietoja haetaan, on täysin epärelevanttia. Julkisuuslain perusteella henkilötietoja tai mitä tahansa tietoja voi pyytää ja hakea myös “huvin vuoksi”. Tämä näyttää olevan asia, jota ei täysin ymmärretä Pohjoismaiden ulkopuolella ja joka aiheuttaa kummallisia ristiriitoja tietosuojan ja julkisuuden välillä. Moni asia, jonka suomalainen ymmärtää julkiseksi on saksalaiselle yksityistä.

Henkilötietojen osalta julkisuuslaissa on kuitenkin rajoitus: tietoja ei saa antaa (ainakaan mittavissa määrissä), jos tiedon vastaanottajalla ei ole lainmukaista perustetta henkilötietojen käsittelylle. Lisäksi esimerkiksi henkilötietoja saa luovuttaa suoramarkkinointia ja mielipide- tai markkinatutkimusta varten ainoastaan, jos niin erikseen laissa säädetään tai jos rekisteröity on antanut siihen suostumuksensa.

Esimerkiksi Helsingin yliopiston viestintäoikeuden professori Päivi Korpisaari katsoo, että verkkosivuilla oleva avoin haku on luovutusta kaikille:

Henkilökohtaisesti olen lähtenyt siitä ajatuksesta, että viranomaisen näkökulmasta henkilötietojen käsittelylle ei välttämättä joskus ole muuta perustetta kuin “julkisuusvelvollisuuden täyttäminen”. Samoin lienee myös luovutusperusteen kanssa, eli mielestäni henkilötietoja voi luovuttaa myös sähköisesti esimerkiksi verkkosivun kautta muille julkisuusvelvoitteen täyttämiseksi. Viranomaisella on kuitenkin tämän lisäksi erityinen velvollisuus huolehtia, että mikäli henkilötietoja kerätään jotain tiettyä tarkoitusta varten, tämä tarkoitus on lainmukainen. Avoimella verkkosivulla tästä varmistuminen lienee varsin vaikeaa.

Sähköiset palvelut haastavat julkisuuden

Julkisuuslaki ja moni muukin laki velvoittaa viranomaisia julkistamaan tietoja avoimesti. Keskeinen tehtävä julkisuuslaissa on myös tiedon saatavuus. Tietoja ei saisi tieten tahtoen haudata arkiston mappeihin ja väittää että ne ovat “saatavilla”. Julkisuusperiaate edellyttää, että tieto on helposti saatavilla ja viranomaisilla on jopa velvollisuus auttaa tietojen etsimisessä.

Sähköiset palvelut tekevät julkisuusperiaatteen noudattamisesta haastavaa. Toisaalta niiden avulla tietoja saadaan helposti kaikkien saataville. Toisaalta taas ongelmana on, että tietoja on liian helppo saada. Julkisuuslaki velvoittaa tiettyyn “helppouteen”, joka IT-projektia määriteltäessä helposti kääntyy siihen, että annetaan tieto kaikille. 

Tietosuojavaltuutettu Reijo Aarnio totesikin Ylen uutisissa, että se, että joku on julkista, ei tarkoita, että sitä voi käsitellä miten huvittaa. Päinvastoin. Julkisuuslakikin edellyttää, että järjestelmät tehdään sellaisiksi, että niissä otetaan tietosuoja ja tietoturva riittävästi huomioon.

Tietosuojanäkökulmasta siis julkisuusperiaatteiden mukaisten tietojen saatavuutta tulisi rajoittaa. Ongelma ei kuitenkaan ole niin yksinkertainen kuin ehkä Aarnion lausunnosta voisi ymmärtää. Joskus henkilötiedon julkaisu on perusteltua, koska yksityisyyden suojaa vastassa on muita perusteita, kuten esimerkiksi julkisuuden tarve tai yhteiskunnallisen toiminnan läpinäkyvyys. Yksilöä ei suojata samalla tavoin kaikissa tilanteissa. Esimerkiksi tasavallan presidentin palkkion (vai palkan?) voi julkaista missä tahansa, mutta presidentin lääkärillä ei ole mitään velvollisuutta kertoa potilaansa terveyden tilasta, vaikka presidentti julkista virkaa hoitava henkilö onkin.

Vaikka olenkin tietosuojaan perehtynyt juristi, toivon silti hartaasti, että tietosuoja ei kuitenkaan hankaloita liikaa julkisuusperiaatteen toteutumista. Esimerkiksi virkamiehistä ja heidän toimistaan tulee saada tietoa jatkossakin, tietenkin yksityisyyden suojasta huolehtien. Huoleni on aiheellinen, sillä Journalistiliiton mukaan paine salata liikesalaisuuksien tai tietosuojan vuoksi on kasvamassa

Itse sain julkisuuslain periaatteista opetuksen henkilökohtaisesti aiemmassa ammatissani. Lain voimaantulon aikaan keskusteltiin paljon esimerkiksi siitä, että valtion virkamiesten palkat ovat julkisia. Olin tuolloin töissä lehdessä ja yritin selvittää erään kaupunginjohtajan palkkaa. Koska kaupunki oli asiassa hankala, otin yhteyttä lakia tuolloin valmistelemassa olleeseen oikeusministeriön virkamieheen, Anna-Riitta Walliniin. Hän vahvisti minulle, että kaupungin tuli kertoa kaupunginjohtajansa palkka. Julkisuusperiaatteen mukaisesti kysyin puhelinhaastattelussa myös Wallinia kertomaan palkkansa. Hän kertoi sen epäröimättä, kuin apteekin hyllyltä.

 

EDIT 13.12.2018: kirjoitusta päivitetty Journalistiliiton HS:n mielipidekirjoituslinkillä.

EDIT 17.12.2018: kirjoitusta korjattu alun tekstistä: palvelusta ei voinut tarkastaa ajo-oikeuden voimassaoloa vaan ainoastaan ajokortin voimassaolon.

Jättiläisen selässä

Haukon henkeä mutta happi ei kulje keuhkoihini. Ohimoja jyskyttää. Käytännössä hengitys tuntuu mahdottomalta, Olen henkihieverissä, kirjaimellisesti. Viimeinen kolme kilometriä on ollut täyttä tuskaa.

Olen jättiläisen selässä. Tarkalleen Provencen jättiläisen, Mont Ventouxin. 1908 metrin korkeudessa. Viimeiset kaksi tuntia olen kiivennyt sen kylkeä ylös varovasti, nätisti, kuin hiipien, yrittäen olla herättämättä jättiläistä ja sen hurjaa luonnetta.

21 kilometriä. Nousua yli 1600 metriä. Keskimääräinen jyrkkyys 8 % (liikaa). Maksimi jyrkkyys: 12 % paikoittain. Mont Ventoux on pyöräilijöiden pyhä vuori. Wikipediassa pyöräilyä vuorella ja nimenomaan tätä valitsemaani reittiä luonnehditaan seuraavasti: “The climb by bike from Bédoin to Mont Ventoux is one of the toughest in professional cycling.”

Mont Ventouxin nousun jyrkkyysprofiili. Alkumatkan jälkeen kuudesta kilometristä eteenpäin nousu ei tahdo hellittää ollenkaan. Tämä on reitti Bedoinista vuoren päälle, yksi kolmesta vaihtoehdosta. Kuva: Climbbybike.com

Tämä vuori on nöyryyttänyt pyöräilyn jättejä siinä missä amatöörejä ja aloittelijoitakin. Tämän vuoden toukokuun lopussa kävin kokeilemassa onneani.

Vuonna 1967 nähtiin todellinen tragedia, kun brittipyöräiljä Tom Simpson menehtyi vain hieman ennen huipulle pääsyään nestehukkaan ja huumausaineiden yliannostukseen. Miehen viimeiset sanat olivat legendan mukaan “Get me back on my bike!”. Simpsonin muistolle on pystytetty kuolinpaikalle muistomerkki, jolle pyöräilijät jättävät juomapullojaan kunnioittaakseen Simpsonia. Ohitan muistomerkin syvän uupumuksen vallassa.

Myös pyöräilyn Juudas, (periaatteessa seitsenkertainen Tour de France voittaja) Lance Armstrong ei pidä tästä noususta. Vuonna 1970 kaikkien aikojen menestynein pyöräilijä Eddy Mercx pyörtyi hapenpuutteessa päästyään lopulta Mont Ventouxin huipulla kyseisen etapin maaliin, Mercx oli ajanut loppumatkan yksin. Tässä onkin Jättiläisen vihainen puoli: aivan sama millaisessa porukassa aloitat nousun, koko matka on tehtävä yksin. Yksin vuorta vastaan.

Joka vuosi tuhansia pyöräilijöitä lähtee etsimään itseään Mont Ventouxin rinteille. Vaikka työ tehdään yksin, mukana on aina väkeä ja tunnelma vuorella onkin kuin suuressa hienossa pyöräilytapahtumassa.

IMG_4530

Alun muutaman kilometri on mukavahkoa ja ymmärrettävää nousua viinitilojen värittämässä maisemassa. Välillä saavut kylään ja muutaman polkaisun jälkeen olet ulkona kylästä. Sitten, kuuden kilometrin jälkeen, Saint Esteven kylässä, käännyt tiukasti vasempaan ja sukellat metsään. Tie kohoaa koko ajan loputtomasti; mutkan taakse, puiden lomaan. Puut nojaavat tien ylle, tuntuu kuin polkisit paikallaan tunnelissa.

Tämä on hulluutta.

Tuo on ainoa ajatus mielessäni seuraavan tunnin. Se sama ajatus oli mielessäni viisi kuukautta sitten, kun ensimmäisen kerran “keksin”, että tämä olisi sopiva lahja 40-vuotiaalle itselleni. Vaikka rakastan pyöräilyä, en ole mikään kovakuntoinen ajokoira. Arvioin, että painoa oli ehkä noin viisi kiloa liikaa ja jaloissa aivan liian vähän voimaa. Silti ajatus tuntui hauskalta. Olimme ajaneet vaimon kanssa matkan ylös autolla monta vuotta aiemmin ja jo autollakin nousu tuntui liikuntasuoritukselta.

Kaksi kuukautta ennen tätä hetkeä sairastuin keuhkokuumeeseen, joka romahdutti kunnon jota oli siihen saakka rakennettu. Käytännössä kunto laski nollaan ja kahden viikon sairastamisen jälkeen pääsin hiljalleen aloittamaan kunnon kohottamista niin, että lopulta sain sen juuri ennen paikalle saapumista sille tasolle, mille se oli ennen sairastumista.

IMG_4532

Ei ole mitenkään mahdollista, että tällä kunnolla pääsee huipulle, ajattelin, kun astuin lentokoneeseen kohti Marseillea.

Mutta nyt, Mont Ventouxin metsässä, huohotan ja hiki (vai ovatko nämä kyyneliä?) valuu puroina pitkin ohimoa, selkää, silmiin ja suuhun.

Ventouxin nousu on erilainen kuin moni muu perinteinen vuorinousu pyöräilyssä. Edestakaisin vuorenrinnettä portaittain nousevan serpentiinimutkien sijaan tie kulkee vuoren rinnettä seuraillen pitkiä matkoja jyrkästi ylös. Tämän vuoksi nousua ei voi rytmittää käännösten mukaan, vaan edessä on jatkuvasti silmien ulottumattomiin jatkuvaa nousua.

Näyttökuva 2018-11-12 kello 21.47.17.png
Nousu Ventouxin päälle kiemurtelee paljon vähemmän kuin alla kuvattu Alpe d’Huez joka sijaitsee Alpeilla. Kiemurtelun sijaan reitti puskee koko ajan ylöspäin, hellittämättä kunnolla milloinkaan.

Esimerkiksi Alpe d’Huez kiemurtelee serpentiininä vuoren rinnettä pitkin, antaen rytmitystä nousulle 21 käännöksen muodossa. Kuva: Wikipedia

Nousun vaikeutta kuvannee hyvin se, että Suomesta ja pääkaupunkiseudulta on hyvin vaikea löytää kohtaa, jossa tie olisi edes muutaman sata metriä yhtä jyrkkää kuin tämä koko matka. Esimerkiksi Kalliossa Hämeentieltä nousee ylös muutamia teitä, joissa hetkellisesti voi kokea saman. Mutta kun harjoittelin siellä, en voinut mitenkään käsittää, että tätäkö siis pitää polkea 21 kilometriä?

Jotain käsitystä noususta voi saada siitä, että joka kilometrillä noustaan Olympiastadionin tornin päälle (itse asiassa viisi metriä sen yläpuolelle). Ja tämä tehdään 21 kertaa.

Metsän tunnelista saavutaan lopulta puurajalle ja kuun maisemaan:

IMG_4547

Kaukana korkealla siintää sääaseman torni.

Täyttä hulluutta.

Mont Ventouxin puut on hakattu moneen kertaan vuosisatojen aikana muun muassa purjelaivojen raaka-aineiksi. Nyt vuorta ympäröi suojelualue ja metsä on päässyt muuttumaan taikametsäksi. Mutta huippu paistaa edelleen lähes puuttomana, täysin tuulen armoilla.

Ennen matkan jatkamista voi pysähtyä Chalet Reynardilla syömässä nopean lounaan. Käytän tilaisuuden hyväksi ja mietin, miten hienoa on päästä edes tänne saakka, kaksi kolmannesta koko matkasta. Olen kiitollinen omelette naturalesta.

IMG_4064

Paikallisten mukaan Ventouxilla tuulee yli 200 päivää vuodessa yli 80 km/h:n nopeudella. Tämä johtuu oikukkaasta Mistral-tuulesta. Siksi tämä täysin paljas “kaljun vuoren” päälaki, jota poljen seuraavat kuusi kilometriä huipulle saakka, voi olla pahin mahdollinen vaihe koko nousussa. Mutta onneksi jätti on rauhallinen tänään.  Vieno tuuli työntää minua vuoren laitaa pitkin kohti huippua.

IMG_4540

Lounaasta huolimatta väsymys hiipii joka paikkaan. Katson alas ja näen jalkani, mutta en enää tunne niitä. Katson ylös ja näen jo huipun, mutta se on tuskastuttavan kaukana ja ärsyttävän korkealla. Vuoren sivua pitkin jyrkästi nousevan tien seuraaminen katseella huimaa päässä. Jokainen polkaisu tuntuu keuhkoissa asti. Silti jatkan eteenpäin.

IMG_4058Joka hetki kysyn: miksi olen täällä? Miksi tätä hulluutta tulee sietää? Ventoux on Barthesin sanoin vuori joka ei anna anteeksi heikoille vaan vaatii kohtuuttomasti kärsimystä. Kärsimyksen kauneus on siinä, että vuori vie kärsijänsä taivaisiin, henkeäsalpaaviin maisemiin vuoren päälle.

Viimeiset 400 metriä ovat pahimmat jyrkkyyden osalta, mutta sillä ei ole enää mitään väliä. Maali on jo näkyvissä. Kaikki se kärsimys unohtuu saman tien kun saavut huipulle. Itse asiassa viimeiset parisataa metriä ovat ihmeellisen kevyet.

Isäni eli 62-vuotiaaksi, äitini 65-vuotiaaksi. Alkoholi vei molemmat aikaiseen hautaan. 40-vuotispäivällä on siksi minulle iso merkitys. Pyörällä Mont Ventouxin päälle nouseminen on osoitus itselleni siitä, että olen riittävän terve tänään. Että pystyn halutessani ja hyvällä tuurilla elämään pitempään kuin vanhempani. Minulla on vielä yli 25 vuotta aikaa, jos hyvin käy.

Tämä hetki osoittaa, että pystyn siihen.

Suhteeni isääni ja äitiini ei ollut kaikkein helpoin. Seitsemän vuotta sitten seisoin isäni vieressä hänen viimeisillä hetkillään. Kerroin hänelle, että kaikki on hyvin, että hän voi nyt rauhassa levätä. Isä ei pystynyt enää puhumaan, mutta ymmärsimme toisiamme.

IMG_4074 (1)Omia vanhempiaan ei voi pyyhkiä elämästään pois. Oma onneni on, että saan elää tätä elämää vapaana heistä jo näinkin nuorena. Menneisyys jää taakse kun nousen vuoren huippua kohti. Huippu on lähes kahden kilometrin korkeudessa, konkreettisesti. Henkisesti se on huippu, josta alkaa seuraava vaihe elämässäni.

Vanhempien vaikutuksesta tärkeintä on ymmärtää se, että mitä vanhemmaksi tulet, sitä pienemmäksi heidän merkityksensä jää. He sulavat kokoon yhdeksi muistoksi, joista suurin osa on onnellista. Muu elämä: perhe, ystävät, vaimo ja rakkaus, vievät tilan kaikelta synkkyydeltä.

Aloitin tämän 21 kilometrin matkan nuorena, mutta vuoren huipulla olen aikuinen. Olen näyttänyt itselleni mihin mieleni pystyy. Olen tehnyt tämän matkan yksin. Mutta päällä olen kaikkien kanssa.

IMG_4557 (1)
Huipulla!

 

Fanisivujen ylläpitäjästä tuli Facebookin kaveri

Kesällä julkaistun EU:n tuomioistuimen ratkaisun mukaan Facebookin fanisivujen ylläpitäjä on rekisterinpitäjä yhdessä Facebookin kanssa. Ratkaisulla voi olla laajakantoisia vaikutuksia ei ainoastaan somepalveluihin vaan ylipäätään sopimussuhteisiin tilanteissa, joissa datan “omistajuus” ei ole tarkoin määritelty tai edes määriteltävissä.

Ratkaisussa C-210/16 saksalainen yritys Wirtschaftsakademie Schleswig-Holstein  (kuulostaa koululta) ylläpiti “fanisivua” Facebookissa. Vuonna 2011 paikallinen Schleswig-Holsteinin  tietosuojaviranomainen vaati kyseistä yritystä lopettamaan fanisivun, koska se tai Facebook ei kertonut  fanisivulla vieraileville että käyttäjiä tultaisiin seuraamaan evästeiden avulla. Osapuolet riitauttivat asian ja päätyivät lopulta EU-tuomioistumeen ennakkoratkaisua hakemaan.

EU-tuomioistuimen mielestä evästeet sisälsivät henkilötietoja ja sen vuoksi  sovellettiin henkilötietodirektiiviä sekä paikallista lainsäädäntöä. Yllättävintä ratkaisussa oli kuitenkin se, että fanisivujen ylläpitäjäkin oli vastuussa tällaisten henkilötietojen käsittelystä, vaikka ylläpitäjällä ei ollut mitään pääsyä näihin evästeissä kerättyihin henkilötietoihin. Facebook tarjosi Facebook Insights -ominaisuuden fanisivujen ylläpitäjille, joiden avulla ylläpitäjät voivat nähdä tilastotietoja käyttäjistä. Ylläpitäjillä ei kuitenkaan ole mitään mahdollisuutta määrätä, millaisia tilastotietoja käyttäjistä näytetään, vaan ainoastaan hyödyntää Facebookin olemassa olevaa työkalua haluamallaan tavalla.

En tunne itse työkalua enkä varsinkaan sen vuoden 2011 versiota, mutta oma käsitykseni vastaavista työkaluista on, että käyttäjällä on loppujen lopuksi hyvin vähän mahdollisuuksia määrittää mitä tietoja kerätään.

abstract board game bundle business
Photo by Pixabay on Pexels.com

Ilman henkilötietojakin rekisterinpitäjä?

Kyseisessä Facebookin toiminnossa fanisivuston ylläpitäjälle näytetään vain ja ainoastaan anonymisoituja ja koostettuja  tilastotietoja eikä ylläpitäjä koskaan saa varsinaisesti tietää, kuka on hänen sivullaan käynyt. Ylläpitäjällä ei todennäköisesti ole mitenkään mahdollisuutta selvittää kävijöidensä henkilöllisyyttä tilastotietojen perusteella. Itse henkilötiedot pysyvät Facebookin hallussa ilman, että ylläpitäjällä on mitään pääsyä näihin tietoihin.

Ylläpitäjä voi ainoastaan päättää siitä, millaisia tilastotietoja näytetään kerätyistä henkilötiedoista. Tässä onkin oikeustapauksen keskeisin ongelma, sillä ajatus sopii varsin huonosti yhteen rekisterinpitäjän määritelmän kanssa.

Perinteisesti rekisterinpitäjänä on pidetty toimijaa, joka itsenäisesti (eli riippumatta muista) määrittelee tavat, joilla henkilötietoja käsitellään. Eli kun toimija päättää, että henkilöstä kerätään nimi, osoite ja puhelinnumero eikä esimerkiksi kengän kokoa, hän on rekisterinpitäjä. Lisäksi rekisterinpitäjä määrää, mitä tuolla tiedolla tehdään.

Vaihtoehtoisesti rekisterinpitäjä voi tehdä yllämainitut asiat yhdessä jonkun osapuolen kanssa, jolloin kysymyksessä on yhteisrekisterinpitäjä. Tavanomaisesti tämä on ymmärretty niin, että osapuolilla on jonkinlainen keskinäinen tarve tietojen käyttöön joko yhteistä tai kunkin osapuolen omaa käyttötarkoitusta varten. Loogisesti ajateltuna tämä edellyttäisi varmaankin jonkinlaista “omistajuutta” henkilötietoihin tai ainakin molempien osapuolten kykyä määrätä tiedoista.

Tässä tapauksessa kuitenkin vaikuttaisi siltä, että fanisivun ylläpitäjä ei kykenisi itsenäisesti määrittämään kuin muutaman asian jotka eivät sinänsä ole henkilötietoja eikä ylläpitäjä myöskään koskaan edes “koske” henkilötietoihin vaan saa vain valmiit “tulokset” Facebookilta.

Tuomiostuimen ajattelun mukaan ilmeisesti pelkästään se, että fanisivun ylläpitäjä “pyytää” Facebookia käsittelemään henkilötietoja tilastotietojen muodostamiseksi, riittää täyttämään rekisterinpitäjänä toimimisen edellytykset. Tuomiosta ei käy täysin selväksi miten tämä pyyntö tapahtuu, mutta ilmeisesti jo fanisivua perustettaessa ylläpitäjä päättää, mikä on kohderyhmä ja tätä pidettiin ilmeisesti myös merkittävänä määrittelynä rekisterinpitäjyyden kannalta.

Silmiinpistävää ratkaisussa on se, että vaikka fanisivujen ylläpitäjää pidetään rekisterinpitäjänä yhdessä Facebookin kanssa, tuomioistuin vaikuttaisi vihjaavan siihen suuntaan, että vastuu ei kuitenkaan jakaudu tasan Facebookin ja fanisivun ylläpitäjän kanssa. Tähän myös julkisasiamies Yves Bot kiinnitti huomiota omassa ratkaisuehdotuksesaan. Käytännössä tämä tarkoittaanee sitä, että koska fanisivun ylläpitäjällä ei ole laajaa pääsyä itse henkilötietoihin, sen vastuu on pienempi kuin Facebookin, jolla on käytössään ns. “kaikki henkilötiedot”.

Vastuun jakautuminen on mielenkiintoinen kysymys. Tietosuoja-asetuksen 26 artiklassa vaaditaan yhteisrekisterinpitäjiä sopimaan vastuistaan. Tällaista vaatimusta ei ollut henkilötietodirektiivissä, jonka ajalta kyseinen tapaus on. Itse yhteisrekisterinpitäjän käsite ja se, että molemmat rekisterinpitäjät ovat vastuussa rekisteröidylle ei kuitenkaan ole muuttunut asetuksen myötä.

Tietosuoja-asetuksessa oletuksena olisi siis, että mikäli vastuusta ei ole sovittu, osapuolten vastuu jakautuisi tasan. Sopimuksesta huolimatta rekisteröidyllä on oikeus käyttää rekisteröityjen oikeuksiaan (oikeutta tulla unohdetuksi, tarkastaa tietonsa, keskeyttää käsittely jne.)  kumpaakin yhteisrekisterinpitäjää kohtaan. Olisikin mielenkiintoista nähdä tämä käytännössä eli miten esimerkiksi rekisteröityi voisi vaatia fanisivun ylläpitäjää poistamaan henkilötietonsa, kun fanisivujen ylläpitäjällä ei ole muuta kuin anonymisoituja henkilötietoja. Tulisiko fanisivun ylläpitäjän tällöin vaatia Facebookia poistamaan tiedot vai mitä? Tarvitsisiko Facebookin tällöin totella?

agree agreement ankreuzen arrangement
Photo by Pixabay on Pexels.com

Vaikutukset Facebookia ja somea laajemmat

Vaikka kyseinen ratkaisu koskee vain Facebookia, sen vaikutuksia voidaan pitää Facebookia tai sosiaalisen median palveluita laajempana. Pahimmassa tapauksessa yhteisrekisterinpitäjyys voisi syntyä hyvin monessa normaalissa liikesuhteessa jo pelkästään siksi, että toimija pyytää toista toimijaa “käsittelemään” henkilötietoja siten, että sille toimitetaan asiakastilastoja. On kuitenkin epätodennäköistä, että määritelmä olisi näin laaja.

Ratkaisu koskee aikaa, jolloin henkilötietodirektiivi oli voimassa, mutta rekisterinpitäjän käsite tai yhteisrekisterinpitäjyyttä koskeva määritelmä ei ole olennaisesti muuttunut tietosuoja-asetuksen myötä. Olennaisimpana muutoksena voidaan pitää sitä, että nyt yhteisrekisterinpitäjiltä edellytetään sopimusta vastuiden ja velvollisuuksien osalta. Lisäksi vahingonkorvauksesta määrätään GDPR:ssä, kun aiemmin oltiin kansallisen lainsäädännön varassa. Silti ratkaisu on merkittävä myös tänä päivänä.

Facebook on ilmoittanut pitävänsä ratkaisua pettymyksenä. Facebook ja muut toimijat, kuten esimerkiksi Google, on käyttänyt jo jonkin aikaa vastaavissa tilanteissa sopimusta, jossa palvelun käyttäjä on rekisterinpitäjä ja Facebook tai Google ainoastaan henkilötietojen käsittelijä. Tämän ratkaisun myötä rekisterinpitäjän ankarampi vastuu “palautuu” nyt somejäteille.

Vaikka osapuolet voisivatkin sopimuksin järjestää vastuunsa millä tahansa tavalla, Facebook ei voi jatkossa “ulkoistaa” omaa rekisterinpitäjän vastuutansa sopimusteiste, ellei toimintamallia muuteta olennaisesti.

Sivustojen ylläpitäjille tuomioistuimen ratkaisu on sisältää jäätävän kauhuskenaarion. Tietosuoja-asetuksen 82 artiklassa nimittäin todetaan, että rekisteröity voi esittää vaatimuksensa kummalle tahansa yhteisrekisterinpitäjälle ja se joka vaatimuksen saa on myös korvausvastuussa riippumatta siitä, kenen vika oli. Ylläpitäjällä olisi korvauksen maksettuaan vaatia toiselta osapuolelta korvausta. Eli ylläpitäjä voisi saada korvausvaatimuksen viasta, jonka Facebook on aiheuttanut. Voin vain kuvitella, kuinka monella miljoonien fanisivujen ylläpitäjillä on valmius vastata tällaisiin vaatimuksiin ja ryhtyä sen jälkeen riitelemään yhden maailman merkittävimmän mediayhtiön kanssa korvauksen oikeellisuudesta ja vastuun jakautumisesta.

Sinänsä ratkaisun vaikutus ei ole kuitenkaan täysin mullistava. Aiempi näkemys ainakin Facebookin puolelta kun oli, että fanisivun ylläpitäjä oli rekisterinpitäjä ja Facebook “ainoastaan” käsittelijä. Tällöinkin ylläpitäjä olisi ollut ensisijaisesti vastuussa rekisteröidyille.

Todennäköisesti ratkaisu vaikuttaa siten, että ylläpitäjällä olisi jatkossa laajempi oikeus käyttäjien henkilötietoihin (epätodennäköistä) tai vaihtoehtoisesti tällaiset tilastointia varten luodut henkilötiedot anonymisoidaan siten, että niitä ei pidetä enää henkilötietoina. On myös hämärän peitossa, millaisia tätä tilannetta koskevista sopimuksista jatkossa muodostuu, koska fanisivujen ylläpitäjien neuvotteluasema suhteessa Facebookiin on hyvin heikko: käytännössä on nieltävä joko Facebookin ehdot tai poistuttava palvelusta.

Vielä vaikeampi kysymys ovat ne kaikki kolmannet osapuolet, jotka käyttävät sivustoja asettaakseen evästeitä käyttäjien tietokoneille. Onkin mielenkiintoista nähdä, miten tällaiseen tilanteeseen yhteisrekisterinpitäjien asema suhtautuu. Tulevassa Fashion ID -ratkaisussa (C-40/17) tarkastellaan tätä, joten elämme mielenkiintoisia aikoja tämän osalta.

View story at Medium.com

 

Calm the GDPR down! – Miten tietosuoja-asetus on vaikuttanut?

Reilu pari kuukautta GDPR:ää takana, miten on mennyt? No, omalta osaltani suuri panikki muuttui pieneksi lässähdykseksi heti asetuksen soveltamisen alkamisen jälkeen. Maailma ei räjähtänyt!

Uskalsin jopa lentää lentokoneella itse GDPR-päivänä, tosin koska lensin ranskalaisella lentoyhtiöllä lento ei mennyt kuten piti, koska lakko.

Suomessa tietosuojalain valmistuminen on nikotellut eduskunnassa ja näillä näkymin viivästystä on luvassa vielä jonkin aikaa. Helsingin Sanomien mukaan asian käsittely jatkuu vasta syyskuussa eduskunnan palattua istuntotauolta. Laki voisi tulla voimaan aikaisintaan alku­syksystä.

Nykyinen tietosuojavaltuutettu Reijo Aarnio on täysin aiheellisesti ilmaissut huolensa tietosuojavaltuutetun toimiston toimivallan säätämisen johtavan pahimmassa tilanteessa vakavaan limboon, jossa tietosuoja-asioista päättäisi asiantuntijalautakunta, jonka asiantuntemuksesta ei olisi takeita. Aarnio kertoo myös MTV:n uutisissa että toimiston työmäärä on tuplaantunut kahdessa kuukaudessa.

Tietenkin olisi hyvä erottaa tässäkin tuomiovalta ja viranomaisvalta, Aarnio kun näyttäisi toivovan “suoraa sakotusoikeutta” eli kykyä määrätä sakkoja itsenäisesti. Olisikin mielenkiintoista kuulla tarkempia yksityiskohtia Aarnion ajatuksesta. Esimerkiksi kilpailuasioissa  kilpailuvirasto tekee vain esityksen markkinaoikeudelle sakkojen määräämiseksi ja itse “sakotusvalta” on siten tuomioistuimella. Jos sakot määrää sama viranomainen joka myös tutkii asian, vaikkakin erillisellä “kolleegiolla”, ei päästä samanlaiseen oikeusturvaan kuin esimerkiksi kilpailuasioissa.

Nyt kun tietosuojalakia ei ole saatu säädettyä ajoissa, asetus on sellaisenaan voimassa, mutta samaan aikaan viranomaisilla ei ole riittäviä puuttumiskeinoja esimerkiksi tilanteissa, joissa toimitaan tietosuoja-asetuksen vastaisesti. Toisaalta, viranomainen voi jo nyt tehdä esimerkiksi tarkastuksia ja selvityspyyntöjä tarvittaessa. Suomessa ollaan muihin EU-maihin verrattuna hieman jälkijunassa, koska Aarnio mainitsee että vain kymmenessä maassa on kansallinen laki vielä säätämättä.

Joka tapauksessa asetuksen soveltamisen alkaminen on ollut hieno ja tärkeä juttu. Kaikesta ennakkohuumasta huolimatta olisi ollut myös väärin odottaa mitään älytöntä ryntäystä tietosuojan pariin. Kestää aikansa, kun asiakkaat, käyttäjät tai vaikkapa potilaat tutustuvat uusiin päivitettyihin tietosuojaselosteisiin ja käytäntöihin, joita monet yritykset ovat ottaneet käyttöönsä toukokuun lopussa.

Noyb, suostumus ja Somejätit

Yksi mielenkiintoisimmista uutisista GDPR-päivänä oli Max Schremsin perustaman Noyb –vapaaehtoisjärjestön suuri hyökkäys internet-jättejä kohtaan. Noyb vei Facebookin, Instagramin, Googlen ja Whatsappin suostumuskäytännöt neljän eri tietosuojaviranomaisen (Ranska, Belgia, Hampuri ja Itävalta) käsiteltäväksi heti 25 toukokuuta.

Kyseessä on mielenkiintoinen ja hyvin olennainen oikeustapaus, jossa käsitellään suostumuksen “vapaaehtoisuutta” erilaisten somepalveluiden käytössä. GDPR edellyttää suostumukselta vapaaehtoisuutta eli sitä että käyttäjällä tulee oikeasti olla mahdollisuus kieltäytyä ilman negatiivisia vaikutuksia. Tässä kiistassa keskeisessä asemassa onkin se, voiko käyttäjää estää käyttämästä somepalvelua jos hän ei suostu täysivaltaiseen henkilötietojen käyttöön esimerkiksi mainostamiseen? Samaten keskeisessä asemassa on se tapa, jolla suostumusta pyydetään, kuten esimerkiksi erilaisten “ärsyttävien” ja “tunkeilevien” pop-upien muodossa.

Sinänsä on hyvä huomata, että esimerkiksi Facebook tarjoaa nykyään aikaisempaa laajemmin käyttäjälle mahdollisuuden säätää omia suostumuksiaan, mutta ymmärtääkseni edelleen käytäntönä on se että lähtökohtaisesti kaikki suostumukset ovat “päällä” ellei niitä oteta pois. Tämä näyttäisi olevan ristiriidassa tietosuoja-asetuksen privacy by design ja default -periaatteiden kanssa jotka edellyttävät että palveluissa olisi aina vähiten yksityisyyttä luokkaava toiminto päällä. Tosin, tulkinnanvaraa on tietosuoja-asetuksessa vielä paljon, joten ratkaisu on kyllä tarpeen.

Minä ainakin odotan suurella mielenkiinnolla asian ratkaisua, koska sillä on suurta vaikutusta monien palveluiden käyttöehtoihin ja ylipäätään tapaan, miten dataa voidaan jatkossa käyttää.

Yllättävän hiljaista?

Ainakin tällä hetkellä näyttäisi kolleegoilta tehdyn yleisen GDPR-barometrin perusteella siltä, että yllättävän vähänkin ihmiset ova kiinnostuneet pelkästään tietosuojasta ja GDPR:n toteuttamisesta. Sen sijaan enemmänkin asia on noussut esille normaalissa kanssakäynnissä kuten asiakaspalvelutilanteessa tai vaikkapa silloin, kun on saatu yritykseltä markkinointipostia. Tällaisissa tilanteissa kiinnostusta on ollut runsaasti, mutta ainakaan vielä en ole kuullut kenenkään hukkuneen GDPR-kuvioihin.

Maailmalla yritykset ovat joutuneet muun muassa estämään verkkosivujen käytön Euroopasta koska GDPR. Omien kokemusteni perusteella lähestymistapoja on niin monia kuin on yrityksiäkin, skaala vaihtelee ylitiukasta tulkinnasta aina täyteen tietämättömyyteen tai aiheen kieltämiseen.

Sekin aika on tietysti vielä edessä, kun viranomaiset ympäri Eurooppaa tarttuvat toden teolla jonkin yrityksen linjaukseen ja haastavat toimijat toden teolla. Tällä hetkellä tilanne vaikuttaa siltä, että viranomaiset keskittyvät enemmän neuvontaan, ohjaamiseen ja opastukseen, mutta on selvää, että isoja sakkoratkaisuja jossakin vaiheessa alkaa tulla.

Oi ei! Tietosuojalaki myöhästyy, mitä tapahtuu GDPR-perjantaina?

Yleistä tietosuoja-asetusta aletaan soveltamaan perjantaina 25.5.2018. Viimeaikaisten uutisten perusteella vaikuttaisi siltä, että Suomessa ei ehditä säätää tietosuojalakia voimaan ennen perjantaita 25.5.2018.

Entä sitten? No, GDPR ei ole mikään direktiivi, joka vaatisi kansallista säätämistä vaan EU-asetus joka on sellaisenaan sovellettavaa oikeutta. Käytännössä ei siis tarvita mitään kansallista lainsäädäntöä, vaan GDPR on sellaisenaan voimassa perjantaista 25.5.2018 alkaen.

Suomessa henkilötietolaki säilyy siis vielä voimassa, mutta sitä sovelletaan yhdessä GDPR:n kanssa. Jos henkilötietolaki on ristiriidassa GDPR:n kanssa, sovelletaan GDPR:ää. Samoin, jos joitakin asioita puuttuu henkilötietolaista, sovelletaan GDPR:ää.

Esimerkki 1: GDPR:ssä on hieman tarkemmat vaatimukset suostumuksen sisällöstä kuin henkilötietolain 3 §:ssä. Jatkossa siis sovelletaan GDPR:n suostumusta.

Esimerkki 2: Henkilötietolaissa ei ole sääntelyä henkilötietojen käsittelylle ns. “oiketetun edun perusteella” kun taas GDPR:ssä on tällainen säädös. Tässä tapauksessa sovelletaan siis GDPR:n sääntelyä.

Molemmissa tapauksissa hyvä huomata, että ymmärtääkseni kummankaan esimerkin osalta ei ole tarkoitus säätää kansallista lainsäädäntöä. Siis tietosuoja-asetusta sovelletaan joka tapauksessa.

Ainakaan tällä hetkellä Suomen lainsäätäjillä tai valmistelijoilla ei näytä olevan edes tavoitteena säätää täydellistä kansallista tietosuojalainsäädäntöä, vaan jatkossa kansallisia lakeja sovelletaan yhtä aikaa tietosuoja-asetuksen kanssa.

Eli käytännössä siis kannattaa lukea tällä hetkellä tietosuoja-asetusta, jos epäilyttää, kuten juristit sanoisivat.

Mitä tapahtuu 25.5.2018 henkilötietolaille?

Tietosuoja-asetus tulee voimaan 25.5.2018. Tai itse asiassa tietosuoja-asetus on tullut voimaan jo 25.5.2016, mutta sitä aletaan soveltaa kahden vuoden siirtymäajan jälkeen  eli 25.5.2018. Asetuksen soveltamisen alkaminen tarkoittaa, että kansalliset tietosuoja/henkilötieto yms lait, jotka ovat jotenkin ristiriidassa tietosuoja-asetuksen kanssa, eivät ole enää voimassa.

Tietosuoja-asetus on EU-asetus, joka on sellaisenaan sovellettavaa EU-lainsäädäntöä. GDPR ei siis vaadi mitään kansallista voimaansaattamista tai mitään kansallisen lain säätämistä. Mikäli jäsenvaltio ei halua/jaksa säätää kansallista lainsäädäntöä, se voi vain antaa vanhojen lakien raueta/kumoutua/________(juristit lisätkää oikea juridinen termi tähän, kukaan muu ei välitä). Ja vaikka lait jäisivät voimaan, niitä ei voisi soveltaa, vaan esimerkiksi viranomaisten ja tuomioistuimien tulisi soveltaa tietosuoja-asetusta.

Toisin kuin voisi olettaa, monet jäsenmaat ovat siitä huolimatta päättäneet säätää omaa lainsäädäntöänsä tietosuoja-asetuksen “kastikkeeksi”. Jäsenvaltiot eivät voi kuitenkaan poiketa tietosuoja-asetuksesta kuin tietyissä säädellyissä kohdissa. Ongelmaksi monessa maassa on muodostunut se, että tietosuojaan liittyviä säädöksiä on hajallaan useissa eri laeissa ja niiden muuttaminen GDPR:n mukaisiksi vie aikaansa.

Suomessa henkilötietolaki jää historiaan

Suomessa EU:n yleisen tietosuoja-asetuksen mukaiset muutokset esitetään toteutettavan säätämällä uusi tietosuojalaki joka toimisi henkilötietojen käsittelyä koskevana yleislakina. Henkilötietolaki siis kumotaan ja korvataan tietosuojalailla. Lisäksi kumotaan laki tietosuojalautakunnasta ja tietosuojavaltuutetusta Käytännössä tietosuojalaissa todetaan, että Suomessa sovelletaan tietosuoja-asetusta ja lisäksi säädetään tiettyjä sallittuja poikkeuksia ja tarkennuksia. Suomen tietosuojalakia siis sovelletaan rinnakkain EU:n tietosuoja-asetuksen kanssa.

Tietosuoja-asetus koskee lähtökohtaisesti kaikenlaista henkilötietojen käsittelyä.  Hallituksen esitys HE 9/2018 eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi annettiin eduskunnalle 1.3.2018.

GDPR:n soveltaminen alkaa jäsenvaltioissa 25. toukokuuta 2018. Uusi tietosuojalaki tulisi esityksen mukaan voimaan samaan aikaan, eli eduskuntakäsittelyllä alkaa olla kiire. Ja osaltaan Suomen tietosuojasääntelyn uudistamisessa ollaan myöhässä. Henkilötietolaki ei nimittäin ole ainoa laki, jossa säädetään tietosuojasta, vaan useissa laeissa on omia säännöksiä ja viittauksia nykyiseen henkilötietolakiin. Ilmeisesti kaikkia näitä ei ehditä korjata tietosuoja-asetuksen mukaiseksi aikataulussa, vaan joidenkin lakien osalta jäädään ikävään välitilaan.

Mikäli tietosuojalain säätäminen myöhästyy, sovelletaan siis pelkästään tietosuoja-asetusta.

Mitä uudistuksia tietosuojalaki tuo?

Uusi tietosuojalaki sisältää kansallisia poikkeuksia muun muassa joukkoviestinnän toimitusten henkilötietojen käsittelyä varten. Eli jatkossakaan ryvettynyt politikko eivät voi vaatia vaikkapa Helsingin Sanomia poistamaan vanhojakaan henkilötietoja hänestä, koska tietojen säilyttämisellä lehden toimituksessa on sananvapauden kannalta merkitystä. Joukkoviestinnän toimijat eivät kuitenkaan ole täysin vapautettuja tietosuoja-asetuksen soveltamisesta, vaan niiden tulee edelleen huolehtia henkilötietojen käsittelyn yleisistä periaatteista eli esimerkiksi huolehdittava, että tiedot on suojattu riittävän hyvin. Sama poikkeus koskee myös akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten tehtyä henkilötietojen käsittelyä.

Mielenkiintoinen kansallinen poikkeus tietosuoja-asetukseen on myös se, että Suomessa jo jonkin aikaa voimassa ollut laki yksityisyyden suojasta työelämässä jää edelleen voimaan ja sitä sovelletaan työntekijän ja työnantajan välisessä suhteessa. Työ- ja elinkeinoministeriö on tosin juuri julkaissut luonnoksen uudesta laista.

Tietosuoja-asetuksessa on säädetty tietoyhteiskunnan palveluiden käytölle 16 vuoden ikäraja. Tai oikeammin kysymys on siitä, että alle 16-vuotiaalta on aina kysyttävä vanhempien lupa tietoyhteiskunnan palvelujen käytölle. Suomessa tämä ikäraja lasketaan 13 vuoteen, eli sitä nuoremmilta palveluiden on kysyttävä suostumus vanhemmilta. Käytännössä poikkeus koskee siis tietoyhteiskunnan palveluita kuten esimeriksi sosiaalisen median palveluita eli 13-vuotias voisi jatkossa käyttää  tällaisia palveluita itsenäisesti. Esimerkiksi Facebook on todennut ikärajan olevan jatkossa 13 vuotta Euroopassa, kun taas WhatsApp vastikään totesi rajan olevan silti 16 vuotta. Aikaisemmassa kirjoituksessa käsiteltiin laajemmin nuoria ja lakien ikärajoja.

Tutustu laajemmin tietosuojalain voimaantuloon Eduskunnan sivustolla.

Selvitys: tietosuoja-asetukseen edelleen huonosti valmistauduttu hankintasopimuksissa

Tietosuoja-asetuksen voimaantuloon on enää kohta kuukausi aikaa, mutta edelleen hankintayksiköt eli esimerkiksi valtion viranomaiset ja kunnat ovat huonosti valmistautuneita. Tämä käy ilmi JIT-blogin työryhmän läpikäymästä 30:sta hankintasopimuksesta. Kahdessakymmenessä sopimuksessa 31:sta  (noin 65 prosenttia) ei ole  ollenkaan mainintaa tietosuoja-asetuksesta tai sen voimaantulosta. Aikaisemmalla selvityskerralla marraskuussa lukema oli hieman pienempi, noin 59 prosenttia.

Näyttökuva 2018-4-11 kello 10.31.31 1

Aineisto käytiin läpi pääsiäisen tienoilla Hilma-ilmoituksista ja julkishallinnon laajasti käyttämästä Hanki-palvelusta. Kuten aiemmallakin kerralla mukaan poimittiin vain hankintoja, joissa olisi edes vähän merkitystä henkilötietojen käsittelyllä. Siksi esimerkiksi rakennusurakoita tai tavarahankintoja ei ole mukana. Hankinnat koostuvat ICT-palveluhankinnoista, terveyshankinnoista ja erilaisista muista palveluhankinnoista, kuten esimerkiksi koulutuksista.

Lukemien perusteella ei voida tehdä suuria tilastollisia päätelmiä mihin suuntaan tilanne on kehittymässä lähinnä siksi, että otoksen määrä on vielä suhteellisen pieni vaan kysymys on enemmänkin laadullisesta ja sisällöllisestä arvioinnista. On kuitenkin huolestuttavaa, että edelleen merkittävissä määrin sopimuksia tietosuoja-asetusta ei edes huomioida mitenkään eikä tilanne vaikuta muuttuneen viime marraskuusta juuri yhtään.

Hankintasopimuksen muuttaminen tietosuoja-asetuksen vuoksi ei välttämättä ole aina mahdollista ilman uutta kilpailutusta. Hankintayksiköiden tulisi pyrkiä ottamaan huomioon asia paremmin ja kokonaisvaltaisemmin jo tarjouspyyntövaiheessa, vaikka laki tuleekin voimaan vasta myöhemmin. Kyseessä ei varmastikaan ole asia, jota ei ole voitu etukäteen ennakoida, koska asetus on hyväksytty jo vuonna 2016. Siksi on varsin epätodennäköistä, että tietosuoja-asetuksen vuoksi voisi tehdä suorahankintoja.

Yksinkertaisella ratkaisulla asia kuntoon

Yhdessätoista sopimuksessa tietosuoja-asetus on mainittu ja huomioitu jollakin tavoin. Näistä sopimuksista seitsemässä on käytetty liitteenä viranomaisyhteistyönä laadittua yksinkertaista ja tehokasta sopimuspohjaa (ks. ohjeen lopussa oleva liite), joka käytännössä hoitaa tärkeimmät ongelmat.

Niissä sopimuksissa, joissa GDPR on jotenkin huomioitu, kahdessa ei kuitenkaan esimerkiksi ole sopimusehtoja, jotka täyttäisivät artiklan 28 pakolliset vaatimukset henkilötietojen käsittelylle. Miksi se on tärkeää? Yleensä hankintasopimuksissa viranomainen/hankintayksikkö on rekisterinpitäjä ja toimittaja taas käsittelijä. Tässä suhteessa tietosuoja-asetus edellyttää sopimusta, johon on kirjattu velvoitteita molemmille osapuolille juuri kyseisessä artiklassa tarkemmin kuvatulla tavalla. Käyttämällä tuota yllämainittua mallisopimusta tämäkin asia tulee hoidetuksi.

Koska suurimmassa osassa sopimuksista ei ole mainintaa GDPR:stä eikä esimerkiksi tuota mallisopimusta ole käytetty, yllämainitut vaatimukset eivät täyty. On hyvä huomata, että esimerkiksi pelkästään käyttämällä JYSE tai JIT -ehtoja sopimuksen “pohjana” ei täytetä vielä kyseisiä artikla 28:n vaatimuksia.   JYSE-ehdoissa on sentään määritelty osapuolten roolit (hankintayksikkö on rekisterinpitäjä ja toimittaja käsittelijä), mutta JIT-ehdoissa ei ole edes tällaista määrittelyä.

chart

Ainoastaan 40 %:ssa sopimuksista siis täytetään vaatimukset, eli tämän vuoden aikana tullaan todennäköisesti tekemään erittäin merkittävissä määrin muutoksia hankintasopimuksiin. Tietojemme mukaan myös JIT- ja JYSE -ehtoja tullaan päivittämään piakkoin, mutta tarkkaa aikataulua ei ole vielä saatavilla.  Ne sopimukset, jotka on tehty ennen näiden päivitysten voimaantuloa, eivät kuitenkaan korjaannu ja vaativat myös erillisen oman muutoksensa.