Tähän tarvitaan suostumus, vai tarvitaanko?

Suostumus on yksi laillisista henkilötietojen käsittelyperusteista uuden tietosuoja-asetuksen nojalla. Suostumus on lähestulkoon kaikista GDPR-myyteistä eniten väärin ymmärretty asia. Syy tähän lienee siinä, että suostumuksen muotoa muutettiin tietosuoja-asetuksen myötä hieman ja sen myötä myöskin moni ymmärsi, että nyt tarvitaan tietyn muotoinen suostumus kaikkeen. Tässä kirjoituksessa käsitellään tietosuojaviranomaisten yhteistyöryhmä WP29:n tuoreinta suostumus-ohjeistusta.

Tosiasia on kuitenkin se, että tavanomaisessa liiketoiminnassa suostumusta tarvitaan varsin harvoin. Jos toimii esimerkiksi verkkokauppana ja toimittaa asiakkaalle tuotteita, suostumusta ei tarvita koska henkilötietojen käsittelyn perusteena on sopimuksen täytäntöönpano. Samoin esimerkiksi viranomainen käsittelee tyypillisesti henkilötietoja täyttääkseen lainsäädännöllisen velvoitteensa.

Suostumuksen tulisi siis sen sijaan olla viimesijainen keino henkilötietojen käsittelylle. Syynä tähän on se, että suostumuksessa on muutama merkittävä operatiivinen riski.

Ensinnäkin, suostumuksen voi peruuttaa minä hetkenä hyvänsä ilman negatiivisia vaikutuksia. Rakenna siinä sitten toimivaa bisnestä kun se voidaan missä tahansa hetkessä romuuttaa sillä, että asiakas ilmoittaa suostumuksensa päättyneen. Se, mitä nuo negatiiviset vaikutukset tarkoittavat, on tarkastelussa myöhemmin tässä kirjoituksessa.

Suostumuksen käyttö siis käytännössä edellyttää, että suostumuksella pyörivää palvelua pitäisi pystyä ainakin jossakin laajuudessa käyttämään myös ilman suostumusta. Eli suunnittelussa tulisi varautua siihen, että kun asiakas/käyttäjä peruuttaa suostumuksensa, palvelua voi vielä käyttää.

Toinen merkittävä riski on suostumuksen toteennäytön vaatimukset. Palveluntoimittaja on suostumuksen osalta syyllinen kunnes toisin todistetaan. Eli palveluntarjoajalla pitää olla kyky todistaa suostumuksen olemassaolo ja jos tähän ei pystytä, suostumusta ei ollut JA suostumuksen nojalla kerätyt henkilötiedot on kerätty laittomasti.

Siksi palvelun pitää pystyä varsin tarkasti erittelemään esimerkiksi, milloin suostumus on annettu ja etenkin se, että suostumus oli tietosuoja-asetuksen vaatimusten mukainen (eli vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn).

Suostumukselta edellytetään myös ymmärrettävyyttä eli se ei saa olla juristijargonia (there goes my day job!) vaan suostumus pitää laatia selkeällä ja yksinkertaisella kielellä.

Mitä suostumus on?

Suostumus on juridisessa mielessä yksipuolinen tahdonilmaisu  eli henkilöllä on itse oikeus päättää antaako suostumuksen vai ei ja samoin oikeus vetää suostumus halutessaan. Samantyyppisiä yksipuolisia tahdonilmaisuja ovat muun muassa valtuutus, jonka henkilö voi myös missä tahansa vaiheessa peruuttaa. Tietosuoja-asetuksessa on kaksi suostumustyyppiä: “tavallinen” ja nimenomainen.

“Tavallinen” suostumus tarkoittaa “vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen.”

Puretaanpa tätä hieman osiin. Vapaaehtoinen tarkoittaa sitä, että suostumus ei ole validi jos henkilöllä ei oikeasti ole mahdollisututa jättää suostumusta antamatta. Esimerkiksi tavanomaisessa tilanteessa työnantaja ei voi pyytää työntekijältään suostumusta henkilötietojen käsittelyyn. Samoin esimerkiksi viranomainen ei voi pyytää lakisääteistä tehtävää hoitaessaan suostumusta (WP 29 ohjeen sivulla 7 muuten selostetaan tilanteita milloin työnantaja tai viranomainenkin voi pyytää suostumuksen).

Yksilöity tarkoittaa että suostumuksessa on pystyttävä erittelemään riittävän tarkasti, mihin suostumus annetaan. Eli rekisterinpitäjä ei voi pyytää erittäin yleisluontoista suostumusta vaan rekisteröidyllä tulee olla oikeus “valita” suhteellisen tarkasti mihin suostumuksensa antaa.  Tyypillinen esimerkki viranomaisten näkemyksestä on se, että esimerkiksi lisäpalvelun ja markkinoinnin suostumukset tulisi erottaa eli käyttäjältä ei voisi edellyttää markkinoinnin hyväksymistä esimerkiksi lisäpalvelun toimittamiseksi. Tästä eivät kaikki ole samaa mieltä ja onkin mielenkiintoista nähdä miten tarkkaan yksilöity suostumuksen tulee käytännössä olla. Sananmukaisesti GDPR:n teksti edellyttää yksilöintiä, mutta ei välttämättä yksittäisiä valintoja.

Tietoinen ja yksiselitteinen tahdonilmaisu edellyttää sitä, että käyttäjä ymmärtää oikeasti antavansa suostumuksen. Tämä siis edellyttää, että käyttäjä tekee jonkin toimen, kuten esimerksi laittaa rastin ruutuun tai painamalla “hyväksyn” -nappia. Suostumusta ei voi siis ottaa esimerkiksi siten, että sivuston käyttäjäehdoissa todetaan “jatkamalla sivuston käyttöä annat suostumuksesi”. Eli ammattikielellä suostumukselta edellytetään “Opt-In” suostumusta. Lyhyesti todettuna “opt-in” tarkoittaa että asiakas tekee toimen jonka perusteella hän ilmaisee antavansa suostumuksen. Joissakin tilanteissa aiemmin on ollut käytössä ns. “Opt-out” suostumus eli toimija on olettanut että asiakas on antanut suostumuksensa ja halutessaan voi vetää suostumuksensa pois.

Esimerkiksi markkinoinnissa on joissakin kohdin käytetty opt-out vaihtoehtoa eli esimerkiksi sitä, että saadessaan suoramarkkinointisähköpostin asiakas voi poistua sähköpostilistalta. Asiaa sekoittaa se, tällaista asiaa sääntelee ns. ePrivacy-direktiivi, jota ollaan muuttamassa GDPR:n tyyliin EU asetukseksi. Nykykäytäntö on ollut esimerkiksi Suomessa, että suoramarkkinointiin vaaditaan opt-in suostumus (pl. yritysmarkkinointi).

Vasemmalla Opt-Out, oikealla Opt-In. Huomaatko eron? Vihje: se on rasti siinä ruudussa.

No milloin sitten se suostumus otetaan?

Yksi tyypillisimpiä suostumuksen käyttökohteita ovat siis erilaiset lisäarvo- ja lisäpalvelut, kuten lisätietojen toimittaminen tai vaikkapa markkinointi. Suostumus tarvitaan esimerkiksi silloin, kun tarkoituksena on käsitellä henkilötietoja johonkin muuhun tarkoitukseen kuin mihin se alkuperäisesti on kerätty. Eli jos vaikka henkilötietoja on käsitelty sopimuksen perusteella, tietojen käsittely vaikkapa markkinointia varten vaatii suostumuksen.

On tärkeä huomata, että mikä tahansa selkeästi alkuperäisestä tarkoituksesta poikkeava käsittelytarkoitus johtaa ainakin tietosuojaviranomaisten mielestä suoraan siihen, että tarvitaan suostumus. Eli kuten markkinointiin, henkilötietojen käsittely esimerkiksi palvelujen kehittämiseen todennäköisesti edellyttää suostumusta. Arvioitaessa sitä, miten paljon käsittely poikkeaa alkuperäisestä tarkoituksesta, käytetään sellaisia kriteerejä kuten mitä tietoa alun perin annettiin ja mikä on näiden kahden eri käsittelytarkoituksen suhde. Mitä kauemmas mennään alkuperäisestä tarkoituksesta, sitä suuremmalla todennäköisyydellä tarvitaan suostumus.

Yllä olevan perusteella vaikuttaa kuitenkin, että esimerkiksi kattavalla tietosuojaselosteella voi laajentaa jonkin verran käsittelytarkoitusta. Eli mitä avoimemmin käyttäjälle kerrotaan siitä, mihin henkilötietoja käytetään, sitä laajempi käyttötarkoitus voi olla. En kuitenkaan usko, että palveluntarjoaja voisi esimerkiksi pitää “suoramarkkinointia” kiinteästi palvelun osana ja siten sallia suoramarkkinoinnin ilman suostumusta. Jotkut toimijat ovat eri mieltä tästä ja lähiaikoina tullaankin varmasti näkemään mielenkiintoista taistoa viranomaisten ja erilaisten markkinatoimijoiden välillä markkinointiin liittyen.

Markkinointi ylipäätään on oma kysymyksensä, koska sitä koskevat GDPR:n lisäksi omat sääntönsä. Esimerkiksi yrityksellä on oikeus markkinoida ns. “opt-out” periaatteella asiakkailleen samoja tuotteita joita asiakas on heiltä ostanut jos se tehdään samassa kanavassa. Tältä osin tosin markkinointisäännökset ovat muuttumassa ns. ePrivacy -asetuksen myötä.

Mitä ovat ne negatiiviset vaikutukset?

Suostumus ei ole “aito”, jos rekisteröity ei pysty vetämään suostumustaan takaisin ilman negativiisia vaikutuksia. No millaisia ne negatiiviset vaikutukset voivat olla? WP29 toteaa esimerkiksi, että suostumuksen vetämisestä ei saa aiheutua kustannuksia. Tämä on vielä ymmärrettävää, mutta lisäksi viranomaiset edellytävät, että suostumuksen vetäminen ei saisi johtaa myöskään palvelutason laskuun.

Tältäkin osin on mielenkiintoista nähdä, miten viranomaiset tulevat suhtautumaan esimerkiksi sellaiseen palveluun, jossa suostumuksella saadaan jotain lisäpalveluja käyttöön. Suostumuksen takaisinvetäminen ei siis käytännössä muuttaisi itse palvelun käyttöä vaan ottaisi vain yhden lisäominaisuuden “pois päältä”.

Oma kysymyksensä on myös se, miten tuo “kustannusvaikutus” tulisi ymmärtää. Eli jos palvelua käyttöönotettaessa käyttäjälle esitetään kaksi vaihtoehtoa: maksullinen palvelu, vaikkapa 5 euroa/kk tai vaihtoehtona antaa suostumus henkilötietojensa käyttöön johonkin muuhun, jolloin palvelu on ilmainen. Tällöinhän käyttäjä on “maksanut” omilla henkilötiedoillaan palveluista ja suostumuksen pois vetäessän “kustannusvaikutusta” ei ole vaikka hän jatkossa joutuukin maksamaan palvelusta.

Suostumusmyytti: Profilointiin vaaditaan suostumus?

Tarua! Suostumusta ei tarvita profilointiin, vaikkakin käytännössä suostumus on ehkä järkevin tapa tehdä profilointia jolla ei ole muuta tietosuoja-asetuksen mukaista perustetta (kuten sopimuksen täytääntöönpano tai lakivelvoitteen täyttäminen).

GDPR:n 22 artiklan mukaan “rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi.” Eli rekisteröidyllä on kielto-oikeus profilointiin eli oikeus keskeyttää se.

Tärkeä on huomata että jos profilointia tehdään sopimuksen täytäntöönpanemiseksi, lakivelvoitteen täyttämiseksi tai suostumuksen perusteella, henkilöllä ei ole oikeutta keskeyttää profilointia vaan ainoastaan vaatia jälkikäteistä “ihmisarviointia”.

Jos profilointia tehdään suostumuksen perusteella, suostumuksen tulee olla nimenomainen, joka tarkoittaa korkeampaa kynnystä kuin “tavanomainen” GDPR suostumus. Lisäksi monet markkinointi-ihmiset ovat sitä mieltä, että tietynlainen markkinointia varten tehty profilointi ei luo oikeusvaikutuksia ja siksi se ei myöskään olisi edes tuon kielto-oikeuden piirissä. Tuosta näkemyksestä odotan vielä tuomioistuimen tai viranomaisen ratkaisua, mutta muuten tämä myytti on täyttä tarua.