Google-hakuun kun naputtaa ”EU Data Protection Regulation” saa 2 290 000 osumaa, ”tietosuoja-asetus” rapsauttaa sekin rapiat 60 000 hakutulosta. Juttua, artikkelia, blogia, seminaaria ja sessiota aiheen ympäriltä riittää. Itsekin on aiheen äärellä tullut tuotettua artikkeleita sekä lavoilta laulettua ja ennen lomia on vielä työpöydällä ASML-jäsenohjeistusten tuottamista parista teemasta. Kahdeksan kvartaalia ja EU:n uusi tietosuoja-asetus on suoraan sovellettavaa oikeutta. Välillä on hyvä perata runsaan sisältövirran äärellä muutama akana jyvistä. Be careful out there!
Valuvikoja ja laatupoikkeamia
Asetuksen 12 artikla asettaa yritysten ja yhteisöjen tietosuoja-informoinnille seuraavan selkeysvaatimuksen: ”tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä”. Tuon kohdan kun olisi saanut laatuvaatimuksena koskemaan myös itse tietosuoja-asetuksen tekstiä….
Asetuksen valmisteluprosessi kantoi mukanaan EU-valmistelun perustason laatuongelmaa: pirstaleista ja hajanaista valmistelua. Loppuotetta tehdään tavallaan usealla pykälätehtaalla yhtä aikaa, kokonaisarviointia ei ehdi tehdä kukaan, tehdään tuhannen palan kompromissipalapeliä ja yksittäistä tärkeää elementtiä saatetaan työstää vain muutama tunti marraskuussa ja toisen kerran toukokuussa ja se on sitten siinä. Ja niinpä itse tekijät kuin muutkin ihmettelevät hihnalta tullutta lopputuotetta otsa rypyssä. Tilannetta ei helpota että artikloiden perustelut eli resitaalit ovat luvattoman ohuita.
Näitä valuvikoja vasten on toisaalta ymmärrettävää että on hyvinkin erilaisia tulkintoja asetuksen sisällöstä varsinkin kun eri sisällöntuottajilla on vielä erilainen esiymmärrys ja tavoitteet asetuksen äärellä, niin kuin tämänkin kirjoittajalla. Alla on listattu muutama monesti toistunut väärä näkemys tai tulkinta asetuksen sisällöstä. Jokaista kohtaa voisi ruotia tarkastikin mutta mennään karkean siivilän kautta tällä erää.
1 Tietoja saa kerätä ja käsitellä aina vain minimimäärän?
Pari viikon sisään olen kuullut lavalta niin virkamiehen kuin lakimiehen suusta että asetus säätää, että aina saa kerätä tietoja vain sen verran kuin se minimissään tarpeellista. Asetukseen jäi toki otsikkotasolla minimointi mutta itse kohta muuttui matkan varrella sisällöltään selkeästi tarpeellisuus-kriteerin suuntaan. 5.1.c artikla kuuluu lopullisessa muodossaan näin: “Henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (”tietojen minimointi”). Artiklan lopullinen muoto rimmaa aika hyvin nykyisen henkilötietolakimme säännösten kanssa.
2 Kaiken lasten henkilötietojen käsittelyn ikärajaksi tulee 16 vuotta (paitsi jos Suomi säätää…)?
Tämänkin asian sisältöä tuunattiin muutamaan kertaan valmistelun aikana. Joillain podiumeilla on julistettu että jatkossa asetus säätää ilman vanhempien suostumusta tapahtuvan lasten henkilötietojen käsittelyn ikärajaksi jatkossa 16 vuotta. Mutta asetus ei yleisesti säädä lainkaan lapsen ikärajasta henkilötietojen käsittelyssä. Asetuksen lasten ikärajoja, josta jäsenvaltio voi 13-16-akselilla säätää toisin, koskeva artikla 8 koskee A. ensinnäkin tilanteita joissa käsittelyn perusteena on suostumus ja B. näissä tilanteissa vain tietoyhteiskunnan palveluita koskien. Toki tuonkin kohdan soveltamisala on laaja. Tietoyhteiskunnan palvelut ovat tällä hetkellä määritelty Suomessa tietoyhteiskuntakaaressa (= etänä-sähköisesti-pyynnöstä-vastiketta vastaan).
3 Henkilön profilointiin tarvitaan lupa?
Viime viikolla luin yhden englantilaisen juristin tviitin jossa profiloinnin luvanvaraisuutta vahvasti julistettiin. Peruskuvio asetuksessa kuitenkin on että 4.4 artiklassa hyvin laajasti määritelty profilointi kuuluu moneen toimintaan peruselementtinä ja sillä sifonki. Sen avulla toteutetaan palveluita, kohdennetaan sisältöjä jne. Pikemminkin voisi sanoa että käsittelyperusteen löytyessä profilointi on lähtökohtaisesti sallittu, arkaluonteiset tiedot ovat toki oma maastonsa.
4 Rekisteröity voi kieltää häneen kohdistuvan profiloinnin?
Asetuksesta ei myöskään löydy yleistä profiloinnin kielto-oikeutta. 22 artiklassa on “oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi.” Ja tuokaan ei sovellu jos profilointi välttämätöntä sopimuksen täytäntöön panemiseksi tai perustuu suostumukseen. 21 artiklan ei-todellakaan-helposti-tulkittava vastustamisoikeus taas sisältää profilointiin liittyviä elementtejä mutta ei sieltäkään yleistä profiloinnin kielto-oikeutta löydy, monenlaista tulkinnanvaraisuutta ja väljyyttä toki sieltäkin löytyy isommin penkomatta.
5 Rekisteröity voi siirtää kaiken häntä koskevan tiedon muualle?
Termipeliä ja tarkkaa sellaista on myös Data Portability –artikla. Muun muassa tuore Vahti-ohje (s.16) lausuu että rekisteröidyllä olisi oikeus siirtää ”häntä koskevat henkilötiedot”. Näin ei kyllä asetuksessa säädetä tai ainakaan ilman melkoista tulkintavenytystä tuohon lopputulokseen ei tällä erää millään pääse. Siirrettävyyttä koskevat sanamuodot muuttuivat asetuksen käsittelyn loppuvaiheissa ja 20 artiklassa seisoo präntättynä: ”Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle…”. Englanninkielisessä versiossa sama kuuluu seuraavasti: “personal data concerning him or her, which he or she has provided to a controller”. Tämän tulkinnasta kohdasta keskustellaan vielä paljon mutta ”toimittanut” ja ”koskevat” eivät tulkinnallisesti taida olla aivan siamilaisia kaksosia.
ASML on tietointensiivisen (data driven) liiketoiminnan ja markkinoinnin toimialayhteisö joka mm. tarjoaa jäsenistölleen päivittäin tietosuojaan liittyvää konsultaatiota.