Tietosuoja-asetuksen eli GDPR:n suostumuksesta liikkuu valtava määrä ”totuuksia” ja kaupunkihuhuja. Kuten että jatkossa kaikki henkilötietojen käsittely, profilointi ja b2b sähköinen suoramarkkinointi mukaan lukien edellyttäisi nimenomaista suostumusta. Tai että kaikki vanhat suostumukset on uusittava. Mikä on totta ja mikä kaupunkihuhuja?
1. Suostumus nyt ja jatkossa – tuleeko kaikkeen käsittelyyn saada suostumus?
Vastaus on yksiselitteisesti ei. Tällä hetkellä Suomessa henkilötietolaki säätää yleisistä edellytyksistä, joiden perusteella henkilötietoja voidaan käsitellä. Samalla tavalla tietosuoja-asetuksessa määritetään kuusi perustetta henkilötietojen käsittelylle. Ja ihan niin kuin henkilötietolaissa, tietosuoja-asetuksessakin suostumus on vain yksi käsittelyperuste muiden joukossa.
Suostumusta käsittelyperusteena miettiessä huomioon kannattaa ottaa myös se, että suostumus antaa joissain tapauksissa vahvempia oikeuksia, kuten oikeuden tulla unohdetuksi ja oikeuden tietojen siirtoon, kuin silloin jos käsittelyperusteena olisi vaikka oikeutettu etu.
2. Erota viestien lähettäminen yleisestä käsittelystä
Suostumusta koskevia pohdintoja tehtäessä tulee heti kättelyssä erottaa toisistaan suostumus yleisesti henkilötietojen käsittelyyn ja suostumus (sähköisten) viestien lähettämiseen. Nämä ovat eri asioita ja niitä koskee myös osittain eri lainsäädäntö.
Tietosuoja-asetus ei sääntele kanavakohtaisista luvista, vaan nämä tulevat jatkossa valmisteilla olevasta ePrivacy-asetuksesta (Suomessa tällä hetkellä tietoyhteiskuntakaaressa), jonka oli alun perin tarkoitus tulla voimaan samanaikaisesti GDPR:n kanssa, mutta jonka valmistelu on takunnut niin, että on aivan varmaa, ettei näin käy. Evästeiden ja b2c sähköisen suoramarkkinoinnin lisäksi myös mm. telemarkkinointi ja b2b sähköpostimarkkinointi ovat käsittelyssä tässä putkessa.
3. Suostumuksen määritelmä nyt ja jatkossa – mikä muuttuu?
Usein kuulee, että tietosuoja-asetuksen suostumus tarkoittaa nimenomaista suostumusta eikä nykyisen kaltaista yksiselitteistä suostumusta. Onko näin ja mitä ihmettä tämä edes tarkoittaa?
Tietosuoja-asetuksesta ei ole tulossa nimenomaisen suostumuksen vaatimusta kaikelle käsittelylle (jossa suostumusta pyydetään), vaan se koskee nykyisen lainsäädännön tavoin vain tiettyjä käsittelyjä kuten esimerkiksi arkaluonteisia tietoja tai automatisoituja päätöksiä. Asetuksessa ei löydy määritelmää nimenomaiselle suostumukselle. Näyttää kuitenkin siltä, ettei se juurikaan eroa tavanomaisesta yksiselitteisestä suostumuksesta paitsi sen osalta, että nimenomainen suostumus tulee vahvistaa selkeällä kirjallisella tai suullisella lausumalla, joka viittaa johonkin tiettyyn nimenomaiseen käsittelyyn, kun yksiselitteiseen suostumukseen riittää epäsuora myöntyminen eli käytännössä:
Epäsuora/yksiselitteinen suostumus:
Anna sähköpostiosoitteesi (vapaaehtoinen) “Käytämme osoitettasi lähettääksemme tarjouksia ja tietoa tuotteistamme”
Nimenomainen suostumus:
“Suostun vastaanottamaan sähköpostia tuotteistanne ja saaman tarjouksia siivousvälineistä (rasti ruutuun)”
4. Tarkemmat raamit
Nopeasti katsottuna näyttää siis jokseenkin samankaltaiselta tilanne nyt ja jatkossa. Mutta kun luetaan asetusta eteenpäin, löytyy erojakin.
- On pystyttävä osoittamaan, että suostumus on annettu
- On annettava mahdollisuus suostumuksen peruuttamiseen ja kerrottava siitä
- On esitettävä pyyntö selvästi erillään muista asioista helposti ymmärrettävässä ja saatavilla olevassa muodossa, selkeällä ja yksinkertaisella kielellä
- Eikä palvelun tarjoamisen tai muun sopimuksen täytäntöönpanon ehdoksi voi asettaa suostumusta sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten
Miten nämä suhtautuvat nykylainsäädäntöön – muuttuuko todellisuudessa kuitenkaan niin paljoa? Alla käsitellään näitä neljää edellytystä hieman tarkemmin.
4.1. Suostumus pitää näyttää toteen
Nykylainsäädännössä asiaan ei ole varsinaisesti otettu kantaa, mutta käytännössä tilanne ei silti muutu, sillä jo henkilötietolain perusteluissa on todettu, että suostumuksen pyytäjän tulee näyttää toteen suostumuksen olemassaolo. Jatkossa suostumuksesta olisi kuitenkin hyvä jäädä tarkemmin tieto siitä kuka suostui, mihin suostui, milloin ja millä tavoin suostui, mitä informoitiin suostumuksesta ja onko suostumus peruutettu.
4.2. Suostumuksen peruuttaminen ja siitä kertominen
Jo tällä hetkellä henkilötietolain perusteluissa todetaan, että rekisteröidyllä on oikeus milloin tahansa peruuttaa suostumuksensa. Vain peruutusoikeudesta kertominen tulee siis teoriassa uutena, mutta käytännössä tämäkin on sisältynyt yleiseen informointivelvollisuuteen. Jatkossa kannattaa tämänkin osalta varmistaa, että peruutusoikeudesta on kerrottu selkeästi muun informaation ohessa.
4.3. Suostumuksen pyytämisen tapa – nykyiset luvat romukoppaan?
Todella usein eri tilaisuuksissa ja yhteyksissä on viimeisen vuoden aikana kuullut väitteen, että asetuksen tullessa voimaan nykyiset suostumukset muuttuvat pätemättömiksi ja tämän vuoksi nyt tulisi alkaa keräämään kiireen vilkkaan uusi lupia.
Näin suoraviivaista ja mustavalkoista asia ei kuitenkaan ole. Ja täysin varmaa on se, ettei uusia lupia tarvitse kerätä, mikäli nykyiset on kerätty asetuksen vaatimukset täyttäen. Tämä on todettu jo asetuksen resitaaleissa (171). Mitä nämä vaatimukset sitten ovat?
Asetuksessa edellytetään, että suostumusta pyydettäessä kerrotaan vähintään se, kenelle suostumus pyydetään, mihin tarkoituksiin ja miten käsitellään sekä peruutusoikeus. Asetuksen resitaalien mukaan ” ….Suostumusta ei sen vuoksi pitäisi voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta…”
Kannattaa myös huomioida se, ettei asetuksen edellyttämä ”aktiivinen toimi” suinkaan sulje pois nykyistä epäsuoraa suostumusta edellyttäen, että siihen liittyy jonkinlainen toimi, joka osoittaa selkeästi suostumuksen tietojen käsittelyyn tietyllä tavalla. Myöskään jatkossa “rasti ruutuun” ei tule olemaan ainoa tapa suostumuksen pyytämisen.
Muita ihan yhtä hyviä tapoja on esimerkiksi kirjallisen dokumentin allekirjoittaminen, “opt-in” näppäimen tai linkin painaminen, kyllä/ei valinnan tekeminen, valintojen tekeminen asetuspaneelissa, vastaaminen sähköpostiin, jossa pyydetään suostumusta, myöntävä vastaus suulliseen luvan kysymiseen tai vapaaehtoisten tietojen antaminen tiettyyn tarkoitukseen. Se mitä ei kannata tehdä, nyt tai jatkossa, on nojautua passiivisuuteen, valmiiksi rastitettuihin ruutuihin, ”opt-out” ruutuihin, oletusasetuksiin tai ehtoihin piilotettuun suostumukseen.
Jos kuitenkin vuosien varrella on tullut kerättyä lupia, joiden alkuperästä ei ole täyttä varmuutta, kannattaa miettiä keinoja lupien tuoreuttamiseen (esimerkiksi hyvällä informaatiolla) tai muita perusteita käsittelyn jatkamiselle.
4.4. Käsittely palvelun edellytyksenä – saako?
Aika yleinen käytäntö nykyään on, että suostumus on asetettu palvelun käyttämisen edellytykseksi. Jatkossa ongelmia voi tämän osalta aiheuttaa se, että tietosuoja-asetus on selkeä sen suhteen, ettei suostumusta voi bundlata palvelun ehdoksi, ellei se ole välttämätön palvelun toimimiseksi.
Jos kuitenkin päädytään suostumukseen, kannattaa ottaa huomioon se, että käytännössä se, onko suostumus ”tarpeellinen sopimuksen täytäntöönpanemiseksi” tarkoittaa esimerkiksi sitä, että verkkokaupan asiakkaiden tietojen jakaminen muiden verkkokauppojen kanssa ei välttämättä täytä tätä edellytystä, mutta tietojen jakaminen rahdinkuljettajan kanssa sitä vastoin täyttää. Näin ollen ensimmäisessä tapauksessa voi olla, ettei suostumusta katsota annetun ”vapaasti”, mutta toisessa suostumus on ilman muuta ”vapaasti” annettu.
UK:n tietosuojavaltuutettu on kuitenkin todennut, että joissain rajoitetuissa tapauksissa sopimuksen edellytyksenä ollut suostumus voitaisiin katsoa annetun “vapaasti”, vaikka käsittely ei olisikaan tarpeellista sopimuksen täytäntöönpanemiseksi. Tällaisia olisi esimerkiksi se, ettei suostumukselle ole vaihtoehtoa, käsittely lopetetaan, jos suostumus peruutetaan, informointi on selkeää ja suostumuksen bundlaaminen palveluun on kohtuullista. Näitä soveltaen tilanne ei enää niin kovin erilaiselta näytäkään, mutta pohdittavaksi tulee vielä se, mitä tapahtuu, jos suostumus peruutetaan – loppuuko palvelu, jatkuuko ”huonompana” vai sellaisenaan? Kaksi ensimmäistä vaihtoehtoa johtavat jälleen kysymykseen siitä, onko suostumus annettu ”vapaasti”.
5. Profilointi edellyttää aina suostumusta
Asetuksessa ei edellytetä profiloinnin käsittelyperusteeksi suostumusta, vaan se kuuluu edelleen moneen toimintaan GDPR:n sallimana peruselementtinä ja voisikin sanoa, että käsittelyperusteen löytyessä, oli se mikä tahansa, profilointi on lähtökohtaisesti sallittu. Jokunen mutka tähänkin tulkintaan kuitenkin saadaan.
Vuoden 2017 loppupuolella EU:n tietosuojaviranomaisten työryhmä WP29 julkaisi nimittäin ohjeistusluonnoksen, jonka mukaan asetuksen artikla 22(1) olisi kielto tehdä automaattista päätöksentekoa, joka sisältää profilointia, ellei sovellettavaksi tulisi poikkeuksia kuten nimenomainen suostumus tai sopimuksen täytäntöönpano (jota tulkitaan ohjeen mukaan erittäin suppeasti). Ja sanoopa selkeästi alaviitteessä, ettei rekisterinpitäjän oikeutettu intressi ole artiklan 22(1) tapauksessa laillinen käsittelyperuste.
Tulkinta tarkoittaa käytännössä sitä, että jos esimerkiksi online-mainonnan taustalla oleva tietojenkäsittelyn tulkitaan aiheuttavan ”oikeusvaikutuksia tai vastaavia merkittäviä vaikutuksia”, käsittely on oletuksena kielletty ja siihen on saatava sopimuksen puuttuessa nimenomainen suostumus. Ja koska WP29 toteaa toisaalla ohjeistusluonnoksessa, että online-mainonta voi tietyissä tapauksissa aiheuttaa tällaisia vaikutuksia, voisi tällainen tulkinta esimerkiksi tehdä laittomaksi ilman suostumusta tehdyn automaattisen hintaerottelun online-markkinoinnissa.
Ja tämähän ei ole sitä, mitä GDPR asiasta sanoo – kyseisessä artiklassa kyse on oikeudesta eikä kiellosta ja näiden ero on perustavanlaatuinen. Jos lainsäätäjä olisi tarkoittanut artiklan kielloksi, olisi kohta kirjoitettu eri muotoon, aivan kuten muualla GDPR:ssä on tehty. Kysymys onkin jälleen siitä, onko tämä mitä GDPR todella sanoo vai pelkästään WP29:n lainvastainen tulkinta?
6. Alaikäisten tietojen käsittely edellyttää aina suostumusta
Asetuksesta ei ole tulossa mitään yleistä velvollisuutta hankkia suostumusta alaikäisten tietojen käsittelemiseen. Velvollisuus suostumuksen hankkimiseen alle 16–vuotiaiden (minimissään 13-vuotiaiden) huoltajalta tulee vain silloin, jos kyse on tietoyhteiskunnan palvelusta ja käsittelyperusteena on suostumus.
Tämä kirjoitus on myös julkaistu Asiakkuusmarkkinoinnin vuosikirjassa 2018.