Tietosuoja, GDPR – anteeksi mitä?

Tietosuoja on nyt niin kuuma teema, että siitä kuulee vähän kaikkialla. Sen vuoksi sitä ei voida sivuuttaa niin vain tässäkään blogissa. 

Tästä syystä tämänkertaisen blogin teemana on tietosuoja ja siihen keskeisesti liittyen myös ns. yleinen tietosuoja-asetus, joka tunnetaan tuttavallisesti englanninkielestä tulevalla lyhenteellä GDPR (General Data Protection Regulation).

Ennen kuin syvennytään aiheeseen yhtään sen tarkemmin, tulee ottaa selvää, mitä tietosuoja tarkoittaa.

Mitä termi tietosuoja tarkoittaa?

Suomessa on olemassa kansallinen viranomainen, jonka tehtävänä on valvoa tietosuojalainsäädännön noudattamista. Suomessa tämä tehtävä on langennut tietosuojavaltuutetulle. 

Tietosuojavaltuutetun toimiston verkkosivustolla tietosuoja on määritelty näin:

Jokaisella on oikeus henkilötietojensa suojaan. Tietosuoja on perusoikeus, joka turvaa rekisteröidyn oikeuksien ja vapauksien toteutumisen henkilötietojen käsittelyssä. Tietosuojan tarkoituksena on osoittaa, milloin ja millä edellytyksillä henkilötietoja voidaan käsitellä.

Edellä olevasta lainauksesta voidaan siis nähdä, että tietosuoja liittyy läheisesti henkilötietojen käsittelyyn. Tietosuoja osoittaa, milloin ja millä edellytyksellä henkilötietoja saa käsitellä. Lisäksi lainauksesta voidaan nähdä, että tietosuoja on perusoikeus.

Katsotaan henkilötietojen käsittelyä hieman myöhemmin ja perehdytään nyt ensiksi siihen, mitä tarkoitetaan hienolta kuulostavalla retoriikalla siitä, että tietosuoja on perusoikeus.

Tietosuoja perusoikeutena

Tietosuoja perusoikeutena liittyy siihen, että Suomen perustuslaki takaa tiettyjen ns. perusoikeuksien toteutumisen. 

Suomen perustuslain mukaan:

Jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Henkilötietojen suojasta säädetään tarkemmin lailla.

Tietosuoja liittyy siis laajemmin yksityiselämän suojaan, jota halutaan suojata perustuslain tasoisella säännöksellä. Perustuslaki puolestaan on tavallista lakia “hierarkiassa” korkeammalla ja menee tavallisen lain edelle. 

Tämä puolestaan korostaa yksityiselämän ja sitä kautta henkilötietojen suojan merkitystä.

Yksityiselämän suojalla tarkoitetaan esimerkiksi sitä, että jokaisella on oikeus elää omaa elämäänsä niin kuin haluaa ilman, että joku muu siihen aiheettomasti puuttuu. 

Tähän samaan kokonaisuuteen liittyy henkilöä koskevat tiedot. Toista henkilöä koskevia tietoja ei siis voi käyttää miten huvittaa, vaan niille annetaan perustuslain tasolla suojaa luvatonta ja asiatonta käyttöä vastaan. 

Suomessa henkilötietojen suojasta säädetään tarkemmin tietosuojalaissa. Kuten tietosuojalaistakin ilmenee, tietosuojan kannalta keskeinen on kuitenkin Euroopan parlamentin ja neuvoston ns. yleinen tietosuoja-asetus, joka on mainittu jo aiemmin tässä kirjoituksessa.

Tietosuoja ihmisoikeutena

Tietosuoja ei ole suojattu pelkästään perusoikeutena, vaan myös ihmisoikeutena. Euroopan ihmisoikeussopimus takaa samoin suojan henkilön yksityiselämälle ja sitä kautta henkilötiedoille. 

Euroopan ihmisoikeussopimuksen mukaan:

Jokaisella on oikeus nauttia yksityis- ja perhe-elämäänsä, kotiinsa ja kirjeenvaihtoonsa kohdistuvaa kunnioitusta.

Tarkasteltaessa niin Suomen perustuslakia kuin myös Euroopan ihmisoikeussopimusta voidaan tehdä se johtopäätös, että tietosuoja on hyvin keskeinen oikeus, joka saa merkittävää suojaa. 

Tästä herää kysymys, minkä vuoksi tietosuoja on niin tärkeä teema juuri nyt. 

Miksi tietosuoja on niin tärkeä teema juuri nyt?

Tähän kysymykseen on varmaan helpointa vastata pienellä kuvauksella. 

Ajatellaanpa meidän jokaisen yhtä tavallista päivää elämässä.

Heräämme aamulla ja lähdemme töihin. Julkisessa liikennevälineessä “leimaamme” matkalippumme… ja mitä tapahtuu? 

Matkasta jää todennäköisesti jälki. Meistä kerätään tietoja. 

Jatketaanpa päivää. 

Lounastauolla tulee nälkä ja mieli tekee syötävää. Poiketessa lähikaupan kassalle näytetään kanta-asiakaskorttia, ja jälleen lähikauppias on tietoinen ruokavaliostamme.

Kermamunkki ja iso kahvi.

Mielessä tietysti pyörii kysymys, mitä ihmettä se lähikauppiaalle kuuluu, että haluan syödä lounaaksi nyhtökauran sijaan kermamunkin ja vielä kun lähikauppias on tietysti yksi suurimmista konserneista koko maassa.

Koska työpäivän aikana ei someen kerkeä, niin päivitykset voi tehdä sitten kotimatkalla. Koska ahdistus on suuri, niin siinähän sitä tulee kerrottua kaikki isoimmat elämän murheet suuren kansainvälisen yrityksen tarjoamalla sosiaalisen median alustalla. 

Oikeastaan kun tarkemmin miettii, voiko nykypäivänä enää elää ilman, että tietosuoja ei olisi jollakin tapaa läsnä?

Euroopan unioni onkin julkaissut mielenkiintoisen tietolehden, jonka mukaan Euroopassa 250 miljoonaa ihmistä käyttää internetiä joka ikinen päivä. Ei ihme, että henkilötietoja tulee jaettua niin verkkopankissa, verkkokaupassa, sosiaalisessa mediassa kuin muuallakin. 

Ja juuri tästä syystä Euroopan unionissa haluttiin Euroopan kansalaisille paremmat tietosuojaoikeudet.

Tietolehden mukaan henkilötietojen suojan kannalta riskejä ovat nimenomaan henkilötietojen luvaton luovuttaminen, identiteettivarkaudet sekä erilaiset internetissä tapahtuvat väärinkäytökset.

Tähän tarpeeseen tuli voimaan Euroopassa yleinen tietosuoja-asetus 25. päivänä toukokuuta vuonna 2018. Edellä mainitun tietolehden mukaan yleinen tietosuoja-asetus auttaa saamaan henkilötiedot paremmin hallintaan samoin kuin se auttaa parantamaan turvallisuutta niin verkossa kuin muuallakin.

Henkilötiedot – mitä niillä tarkoitetaan?

Tässä kirjoituksessa on jo useampaan kertaan vilahtanut sana henkilötieto tai henkilötiedot. Mitä henkilötiedoilla todellisuudessa tarkoitetaan?

Annetaan yleisen tietosuoja-asetuksen vastata ensimmäistä kertaa tähän kysymykseen.

Yleisen tietosuoja-asetuksen mukaan henkilötiedoilla tarkoitetaan seuraavaa:

‘henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella

Henkilötietoon liittyy edellä todetun perusteella neljä erilaista elementtiä. Henkilötiedon tulee olla:

  • tietoa
  • liittyen
  • tunnistettuun tai tunnistettavissa olevaan
  • luonnolliseen henkilöön

tietosuoja-gdpr-henkilötiedot

Käydään näitä tekijöitä läpi seuraavaksi, jotta saadaan parempi käsitys siitä, mitä henkilötiedoilla suomeksi tarkoitetaan.

Henkilötiedot ovat tietoa

Edellinen väliotsikko sinänsä tuskin pääsee ketään yllättämään.

On kuitenkin hyödyllistä hieman tarkastella sitä, minkä tyyppisestä tiedosta on kyse, jotta pääsee paremmin perille siitä, mitä henkilötiedoilla tarkoitetaan.

Ennen kuin yleinen tietosuoja-asetus tuli voimaan 25.5.2018, oli olemassa ns. tietosuojatyöryhmä WP 29 (artiklan 29 mukainen työryhmä). Tämä työryhmä käsitteli kysymyksiä, jotka koskivat yksilöiden suojelua henkilötietojen käsittelyssä. Työryhmä koostui kunkin EU-maan tietosuojaviranomaisista. 

Vaikka tietosuojatyöryhmän lausunnot eivät tarkoita samaa kuin laki, niistä voidaan nähdä melko hyvin se, miten eri EU-maiden tietosuojaviranomaiset suhtautuvat asioihin, joiden kohteena on tietosuoja.

Tämä työryhmä antoi vuonna 2007 lausuntonsa henkilötietojen käsitteestä.

Tässä lausunnossa on korostettu henkilötietojen olevan “laaja käsite”. Sen katsotaan käsittävän kaikenlaiset lausunnot ja toteamukset tietystä henkilöstä kuten “objektiiviset” tiedot henkilöstä samoin kuin “subjektiiviset” tiedot henkilöstä eli häntä koskevat mielipiteet tai arviot. 

Henkilötiedot kattavat lausunnon mukaan tietyn henkilön yksityis- ja perhe-elämää koskevat tiedot samoin kuin hänen käyttäytymistään koskevat tiedot eli esimerkiksi tiedot taloudellisesta tai sosiaalisesta käyttäytymisestä.

Tiedot voivat olla missä tahansa muodossa, kuten vaikkapa paperilla tai videonauhalla. Samoin ääni- ja kuvatiedot ovat henkilötietoja. 

Henkilötiedot liittyvät henkilöön

Henkilötietojen tulee myös liittyä henkilöön eli tiedon tulee kertoa hänestä. Tämäkin voi kuulostaa aluksi päivänselvältä. 

Tietosuojatyöryhmän lausunnossa on kuitenkin tuotu hyvä esimerkki talon arvosta ja siitä, milloin talon arvo liittyy henkilöön. 

Kun talon arvoa koskevaa tietoa käytetään ainoastaan kuvaamaan kiinteistöjen hintoja tietyllä alueella, ei lausunnon mukaan ole kyse henkilötiedoista. Kun tätä samaa tietoa kuitenkin käytetään määrittämään henkilön verovelvollisuutta, muuttuu myös talon arvo henkilötiedoksi. 

Lausunnossa onkin korostettu kolmea eri tekijää, jolloin kyse on henkilöä koskevasta tiedosta. Ainoastaan yhden täytyy soveltua kulloisessakin tilanteessa, jotta voidaan puhua henkilötiedoista. Lyhyesti mainittuna tekijät ovat ns. sisältö-, tarkoitus- ja tulostekijä. Niitä kuvaillaan lausunnossa seuraavasti:

  • Sisältö-tekijästä on kyse silloin, kun tietystä henkilöstä annetaan tietoja riippumatta siitä, mikä tarkoitus rekisterinpitäjällä tai sivullisella on, tai riippumatta tiedon vaikutuksesta rekisteröityyn. – – Tieto “koskee” henkilöä, kun se “kertoo” hänestä, ja tämä on arvioitava kaikkien asiaan liittyvien seikkojen valossa.
  • Tarkoitus-tekijän voidaan katsoa olevan olemassa, kun tietoja käytetään tai todennäköisesti käytetään – ottaen huomioon kaikki kyseiseen tapaukseen liittyvät seikat – tarkoituksena arvioida tai kohdella tietyllä tavalla kyseistä henkilöä tai vaikuttaa hänen asemaansa tai käyttäytymiseensä.
  • Vaikka sisältö- ja tarkoitus-tekijöitä ei olisikaan, tietojen voidaan katsoa “koskevan” tiettyä henkilöä sillä perusteella, että niiden käyttö todennäköisesti vaikuttaa hänen oikeuksiinsa ja etuihinsa, kun otetaan huomioon kaikki kyseiseen asiaan liittyvät seikat. On syytä huomata, että mahdollisen vaikutuksen ei tarvitse olla suuri. Riittää, että kyseistä henkilöä saatetaan kohdella eri tavoin kuin muita siksi, että näitä tietoja on käsitelty. 

Henkilötiedot liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön

Jotta tietty tieto olisi henkilötieto, tulee sen liittyä tunnistettuun tai tunnistettavissa olevaan henkilöön. 

Mitä näillä käsitteillä tarkoitetaan?

Tunnistetusta henkilöstä voidaan puhua tietosuojatyöryhmän lausunnon mukaan silloin, kun “hän “erottuu” muista samaan ryhmään kuuluvista henkilöistä”. Henkilö on puolestaan tunnistettavissa, kun “hänet on mahdollista tunnistaa vaikka näin ei olisi vielä tapahtunut”. 

Edellä olevasta voidaan tehdä se johtopäätös, että ratkaisevaa sen kannalta, onko tieto henkilötieto vai ei, on se, onko tiedon pohjalta mahdollista tunnistaa henkilöä, vaikka niin ei olisi vielä tapahtunut.

Henkilön ei siis tule vielä olla tunnistettu, vaan olennaista on se, voidaanko hänet tiedon perusteella tunnistaa. Henkilön tunnistaminen kuitenkin riippuu myös tilanteesta ja asiayhteydestä. 

Suomen kansalaisten joukosta on vaikea tunnistaa kenestä Jukasta puhutaan, mutta pienessä koululuokassa sen ainoan Jukan tunnistaminen on melko helppo tehtävä.

Jos henkilö voidaan tiedon perusteella tunnistaa, kyse on henkilötiedosta. 

Kuten yleisestä tietosuoja-asetuksesta käy suoraan ilmi: 

Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella. (kursivointi kirjoittajan)

Edellä olevassa lainauksessa puhutaan suorasta tunnistamisesta. Useimmiten henkilö on tunnistettavissa suoraan hänen nimensä perusteella. Välillä nimeen kuitenkin joudutaan yhdistämään muita tietoja kuten osoitetiedot, jotta henkilö voidaan tunnistaa.

Aina henkilö ei kuitenkaan ole tunnistettavissa suoraan, mutta hän voi olla epäsuorasti tunnistettavissa. Tietosuojatyöryhmän lausunnon mukaan henkilö voi olla tunnistettavissa epäsuorasti, kun tietty tieto yhdistetään muihin tietoihin, joiden ei tarvitse olla rekisterinpitäjän hallussa. 

Esimerkki

Ajatellaanpa yhtä esimerkkiä. Sinulle soitetaan tavallisesta puhelinnumerosta. Tiedätkö suoraan, kuka sinulle soittaa? 

Tuskinpa, ellei numero juuri satu olemaan mielessä. 

Mikäli todella haluat saada selville, kuka sinulle soitti… Mitä teet ensimmäiseksi? 

Todennäköisesti hankit tiedon numeropalvelusta. 

Toisin sanoen henkilö, joka sinulle soitti, on epäsuorasti tunnistettavissa ja näin ollen puhelinnumero muodostaa henkilötiedon.

Henkilötiedot liittyvät luonnolliseen henkilöön

Viimeinen kriteeri sille, mikä muodostaa henkilötiedon, liittyy siihen, että tiedon on koskettava luonnollista henkilöä eli toisin sanoen ihmistä. 

Niinpä oikeushenkilöitä eli yrityksiä koskevat tiedot eivät ole pääsääntöisesti henkilötietoja. Edellä mainitun tietosuojatyöryhmän lausunnon mukaan, jos:

oikeushenkilöä tai yritystä koskevien tietojen voidaan “sisällön”, “tarkoituksen” tai “tuloksen” perusteella katsoa “koskevan” luonnollista henkilöä, niitä on pidettävä henkilötietoina, ja tietosuojasääntöjä on sovellettava.

Tähän mennessä on tullut jotakuin selväksi, että tietosuoja on tällä hetkellä “trendikäs” teema, josta puhutaan paljon. Sen lisäksi henkilötietojamme on saatavilla yhä enenevässä määrin monissa eri paikoissa. Samoin olemme käsitelleet sitä, mikä muodostaa henkilötiedon. Mielessä voi olla kysymys:

Miten tämä oikeastaan liittyy minuun?

Henkilötietojen käsittely

Koko kirjoituksen ideana on oikeastaan antaa mahdollisuus oivaltaa, että tietosuoja, henkilötiedot jne. kuuluvat meidän kunkin yksityiselämään, eikä niitä saa toiset käyttää, miten heitä huvittaa. Pointti on se, että sinun pitäisi saada päättää, miten sinua koskevia tietoja käytetään. 

Sen vuoksi yleinen tietosuoja-asetus määrittelee, milloin joku toinen saa “käsitellä” henkilötietojamme. 

Mutta mitä tarkoittaa henkilötietojen käsittely? 

Yleinen tietosuoja-asetus määrittelee sen, mitä juridisessa mielessä pidetään henkilötietojen käsittelynä. Yleisen tietosuoja-asetuksen mukaan:

Tässä asetuksessa tarkoitetaan

2) ’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista

Tästä lainauksesta voidaan nähdä, että käsittely on hyvin laaja käsite. Se sisältää erilaisia henkilötietoihin kohdistuvia toimintoja. Tällaisia toimintoja ovat muun muassa tietojen kerääminen sinulta, sinua koskevien tietojen tallentaminen, sinua koskevien tietojen säilyttäminen, sinua koskevien tietojen luovuttaminen jne.

Minua koskevien tietojen luovuttaminen jne.?

Kenelle? 

Ei kuulosta kauhean mukavalta. 

Voidaanko minua koskevia tietoja luovuttaa kenelle huvittaa ilman omaa lupaani?

Ei voida.

Ja se on koko yleisen tietosuoja-asetuksen pointti. Tälle koko “käsittelyä” koskevalle “toiminnalle” on oltava lainmukainen peruste ja niitä käydään läpi seuraavaksi.

Henkilötietojen käsittelyn lainmukaisuus

Jotta sinua koskevia henkilötietoja voitaisiin käsitellä, käsittelylle on oltava lainmukainen peruste. 

Nämä perusteet on lueteltu yleisen tietosuoja-asetuksen 6 artiklassa seuraavasti:

Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy: 

a) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten 

b) käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä 

c) käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi 

d) käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi 

e) käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi 

f) käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi. 

Katsotaan näitä perusteita, jotka tekevät henkilötietojen käsittelyn lainmukaiseksi nyt yksi kerrallaan. Ensimmäisenä mainittua suostumusta on hyvä sen jälkeen käydä läpi hieman perusteellisemmin.

Suostumus henkilötietojen käsittelyn perusteena

Lyhyesti sanottuna, kun henkilö itse antaa suostumuksensa henkilötietojensa käsittelyyn, henkilötietoja voidaan käsitellä. 

Aina asia ei kuitenkaan ole näin yksinkertainen ja sen vuoksi suostumuksen antamiseen palataan sen jälkeen, kun on saatu muut perusteet käsiteltyä.

Sopimus henkilötietojen käsittelyn perusteena

Toinen lainmukainen henkilötietojen käsittelyperuste on sopimus. Kuvittelepa vaikka tilannetta, jossa yritys A haluaa myydä kuluttaja B:lle tuotteen osoitteeseen C. 

Jos yrityksellä ei olisi mahdollisuutta käsitellä henkilön B nimi- ja osoitetietoja, miten yritys pystyisi toimittamaan B:lle hänen tilaamansa tuotteen?

Tai jos maksun välittävällä yrityksellä ei olisi oikeutta käsitellä näitä tietoja? 

Tuote jäisi hyvin todennäköisesti yrityksen varastoon, eikä B:kään olisi iloinen. Tästä syystä sopimus oikeuttaa käsittelemään tiettyjä henkilötietoja.

Lakisääteinen velvoite henkilötietojen käsittelyn perusteena

Kolmas peruste henkilötietojen käsittelylle on lakisääteinen velvoite. 

Ajatellaanpa vaihteeksi yritystä nimelta Y Oy. 

Y Oy haluaisi palkata työntekijöitä sekä ilmoittaa viranomaisille työntekijöitä koskevia tietoja, joita heidän tulee lain mukaan viranomaisille luovuttaa. 

Jättääkö Y Oy työntekijät palkkaamatta, koska esteeksi muodostuu tietosuoja?

Tässä ei olisi mitään järkeä. Y Oy voi palkata työntekijät ja hoitaa samalla lakisääteiset velvoitteensa.

Elintärkeiden etujen suojaaminen henkilötietojen käsittelyn perusteena

Tässä tilanteessa kysymys voi olla esimerkiksi luonnonkatastrofista, jonka vuoksi henkilötietojen käsittely on perusteltua.

Yleistä etua koskeva tehtävä ja julkisen vallan käyttäminen

Tämä käsittelyperuste viittaa esimerkiksi tilanteeseen, jossa on kyse Suomen valtion edusta. 

Rekisterinpitäjän oikeutettu etu henkilötietojen käsittelyn perusteena

Vielä viimeinen peruste, joka oikeuttaa käsittelemään henkilötietoja, on rekisterinpitäjän oikeutettu etu.

Mistä tässä perusteessa on kyse?

tietosuoja-perusteet-henkilötietojen-käsittelylle

Oikeutettu etu ja GDPR

Yleisessä tietosuoja-asetuksessa rekisterinpitäjän oikeutettua etua on kuvailtu seuraavasti:

Tällainen oikeutettu etu voi olla olemassa esimerkiksi, kun rekisteröidyn ja rekisterinpitäjän välillä on merkityksellinen ja asianmukainen suhde, kuten että rekisteröity on rekisterinpitäjän asiakas tai tämän palveluksessa. Oikeutetun edun olemassaoloa on joka tapauksessa arvioitava huolellisesti; on arvioitava muun muassa, voiko rekisteröity kohtuudella odottaa henkilötietojen keruun ajankohtana ja sen yhteydessä, että henkilötietoja voidaan käsitellä tätä tarkoitusta varten. Etenkin rekisteröidyn edut ja perusoikeudet voisivat syrjäyttää rekisterinpitäjän edun, jos henkilötietoja käsitellään olosuhteissa, joissa rekisteröity ei voi kohtuudella odottaa jatkokäsittelyä. Koska lainsäätäjän tehtävä on vahvistaa lailla käsittelyn oikeusperuste, jonka nojalla viranomaiset voivat käsitellä henkilötietoja, tätä käsittelyn oikeusperustetta ei olisi sovellettava viranomaisten tehtäviensä yhteydessä suorittamaan tietojenkäsittelyyn. Ehdottoman välttämätön henkilötietojen käsittely petosten estämistarkoituksissa on myös asianomaisen rekisterinpitäjän oikeutetun edun mukaista. Henkilötietojen käsittelyä suoramarkkinointitarkoituksissa voidaan pitää oikeutetun edun toteuttamiseksi suoritettuna.

Milloin kyseessä voi olla rekisterinpitäjän oikeutettu etu?

Edellä olevasta lainauksesta voidaan nähdä, että rekisterinpitäjän oikeutettu etu voi olla kyseessä, kun:

  • rekisteröidyn (kenen tietoja käsitellään) ja rekisterinpitäjän (se kuka määrittelee tietojen keruun tarkoitukset ja keinot) välillä on merkityksellinen ja asianmukainen suhde eli esimerkiksi rekisteröity on rekisterinpitäjän asiakas
  • rekisteröidyn edut eivät syrjäytä rekisterinpitäjän etua
  • kyse on esimerkiksi suoramarkkinoinnista

Kun nyt kaikki kuusi eri perustetta on saatu lyhyesti käytyä läpi, on hyvä kiinnittää hetkeksi vielä huomiota suostumukseen. Tietyissä tilanteissa saattaa olla niin, ettei esimerkiksi tietty yritys löydä yhtäkään perustetta, jolla henkilötietoja saataisiin käsitellä ja tällöin henkilötietojen käsittelyyn on saatava henkilön suostumus.

Onko sillä mitään väliä, miten suostumus annetaan? 

Katsotaan tätä seuraavaksi. 

Suostumus henkilötietojen käsittelyyn erityistarkastelussa

Pieni varoituksen sana jo tässä vaiheessa. 

Jos yrityksesi on perustamassa henkilötietojen käsittelyn ainoastaan henkilön suostumukseen niin, voi olla niin, että suostumuksen hankkiminen ei ole aivan niin yksinkertaista kuin alkuun voisi ajatella.

Tämä johtuu seuraavista kolmesta eri syystä:

  • Ensinnäkin yleisessä tietosuoja-asetuksessa on suostumusta koskeva määritelmä.
  • Toiseksi yleisessä tietosuoja-asetuksessa on erilaisia edellytyksiä suostumuksen hankkimiselle.
  • Ja kolmanneksi, jo edellä mainittu tietosuojatyöryhmä on antanut omat suostumusta koskevat suuntaviivansa. Vaikka voidaankin sanoa, etteivät nämä suuntaviivat ole “laki”, on kyse kuitenkin eri EU-maiden tietosuojaviranomaisten yhteistyöelimestä ja se vähintään antaa suuntaa siitä, mikä on tietosuojaviranomaisten kanta suostumusta koskevissa kysymyksissä. 

Toisin sanoen, kun yrityksellä on mielessä tietosuoja ja kun yritys haluaa hankkia tiettyjen henkilöiden suostumuksen jotakin tarkoitusta varten, on yrityksessä hyvä pohtia asiaa edellä mainittujen kolmen eri seikan valossa. Näitä kolmea eri seikkaa pohditaan seuraavaksi yhtaikaa tarkasteltaessa suostumuksen määritelmää yleisen tietosuoja-asetuksen mukaan.

Suostumuksen määritelmä yleisessä tietosuoja-asetuksessa

Miten suostumus on määritelty yleisessä tietosuoja-asetuksessa?

Yleinen tietosuoja-asetus määrittelee suostumuksen seuraavasti:

Tässä asetuksessa tarkoitetaan

11) rekisteröidyn ’suostumuksella’ mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen

Tarkastellaan nyt mitä tarkoitetaan:

  • vapaaehtoisella
  • yksilöidyllä
  • tietoisella ja
  • yksiselitteisellä suostumuksella

(Kuten jo edellä olevista neljästä kriteeristä nähdään, yhtäkkiä suostumusta koskeva teema on muodostumassa melkoisen monimutkaiseksi.)

Vapaaehtoinen suostumus

Voisi kuvitella, että vapaaehtoisen suostumuksen antaminen on tietosuojamielessä suhteellisen helppo kysymys. Henkilö antaa vapaaehtoisesti suostumuksensa ja sillä hyvä. Sen jälkeen henkilötietoja voi käyttää. 

Asia ei kuitenkaan ole ihan näin.

Aiemmin mainittu tietosuojatyöryhmä on nimittäin jaotellut vapaaehtoisuudenkin neljään eri kriteeriin omissa suostumusta koskevissa suuntaviivoissaan

Nämä ovat

  • vallan epätasapaino
  • ehdollisuus
  • tarkkuus ja
  • haitta

Tutustutaan näihin heti tarkemmin.

Vallan epätasapaino

Yksi esimerkki tilanteesta, jossa voi olla kyseessä ns. vallan epätasapaino -tilanne on työsuhde

Tällöin työntekijä voi olla tosiasiallisesti tietosuojatyöryhmän mukaan tilanteessa, jossa rekisteröity (työntekijä) ei voi esimerkiksi pelosta johtuen kieltäytyä suostumuksen antamisesta. Esimerkiksi kameravalvontaa koskevassa kysymyksessä työntekijä voi tietosuojatyöryhmän käsityksen mukaan mahdollisesti tuntea painostusta suostumuksensa antamiseen.

Tietosuojatyöryhmä onkin katsonut, että tällaisissa tilanteissa tietojenkäsittelyn perusteena ei tulisi olla työntekijöiden suostumus työsuhteen luonteesta johtuen. Tätä ei tule kuitenkaan tulkita niin, etteikö työnantajilla missään tilanteissa koskaan olisi mahdollisuutta nojautua suostumuksen antamiseen henkilötietojen käsittelyn perusteena. Tällaisessa tilanteessa työntekijälle ei tulisi kuitenkaan koitua minkäänlaisia haitallisia seuraamuksia siitä, ettei työntekijä anna suostumustaan omien henkilötietojensa käyttöön.

Vallan epätasapaino tilanteessa onkin tietosuojatyöryhmän mukaan kyse tilanteesta, johon liittyy pakottamista, painostusta tai kyvyttömyyttä harjoittaa vapaata tahtoa, ja tällöin kyse ei voi olla vapaaehtoisen suostumuksen antamista. 

Ehdollisuus

Toinen tietosuojatyöryhmän suostumuksen vapaaehtoisuutta koskeva kriteeri on suostumuksen ehdollisuus tai oikeammin, ettei suostumus saa olla ehdollinen. 

Tällä kriteerillä on tietosuojatyöryhmän käsityksen mukaan liityntää yleisen tietosuoja-asetuksen 7 artiklan 4 kohtaan, jonka mukaan:

Arvioitaessa suostumuksen vapaaehtoisuutta on otettava mahdollisimman kattavasti huomioon muun muassa se, onko palvelun tarjoamisen tai muun sopimuksen täytäntöönpanon ehdoksi asetettu suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten.

Tietosuojatyöryhmän mukaan edellä mainitulla kohdalla tarkoitetaan sitä, ettei henkilöä voida pakottaa hyväksymään muiden kuin palvelun kannalta välttämättömien henkilötietojen käyttöä.

Tietosuojatyöryhmä on omissa suuntaviivoisaan tuonut esiin esimerkin, jonka mukaan esimerkiksi pankki ei voi pyytää pankkipalveluja tarjotessaan suostumusta henkilötietojen luovuttamiseen muulle taholle suoramarkkinointitarkoitukseen, jos asiakkaan kieltäytymisestä on seurauksena pankkipalvelujen epääminen.

Tietosuojatyöryhmän mukaan onkin niin, että jos rekisterinpitäjä käsittelee henkilötietoja, jotka ovat tarpeen sopimuksen täytäntöönpanemiseksi, suostumus ei ole edes oikea peruste henkilötietojen käsittelemiseksi. Käsittelyhän perustuu sopimukseen ja silloin sopimus on henkilötietojen käsittelyperuste. 

Tällaisessa tilanteessa suostumusta ei edes sinänsä tarvita henkilötietojen käsittelemiseen. Näinhän on esimerkiksi tilanteessa, jossa asiakas on tehnyt luottosopimuksen ja haluaa nyt maksaa ostoksensa luottokortilla. Tällöin on itsestäänselvää, että luottokorttitietoja voidaan käsitellä, eikä erillistä “suostumusta” tarvita. Jos asiakas ei tällaisessa tilanteessa “suostu” siihen, että luottokorttitietoja käsitellään, häneltä voidaan evätä luottokorttipalvelu.

Tarkkuus

Tarkkuuden osalta kyse on siitä, mitä mainitaan yleisen tietosuoja-asetuksen ns. johdanto-osan 32 kappaleessa:

Suostumuksen olisi katettava kaikki käsittelytoimet, jotka toteutetaan samaa tarkoitusta tai samoja tarkoituksia varten. Jos käsittelyllä on useita tarkoituksia, suostumus olisi annettava kaikkia käsittelytarkoituksia varten.

Toisin sanoen, kun rekisterinpitäjä käsittelee henkilötietoja useita tarkoituksia varten, tulee suostumus pyytää kuhunkin tarkoitukseen erikseen.

Esimerkiksi voidaan ottaa verkkokauppa, joka haluaa lähettää uutiskirjeen omille asiakkailleen sekä jakaa asiakkaita koskevat tiedot saman konsernin muille yrityksille.

Tässä tilanteessa verkkokaupan on hankittava uutiskirjettä varten oma suostumus ja toinen erillinen suostumus asiakkaiden tietojen jakamiseen saman konsernin muille yrityksille. Tietosuojatyöryhmän mukaan asiakastietojen jakamiseen saman konsernin muille yrityksille markkinointitarkoitusta varten tulee vielä yksilöidä kukin yritys.

Haitta 

Haitalla puolestaan on liityntä yleisen tietosuoja-asetuksen johdanto-osan kappaleeseen 42, jonka mukaan:

Suostumusta ei voida pitää vapaaehtoisesti annettuna, jos rekisteröidyllä ei ole todellista vapaan valinnan mahdollisuutta ja jos hän ei voi myöhemmin kieltäytyä suostumuksen antamisesta tai peruuttaa sitä ilman, että siitä aiheutuu hänelle haittaa.

Tietosuojatyöryhmän esimerkin mukaan tällaisessa tilanteessa voi olla kyse vaikkapa jonkun mobiilisovelluksen ominaisuudesta, joka kerää henkilötietoja, mutta ei ole ollenkaan tarpeellinen sovelluksen käyttämiseksi. Mikäli henkilö peruuttaa suostumuksensa tällaisten tietojen keräämiseen ja sovellus alkaa sen jälkeen toimimaan vain rajoitetusti, on tietosuojatyöryhmän mukaan kyse tilanteesta, jossa suostumusta ei ole hankittu pätevästi.

Edellä on siis käsitelty neljää kriteeriä, joiden perusteella sopimus on tehty vapaaehtoisesti… ei vallan epätasapainoa, ei ehdollisuutta, suostumus on tarkkarajainen, eikä aiheuta haittaa.

Tämä ei kuitenkaan riitä siihen, että suostumus olisi pätevä. Suostumuksen on oltava myös yksilöity, jotta henkilön tietosuoja tulisi kunnioitetuksi.

Yksilöity suostumus

Yksilöidyllä suostumuksella on tietosuojatyöryhmän mukaan liityntä yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan a alakohtaan, joka kuuluu seuraavasti:

rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten

Samoin yksilöidyllä suostumuksella viitataan siihen, mitä todetaan yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdassa:

Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia

b) ne on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla

Yksilöidyllä suostumuksella tarkoitetaan siis sitä, että henkilö antaa aina suostumuksen tiettyä tarkoitusta varten. Mikäli rekisterinpitäjä haluaa myöhemmin käyttää henkilötietoja johonkin muuhun tarkoitukseen, tulee tähän muuhun tarkoitukseen hankkia uusi suostumus.

Samoin, jos suostumusta pyydetään useisiin tarkoituksiin samalla kertaa, henkilön tulisi tietosuojatyöryhmän mukaan saada valita, mihin tarkoituksiin hän suostuu ja mihin ei. Lisäksi kutakin tarkoitusta varten tulisi eritellä, mitä henkilötietoja kutakin tarkoitusta varten käsitellään.

Tietoinen suostumus

Vaatimus henkilön tietoisuudesta liittyy tietosuojatyöryhmän mukaan siihen, että henkilön, joka suostumuksensa antaa, tulee ymmärtää mitä hän hyväksyy. 

Toisin sanoen henkilön täytyy ymmärtää, mihin hän suostumuksensa antaa. 

Jotta suostumus olisi tietoinen, tietosuojaryhmän mukaan henkilölle on toimitettava seuraavat tiedot:

  • rekisterinpitäjän henkilöllisyys
  • kunkin sellaisen käsittelytoiminnon tarkoitus, johon suostumusta pyydetään
  • mitä (minkä tyyppisiä) tietoja kerätään ja käytetään
  • suostumuksen peruuttamista koskevan oikeuden olemassaolo
  • tarvittaessa selvitys tietojen käytöstä automatisoituihin päätöksiin 22 artiklan 2 kohdan c alakohdan mukaisesti
  • tiedot mahdollisista tiedonsiirtojen riskeistä, jotka johtuvat tietosuojan tason riittävyyttä koskevan päätöksen ja 46 artiklassa tarkoitettujen asianmukaisten suojatoimien puuttumisesta

Tietosuojatyöryhmän mukaan nämä tiedot tulee toimittaa henkilölle sopusoinnussa yleisen tietosuoja-asetuksen 7 artiklan 2 kohdan kanssa, jonka mukaisesti:

Jos rekisteröity antaa suostumuksensa kirjallisessa ilmoituksessa, joka koskee myös muita asioita, suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Mikään tätä asetusta rikkova osa sellaisesta ilmoituksesta ei ole sitova.

Tietosuojatyöryhmän mukaan tällä vaatimuksella tarkoitetaan sitä, että suostumusta pyydettäessä “keskivertohenkilön” tulee voida ymmärtää, mihin hän on suostumassa, eikä vain lakimiehen.

Kun suostumusta pyydetään osana paperimuodossa olevaa sopimusta, suostumuksen antamista koskevan pyynnön tulee erottua selvästi muista asioista. 

Jos suostumusta pyydetään sähköisesti, pätee tietosuojatyöryhmän mukaan yleisen tietosuoja-asetuksen johdanto-osan 32 kappaleessa todettu:

Jos rekisteröidyn on annettava suostumuksensa sähköisen pyynnön perusteella, pyynnön on oltava selkeä ja tiiviisti esitetty eikä se saa tarpeettomasti häiritä sen palvelun käyttöä, jota varten se annetaan.

Yksiselitteinen suostumus

Yksiselitteisellä suostumuksella tarkoitetaan tietosuojatyöryhmän mukaan sitä, että suostumus annetaan aktiivisella toimenpiteellä tai ilmoituksella.

Tämä liittyy siihen, mitä yleisen tietosuoja-asetuksen johdanto-osan kappaleessa 32 todetaan:

Suostumus olisi annettava selkeästi suostumusta ilmaisevalla toimella, kuten kirjallisella, mukaan lukien sähköisellä, tai suullisella lausumalla, josta käy ilmi rekisteröidyn vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla hän hyväksyy henkilötietojensa käsittelyn. Toimi voisi esimerkiksi olla se, että rekisteröity rastittaa ruudun vieraillessaan internetsivustolla, valitsee tietoyhteiskunnan palveluiden teknisiä asetuksia tai esittää minkä tahansa muun lausuman tai toimii tavalla, joka selkeästi osoittaa tässä yhteydessä, että hän hyväksyy henkilötietojensa käsittelyä koskevan ehdotuksen. Suostumusta ei sen vuoksi pitäisi voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta.

Tässä on nyt käsitelty kaikkia niitä edellytyksiä, jotka tietosuojatyöryhmän mukaan vaaditaan pätevän suostumuksen saamiseksi. Suostumuksen tulee siis olla:

  • vapaaehtoinen
  • yksilöity
  • tietoinen sekä 
  • yksiselitteinen

Suostumus on peruutettavissa

Rekisterinpitäjän on kuitenkin syytä muistaa, että suostumus on aina peruutettavissa. Yleisen tietosuoja-asetuksen 6 artiklan 3 kohdan mukaan:

Rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa. Suostumuksen peruuttaminen ei vaikuta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen. Ennen suostumuksen antamista rekisteröidylle on ilmoitettava tästä. Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen.

Yleisessä tietosuoja-asetuksessa puhutaan kuitenkin vielä yhdestä suostumuksen muodosta. Tämä suostumuksen muoto tulee esiin silloin, kun käsitellään arkaluontoisia henkilötietoja.

Mitä ovat arkaluonteiset henkilötiedot? 

Tietosuoja ja arkaluonteiset henkilötiedot

Yleinen tietosuoja-asetus käyttää niistä tiedoista, joita tässä blogikirjoituksessa nimitetään arkaluonteisiksi henkilötiedoiksi, nimitystä erityiset henkilötietoryhmät. Kyse on yleisen tietosuoja-asetuksen 9 artiklasta. 

Yksinkertaisuuden vuoksi tässä blogissa käytetään nimitystä arkaluonteiset henkilötiedot.

Näistä arkaluonteisista henkilötiedoista kerrotaan yleisen tietosuoja-asetuksen 9 artiklassa seuraavaa:

Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä.

tietosuoja-arkaluonteiset-henkilotiedot

Edellytykset arkaluonteisten henkilötietojen käsittelylle

Näitä arkaluonteisia henkilötietoja saa kuitenkin käsitellä, jos jokin seuraavista edellytyksistä täyttyy:

  • rekisteröity on antanut nimenomaisen suostumuksensa kyseisten henkilötietojen käsittelyyn yhtä tai useampaa tiettyä tarkoitusta varten, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä säädetään, että 1 kohdassa tarkoitettua kieltoa ei voida kumota rekisteröidyn suostumuksella
  • käsittely on tarpeen rekisterinpitäjän tai rekisteröidyn velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla, siltä osin kuin se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä tai jäsenvaltion lainsäädännön mukaisessa työehtosopimuksessa, jossa säädetään rekisteröidyn perusoikeuksia ja etuja koskevista asianmukaisista suojatoimista
  • käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan
  • käsittely suoritetaan poliittisen, filosofisen, uskonnollisen tai ammattiliittotoimintaan liittyvän säätiön, yhdistyksen tai muun voittoa tavoittelemattoman yhteisön laillisen toiminnan yhteydessä ja asianmukaisin suojatoimin, sillä edellytyksellä, että käsittely koskee ainoastaan näiden yhteisöjen jäseniä tai entisiä jäseniä tai henkilöitä, joilla on yhteisöihin säännölliset, yhteisöjen tarkoituksiin liittyvät yhteydet, ja että henkilötietoja ei luovuteta yhteisön ulkopuolelle ilman rekisteröidyn suostumusta
  • käsittely koskee henkilötietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi

Vasta puolivälissä…

  • käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi tai aina, kun tuomioistuimet suorittavat lainkäyttötehtäviään
  • käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi
  • käsittely on tarpeen ennalta ehkäisevää tai työterveydenhuoltoa koskevia tarkoituksia varten, työntekijän työkyvyn arvioimiseksi, lääketieteellisiä diagnooseja varten, terveys- tai sosiaalihuollollisen hoidon tai käsittelyn suorittamiseksi taikka terveys- tai sosiaalihuollon palvelujen ja järjestelmien hallintoa varten unionin oikeuden tai jäsenvaltion lainsäädännön perusteella tai terveydenhuollon ammattilaisen kanssa tehdyn sopimuksen mukaisesti ja noudattaen 3 kohdassa esitettyjä edellytyksiä ja suojatoimia
  • käsittely on tarpeen kansanterveyteen liittyvän yleisen edun vuoksi, kuten vakavilta rajatylittäviltä terveysuhkilta suojautumiseksi tai terveydenhuollon, lääkevalmisteiden tai lääkinnällisten laitteiden korkeiden laatu- ja turvallisuusnormien varmistamiseksi sellaisen unionin oikeuden tai jäsenvaltion lainsäädännön perusteella, jossa säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn oikeuksien ja vapauksien, erityisesti salassapitovelvollisuuden, suojaamiseksi
  • käsittely on tarpeen yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä ja historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi

Jatketaan kirjoituksen kanssa…

Tässä blogikirjoituksessa ei lähdetä tarkastelemaan näitä perusteita lähemmin kuin ainoastaan ensimmäisen perusteen osalta, jossa ilmaistaan, että henkilön nimenomainen suostumus oikeuttaa käsittelemään arkaluonteisia henkilötietoja.

Tämä johtuu siitä, että jos edellä mainituista kohdista b) – j) mikään kohta ei sovellu, jää ainoaksi mahdollisuudeksi henkilötietojen käsittelyyn kohdan a) mukainen nimenomainen suostumus.

Mitä tämä nimenomainen suostumus pitää sisällään?

Nimenomainen suostumus ja tietosuoja

Tietosuojatyöryhmän ns. suostumusta koskevissa suuntaviivoissa on tuotu esiin, että selvä osoitus nimenomaisesta suostumuksesta on esimerkiksi rekisteröidyn allekirjoittama kirjallinen lausuma, jonka myötä suostumuksesta ei jää myöhemmin epäilystä tai näytön puutetta.

Rekisteröidyn allekirjoittama kirjallinen lausuma ei kuitenkaan ole ainoa tapa antaa nimenomainen suostumus. Nimenomainen suostumuskin voidaan antaa digitaalisessa tai verkkoympäristössä, sähköisellä lomakkeella, sähköpostilla, sähköisesti allekirjoittamalla ja jopa suullisesti. 

Yhtä kaikki nimenomaiselle suostumukselle on keskeistä se, että se on yksiselitteinen.

Tietosuojatyöryhmän mukaan esimerkiksi verkkosivustolla, jossa voi valita vaihtoehdoista “kyllä” ja “ei”, suostumus ei ole ilmaistu riittävän selvästi lausumalla “minulle on selvää, että tietojani käsitellään”, vaan lausuma täytyisi olla pikemmin muodossa “annan täten suostumukseni tietojen käsittelyyn”. Samoin suostumuksen on muuten täytettävä edellä käsitellyt pätevän suostumuksen kriteerit.

Suostumuksen osoittaminen

Riippumatta siitä, minkälaisen suostumuksen rekisterinpitäjä on hankkinut, yleinen tietosuoja-asetus edellyttää, että rekisterinpitäjä pystyy toimimaan sopusoinnussa yleisen tietosuoja-asetuksen 7 artiklan 1 kohdan kanssa:

Jos tietojenkäsittely perustuu suostumukseen, rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn.

Tämä tarkoittaa rekisterinpitäjälle sitä, että on hänen vastuullaan huolehtia siitä, että hän pystyy tarvittaessa näyttämään toteen, että on hankkinut rekisteröidyltä suostumuksen henkilötietojen käsittelyyn. 

Blogikirjoituksessa on nyt keskitytty melkoisella tavalla suostumuksen käsitteeseen. Rekisterinpitäjällä on kuitenkin myös muita velvollisuuksia. 

Katsotaan seuraavaksi, mitä tietoja rekisteröidylle on toimitettava silloin, kun hänen henkilötietojaan käsitellään.

Rekisteröidylle toimitettavat tiedot

Yleisen tietosuoja-asetuksen 13 ja 14 artikloissa säädetään tiedoista, jotka on toimitettava rekisteröidylle. Nämä tiedot sisältävästä ilmoituksesta käytetään esimerkiksi monilla verkkosivustoilla nimeä tietosuojaseloste.

Yleisen tietosuoja-asetuksen 13 artiklassa on säännös sellaista tilannetta varten, jossa henkilötiedot saadaan rekisteröidyltä itseltään. 14 artiklassa puolestaan on kyse tilanteesta, jossa henkilötiedot saadaan muualta kuin rekisteröidyltä itseltään.

Milloin ilmoitus on rekisteröidylle toimitettava?

Yleisen tietosuoja-asetuksen mukainen tietosuoja edellyttää sitä, että 13 artiklan mukaisessa tilanteessa ko. artiklan vaatimat tiedot annetaan henkilölle silloin, kun henkilötietoja häneltä saadaan. 

14 artiklan mukaisessa tilanteessa, jossa henkilötiedot on saatu muualta kuin henkilöltä itseltään, ilmoitus on annettava kohtuullisen ajan kuluessa, mutta viimeistään kuukauden kuluessa henkilötietojen saamisesta.

14 artiklassa asiaan on kuitenkin kaksi poikkeusta nimittäin:

  • jos henkilötietoja käytetään viestintään asianomaisen rekisteröidyn kanssa, ilmoitus on annettava viimeistään silloin kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran tai
  • jos henkilötietoja on tarkoitus luovuttaa toiselle vastaanottajalle, viimeistään silloin kun näitä tietoja luovutetaan ensimmäisen kerran.

Tietyissä poikkeustilanteissa ilmoituksen mukaisia tietoja ei ole kuitenkaan annettava rekisteröidylle.

Katsotaan nämä lyhyesti läpi seuraavassa.

Poikkeukset ilmoitusvelvollisuuteen

Kun henkilötietoja saadaan henkilöltä itseltään (13 artikla), ilmoitusvelvollisuutta ei sovelleta, jos ja siltä osin kuin rekisteröity on jo saanut tiedot. Tämä on siis ainoa ilmoitusvelvollisuudesta poikkeamiseksi säädetty peruste silloin, kun henkilötiedot on saatu rekisteröidyltä itseltään.

Kun henkilötietoja ei ole saatu rekisteröidyltä itseltään (14 artikla), on poikkeuksia useampia. Ne ovat yleisen tietosuoja-asetuksen mukaisesti seuraavat:

Rekisteröity on jo saanut tiedot

  • rekisteröity on jo saanut tiedot

Tällä perusteella tarkoitetaan samaa kuin edellä 13 artiklan kohdalla.

Mahdottomuus ja kohtuuttomuus

  • kyseisten tietojen toimittaminen osoittautuu mahdottomaksi tai vaatisi kohtuutonta vaivaa, erityisesti kun käsittely tapahtuu yleisen edun mukaisia arkistointitarkoituksia tai tieteellisiä ja historiallisia tutkimustarkoituksia taikka tilastollisia tarkoituksia varten siten, että noudatetaan 89 artiklan 1 kohdassa esitettyjä edellytyksiä ja suojatoimia, tai niiltä osin kuin tämän artiklan 1 kohdassa tarkoitettu velvollisuus todennäköisesti estää kyseisten yleisen edun mukaisten arkistointitarkoitusten tai tieteellisten ja historiallisten tutkimustarkoitusten taikka tilastollisten tarkoitusten saavuttamisen tai vaikeuttaa sitä suuresti; tällaisissa tapauksissa rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi, mukaan lukien kyseisten tietojen saattaminen julkisesti saataville

Mahdottomuus tarkoittaa tietosuojatyöryhmän mukaan ns. “kaikki tai ei mitään -tilannetta”. Mahdottomuudessa ei ole eri asteita ja näin ollen on olemassa seikkoja, joiden vuoksi rekisterinpitäjän on yksinkertaisesti mahdotonta toimittaa tietoja rekisteröidylle. Tällainen tilanne on käsillä tietosuojatyöryhmän mukaan hyvin harvoin.

Kohtuuttoman vaivan osalta tietosuojatyöryhmä on katsonut, ettei tähän perusteeseen tule vedota rutiininomaisesti ainakaan silloin, kun tietoja käsitellään muuhun tarkoitukseen kuin yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten.

Unionin oikeus tai jäsenvaltion lainsäädäntö

  • tietojen hankinnasta tai luovuttamisesta säädetään nimenomaisesti rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa vahvistetaan asianmukaiset toimenpiteet rekisteröidyn oikeutettujen etujen suojaamiseksi tai

Tässä poikkeustapauksessa on tietosuojatyöryhmän mukaan kyse siitä, että lainsäädäntö velvoittaa suoraan rekisterinpitäjää tietojen hankintaan tai luovuttamiseen.

Luottamuksellisuus ja salassapitovelvollisuus

  • tiedot on pidettävä luottamuksellisina, koska niitä koskee unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuva vaitiolovelvollisuus, kuten lakisääteinen salassapitovelvollisuus.

Tämän poikkeuksen mukainen vaitiolovelvollisuus voisi olla esimerkiksi lääkäreillä ja lakimiehillä eli kyse on laissa säädetystä salassapitovelvollisuudesta.

Jos mikään edellä mainituista poikkeuksista ei sovellu, niin mitä tietoja rekisterinpitäjän tulee rekisteröidylle ilmoittaa niin silloin, kun henkilötiedot on saatu henkilöltä itseltään kuin silloin, kun ne on saatu jostain muualta?

Mitä tietoja on ilmoitettava rekisteröidylle?

Silloin kun henkilötietoja saadaan rekisteröidyltä itseltään tulee ilmoittaa: 

  • rekisterinpitäjän ja tapauksen mukaan tämän mahdollisen edustajan identiteetti ja yhteystiedot
  • tapauksen mukaan tietosuojavastaavan yhteystiedot
  • henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste
  • rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut, jos henkilötietojen käsittely perustuu ns. rekisterinpitäjän oikeutettuun etuun (ks. blogin alaotsikkoa: Rekisterinpitäjän oikeutettu etu henkilötietojen käsittelyn perusteena)
  • henkilötietojen vastaanottajat tai vastaanottajaryhmät
  • tapauksen mukaan tieto siitä, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle (tapauksesta riippuen myös tieto sopivista tai asianmukaisista suojatoimista ja siitä, miten niistä saa jäljennöksen tai minne ne on asetettu saataville)
  • henkilötietojen säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit
  • rekisteröidyn oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista tai vastustaa käsittelyä sekä oikeutta siirtää tiedot järjestelmästä toiseen
  • oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen
  • oikeus tehdä valitus valvontaviranomaiselle
  • onko henkilötietojen antaminen lakisääteinen tai sopimukseen perustuva vaatimus taikka sopimuksen tekemisen edellyttämä vaatimus sekä onko rekisteröidyn pakko toimittaa henkilötiedot ja tällaisten tietojen antamatta jättämisen mahdolliset seuraukset
  • automaattisen päätöksenteon, muun muassa ns. profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle
  • Jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muuhun tarkoitukseen kuin siihen, johon henkilötiedot kerättiin, rekisterinpitäjän on ilmoitettava rekisteröidylle ennen kyseistä jatkokäsittelyä tästä muusta tarkoituksesta ja annettava kaikki asiaankuuluvat lisätiedot

Edellä olevasta listauksesta siis näkyy, että annettavien tietojen määrä on todella kattava.

Kun tiedot saadaan muualta?

Samoin on myös silloin, kun henkilötiedot saadaan muualta kuin rekisteröidyltä. Tällöin on annettava seuraavat tiedot:

  • rekisterinpitäjän ja tämän mahdollisen edustajan identiteetti ja yhteystiedot
  • tapauksen mukaan mahdollisen tietosuojavastaavan yhteystiedot
  • henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste
  • kyseessä olevat henkilötietoryhmät
  • mahdolliset henkilötietojen vastaanottajat tai vastaanottajaryhmät
  • tapauksen mukaan tieto siitä, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle (tapauksesta riippuen myös tieto sopivista tai asianmukaisista suojatoimista ja siitä, miten niistä saa jäljennöksen tai minne ne on asetettu saataville)
  • henkilötietojen säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit
  • rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut, jos henkilötietojen käsittely perustuu ns. rekisterinpitäjän oikeutettuun etuun (ks. blogin alaotsikkoa: Rekisterinpitäjän oikeutettu etu henkilötietojen käsittelyn perusteena)
  • rekisteröidyn oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista ja vastustaa käsittelyä sekä oikeutta siirtää tiedot järjestelmästä toiseen
  • oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen
  • oikeus tehdä valitus valvontaviranomaiselle
  • mistä henkilötiedot on saatu sekä tarvittaessa se, onko tiedot saatu yleisesti saatavilla olevista lähteistä
  • automaattisen päätöksenteon, muun muassa ns. profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle
  • jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muuhun tarkoitukseen kuin siihen, johon henkilötiedot kerättiin, rekisterinpitäjän on ilmoitettava rekisteröidylle ennen kyseistä jatkokäsittelyä tästä muusta tarkoituksesta ja annettava kaikki asiaankuuluvat lisätiedot

Näiden listauksien erot?

Tässä listauksessa erona siihen, että tietoja saadaan rekisteröidyltä itseltään, on muun muassa se, että rekisteröidylle tulee ilmoittaa, mistä henkilötiedot on saatu. Huomionarvoista on sekin, että ilmoitus tulee tehdä, vaikka tiedot on saatu yleisesti saatavilla olevista lähteistä, ja tällöinkin on ilmoitettava käsittelyn oikeusperuste.

Rekisteröidyn tietosuoja on kuitenkin turvattu monella muullakin tavalla. Tietosuoja on turvattu muun muassa yleisen tietosuoja-asetuksen toisessa, kolmannessa ja neljännessä jaksoissa luetelluilla rekisteröidyn oikeuksilla. Otetaan nämä seuraavaksi tarkastelun alle.

Tietosuoja ja rekisteröidyn oikeudet

Rekisteröidyn tietosuoja on merkittävällä tavalla turvattu niillä oikeuksilla, jotka ilmenevät yleisen tietosuoja-asetuksen toisesta, kolmannesta ja neljännestä jaksosta. Rekisteröidyllä on oikeus:

  • oikeus saada pääsy tietoihin
  • tietojensa oikaisemiseen
  • tietojensa poistamiseen eli ns. “oikeus tulla unohdetuksi”
  • henkilötietojensa käsittelyn rajoittamiseen 
  • henkilötietojen siirtämiseen ja
  • ns.vastustamisoikeus

tietosuoja-rekisteröidyn-oikeudet

Mitä tarkoitetaan oikeudella saada pääsy tietoihinsa?

Rekisteröidyn tietosuoja saamalla pääsy tietoihin

Rekisteröidyn tietosuoja toteutuu ensiksikin niin, että rekisteröidyllä on yleisen tietosuoja-asetuksen mukaan “oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin”. 

Toisin sanoen esimerkiksi yrityksen on kuluttajan pyynnöstä kerrottava, käsitelläänkö kuluttajan henkilötietoja vai ei. Samoin yrityksen on mahdollistettava kuluttajalle pääsy henkilötietoihin. 

Kun rekisteröidyn henkilötietoja käsitellään, rekisteröidylle on toimitettava kaikki seuraavat tiedot:

Rekisteröidylle toimitettavat tiedot

  • käsittelyn tarkoitukset
  • kyseessä olevat henkilötietoryhmät
  • vastaanottajat tai vastaanottajaryhmät, erityisesti kolmansissa maissa olevat vastaanottajat tai kansainväliset järjestöt, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa
    • Jos henkilötietoja siirretään kolmanteen maahan tai kansainväliselle järjestölle, rekisteröidyllä on oikeus saada ilmoitus siirtoa koskevista asianmukaisista suojatoimista
  • mahdollisuuksien mukaan henkilötietojen suunniteltu säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit
  • rekisteröidyn oikeus pyytää rekisterinpitäjältä häntä itseään koskevien henkilötietojen oikaisemista tai poistamista taikka henkilötietojen käsittelyn rajoittamista tai vastustaa tällaista käsittelyä
  • oikeus tehdä valitus valvontaviranomaiselle
  • jos henkilötietoja ei kerätä rekisteröidyltä, kaikki tietojen alkuperästä käytettävissä olevat tiedot
  • automaattisen päätöksenteon, muun muassa ns. profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle

Jäljennös henkilötiedoista

Rekisteröidyllä on oikeus saada käsiteltävistä henkilötiedoista jäljennös, joka rekisterinpitäjän tulee rekisteröidylle toimittaa. Jos rekisteröity pyytää useampia jäljennöksiä, niin tällöin rekisterinpitäjä voi periä jäljennöksistä kohtuullisen maksun. Rekisteröity voi esittää pyynnön toimittaa tiedot myös sähköisesti, jolloin ne on toimitettava yleisesti käytetyssä sähköisessä muodossa.

Tietosuoja ja rekisteröidyn oikeus tietojensa oikaisemiseen

Kun rekisteröity on saanut tiedon siitä, että hänen henkilötietojensa käsitellään, rekisteröidyllä on monenlaisia erilaisia oikeuksia yleisen tietosuoja-asetuksen mukaan.

Yksi näistä oikeuksista on oikeus tietojensa oikaisemiseen. 

Tällä tarkoitetaan yleisen tietosuoja-asetuksen mukaan seuraavaa:

Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Ottaen huomioon tarkoitukset, joihin tietoja käsiteltiin, rekisteröidyllä on oikeus saada puutteelliset henkilötiedot täydennettyä, muun muassa toimittamalla lisäselvitys.

Toisin sanoen mikäli rekisteröityä koskevat henkilötiedot ovat epätarkkoja tai virheellisiä, rekisteröidyllä on oikeus saada ne oikaistua ilman viivytystä. 

Kolmas rekisteröidyn oikeus on mielenkiintoinen eli oikeus tulla “unohdetuksi”.

Mitä tarkoitetaan sillä, että henkilöllä on oikeus tulla “unohdetuksi”?

Tietosuoja ja rekisteröidyn oikeus tietojen poistamiseen eli oikeus tulla unohdetuksi

Yleisen tietosuoja-asetuksen mukaan oikeus tulla unohdetuksi tarkoittaa samaa kuin oikeus tietojen poistamiseen. 

Yleisessä tietosuoja-asetuksessa asiaa kuvaillaan näin:

Rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, ja rekisterinpitäjällä on velvollisuus poistaa henkilötiedot ilman aiheetonta viivytystä, edellyttäen että jokin seuraavista perusteista täyttyy.

Edellä olevasta käy siis ilmi, että:

  • tietyissä tilanteissa rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan häntä koskevat tiedot ilman aiheetonta viivytystä ja
  • tietyissä tilanteissa rekisterinpitäjällä on velvollisuus poistaa henkilötiedot ilman aiheetonta viivytystä, kun tietyt jäljempänä käsiteltävät edellytykset täyttyvät.

Poikkeukset

Ennen näiden edellytysten käsittelemistä on kuitenkin todettava, että oikeutta tietojen poistamiseen tai oikeutta tulla unohdetuksi ei ole silloin, kun henkilötiedot ovat tarpeen:

  • sananvapautta ja tiedonvälityksen vapautta koskevan oikeuden käyttämiseksi
  • rekisterinpitäjään sovellettavaan unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuvan, käsittelyä edellyttävän lakisääteisen velvoitteen noudattamiseksi tai jos käsittely tapahtuu yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten
  • tietyistä kansanterveyteen liittyvää yleistä etua koskevista syistä
  • tiettyihin yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten, jos tarkoitettu oikeus todennäköisesti estää kyseisen käsittelyn tai vaikeuttaa sitä suuresti
  • oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

Velvollisuus poistamiseen

Mikäli yhtään edellä mainittua edellytystä ei ole käsillä, on rekisterinpitäjällä velvollisuus tietojen poistamiseen, kun:

  • henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin
  • rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut, eikä käsittelyyn ole muuta laillista perustetta
  • rekisteröity vastustaa käsittelyä, jota tapahtuu mm. rekisterinpitäjän oikeutettujen etujen toteuttamiseksi eikä käsittelyyn ole olemassa perusteltua syytä tai rekisteröity vastustaa henkilötietojensa käsittelemistä suoramarkkinointitarkoituksiin
  • henkilötietoja on käsitelty lainvastaisesti
  • henkilötiedot on poistettava unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuvan rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi
  • henkilötiedot on kerätty tietoyhteiskunnan palvelujen tarjoamisen yhteydessä.

Tietyin ehdoin rekisterinpitäjän tulee myös toimia sen hyväksi, että etenkin verkkoympäristössä rekisteröityä koskevat henkilötiedot saadaan poistettua myös muualta. Yleisen tietosuoja-asetuksen mukaan:

Jos rekisterinpitäjä on julkistanut henkilötiedot ja sillä on 1 kohdan mukaisesti velvollisuus poistaa tiedot, sen on käytettävissä oleva teknologia ja toteuttamiskustannukset huomioon ottaen toteutettava kohtuulliset toimenpiteet, muun muassa tekniset toimet, ilmoittaakseen henkilötietoja käsitteleville rekisterinpitäjille, että rekisteröity on pyytänyt kyseisiä rekisterinpitäjiä poistamaan näihin henkilötietoihin liittyvät linkit tai näiden henkilötietojen jäljennökset tai kopiot.

Rekisteröidyllä on myös oikeus käsittelyn rajoittamiseen. 

Mennään tämän oikeuden sisältöön seuraavaksi.

Tietosuoja ja oikeus käsittelyn rajoittamiseen

Yleisen tietosuoja-asetuksessa rekisteröidyn oikeutta käsittelyn rajoittamiseen on kuvailtu johdanto-osan perustelukappaleessa 67 näin:

Henkilötietojen käsittelyä rajoittavia menetelmiä voisivat olla muun muassa valittujen tietojen siirtäminen toiseen käsittelyjärjestelmään, käyttäjien pääsyn estäminen valittuihin henkilötietoihin tai julkaistujen tietojen väliaikainen poistaminen verkkosivustolta. Automaattisissa rekistereissä käsittelyn rajoittaminen olisi lähtökohtaisesti varmistettava teknisin keinoin niin, että henkilötiedot eivät enää myöhemmin joudu käsittelytoimien kohteeksi eikä niitä enää voi muuttaa. Henkilötietojen käsittelyn rajoittaminen olisi ilmaistava järjestelmässä selvästi.

Rekisteröidyllä on oikeus käsittelyn rajoittamiseen, jos kyseeseen tulee yksi seuraavista tilanteista:

  • rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden
  • käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista
  • rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi
  • rekisteröity on vastustanut henkilötietojen käsittelyä muun muassa tilanteessa, jossa rekisterinpitäjä käsittelee henkilötietoja vedoten rekisterinpitäjän oikeutettujen etujen toteuttamiseen, odotettaessa sen todentamista, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet

Mikäli käsittelyä on jollakin edellä mainitulla neljällä perusteella rajoitettu, pätee yleisen tietosuoja-asetuksen mukaan seuraava:

henkilötietoja saa, säilyttämistä lukuun ottamatta, käsitellä ainoastaan rekisteröidyn suostumuksella taikka oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi tahi toisen luonnollisen henkilön tai oikeushenkilön oikeuksien suojaamiseksi tai tärkeää unionin tai jäsenvaltion yleistä etua koskevista syistä

Tärkeää on myös huomata, että mikäli rekisteröity on saanut käsittelyä rajoitettua, tulee rekisterinpitäjän ilmoittaa tälle rekisteröidylle, mikäli henkilötietojen käsittelyä koskeva rajoitus poistetaan.

Tietosuoja ja oikeus siirtää tiedot järjestelmästä toiseen

Kun henkilötietojen käsittely perustuu rekisteröidyn omaan suostumukseen tai sopimukseen taikka kun henkilötietojen käsittely suoritetaan automaattisesti, on rekisteröidyllä oikeus siirtää rekisterinpitäjältä toiselle sellaisia henkilötietoja, jotka hän on itse rekisterinpitäjälle toimittanut.

Yleisen tietosuoja-asetuksen mukaan:

Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu.

Henkilötietojen siirtäminen järjestelmästä toiseen edellyttää kuitenkin sitä, että se on teknisesti mahdollista. 

Vielä käsittelemättä on yksi oikeus, johon liittyy rekisteröidyn tietosuoja. Tämä oikeus on nimeltään vastustamisoikeus.

Tietosuoja ja vastustamisoikeus

Rekisteröidyn vastustamisoikeus liittyy kahteen yleisen tietosuoja-asetuksen rajaamaan tilanteeseen.

Rekisteröidyllä on oikeus vastustaa henkilötietojensa käsittelyä, jos henkilötietojen käsittely perustuu jompaan kumpaan seuraavista kahdesta eri perusteesta:

  • käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi tai
  • käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi

Toisin sanoen esimerkiksi yrityksille, jotka nojautuvat henkilötietojen käsittelyssä siihen, että heillä on rekisterinpitäjänä oikeutettu etu henkilötietojen käsittelyyn, kyse on merkittävästä oikeudesta. 

Ja tämä oikeus on nimenomaan rekisteröidyllä.

Käytännössä rekisteröidyn vastustamisoikeus tarkoittaa sitä, ettei rekisterinpitäjä saa enää käsitellä henkilötietoja, ellei rekisterinpitäjä kykene osoittamaan, että henkilötietojen käsittelylle on huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet tai henkilötiedot ovat tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi. Ensin mainittu tilanne voi olla kyseessä esimerkiksi silloin, kun rekisterinpitäjä ilmoittaa rikollisista teoista.

Tietosuoja ja suoramarkkinointi

Suoramarkkinoinnista yleisessä tietosuoja-asetuksessa on erikseen maininta, jonka mukaan “rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä tällaista markkinointia varten”. Rekisteröidyn oikeus vastustaa suoramarkkinointia tulee myös saattaa rekisteröidyn tietoon ja se tulee esittää selkeästi sekä muusta tiedotuksesta erillään.

Kun rekisteröity on vastustanut omien henkilötietojensa käyttöä suoramarkkinointitarkoituksiin, tulee rekisterinpitäjän lopettaa henkilötietojen käsittely tässä tarkoituksessa.

Milloin tieto vastustamisoikeudesta tulee rekisteröidylle toimittaa?

Rekisteröidylle tulee toimittaa selkeästi ja muusta tiedotuksesta erillään tieto viimeistään silloin, kun rekisteröityyn ollaan ensimmäisen kerran yhteydessä.

Tietosuoja ja automaattinen päätöksenteko

Rekisteröidyllä on sittenkin vielä yksi oikeus käytettävissään, jotta hänen tietosuojansa voisi toteutua. 

Tämä oikeus käsitellään tässä yhteydessä erikseen.

Kyse on oikeudesta olla joutumatta tahtomattaan automaattisen päätöksenteon kohteeksi. 

Yleisessä tietosuoja-asetuksessa asiasta todetaan seuraavaa:

Rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi.

Edellä olevaa ei kuitenkaan sovelleta, jos päätös:

  • on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten
  • on hyväksytty rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi tai
  • perustuu rekisteröidyn nimenomaiseen suostumukseen.

Edellä mainituista kohdista ensimmäisen ja viimeisen kohdan osalla pätee se, että “rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi; tämä koskee vähintään oikeutta vaatia, että tiedot käsittelee rekisterinpitäjän puolesta luonnollinen henkilö, sekä oikeutta esittää kantansa ja riitauttaa päätös.”

Päätökset eivät saa myöskään perustua ns. arkaluonteisiin tietoihin, ellei rekisteröity ole antanut siihen nimenomaista suostumustaan tai käsittely ole tarpeen tärkeää yleistä etua koskevasta syystä sekä asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi on toteutettu.

Automaattinen käsittely

Sitä mitä automaattisella käsittelyllä tarkoitetaan, avaa parhaiten yleisen tietosuoja-asetuksen johdanto-osan perustelukappale 71:

Rekisteröidyllä olisi oltava oikeus olla joutumatta hänen henkilökohtaisia ominaisuuksiaan arvioivan, mahdollisesti toimenpiteen sisältävän päätöksen kohteeksi, joka on tehty yksinomaan automaattisen tietojenkäsittelyn perusteella, josta hänelle aiheutuu oikeudellisia vaikutuksia tai joka vaikuttaa häneen vastaavalla merkittävällä tavalla, kuten online-luottohakemuksen automaattinen epääminen tai sähköisen rekrytoinnin käytännöt ilman ihmisen osallistumista. Kyseinen tietojenkäsittely sisältää ”profiloinnin”, joka tarkoittaa mitä tahansa henkilötietojen automaattista käsittelyä luonnollisen henkilön henkilökohtaisten ominaisuuksien arvioimiseksi, erityisesti rekisteröidyn työsuorituksen, taloudellisen tilanteen, terveyden, henkilökohtaisten mieltymysten tai kiinnostuksen kohteiden, luotettavuuden tai käyttäytymisen, sijainnin tai liikkumisen analysoimiseksi tai ennakoimiseksi, siltä osin kuin sillä on rekisteröityyn kohdistuvia oikeudellisia vaikutuksia tai se vaikuttaa häneen vastaavasti merkittävällä tavalla.

Kyseiseen tietojenkäsittelyyn, mukaan lukien profilointiin, perustuva päätöksenteko olisi kuitenkin sallittava, jos siihen annetaan nimenomainen lupa rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, mukaan lukien lainsäädäntö, joka on annettu petosten ja verovilpin valvomiseksi ja torjumiseksi unionin toimielinten tai kansallisten valvontaelinten antamien asetusten, standardien ja suositusten mukaisesti, sekä rekisterinpitäjän tarjoaman palvelun turvallisuuden ja luotettavuuden varmistamiseksi, tai jos se on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten tai jos rekisteröity on antanut siihen nimenomaisen suostumuksensa. Tällaiseen käsittelyyn olisi kuitenkin aina sovellettava asianmukaisia suojatoimia, joihin olisi kuuluttava käsittelystä ilmoittaminen rekisteröidylle ja oikeus vaatia ihmisen osallistumista tietojen käsittelemiseen, rekisteröidyn oikeus esittää kantansa, saada selvitys kyseisen arvioinnin jälkeen tehdystä päätöksestä ja riitauttaa päätös. Tällaista toimenpidettä ei saisi kohdistaa lapseen.

Yhteenveto

Tässä kirjoituksessa on ollut paljon tekstiä. Kyse on kuitenkin silti melko lailla pintaraapaisusta, kun kyseessä on niin laaja teema kuin tietosuoja. 

Toivottavasti kirjoitus on kuitenkin auttanut näkemään, millaisia oikeuksia rekisteröidyllä on ja vastaavasti, mitä edellytyksiä esimerkiksi yrityksen tulee täyttää, jotta henkilötietoja voidaan käsitellä ja tietosuoja voi toteutua.

Mikäli sinulla on kysyttävää tietosuojasta tai esimerkiksi yrityksesi tietosuoja askarruttaa, olethan yhteydessä.

Kirjoittaja on eLakitoimiston perustaja Niko Laukkonen, joka on valmistunut oikeustieteen maisteriksi Helsingin yliopistosta. Niko on saanut luvan toimia myös kiinteistön- ja vuokrahuoneiston välittäjänä sekä luvan saaneena oikeudenkäyntiavustajana. Oikeudenkäynneissä Niko on edustanut niin Suomessa kuin Virossa.