Info:
Ei ilmoitettuja infoja
Koulutus:
Uusia tulossa kesän 2018 aikana

Aleksi Pulkkanen

Tietosuojamalli.fi-perustaja. Tehdään tietosuojatyöstä vähän helpompaa.
28/12/2017
6
minuuttia luettavaa

12/2017: Kooste tietosuojaviranomaisten uusimmista ohjeista - suostumus, läpinäkyvyys ja Privacy shield -järjestely

Joulukuun puolivälissä EU-maiden tietosuojaviranomaisista koostuvat WP29-työryhmä julkaisi taas ohjeita tietosuoja-asetuksen soveltamiseen. Tässä mahdollisimman tiivis ja selkeäkielinen tulkkauksemme ohjeiden tärkeimmistä sisällöistä.

Suostumusta koskevat ohjeet

Suostumus on yksi kuudesta lainmukaisesta perusteesta GDPR:n mukaiselle henkilötietojen käsittelylle. Jos henkilö antaa organisaatiollenne selkeän suostumuksen tietojensa käyttämiseen tiettyä käsittelytarkoitusta varten, toimitaan siis lähtökohtaisesti oikein.

Suostumukseen käyttämiseen käsittelyperusteena liitttyy kuitenkin monia tarkentavia ohjeita. Suostumuksen pyytämisen yhteydessä on mm. tietoa henkilötietojen käsittelystä on annettava selkeästi rekisteröidylle, suostumuksen peruminen on oltava yhtä helppoa kuin sen antaminen ja myöhemmin on pystyttävä osoittaman, mihin tarkoitukseen suostumus aikanaan saatiin ja mitä tietoja rekisteröity näki suostumuksen antaessaan. Mikäli suostumusta ei ole kerätty näiden teesien mukaisesti, WP29 sanoo jyrkästi henkilötietojen käsittelyn olevan tällöin laitonta ja rekisterinpitäjän rikkovan GDPR:n artiklaa 6 (käsittelyn lainmukaisuus).

Milloin suostumusta sitten käytetään oikein?

  • Suostumus on vapaasti annettu, eli rekisteröidyllä pitää olla todellinen oikeus olla antamatta suostumustaan eikä siitä saa koitua negatiivisia seurauksia.
  • Suostumus on kysyttävä selvästi erikseen eri käyttötarkoituksiin.
  • Suostumus on viestittävä selvästi erillään muista asioista eikä sitä saa esimerkiksi tulla antaneeksi pitkien käyttöehtojen seassa.
  • Suostumusta varten on määriteltävä tarkasti, millaista henkilötietojen käsittelyä tämän suostumuksen pohjalta tehdään. "Ja muihin käyttötarkoituksiin" ilmaisut eivät tässä kelpaa.
  • Rekisteröidyltä on saatava elkeä ilmaisu suostumuksen antamisesta, joskin monet tavat kelpaavat (swaippaus ruudulla, laitteen liikuttaminen, valintaruudun klikkaus, allekirjoitus, jne.)

Muita suostumukseen perustuvalle käsittelyllä oleellisia asioita

  • Myöhempää suostumusten osoittamista varten pitäisi pitää kirjaa etenkin asioista "miten henkilö ilmaisi suostumuksensa", "milloin suostumus saatiin" sekä "mitä tietoa ihminen näki antaessaan suostumuksen". Online-ympäristössä tämä voi tarkoittaa sessiotietojen tallentamista ja offline-maailmassa puolestaan alkuperäisen "suostumuslomakkeen" tallentamista.
  • Tietojen minimointi kuuluu tiiviisti yhteen suostumuksen kanssa siinä mielessä, että henkilötiedot pitäisi poistaa kun käsittely on päättynyt tai laki ei enää velvoita säilyttämään
  • Ennen GDPR:n soveltamista saaduista suostumuksista vain ne, jotka on kerätty ja voidaan osoittaa GDPR:n vaatimusten mukaisesti, katsotaan edelleen voimassaoleviksi
  • Henkilötietojen käsittelyllä samaan tarkoitukseen ei voi olla useaa käsittelyperustetta, joten rekisterinpitäjien tulee tarkkaan harkita, mikä käsittelyperuste on kullekin henkilötietojen käyttötarkoitukselle kaikkein relevantein.

Aiemmin on joskus nojattu suostumuksen pettäessä toiseen käsittelyperusteeseen "varalla", mutta tämä ei siis enää tule kyseeseen.

Läpinäkyvyyttä koskevat ohjeet

Läpinäkyvä informointi tarkoittaa, että rekisterinpitäjän on avoimesti ja selvästi tiedotettava rekisteröidyille, mihin ja miten heitä koskevia henkilötietoja tullaan käsittelemään. Läpinäkyvä informointi on tärkeä periaate koko GDPR:ssä. Rekisteröidyillä on oikeus saada avoimesti tietoa henkilötietojensa käsittelystä ja rekisterinpitäjillä on velvollisuus sitä tarjota.

Yleisiä läpinäkyvyyteen liittyviä teesejä

  • Rekisterinpitäjän tulee viestiä kattavasti riippumatta käsittelynsä oikeusperusteesta ja läpi koko käsittelyprosessin, esim. tietoja kerättäessä, viestittäessä rekisteröidyille heidän oikeuksistaan sekä tietovuotojen sattuessa
  • Kaikessa viestinnässä on pyrittävä tehokkaaseen ja tiiviiseen viestintään, jotta nykyisen kaltainen informaatioväsymys, jonka tuloksena harva ihminen jaksaa edes lähteä kahlaamaan kymmenien sivujen mittaisia ehtoja ja selosteita läpi, voitaisiin välttää.
  • Tietosuojaan liittyvät tiedot tulisi selvästi erotttaa muista tietdoista, jotta tietosuoja-asiaa etsivä henkilö ei joutuisi esimerkiksi skrollailemaan suuria tietomääriä läpi löytääkseen etsimänsä.
  • Kun ihmiseen liittyviä tietoja kerätään (GDPR artiklat 13 ja 14), tietosuojaan liittyvät asiat tulee "toimittaa" hänelle, eli hän ei saa joutua niitä kaivamaan esimerkiksi nettisivun uumenista

Tietosuojaselosteisiin liittyviä asioita

  • Tietosuojaselosteen on aina löydyttävä helposti, joka tarkoittaa nettisivuilla joka sivulta löytyvää linkkiä tai sovelluksessa enintään kahta painallusta.
  • Tietosuojaselosteet rohkaistaan kokoamaan osioiduiksi, jotta ihmisen on helppo navigoida siihen kohtaan, minkä tiedot häntä kiinnostavat.
  • Selosteissa ei saa käyttää ympäripyöreitä ilmaisuja, joiden käyttä on yleistä mm. henkilötietojen käyttötarkoituksia kuvattaessa. Ilmaisut "saatamme käyttää" tai "...ja muihin tarkoituksiin" eivät enää jatkossa kelpaa.

Tietosuojaselosteessa tulee lisäksi kuvata tavat, joilla rekisteröidyt voivat oikeuksiaan (esim. pääsy tietoihin, tietojen korjaus) käyttää. Näihin liittyen WP29 antaa myös tarkemmat esimerkit.

Hyvä toimintatapa (esimerkki)

Terveyspalvelujentarjoaja käyttää sähköistä lomaketta nettisivuillaan, jonka kautta rekisteröidyt voivat esittää esimerkiksi pyynnön päästä käsiksi omiin henkilötietoihinsa. Lisäksi toimipisteissä on tarjolla paperisia lomakkeita, joiden kautta asiakas voi jättää saman pyynnön myös asioidessaan toimipisteissä.

Huono toimintatapa (esimerkki)

Terveyspalvelujentarjoaja kertoo tietosuojaselosteessa nettisivuillaan, että rekisteröityjen tulee ottaa yhteyttä asiakaspalveluun pyytääkseen pääsyä henkilötietoihinsa.

Jälkimmäinen on tällä hetkellä se tapa, jolla lähes jokaisessa löytyvässä tietosuojaselosteessa rekisteröityä ohjeistetaan oikeuksiaan käyttämään. Tämä on linjattu nyt vähintäänkin huonoksi tavaksi.

Privacy Shield -järjestelyyn liittyvät asiat

Yhdysvalloissa tietosuojalainsäädäntö ei ole verrattavissa EU:n yleiseen tietosuoja-asetukseen, joten Privacy Shield -menettelyn kautta organisaatiot ovat voineet osoittaa omaavansa tietosuojatason, joka ei vaaranna tietosuojaa henkilötietojen siirtyessä Euroopasta Yhdysvaltoihin esimerkiksi pilvipalveluja käytettäessä.

Privacy shield astui voimaan heinäkuussa 2016. Nyt Euroopan komissio suoritti ensimmäisen Privacy Shield -järjestelyyn liittyneen arvioinnin, syyskuussa 2017. Työryhmän mielestä arvio osoitti järjestelyn toimivan, mutta siinä olevan edelleen tärkeitä ja kiireellisesti parannettavia kohtia.

Työryhmän Privacy shieldistä esiin nostettuja asioita

  • Parempaa ohjeistusta tarvitaan ja tähän rohkaistaan viranomaisten (mm. US Dept. of Commerce, FTC ja EU-viranomaiset) yhteistyöllä. Iso osa Privacy Shieldiä soveltavista yrityksistä on pieniä ja vielä isompi suorittaa itse oman auditointinsa. Tehokas itsearviointi vaatisi työryhmän mielestä nykyistä kattavampia ohjeistuksia.
  • Vaatimustenmukaisuutta pitäisi valvoa tarkemmin. Privacy Shield korvasi aiemman Safe Harbor -menettelyn, ja tämän jälkeen esitarkistusten nähtiin. Edelleen kuitenkin mukanaolon aikainen valvonta on heikkoa.
  • Enemmän tiedotusta EU-kansalaisille siitä, miten he voivat Privacy shieldin alla käyttää oikeuksiaan.
  • Pysyvän Privacy Shield Ombudspersonin valinta sekä avoimien paikkojen täyttäminen Privacy and Civil Liberties Oversight Board:ssa (PCLOB).

Työryhmä odottaa nimitysasioiden tulevan hoidetuksi ennen GDPR:n astumista voimaan 25.5.2018. Muiden huolien hoitamiseksi odotetaan heti tehtävän toimintasuunnitelma ja seuraavan vuosittaisen katsauksen näyttävän, että ne on korjattu.

Työryhmä ottaa vahvasti kantaa siihen, jos näitä huolia ei huomioida. Tässä tapauksessa kansallisille viranomaisille voidaan antaa mahdollisuus kyseenalaistaa Privacy shield -järjestelyn riittävyys.

On hyvä muistaa, että Privacy shield -järjestelyn lisäksi organisaatiot voivat muin keinoin (kuten yritystä sitovin säännöin, sopimuslausekkein tai sertifioinnein) varmistaa sitä, ettei EU-kansalaisten perusoikeus tietosuojaan vaarannu tietoja siirrettäessä EU:n ulkopuolelle.

Keskustelua kirjoituksesta