24.10.2018

Kävin vanhassa opiskelukaupungissani Berliinissä päivittämässä osaamistani tietosuoja-asioissa. Auton varaosia ja polkupyörän lastenistuimia hyväksyvä TÜV kouluttaa ja sertifioi myös tietosuojavastaavia. Kävin TÜV:in järjestämän viikon kurssin, jossa keskityttiin lähes ainoastaan lakitekstiin eli käytännön harjoittelua oli aika vähän, mutta EU:n tietosuoja-asetus eli GDPR tuli kyllä tutuksi päivien aikana. Nostan tähän yhden oivalluksen ja yhden hauskan saivartelevan keskustelun henkilötietojen käsittelyn kiemuroista.

Älä pyydä turhaan suostumusta

Suurin oivallukseni liittyi ihan perusasioihin eli siihen logiikkaan, milloin henkilötietoja yleensäkään saa käsitellä. Periaate on sama kuin palomuureissa: Ensin kielletään kaikki ja sen jälkeen annetaan vino pino poikkeuksia, kunnes saadaan haluttu taso. Henkilötietojen käsittely on siis lähtökohtaisesti kielletty, mutta kuitenkin sallittua kunhan joku GDPR:n kuudesta perusperiaatteesta täyttyy. Käsittelyn edellytykset ovat:
1) rekisteröidyn suostumus, 2) sopimus, 3) rekisterinpitäjän lakisääteinen velvoite, 4) elintärkeät edut, 5) yleiset edut tai julkinen valta ja 6) oikeutettu etu. Kyseessä ei siis ole mikä tahansa lista mahdollisista vaihtoehdoista vaan ainoastaan nämä kuusi pätevät, kaikki muu on ison rahallisen pelotteen avulla kielletty. Hauskaa tässä litaniassa on se, että rekisteröidyn suostumus ja sen hakeminen on suuri poikkeus ja harvinaisuus; lähes kaikki käsittely perustuu joko sopimukseen tai oikeutettuihin etuihin. Suostumus on  ongelmallinen käsittelyn peruste, koska senhän voi perua. Jos siis teen sopimuksen kuntosalin kanssa ja kuntosaliyrittäjä sopimuksen lisäksi kysyy minulta lupaa henkilötietojen käsittelyyn, jonka ensin myönnän ja kuukauden päästä perun luvan, syntyy hassu tilanne. Yrittäjällä ja minulla on sopimus, mutta jos kiellän häneltä henkilötietojen käsittelyn, hän ei  voisikaan tallentaa puhelinnumeroani tai tehdä jotain muuta. Hänellä on informaatiovelvoite kertoa minulle, miten ja missä henkilötietojani käsitellään, mutta turhia lupia ei kannata kysyä. Lain mukaan yksi edellytys riittää eli tässä tapauksessa sopimus, mutta turhat suostumukset monimutkaistavat kuviota silti.
Huomasin tämän itsekin keväällä GDPR-sopimuksia tehdessä, että meidän ei-juristien oli selvästi vaikea pitää erillään suostumus ja informaatiovelvoite eli käsittelystä kertominen.

Joku antoi käyntikortin, mitä nyt?

Innokasta keskustelua syntyi siitä, että kuinka oikeaoppisesti annetaan käyntikortti nykyaikana, onhan rekisterinpitäjän annettava rekisteröidylle saman tien kattava infopläjäys. Tuleeko käyntikortin vastaanottajan antaa heti A4:n kokoinen vastakortti, jossa kerrotaan henkilötietojen käsittelystä? Tai mumista normaalin pienpuheen sijasta koko artikla 13 keskustelun aluksi, mukaan lukien henkilötietojen säilytysajan määrittämiskriteerit? Uskallanko mennä enää messuille tai aamiaisseminaariin ilmaisen voisarven toivossa? Tiedotusvelvollisuus tällaisessa tilanteessa todettiin älyttömäksi ja saimme suosituksen käyttää tervettä maalaisjärkeä. Käyntikortin vastaanottamista voidaan tulkita niin, että käsittely alkaa vasta siitä hetkestä kun käyntikortin tiedot tallennetaan CRM:ään, ei siis siitä hetkestä, kun käyntikortti ojennetaan. Saksalaisilla rekrymessuilla kuulemma ainakin bisnesverkosto XING kerää kuulemma tällä hetkellä kaikilta käyntikortin antaneilta suostumukset henkilötietojen käsittelyyn JA kertoo kortin antaneelle henkilölle artiklan 13 tiedot eli ainakin:
– kuka on rekisterinpitäjä
– tietosuojavastaavan yhteystiedot
– henkilötietojen käsittelyn tarkoitukset ja käsittelyn oikeusperusteen (Tässä tapauksessa suostumus on ihan paikallaan, koska muuta perustetta ei ole.)
– onko oikeutettuja etuja
– vastaanottajaryhmät
– siirretäänkö tietoja
– säilytysaika.

Keksit on ihan eri hyllyssä

Senhän jo tiedättekin, että GDPR ei ota millään tavalla kantaa evästeiden (cookies) käyttöön webbisivuilla. Siitä päätetään työn alla olevassa ePrivacy-laissa, joka tulee ehkä ensi vuonna voimaan. Tällä hetkellä voimassa on kansalliset lait, jos sellaisia on, mutta mitään EU:n laajuista keksilakia ei ole vielä olemassa, mutta GDPR pätee silti. Eli käytännössä GDPR:sta tulee informointivelvoite, jonka takia webbisivut nykyään kertovat meille evästeistä, mutta ei mitään kieltoa. Ja täytyyhän käyttäjän mahdollinen suostumattomuus johonkin tallentaa, siihenkin tarvitaan eväste. GDPR on yleislaki, joka ei mene ollenkaan näin tarkalle tasolle ja koskee muuten myös paperimappeja. ePrivacy-lailta voimme odottaa yksityiskohtaisempaa säätelyä. Sitä odotellessa voimme jo maistella sellaisia termejä kuin Double Opt-In ja Do-not-track-HTTP Header. Toivottavasti tätä seuraava tietosuojalakia väännettäessä joku pitää myös käyttäjien ja käyttökokemuksen puolta. Eihän se kivaa ole, jos joka saitilla täytyy koko ajan itse hyväksyä tai kieltää jotain, mitä suurin osa tavallisista käyttäjistä ei ymmärrä.
Toinen minua huolettava asia on mainostamisen hankaloituminen ja sen kautta voimistuva digitaalisen median ahdinko. Enkä nyt tarkoita Facebookin käyttäjäprofiileilla käymää anekauppaa, vaan ihan tavallista ja avointa nettimainontaa. Jos kaikkeen on kysyttävä erikseen lupa, mainosten näyttökerrat vähenevät ja mainosrahotteisten medioiden ainoa tulonlähde kuivuu. Sen pesuveden mukana menee paljon laadukastakin aineistoa.
Anu Halme
City Dev Labsin asiakkuusihminen, joka puhuu Sirilleen saksaa ja lukee huvikseen lakitekstejä

Tags: , ,