Mitä päivitystarpeita tietosuojaselosteiden sisältöön ja tietosuojainformaation toimittamiseen rekisteröidyille saattaa olla ratkaisukäytännön valossa?
Yrityksissä ja organisaatioissa rustattiin kovalla tohinalla neljä-viisi vuotta sitten tietosuojaselosteita uusiksi EU:n yleisen tietosuoja-asetuksen (“GDPR”) voimaantulon alla.
Jo GDPR:n tullessa voimaan korostettiin, että tietosuojadokumentaatiota ei luoda “laadi ja unohda” -periaatteella, vaan dokumentaation tulee elää ajassa. Päivitystarpeita voi syntyä monista syistä. Tietosuojadokumentaatiota onkin päivitetty monissa organisaatioissa muun muassa siksi, että henkilötietojen käsittelyssä on tapahtunut muutoksia – on esimerkiksi otettu käyttöön uusia tietojärjestelmiä, lanseerattu verkkokauppaa ja sitä rataa.
Muutokset henkilötietojen käsittelyssä eivät kuitenkaan ole ainoa syy tietosuojaviestinnän päivittämiseen. Tietosuoja-asetusta on sovellettu hyvän aikaa, joka tarkoittaa myös sitä, että asetusta koskevaa viranomais- ja oikeuskäytäntöä on ehtinyt syntyä. Ne ovat myös muodostaneet uuden perusteen tietosuojadokumentaation päivittämiselle. Tämä tarkoittaa sitä, että niissäkin organisaatioissa, joissa ei ole tapahtunut mitään muutoksia itse henkilötietojen käsittelyssä, saattaa olla tarve päivittää tietosuojaviestintää viranomaisohjeistuksen ja oikeuskäytännön nojalla.
Millaisia ovat ne mahdolliset muutokset, joita tietosuojaselosteisiin ja tietosuojainformaation toimittamiseen tulisi tehdä keskeisen viranomaisohjeistuksen ja oikeuskäytännön valossa? Tämä kirjoitus käsittelee mahdollisia päivitystarpeita nimenomaan ja ainoastaan tietosuojaselosteita ja tietosuojainformaation toimittamista rekisteröidyille muutaman keskeisen ratkaisun valossa. Muun tietosuojadokumentaation päivittämistä käsitellään myöhemmin julkaistavissa erillisissä kirjoituksissa.
1. Tietosuojaselosteen sisältö
Oikeuskäytännössä tietosuojaselosteilta on vaadittu yksityiskohtaisempaa tietosisältöä (case Whatsapp)
Tietosuojaselosteilta vaadittava tietosisältö on määritelty GDPR:n 13 ja 14 artikloissa, jotka täsmentävät mitä tietoja rekisterinpitäjän tulee toimittaa rekisteröidyille, eli ihmisille, heihin liittyvästä henkilötietojen käsittelystä.
Keskeinen tietosuojaselosteen sisältöä koskeva ratkaisu on Irlannin tietosuojaviranomaisen tutkinta, joka koski sitä, onko Whatsapp noudattanut tietosuoja-asetuksen läpinäkyvyyttä ja rekisteröityjen informointia koskevia velvoitteita. Euroopan tietosuojaneuvosto antoi asiaa koskevan sitovan kiistanratkaisupäätöksen ja Irlannin tietosuojaviranomainen antoi tähän perustuvan päätöksensä, joka julkaistiin 2.9.2021. Ratkaisun keskeinen viesti on, että tietosuojaselosteiden sisällön tulisi olla selvästi yksityskohtaisempaa kuin mikä on ollut ehkä yleinen, totuttu käytäntöä ja tiedon tulisi olla myös “pilkottua”. Ratkaisu nostikin esille koko joukon mahdollisia päivitystarpeita tietosuojaselosteisiin.
Keskeiset Whatsapp-ratkaisun kotiinviemiset tietosuojaselosteiden sisältöön liittyen:
Henkilötietojen käsittelyn tarkoitukset ja käsittelyn oikeusperuste. Ei riitä, että kuvataan yleisesti tietojenkäsittelytoimien tarkoitusta ja/tai oikeusperustaa, vaan kukin tarkoitus ja oikeusperusta on linkitettävä tiettyyn käsittelytoimeen tai toimintojen joukkoon ja tiettyihin asianomaisten henkilötietojen ryhmiin.
Lakisääteinen velvoite käsittelyperusteena. Jos lakisääteinen velvoite on käsittelyperuste, rekisterinpitäjän tulisi viitata kyseessä olevaan lakiin tai säädökseen, joka velvoittaa henkilötietojen käsittelyyn.
Oikeutettu etu käsittelyperusteena. Tavoiteltu oikeutettu etu tulee yksilöidä, kuten myös kenen oikeutetusta edusta on kyse ja mitä henkilötietoa kussakin käsittelytoimessa käsitellään oikeutetun edun perusteella. Tästä seuraa, että rekisterinpitäjien olisi vältettävä yleisluonteista sanamuotoa määritellessään tavoiteltuja oikeutettuja etuja.
Henkilötietojen vastaanottajat tai vastaanottajaryhmät. Jos on määritelty vastaanottajien ryhmä tietyn vastaanottajan nimeämisen sijasta, sen tulisi olla "mahdollisimman tarkkaa", antaen tiedot vastaanottajaryhmän toimialasta, sen suorittamista toimista ja palveluista, sijainnista ja mitä henkilötietoja siirretään vastaanottajalle ja miksi.
Tiedonsiirrot kolmansiin maihin. Kansainvälisissä tietojensiirroissa tulee viitata nimenomaiseen suojamekanismiin, johon tiedonsiirto nojaa, joka välillisesti tarkoittaa käytännössä myös tiedon antamista siitä, mihin tietoja siirretään. Mikäli tiedonsiirrossa hyödynnetään EU:n komission vakiolausekkeita, tulee antaa tiedot siitä, mitä nimenomaisia lausekkeita käytetään.
Henkilötietojen säilyttämisaika. Yleinen toteamus, että henkilötietoja säilytetään "niin kauan kuin on tarpeen" käsittelyn laillisen tarkoituksen toteuttamiseksi ei ole hyväksyttävä. Säilytysaikaa koskevien kriteerien tulee olla riittävän selkeitä rekisteröidyille.
Suostumus käsittelyperusteena. Oikeus suostumuksen peruuttamiseen tulee ilmaista rekisteröidyn oikeuksia koskevassa kappaleessa pikemmin kuin suostumusta käsittelevässä kappaleessa. Mainittava myös, että suostumuksen peruuttaminen ei vaikuta ennen suostumuksen peruutusta tapahtuneen käsittelyn laillisuuteen.
Henkilötietojen antamisen pakollisuus. Tulee ilmaista selvästi mitkä ovat vaadittavat vähimmäistiedot ja mitä seuraa, jos tietoja ei anneta.
Odottamatonta käsittelyä tulee korostaa (case Posti)
Se, että tiedon henkilötiedon käsittelystä toimittaa ainoastaan tietosuojaselosteen sisällössä, ei välttämättä ole riittävää. Odottamatonta käsittelyä tulisi erikseen korostaa. Tätä asiaa käsiteltiin apulaistietosuojavaltuutetun 18.5.2020 annetussa päätöksessä, joka koski Posti Oyj:tä. Päätöksessään apulaistietosuojavaltuutettu totesi, että rekisteröidyn tulisi etukäteen saada tieto käsittelyn laajuudesta ja seurauksista niin, että henkilötietojen käyttötavat eivät tulisi rekisteröidylle myöhemmin yllätyksenä. Apulaistietosuojavaltuutettu totesi lisäksi, että tietosuojatyöryhmä on katsonut, että silloin, kun tietojen käsittely on odottamatonta, rekisterinpitäjän tulisi 13 artiklassa tarkoitettujen tietojen antamisen lisäksi erikseen informoida rekisteröityä selkeällä kielellä käsittelyn tärkeimmistä seurauksista eli siitä, miten tietosuojaselosteessa kuvattu henkilötietojen käsittely vaikuttaa rekisteröityyn. Niinpä mikäli henkilötietojen käsittely on katsottavissa odottamattomaksi, tulisi sitä erikseen korostaa.
Rekisteröidyn oikeuksien toteuttamista ei saa vaikeuttaa tarpeettomasti (case Otavamedia)
GDPR:ssä ei ole säännöksiä siitä, miten rekisteröidyn henkilöllisyys on todennettava. Liialliset vaatimukset henkilöllisyyden tunnistamiseen tai rekisteröidyn oikeuksien käyttämiseen liittyen, kuten lomakkeen tulostaminen, täyttäminen ja allekirjoittaminen, voidaan katsoa tarpettomaksi rekisteröidyn oikeuksien käyttämisen vaikeuttamiseksi ja GDPR:n tietojen minimointiperiaatteen vastaiseksi toiminnaksi. Tähän lopputulemaan päätyi tietosuojavaltuutettu 9.5.2022 antamassaan Otavamedia Oy:tä koskevassa päätöksessä, joka liittyi rekisteröidyn oikeuksien toteuttamiseen ja tunnistamiseen. Päätöksellä on ennen kaikkea vaikutuksia käytännön menettelyihin rekisteröidyn pyyntöjen täyttämisessä, mutta myös tietosuojaselosteiden sisältöön, jossa annetun informaation tulee vastata lainmukaan hyväksyttyjä käytäntöjä (älä vaadi liikoja rekisteröidyn tunnistamiseksi ja rekisteröidyn oikeuksien käyttämiseksi; älä kerää tarpeettomasti uusia henkilötietoja rekisteröidyn oikeuksien toteuttamisen nojalla).
2. Tietosuojainformaation toimittaminen
Tietosuojainformaatio toimitettava aktiivisin toimenpitein ja informaation oltava helposti saavutettavaa (case Whatsapp, case Posti)
Whatsapp-ratkaisu vei vaatimukset tietosuojaselosteiden tietosisällöstä yksityiskohtaisempaan suuntaan. Samanaikaisesti tietosuojainformaatio pitäisi kuitenkin GDPR:n 12 artiklan mukaan toimittaa rekisteröidylle tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä.
Tietosuojainformaation toimittamista käsiteltiin sekä Whatsapp- että Posti-ratkaisuissa seuraavin johtopäätöksin:
tietosuojainformaatio esitettävä selkeästi erillään muusta kuin tietosuojaan liittyvästä tiedosta, kuten sopimus- tai käyttöehdoista (case Whatsapp, case Posti)
rekisterinpitäjän on toteutettava aktiivisia toimia antaakseen tiedot rekisteröidylle tai aktiivisesti ohjattava rekisteröity tietojen sijaintipaikkaan – esim. linkki tietosuojaselosteeseen vain verkkosivuston alatunnisteessa ei riitä, linkkiä tarjottava myös esimerkiksi verkkolomakkeen yhteydessä, jolla tietoja pyydetään (case Posti)
tietojen pilkkominen ja linkittäminen erillisiin dokumentteihin tai sivuihin on edelleen sallittua, mutta sen ei tulisi tehdä kokonaisuuden hahmottamisesta taikka eri osien ristiriitaisuuksien arvioinnista vaikeaa (ja siitä syystä tietosuojaseloste olisi hyvä olla saatavilla myös yhtenä dokumenttina) (case Whatsapp)
pikavalintavaihtoehtojen käyttö kotisivuilla suositeltavaa jatkuvan tiedon vierittämisen sijasta (case Whatsapp)
3. Oikeutettu etu käsittelyperusteena
Oikeutettu etu kyettävä osoittamaan toteen tasapainotestillä (case Taksi Helsinki)
Oikeutettuun etuun käsittelyperusteena, mutta myös GDPR:n osoitusvelvollisuuteen liittyy kotimainen apulaistietosuojavaltuutetun Taksi Helsinki Oy:tä koskeva, 26.5.2020 annettu päätös. Se, voiko rekisterinpitäjänä käsitellä henkilötietoja oikeutetun edun perusteella, tulee itse arvioida tekemällä ns. tasapainotesti. Selvää, nimenomaista ja yksiselitteistä vaatimusta GDPR ei kuitenkaan sisällä tasapainotestin tekemiseksi. Apulaistietosuojavaltuutettu kuitenkin katsoi Taksi Helsinkiä koskevassa päätöksessään, että koska rekisterinpitäjä ei ollut laatinut tai dokumentoinut tekemäänsä tasapainotestiä, ei rekisterinpitäjä pystynyt osoittamaan (GDPR 5 art. 2. kohdan vaatimus osoitusvelvollisuudesta), että henkilötietojen käsittely vastasi käsittelyn lainmukaisuuden, asianmukaisuuden ja läpinäkyvyyden vaatimuksia, ja että käsittely oli tarpeen rekisterinpitäjän oikeutetun edun toteuttamiseksi.
Taksi Helsinki -ratkaisu vaikuttaa tietosuojadokumentaatioon kahdella tapaa. Ensinnäkin, jos on aikeissa käyttää oikeutettua etua käsittelyperusteena, tulee tasapainotestin olla tehtynä ja dokumentoituna. Toiseksi, tehtyyn tasapainotestiin on suositeltavaa myös viitata selkeällä ja ymmärrettävällä tavalla tietosuojaselosteessa läpinäkyvyyden periaatteen toteuttamiseksi ja sen osoittamiseksi, että lainmukainen peruste käsitellä henkilötietoja oikeutetun edun perusteella on arvion mukaan olemassa.
Lue täältä lisää siitä, miten voimme auttaa tietosuojaan liittyvissä asioissa.
KIRJOITTAJA
Villy Lindfelt, LAKIUS
Juristi, OTM, KTM ja LL. M.
+358 44 2358 211
villy.lindfelt@lakius.fi
Villy Lindfeltillä on yli 10 vuoden kokemus yritysjuridiikasta niin lakimiehenä lakitoimistossa kuin yhtiöjuristina yrityksessä. Hänen osaamisalueitaan ovat sopimusoikeus, tietosuoja, työoikeus, sekä markkinointi-, immateriaali- ja teknologiaoikeuteen liittyvät asiat. Hän avustaa asiakkaitaan usein tietosuojaa koskevissa asioissa.