Tietosuoja ry

Kuukauden kysymys

Vastauksia kuukauden kysymyksiin, monelta näkökulmalta pohdittuna.

Brexit ja tietosuoja

Huhtikuu 2021

GDPR on EU-asetuksena sellaisenaan voimassa koko EU- ja ETA-alueella. Iso-Britannia on eronnut EU:sta. Nyt on meneillään siirtymäaika, ja GDPR:n kannalta Iso-Britannia on samassa asemassa kuin EU- ja ETA-maat. Siirtymäaika päättyy kuitenkin 30.6.2021. Mitä sen jälkeen tapahtuu?

GDPR on EU-asetuksena sellaisenaan voimassa koko EU- ja ETA-alueella. Iso-Britannia on eronnut EU:sta. Nyt on meneillään siirtymäaika, jonka aikana GDPR:n kannalta Iso-Britannia on samassa asemassa kuin EU- ja ETA-maat. Siirtymäaika päättyy kuitenkin 30.6.2021. Mitä sen jälkeen tapahtuu?

Vielä tätä kirjoitettaessa asiasta ei ole päätetty. Vaihtoehtoja on useita.

Vaihtoehto 1: Mitään sopimusta ei synny ja Iso-Britanniasta tulee kolmas maa

Tässä vaihtoehdossa siirtoperusteeksi suurimmalle osalle yrityksistä tulisi komission vahvistamat mallilausekkeet (standard contractual clauses, SCC). Schrems II-päätös kuitenkin osittain romutti SCC:n käyttökelpoisuuden ainakin joihinkin maihin. Tässä vaihtoehdossa Iso-Britannia ja Yhdysvallat olisivat käytännössä samalla viivalla. Rekisterinpitäjän olisi pystyttävä todistamaan, ettei kohdemaan viranomaisillakaan olisi asiatonta pääsyä henkilötietoihin. Tähän vaihtoehtoon päätyminen tarkoittaisi monelle yritykselle toimintojen siirtoa EU:n ja Iso-Britannian rajan yli.

Vaihtoehto 2: Komissio tekee Iso-Britanniaa koskeva vastaavuuspäätöksen

Käytännössä vastaavuuspäätöksen saaneiden maiden osalta voidaan toimia kuten ne olisivat EU/ETA-maita. Eroja on luonnollisesti mm. viranomaisten toimivaltuuksissa. Brexit-neuvottelujen aikana tietosuojaan liittyvissä keskusteluissa tätä vaihtoehtoa pidettiin todennäköisenä. Välillä sananvaihto on ollut tiukempaa, eikä tämä vaihtoehto ole koko ajan ollut itsestäänselvä.

Vaihtoehto 3: Iso-Britannia ja EU sopivat henkilötietojen käsittelystä ja luovat Privacy Shieldin kaltaisen järjestelyn

Schrems II:n seurauksena yhtenä vaihtoehtona umpikujasta ulospääsyksi on esitetty uuden sopimuksen tekeminen Safe Harbourin ja Privacy Shieldin jatkoksi. Sama menettely voisi olla sovellettavissa myös Iso-Britanniaan. Monella USA:laisella yrityksellä on toimintoja Iso-Britanniassa. Tällaisella järjestelyllä voitaisiinkin saada ratkaisu moneen ongelmaan samalla kerralla. Tällaisen sopimuksen valmistelusta tai sisällöstä ei ole tietoja julkisuudessa. Edelliset sopimukset ovat kaatuneet tuomioistuimissa GDPR:n vastaisina. Uudessa sopimuksessa olisi oltava jotain, mikä turvaisi henkilötietoja paremmin. Samalla se saattaisi olla järjestelyä käyttäville yrityksille raskaampi.

Henkilötietojen käsittely EU/ETA-alueen ulkopuolelle vaatii jonkin asetuksessa määritellyn siirtoperusteen. Käsittelyn katsotaan joissakin tilanteissa tapahtuvan kolmansissa maissa, vaikkeivat henkilötiedot koskaan sinne tapahtuisikaan. Jo se, että käsittely kolmansista maista olisi mahdollista riittää. Tietoja ei siis tarvitse siirtää vaan pelkästään yhteyden avaaminen on ratkaisevaa. Esimerkiksi ylläpitopalvelujen ulkoistaminen kolmansiin maihin vaatii siirtoperusteen. Joissakin tapauksissa jos pelkästään se, että ulkoistetaan kolmannen maan määräysvallassa olevalle yritykselle, saatetaan katsoa käsittelyksi kolmansissa maissa.

Oikeiden yhteistyökumppaneiden valinta on tärkeää. Kukaan ei vielä tiedä mitä vaatimuksia BREXIT tarkalleen asettaa henkilötietojen käsittelylle. Se kuitenkin on varmaa, että muutoksia tulee ja muutokset edellyttävät toimenpiteitä. Tilanne voi myös elää pidempäänkin. Nyt saatetaan päätyä yhteen ratkaisuun, joka todetaankin tulevina vuosina mahdottomaksi. Silloin lisäsuojaa joudutaan muuttamaan. Kannattaakin suosia kumppaneita, jotka tunnistavat tämän epävarmuuden ja lupaavat muokata toimintaansa tilanteen niin vaatiessa. Sellaisia toimijoita jotka väittävät nyt täyttävänsä kaikki GDPR- ja BREXIT-vaatimukset ilman muutoksia, on syytä välttää.

Epävarmassa tilanteessa henkilötietojen käsittelyn lisäsuojaan on hyvä panostaa. Esimerkiksi salaus ja pseudonymisointi kannattaa ottaa mahdollisuuksien mukaan käyttöön, ellei vielä ole. Asianmukaiset suojakeinot ovat kuitenkin käyttökelpoisia riippumatta siitä, mihin vaihtoehtoon BREXITissä loppujen lopuksi päädytään.

Kaikkien henkilötietoja Iso-Britanniaan siirtävien yritysten on syytä seurata tiedotteita lähikuukausina. Jos mitään ei tehdä, astuu vaihtoehto yksi automaattisesti voimaan. Yritysten kannalta se tarkoittaisi, että käsittely muuttuisi laittomaksi, ellei ennen sitä otettaisi käyttöön jotain siirtomekanismia.

Evästeiden hyväksyntä -tarpeellinen yksityisyyden tuoja vai käyttäjäkokemusta heikentävä turhake?

Helmikuu 2021

Monissa suomalaisissa yrityksissä on odotettu kuumeisesti ohjeita ja selkeyttä Suomen epäselvään evästetilanteeseen. Tarvitaanko Suomessa evästeiden käyttöön suostumus? Voidaanko suostumus pyytää selaimen asetusten kautta? Sovelletaanko evästeitä koskevaa sääntelyä muihinkin seurantatekniikoihin kuin evästeisiin? Pahoin pelkään, että vastauksia näihin kysymyksiin saadaan odottaa yrityksissä vielä pitkään.

Tietosuojavaltuutetun toimiston toukokuussa 2020 antaman ratkaisun myötä moni ehtikin jo todeta, että tilanne Suomessa vihdoin selkeytyisi. Vaikka kyseistä ratkaisua pidettiin Suomessa tärkeänä EU:n yleistä tietosuoja-asetusta (“GDPR”) koskevana ennakkoratkaisuna, sen vaikutukset käytännössä ovat jäämässä kovin vähäisiksi. Kulissien takana käydyt keskustelut kahden asiaa valvovan viranomaisen, eli Tietosuojavaltuutetun toimiston sekä Liikenne- ja Viestintävirasto Traficomin välillä osoittavat, että asia ei ole ratkeamassa lähiaikoina. Tietosuojavaltuutetun toimiston edustajalta saamani vahvistuksen myötä myöskään yrityksissä jo kauan kaivattuja ohjeita ei tulla näillä näkymin laatimaan. Syynä on näiden kahden valvontaviranomaisen tekemien tulkintojen välillä vallitseva merkittävä ristiriita.

Tietosuojavaltuutetun toimisto katsoo, että evästeiden käyttöön vaaditaan Suomessa suostumus. Asiaa valvova Liikenne- ja viestintävirasto Traficom on puolestaan katsonut, että Suomessa evästeiden käyttöön ei tarvita käytännössä suostumusta. Ei ainakaan sellaista, jota tietosuojalainsäädäntö edellyttää. Ohjeiden puuttuessa yritykset on jätetty oman onnensa nojaan asian suhteen. Tämä näkyy verkkosivuille toteutettujen erilaisten suostumuskyselyiden kautta. Useat verkkosivustot eivät informoi evästeistä lainkaan saati pyydä niihin suostumusta. Toisessa ääripäässä sivustolle on kehitetty ratkaisu, joka sallii yksittäisten suostumusten antamisen kattavan informaation kera. Näiden välille on syntynyt ratkaisuja, jotka vaikuttavat heikentävästi käyttäjäkokemukseen, tuomatta mitään suojaa yksityisyydelle.

Selvää kuitenkin on se, että myös Suomessa evästeisiin, jotka eivät ole “ehdottoman välttämättömiä”, tarvitaan suostumus. Lokakuussa 2019 annettu EU tuomioistuimen ratkaisu (C‑673/17 “Planet 49”) vahvistaa, että tällaisen suostumuksen on täytettävä GDPR:n pätevälle suostumukselle asettamat edellytykset. Suostumus voidaan pyytää mitä tahansa tekniikkaa hyödyntäen, kunhan loppukäyttäjän tekemä toimenpide on GDPR:n artiklan 4 mukaisesti vapaaehtoinen, yksilöity, tietoista ja yksiselitteistä tahdonilmaisu. Lisäksi on rekisterinpitäjän vastuulla, että se kykenee osoittamaan GDPR:n artiklan 7, että suostumus on annettu ja se täytti kaikki edellä mainitut edellytykset. Edelleen, verkkosivuilla vieraileville on myös tarjottava mekanismi, jolla suostumus voidaan peruuttaa yhtä helpolla tavalla kuin suostumuksen antaminen alunperin oli.

Kiistaton fakta on se, että markkinoilta ei löydy tänä päivänä sellaista Internet selainta, jolla edellä mainitut edellytykset täyttävä suostumus kyettäisiin antamaan. On nimittäin syytä muistaa se, että suostumusta koskeva sääntely soveltuu evästeiden lisäksi kaikkeen ‘tietoon’, jota käyttäjien päätelaitteelle tallennetaan. Tämä käy ilmi useiden muiden jäsenvaltioiden valvontaviranomaisten evästeohjeista. Myös Traficom katsoi huhtikuussa 2020 antamissaan ratkaisuissa, että sääntelyä sovelletaan myös kolmannen osapuolen fontteihin, javaskripteihin sekä pikseleihin. Toki kehitystä tapahtuu myös Internet selainten osalta. Tästä voitaneen mainita yksityisyyden suojaa kunnioittava Brave -selain, sekä Googlen päätös estää kokonaan kolmannen osapuolen evästeet tulevissa Chrome versioissa. Seurannan siirtyessä pois evästeistä muihin seurantateknologioihin, jää nähtäväksi paraneeko loppukäyttäjien yksityisyyden suoja lainkaan tulevaisuudessa. Vaikka monien evästeiden tarkoituksena onkin parantaa käyttäjäkokemusta tai tehdä mainonnasta kohdennetumpaa, on evästeillä myös synkempi puoli. Ei ole nimittäin harvinaista, että evästeitä ja muita seurantateknologioita hyödynnetään myös viranomaisten verkkopalveluissa, lapsille tarkoitetuissa palveluissa tai jopa palveluissa, joissa käsitellään hyvinkin sensitiivisiä, erityisiin henkilötietoryhmiin kuuluvia tietoja. Irlannissa Googlea vastaan tehty valitus osoittaa, kuinka mainontaa voidaan kohdentaa myös henkilöihin, joilla jotka sairastavat AIDSia, joilla on aivokasvain tai jopa henkilöihin, jotka ovat joutuneet hyväksikäytön kohteeksi.

Tähän ongelmaan on kuitenkin herätty Suomen ulkopuolella. Joulukuussa 2020 Ranskan valvontaviranomainen CNIL määräsi Googlelle 100 miljoonan euron ja Amazonille 30 miljoonan euron sakot evästeiden hyödyntämisestä ilman pätevää suostumusta. Näkisin, että evästeiden hyväksyntä on tarpeellinen yksityisyyden suojaa lisäävä tekijä, mutta vain silloin kun suostumuksen pyytämiseen käytetty tekniikka on kehitetty oikein, eikä siinä hyödynnetä käyttäjää manipuloivia keinoja suostumuksen saamiseksi. Tänä päivänä suurin osa ratkaisuista voidaan kuitenkin katsoa kuuluvaksi otsikon jälkimmäiseen laariin, eli käyttäjäkokemusta heikentäviksi turhakkeiksi.

Vastaajana Heikki Tolvanen / Tietosuoja ry

Tämä sivusto käyttää evästeitä. Käyttämällä sivustoa hyväksyt evästeiden tallentamisen tietokoneellesi. Lisäksi hyväksyt, että olet lukenut ja ymmärtänyt tietosuojakäytäntömme. Jos et ole samaa mieltä, jätä sivusto.Lisätietoja evästeistä