Suomi on viime viikkoina saanut ensimmäiset GDPR-sakkopäätöksensä. Olen lukenut monia näitä päätöksiä koskevia kirjoituksia. Monissa kirjoituksissa tai esityksissä päätökset ja niiden sisältö on otettu pitkälti ns. annettuina ja kirjoitukset ovat pääosin olleet selventäviä koosteita pitkistä päätöksistä. Kun tieto ensimmäisten päätösten lähestyvästä julkaisusta tuli, kirjoitin pikaisesti LinkedIniin listan odotuksista ja näkökulmista, joiden kautta olen myös tarkastellut sittemmin julkistettuja päätöksiä. Alla tuolloin pikaisesti sorvaamani lista sellaisenaan tähän kopioituna:
1. Miten hyvin viranomainen ymmärtää tietointensiivistä toimintaa, sen arkirealiteetteja, reunaehtoja ja toimintamalleja?
2. Miten GDPR:n accountabilityn ja elinkeinonvapauden tarjoama valinnaisuus näyttäytyy?
3. Miten sakko-prosessi toimii rekisterinpitäjän ja hallintolain näkökulmasta prosessina ja itse casessa? (monissa EU-maissa viranomaiset ovat jääneet ”kiinni” erityyppisistä prosessivirheistä sakkopäätösten valituksia käsitellessä)
4. Minkälaisia tulkintaperiaatteita ja -painotuksia noudatetaan?
5. Miten on arvioitu GDPR:n 58 art toimivaltuusvalikoiman käyttömahdollisuuksia?
6. Saako ”varoittavan esimerkin antaminen” tai joku muu oikeudellisen arvioinnin ulkopuolinen seikka merkitystä caseissa?
7. Millainen ja mihin perustuva on sakon laskennan mekanismi?
Jos kaikki tietosuojavaltuutetun kollegion antamat ensimmäiset sakkopäätökset ”kampaisi” tuon yllä olevan listan kanssa syntyisi nälkävuoden pituinen blogikirjoitus, jota ei ilman piristeitä jaksaisi kerralla kahlata. Olen tuon listan perusteella kirjannut tähän kirjoitukseen muutamia kysyviä, tutkailevia ja kriittisiä huomioita ja nostoja ensimmäisistä sakkopäätöksistä. Katson, että viranomaiset ja me kaikki tietosuojan äärellä työskentelevät tarvitsemme jatkuvasti myös tilannekuvaa, näkemyksiä ja päätöksiä koettelevia kysymyksiä ja huomioita. Vai olemmeko me sitä mieltä, että täydellinen sapluuna ja paletti GDPR-tapausten käsittelyssä ja soveltamisessa on valmis?
Rekisteröity ja rekisterinpitäjä
GDPR:ään on sisäänrakennettu rekisterinpitäjälle paitsi velvollisuuksia niin myös mahdollisuus rakentaa tietointensiivistä toimintaansa eri tavoilla GDPR:n mahdollistamien erilaisten toimintamallien äärellä. GDPR:n ytimessä jokaisen oikeus henkilötietojensa suojaan mutta GDPR:n resitaali 2 lausuu myös: “Tämän asetuksen tarkoituksena on tukea vapauden, turvallisuuden ja oikeuden alueen ja talousunionin kehittämistä, taloudellista ja sosiaalista edistystä, talouksien lujittamista ja lähentämistä sisämarkkinoilla sekä luonnollisten henkilöiden hyvinvointia.” Näkyykö näissä ensimmäisissä sakkopäätöksissä kokonaisarviointia joka olisi monipuolisesti virittäytynyt tuon GDPR:n laajan tarkoituksen äärelle? Arvioidaanko rekisterinpitäjän toimintamalleja enemmän induktiivisesti rekisteröidyn näkökulmasta vai näkyykö kokonaisvaltaista arviointia? GDPR:ssä vahvasti keskiöön nostettu rekisteröityjen henkilötietojen suoja on näissä ensimmäisissä päätöksissä vahvasti keskiössä, mutta miten balansoidusti? Vaatinee pidempää aikajännettä ja myös EU-laajuista analyysiä ennen kuin tämän kysymyksenasettelun tuloksia voidaan tarkemmin paaluttaa.
Onko GDPR:ää tulkittu juridisesti oikein?
Lähtökohtaisesti viranomaispäätöksien osalta ei yleensä tarvitse tarkastella että onko sovellettu oikeita säännöksiä. Taksi Helsinki Oy:tä koskevan päätöksen osalta löytyy GDPR:n artiklaviidakon osalta kuitenkin ainakin yksi tarkempaa tarkastelua ansaitseva kohta. Kysymykset nousevat kanta-asiakasohjelman osalta vastustamisoikeudesta ja informointivelvoitteesta tehdyistä tulkinnoista. Päätöksessä lausutaan:
”…rekisterinpitäjän harjoittamasta automaattisesta päätöksenteosta, mukaan luettuna profilointi, todennäköisesti aiheutuu korkean riski luonnollisen henkilön oikeuksille ja vapauksille.”
“Heikommassa asemassa olevia rekisteröityjä koskevien tietojen käsittelyn osalta voidaan todeta … että rekisterinpitäjä käsittelee todennäköisesti tässä asemassa olevien rekisteröityjen tietoja. Automaattisen päätöksenteon, mukana luettuna profilointi, osalta on todettava lisäksi, että tässä asemassa olevat henkilöt eivät välttämättä osaa käyttää heidän oikeuttaan vastustaa heitä koskevaa automaattista päätöksentekoa.”
Päätöksessä on siis lähdetty siitä että ”heikommassa asemassa olevat rekisteröidyt” eivät osaisi GDPR:ään perustuen vastustaa kanta-asiakasohjelman henkilötietojen käsittelyä GDPR:n perusteella. Oma pohdinnan aiheensa olisi myös mitä ovat tässä tapauksessa ”heikommassa asemassa olevat” rekisteröidyt? Tätä ei päätöksen kontekstissa ole avattu tai perusteltu lainkaan. Ja juttua riittäisi myös hyvin tavanomaisen kanta-asiakastekemisen tulkitsemisesta korkean riskin kategoriaan. Mutta nyt vastustamisoikeuden ja informointivelvoitteen pariin.
# Kanta-asiakasohjelma on juridisesti sopimus. Tätä mieltä on mm. kuluttaja-asiamies kanta-asiakasohjelmia koskevassa linjauksessaan. Kanta-asiakassopimuksen täytäntööpanoon liittyvä henkilötietojen käsittely tapahtuu lähtökohtaisesti GDPR 6.1.b-kohdan nojalla. (“käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä).
# Päätöksen tekstien perusteella näyttää selkeästi siltä, että Taksi Helsinki Oy:n VIP-asiakkaiden henkilötietojen käsittely automatisoidun päätöksen osalta on tosiasiallisesti ollut kanta-asiakassopimuksen täytäntöönpanoa.
# Kanta-asiakkuuden sopimusluonnetta ei ole käytännössä lainkaan käsitelty päätöksessä.
# Löytyykö päätöksessä mainittu vastustamisoikeus tai oikeus olla olematta automaattisen päätöksen kohteena 22.1 artiklasta? Ei, koska päätöksen itsensä mukaan Taksi Helsinki Oy:n kanta-asiakasohjelman automaattiseen päätöksentekoon ei liity 22.1 artiklan tarkoittamaa oikeusvaikutusta tai vastaavalla tavalla merkittävää vaikutusta.
# Kun katsoo sopimukseen täytäntöönpanoon liittyvään automaattista päätöksentekoa koskevaa 22 artiklan 2 kohtaa ja siihen liitännäistä 3 kohtaa niin niistäkään ei löydy rekisteröidyn vastustamisoikeutta sopimuksen täytäntöönpanoon liittyvälle henkilötiedon käsittelylle. Ja sitä paitsi nuo 22 artiklan 2 ja 3 kohdat koskevat 22.1 artiklan tarkoittama päätöstä, “jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi”, josta siis ei TSV:n päätöksen mukaan ollut kyse.
# Mainittakoon vielä että rekisteröidyn vastustamisoikeus 21 artiklassa rajoittuu 6 artiklan 1 kohdan e tai f alakohdan nojalla tapahtuvaan henkilötietojen käsittelyyn. 21 artiklan vastustamisoikeus ei siis ulotu lainkaan sopimuksen täytäntöönpanoon liittyvään henkilötietojen käsittelyyn.
# Informoinnin osalta päätöksessä moititaan, että “tietosuojaselosteilta puuttuu yleisen tietosuoja-asetuksen 13 artiklan 2 kohdan f alakohdan mukainen tieto automaattisen päätöksenteon, muun muassa 22 artiklan 1 ja 4 kohdassa tarkoitetun profiloinnin olemassaolosta”. Tuon 13 artiklan osalta kannattaa lukea englanninkielistä versiota, suomenkielinen käännös on huono, jopa väärä. Tuo 13.2.f artikla rajoittuu nimenomaan 22.1 ja 4 artiklan tapauksiin, joissa on kyse automaattisista päätöksistä, joilla on “häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi”. Ja päätöksessä itsessään siis todetaan ettei tällaisista päätöksistä ollut tällä kertaa kyse.
Vaikka rekisterinpitäjällä olisi ollut puutteita informoinnissa kanta-asiakasohjelmaan liittyen niin silti edellä selostetun nojalla on perusteltua kysyä onko vastustamisoikeuden ja informointivelvoitteen osalta GDPR:n artikloita tulkittu päätöksessä oikein? Jos rekisterinpitäjä informoi sopimukseen täytäntöönpanoon liittyvän käsittelyn tapahtuvan oikeutetun edun nojalla, voi toki syntyä melko nurinkurinen tulkintatilanne. Rekisterinpitäjien on syytä olla tarkkana käsittelyperusteiden jakautumisen kanssa. Laajemmassa katsannossa tulkintamaasto on osin haastava koska sopimuksen täytäntöönpanon ja oikeutetun edun väliseen rajanvetoon liittyy erilaisia kantoja mm. siitä mikä on välttämätöntä sopimuksen täytäntöönpanemiseksi.
Oliko sakko oikea seuraamusvalinta?
Muutama tietosuoja-ammattilainen, jonka kanssa olen keskustellut näistä sakkopäätöksistä on arvioinut, että joissain päätöksissä olisi ollut perusteltua olla antamatta sakkoa ja käyttää muuta GDPR:n keinovalikoimaa, esimerkiksi huomautusta ja määräystä tietyistä korjaavista toimenpiteistä. Punnintaa eri seuraamusvaihtoehtojen välillä ei päätöksissä juuri näy. Olen itse samaa mieltä että muunkinlaiset seuraamukset olisivat osin olleet perusteltuja. Lausuma tietosuojavaltuutetun blogista ennen GDPR:n voimaantuloa: “Suoritamme siis kokonaisharkinnan, jossa ensin kysymme itseltämme, onko kyseinen tietty tapaus sellainen, jossa 58 artiklan mukaiset korjaavat toimivaltuutemme eivät ole riittävät.”
Onko ollut sakkopäätösten antamiseen ollut painetta joka on vaikuttanut tulkintoihin casen ulkopuolelta? Tätäkin pitää voida kysyä, ja tähän liittyvää melko lämmintäkin keskustelua on käyty ja käydään ympäri EU:ta. Kun katsoo EU-alueella annettuja sakkopäätöksiä niin suuressa osassa on kyse selkeästä laiminlyönnistä ja piittaamattomuudesta. Tapauksissa on usein annettu rekisterinpitäjälle viranomaisen toimesta ensin menettelyohje tai määräys, joka on sitten selkeästi laiminlyöty.
Viranomaisohjauksen puute?
Entä jos rekisterinpitäjä pyytää tapauksen käsittelyn aikana tarkempaa ohjausta viranomaiselta henkilötietojen käsittelyyn? Jos rekisterinpitäjä katsoo menettelevänsä oikein ja viranomainen taas katsoo että asiassa on menetelty lainvastaisesti mutta ei anna mitään ohjausta sitä mikä olisi lainsäädännön vaatimukset täyttävä menettely. Jos tällainen tapaus etenee seuraamusvaiheeseen niin miten tarkemman ohjauksen antamatta jättämistä on arvioitava? Työnhakulomakkeen tietoja koskeneessa sakkopäätöksessä, jossa rekisterinpitäjän nimeä ei julkistettu, lausutaan: “Tapaukseen liittyvät säännökset eivät ole keskeiseltä sisällöltään sillä tavoin puutteellisia tai vaikeasti tulkittavia, että arvioinnissa tulisi merkitystä antaa sille, että rekisterinpitäjän väittämällä tavalla tietosuojavaltuutetun toimiston antama ohjaus, käytännölliset mallit ja ohjeistus ovat olleet puutteellisia”. Eli tietosuojaviranomaisen puuttuvalle tai puutteelliselle ohjaukselle ei tulisi antaa merkitystä? GDPR 57.1.d artiklan mukaan tietosuojaviranomaisen on “edistettävä rekisterinpitäjien ja henkilötietojen käsittelijöiden tietämystä niille tämän asetuksen mukaan kuuluvista velvollisuuksista”. Hallintolain 8 §:n mukaan “Viranomaisen on toimivaltansa rajoissa annettava asiakkailleen tarpeen mukaan hallintoasian hoitamiseen liittyvää neuvontaa sekä vastattava asiointia koskeviin kysymyksiin ja tiedusteluihin”.
Tulkintaperiaatteet ja painotukset
GDPR:n osalta yksi haaste ympäri EU:ta on tulkintahistorian ohuus. GDPR-päätöksiä on annettu ympäri EU:ta mutta ennakkopäätöksiä ei käytännössä juurikaan ole. EU-tuomioistuimen muutamat tapaukset ovat pääosin vanhan henkilödirektiivin aikaisten tapauksiin kytkeytyviä vaikka EU-tuomioistuin onkin virittänyt näitä päätöksiä myös GDPR-suuntaan. Kansallisia ennakkopäätöksiä ei juurikaan ole. Julkisessa tietosuojakeskustelussa tuntuu joskus käsiteltävän mitä tahansa viranomaispäätöksiä ennakkopäätöksinä, vaikka ennakkopäätöksiä ovat ylimmän oikeusasteen antamat päätökset. Koska tulkintahistoria on lyhyt niin tulkintaan haetaan aineksia GDPR:n resitaaleista ja EU:n tietosuojaneuvoston linjauksista. EU-säännösten resitaalit ovat tunnetusti ohuita ja laadultaan aivan eri luokkaa kuin esimerkiksi kotimaisten pykälien yksityiskohtaiset perustelut. Tulkinta on monelta osin hyvin kirjaimellista, Postin päätöksen perusteluissa pohditaan esimerkiksi mitä “aktiivin indikatiivimuoto verbistä” tarkoittaa rekisterinpitäjälle.
Suomen ensimmäisissä sakkopäätöksissä huomiota kiinnittää EU:n tietosuojaneuvoston (EDPB) ohjeistusten käyttö. Oikeuslähdeopin perusteella EDPB:n linjausten merkittävyydestä voi perustellusti esittää kysymyksiä. EDPB:n ohjeistusten sisältö on saanut myös kritiikkiä osakseen. Ohjeistuksiin on mm. kopioitu sisältöjä sellaisenaan vuosia vanhoista WP 29-ohjeistuksista. Myös aivan uusimpia EDPB:n ohjeistuksia on moitittu mm. GDPR:n ylitulkinnoista, näin esimerkiksi videovalvontaa koskevan ohjeistuksen osalta. Tätä taustaa vasten on hyvä tarkastella miten legitimoiva rooli sakkopäätöksissä annetaan EDPB:n linjausten lausumille. Näyttäisi siltä, että EDPB:n linjausten yksittäisille lausumille on annettu sakkopäätöksissä hyvinkin merkittävä rooli, vaikka oikeuslähdeopillisesti niiden asema onkin melko alhaalla hierarkiassa. Viime kädessä ylemmät oikeusistuimet luovat sitten ennakkopäätöksillään oikeudellisesti sitovampaa tulkintalinjaa.
Postia koskevassa päätöksessä on ensinnäkin mielenkiintoista että kyse ei ole informoinnin laiminlyönnistä vaan informoinnin eri toteutustapojen arvioinnista. Posti oli informoinut henkilötietojen käsittelystä ja postilain mukaisesta osoitetietojen luovuttamisesta verkkosivuilla, palvelusopimuksissa ja tietosuojaselosteessa. Huomiota kiinnittää lisäksi perustelulausumien väljät oletus- ja todennäköisyystyyppiset rakenteet: “rekisteröityjen ei voitu olettaa tietävän luovutuksista”, “Toisaalta todennäköistä on, että osa ilmoituksen tekijöistä ei ole tiennyt tietojen luovutuksista”, “on mahdollista, että osa ilmoituksen tehneistä olisi kieltänyt tietojensa luovuttamisen”. Mielenkiintoinen päätöksestä ilmenevä fakta on, että Postin parannettua tietosuojainformointia tapauksen käsittelyn aikana, rekisteröityjen tekemien luovutuskieltojen määrä väheni.
Yksittäisiä huomioita
Tasapainotestin pakollisuus? Taksi Helsinkiä koskevassa päätöksessä lausutaan oikeutettuun etuun liittyen tasapainotestin pakollisuudesta: ”…ei ole laatinut tai dokumentoinut yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohdan mukaisen oikeutettu etu -käsittelyperusteen soveltamisen edellyttämää tasapainotestiä” ja “tasapainotestin sisältämät tiedot … on määritelty yleisessä tietosuoja-asetuksessa”. Mutta onko tasapainotesti aivan tarkkaan ottaen pakollinen GDPR:n mukaan? UK:n tietosuojaviranomaisen ICO:n sivuilla lukee: “There is no obligation in the GDPR to do an LIA…”. TSV:n sivuilla puolestaan lukee: “If you are a controller, you are required to perform the balance test…”. Hyödyllinen, tarpeellinen ja käytännössä välttämätönkin mutta että ”lakipakollinen”?
Kymen Vesi Oy:tä ja Taksi Helsinki Oy:tä koskevissa päätöksissä olisi voinut odottaa, että olisi tarkasteltu myös minkälainen tietojen käsittelyprosessi ja tietojen elinkaari on. Prosessit voivat privacy by design-mielessä ja siten myös riskiarvioinnin kannalta olla kovin, kovin erilaisia. Esimerkiksi Taksi Helsinki Oy:n taksien kuvausjärjestelmä on kokonaisprosessina perustunut tietosuojalautakunnankin aikoinaan määrittelemiin tiukkoihin privacy by design-kehyksiin ja tämä olisi voinut yhtenä elementtinä näkyä myös päätöksessä?
Oikeudellisten päätösten rakentaminen käytettävyys- ja ymmärrettävyysmielessä on haastava laji. Näiden monikymmensivuisten sakkopäätösten äärellä ymmärrettävyyttä ei helpota se, että päätös jakautuu useaan osioon, joissa osin käydään läpi samaa substanssia eri sanakääntein. Hiukan tulee ikävä EU-tuomioistuimen päätöksiä, jossa perustelukappaleet on juoksevasti numeroitu ja lopussa on selkeä päätösosio. Kuten sanottu, viranomaisen tehtävä on haastava.
Lopuksi
GDPR:n säätämisprosessi oli ja sen tulkintajatkumo on jatkuvaa balanssin etsimistä. Mikä on tasapainoinen ratkaisu ja linja kussakin kontekstissa? Sen äärellä olemme kaikki – soveltajat, valvojat, neuvonantajat ja kommentoijat. Viranomaisten tehtävä on kaikkea muuta kuin helppo. Balanssin löytämistä ei helpota dataan liittyvän ekosysteemien monimutkaisuus, konseptien erilaisuus, teknologioiden kompleksisuus ja muutosvauhti. GDPR:n sirpaleiset tekstit on käytännössä sorvattu viitisen vuotta sitten. Muutoshyrrässä ne vanhenevat armotta, niinpä oikeustapauksilla ja niistä viestimisellä on oma merkittävä roolinsa. Me tarvitsemme laaja-alaista tarkastelua, pohdintaa ja myös tervettä kyseenalaistamista.