31.12.2021

Tietosuojavuosi 2021

2021 oli Suomessa tietosuojan kannalta hyvä vuosi. Vuoden aikana tapahtui paljon. Monia päätöksiä kritisoitiin, mutta uskon useimpien niiden vaikutusten olevan niin rekisteröityjen kuin rekisterinpitäjienkin kannalta positiivisia. On kuitenkin kaikkien etu, että kaikki pelaavat samoilla säännöillä.

Suomessa keskustelua tuntui edelleen hallitsevan evästeet. Traficom hävisi hallinto-oikeudessa. Päätös totesi itsestäänselvyyden: myös Suomessa on noudatettava EU-säädöksiä. Vain teknisesti välttämättömät evästeet voidaan asettaa ilman GDPR:ssä tarkoitettua käyttäjän suostumusta. Käytännössä siis esimerkiksi kolmannen osapuolen seurantaevästeitä saa asettaa vasta kun käyttäjä on yksiselitteisesti antanut siihen suostumuksensa, vaikka hänelle on tarjottu vähintään yhtä helppo tapa kieltäytyä evästeistä. Päätös aiheutti melkoisen älämölön. Onhan tietenkin ikävää, että viranomainen on vuosia ohjeistanut asiassa väärin. Mutta toisaalta, ei kai me umpiossa asuta. Tosiasiallisesti varmastikin suurin osa toimijoista on tiennyt, että Traficomin aikaisempi ohjeistus oli räikeästi ristiriidassa verrattuna muiden maiden viranomaisten ohjeistukseen. Jonkin verran Traficomia kritisoitiin siitä, että nyt se kielsi Suomessa seurannan ja mainokset. Minusta on puhtaasti positiivista, että Suomessakin viranomaiset toimivat lakien ja asetusten mukaan ja korjaavat toimintaansa tarpeen mukaan.

Korona vaikutti vuonna 2021 meihin kaikkiin. Mutta oli sillä mielenkiintoisia tietosuojaulottovuuksiakin. Valitettavasti tietosuojaa käytettiin usein tekemisen esteenä. Tietosuoja muka estää ihmisten kutsumista tekstiviestillä koronarokotuksiin. Koronavilkku säädettiin niin tiukalle, ettei sitä voitu enää käyttää alkuperäisessä tarkoituksessaan, eli tartunnanjäljityksen apuvälineenä. Tehokkaita koronatoimia ei Suomessa voitu tehdä ilman kankeita eduskunnan tasoisia päätöksiä. Esimerkiksi tieto rokottamisesta tulkittiin terveystiedoksi. Näin ollen erityisiin henkilötietoryhmiin kuuluvana tietona koronapassien käsittelylle luotiin aivan tarpeettomia rajoituksia. Sama GDPR muissa maissa ei luonut vastaavia esteitä. GDPR:n tavoitteena on suojella ihmisten perusoikeuksia ja vapauksia. Tämä on hyvä muistaa aina silloin kun perusoikeuksiin (mm. elinkeinonvapaus, oikeus elämään tai oikeus terveyteen) liittyviä kieltoja perustellaan GDPR:llä. Kun työnantaja haluaa varmistua työntekijöiden rokotestatuksen tai teatteri ottaa sisään vain rokotettuja tai testattuja, ne pyrkivät varmistamaan suuren joukon perusoikeuksien toteutumisen. Tietosuojalla ei ole minkäänlaista erityisasemaa suhteessa muihin perusoikeuksiin. Onko perusoikeusharkinta tehty oikein, jos koululuokassa ei voida ilmoittaa altistuksesta tietosuojan vuoksi? Onko ylipäätään tieto yleisvaarallisen tartuntataudin sairastamisesta yksityisasia silloin, kun on kontaktissa muiden kanssa? Toivottavasti jatkossa onnistumme tasapainoilemaan perusoikeuksien ristiriitojen kanssa paremmin.

Schrems II, siihen liittyvät EDPB:n ohjeet sekä uusitut SCC:t puhuttivat paljon. Mutta jäiköhän tämä vielä toistaiseksi pitkälle puheiden tasolle? Kovin harva yritys on päivittänyt SCC:n uusiin versioihin. Monien näkemyksen mukaan henkilötietoja ei viedä kolmansiin maihin, vaikka käytetään ylikansallisten palveluntarjoajien pilvipalveluita. Tässä asiassa tietenkin EU on maalannut itsensä nurkkaan, eikä poispääsyä vielä näy. Periaatteellisella tasolla päätös kieltää USA:laisten palveluiden käytön henkilötietojen käsittelyyn. Eli käytännössä melkein kaiken. On tietenkin selvää, etteivät yritykset ole ryhtyneet toimenpiteisiin. Mitä ne voisivat tehdä? No ehkäpä vuonna 2022 saamme tähän vastauksia ja ennen kaikkea ratkaisuja.

Vuoden 2021 aikana yksi nouseva trendi tuntui myös olevan GDPR:n käyttäminen tekosyynä viranomaisten toiminnan läpinäkyvyyden estämisessä. Pääministerin aamiaiskuitit muuttuivatkin kokonaisuudessaan henkilötiedoiksi. KKO liittää asiakirjapyyntöjen vastauksiin uhkaavanoloisia kirjelmiä, joissa kerrotaan vastauksen sisältävän henkilötietoja ja näin ollen vastaanottajan onkin pidettävä vastaus salassa. Julkisuuslaki pitäisi uusia. Nykyinen muotoilu mahdollistaa venkoilun useilla eri perusteilla. Erityisesti henkilötietojen käsittelyyn liittyvät kohdat olisi hyvä selkiyttää. On järjetön ajatus, että julkisen asiakirjan hallussa pitäjän pitäisi ryhtyä erityisiin suojaustoimiin asiakirjan julkisten henkilötietojen vuoksi.

Tuomioistuinten rooli oli yllättävän suuri. Schrems II:n vaikutukset syntyivät tuomioistuimen päätöksestä. Suomessa tuomioistuinten rooli oli suuri evästeasiassa ja verottajan verotietojen salaamisessa. Myös Postin saamaa GDPR-sakkoa muutettiin. Suomessa sakkoja on edelleen annettu vähän ja ne ovat suhteellisen pieniä. Tähän nähden on hieman huolestuttavaa, etteivät annetutkaan sakot pidä tuomioistuimessa. Olisi varmastikin kaikkien etu, että kaikkialla EU:ssa sakon riski ja seuraamuksen suuruus olisivat samaa luokkaa.

Monessa maassa tietosuojaviranomaisten valvonta on ruuhkautunut. Niin on myös Suomessa. Aivan loppuvuodesta oikeuskansleri huomautti TSV:n resurssoinnista. Irlannin viranomaisten päätöksiä odottaa koko EU, koska siellä käsiteltävinä on nimenomaan useisiin monikansallisiin yrityksiin liittyviä ennakkopäätösluonteisia asioita. Omasta mielestäni ratkaisu ei voi olla resurssien jatkuva lisääminen. Toimiva ratkaisu voisi olla priorisointi ja resurssien jakaminen oikein. Montako tuntia tarvitaan esimerkiksi siihen, että huomautetaan www-sivuston analytiikasta ilman informointia? Uskon, että monen päätökset voitaisiin tehdä pikakäsittelyllä. Ei poliisikaan kirjoita rikesakon liitteeksi kymmenien sivujen selostetta tapahtumasta ja siihen liittyvästä lainsäädännöstä. Miksi tietosuojaan liittyen yksinkertaisinkin päätös vaatii henkilötyöpäiviä?

On hyvä, että tietosuojaan liittyen saatiin merkittäviä päätöksiä ja linjauksia. Tietämys tietosuojasta on lisääntynyt. Paljon on vielä tehtävää. Ehkäpä kuitenkin voimavarat on käytetty oikein, koska rekisteröidyille vakavaa haittaa aiheuttaneita tietoturvaloukkauksia ei Suomessa tullut julki. Rekisteröityjen suojaamiseksihan tätä tietosuojatyötä kuitenkin tehdään.

Mikko Pohjala