Effi antoi 8.9.2017 lausunnon yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän (TATTI) mietinnöstä.
Lausunto kokonaisuudessaan (löytyy myös Lausuntopalvelusta):
Yleiset kommentit
Electronic Frontier Finland – Effi ry kiittää mahdollisuudesta antaa lausunto yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän (TATTI) mietinnöstä.
Tietoyhteiskunnan keskeiseksi ongelmaksi on noussut, että sekä julkisten että yksityisten toimijoiden on ollut mahdoton vastustaa kiusausta rikkoa yksityisyyden suojaa, jonka laajamittainen loukkaaminen on tullut yhä helpommaksi. Myös tietoturva-asioiden jättäminen retuperälle on valtioille, kunnille ja yrityksille edelleen liian houkuttelevaa.
Massavalvonta, verkkovakoilu, big data -hankkeet, joissa hyödynnetään yksityishenkilöistä kerättyä tietoa, sosiaalisen median palveluiden ja muiden verkkopalveluiden harjoittama tiedonkeruu, “esineiden Internet” ja sen tietoturvaongelmat sekä monet muut vastaavat kysymykset muodostavat laajan kokonaisuuden, joka on ihmisoikeuksien toteutumisen kannalta erittäin tärkeä.
Tietosuojan tasoa sekä huolellisuutta ja lainmukaisuutta henkilötietojen käsittelyssä on tarpeen parantaa huomattavasti, ja tässä EU:n uudella tietosuoja-asetuksella ja sen asianmukaisella kansallisella soveltamisella on toivottavasti myönteistä merkitystä.
Samalla kun tietoisuus tietosuoja-asioiden ja yksityisyyden suojan merkittävyydestä on kasvanut, ovat toisaalta myös vaatimukset avoimuudesta kasvaneet. Viranomaisilta toivotaan avointa dataa kansalaisten ja yritysten hyödynnettäväksi ja tieteen piirissä puhutaan paljon tieteellisen tiedon avoimuudesta.
Tietosuoja- ja avoimuusvaatimusten välillä on joissakin tapauksissa ristiriitaa, mitä EU:n tietosuoja-asetuksessa ja TATTI-työryhmän mietinnössä on pyritty ratkaisemaan korostamalla, etteivät tietosuojasäännökset saa estää sananvapauden toteutumista eivätkä haitata journalismia ja tieteellistä tutkimusta.
Työryhmä on pohtinut myös tietoyhteiskunnan palveluissa sovellettavaa ikärajaa, jota nuorempi ei voisi liittyä palveluun ilman vanhempien suostumusta. Ikärajakysymyksen arviointi liittyy sopimusehtojen selkeyteen yleisemminkin. Tietoyhteiskunnan palveluiden sopimusehdot ovat yleisesti olleet niin vaikeaselkoisia, että palvelun käytön vaikutuksia tietosuojaan on ollut vaikea hahmottaa. Kun lisäksi tiedetään, että suurin osa käyttäjistä ei edes perehdy käyttöehtoihin, suostumus henkilötietojen käsittelyyn annetaan heikoin perustein ja ymmärtämättä mihin sitoudutaan. Tämä ongelma koskee kaikenikäisiä, vaikkakin nuoren henkilön edellytykset hahmottaa henkilötietojen käsittelyn vaikutuksia ovat heikommat. Asiakkaan tosiallinen mahdollisuus vaikuttaa tietojen keräämiseen ja tietosuojaa koskevien käyttöehtojen esittäminen ymmärrettävästi korostuvat uuden tietosuoja-asetuksen myötä.
Tietosuoja-asetus kiinnittää huomiota siihen, että rekisteröityä on informoitava selkeästi. Siirtymävaiheen käytänteihin jää kuitenkin vielä epäselviä yksityiskohtia, kuten se, täytyykö henkilötietojen käsittelijän saada rekisteröidyltä nimenomainen, informoitu suostumus henkilötietojen käsittelyyn EU/ETA-maiden ulkopuolella, jos rekisteröity ei ole sellaista aiemmin antanut. Tällaisia tapauksia on esimerkiksi sellaisten palveluiden kohdalla, joiden tietojenkäsittelyä on siirretty EU/ETA-maiden ulkopuolelle käyttöehtojen hyväksymisen jälkeen ja/tai käyttöehtosopimuksen muutos, jossa on kerrottu tietojen käsittelystä EU/ETA-alueen ulkopuolella, on tehty yksipuolisella käyttöehtojen muutoksella ilman käyttäjän nimenomaista hyväksyntää. Näiden kysymysten käsittely kuuluu tietosuojaviranomaisten vastuulle ja asiassa tarvitaan myös hyvien käytäntöjen levittämistä.
Effin lausunnossa on hyödynnetty Effin eurooppalaisen kattojärjestön EDRin analyysia yleisen tietosuoja-asetuksen kansallisesta liikkumavarasta. Ks. https://edri.org/analysis-flexibilities-gdpr/, https://edri.org/files/GDPR_analysis/EDRi_analysis_gdpr_flexibilities_summary.pdf, https://edri.org/files/GDPR_analysis/EDRi_analysis_gdpr_flexibilities.pdf
2 luku. Käsittelyn oikeusperuste eräissä tapauksissa
Yleiset kommentit käsittelyn lainmukaisuutta koskevasta 3 §:stä
Esityksen mukaan henkilötietoja saisi käsitellä, jos “käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi”. Yleisen edun käsitteestä annetaan esimerkkeinä viranomaisten suunnittelu- ja selvitystehtävät ja tieteelliset tutkimustarkoitukset. Yleisen edun käsitettä tulisi kuitenkin edelleen täsmentää itse lakitekstissä ja myös sen perusteluissa. Mitä on sellainen tietojen käsittely, joka ei olisi tietosuoja-asetuksen nojalla suoraan sallittua, mutta tulisi sallituksi sen myötä, että tietosuoja-asetuksen 6 artiklan 2 kohdan tarkoittaman kansallisen liikkumavaran puitteissa säädetään uusi tietosuojalain 3 §?
Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 §:stä ja rikostuomioita ja rikkomuksia koskevasta 6 §:stä
Ei lausuttavaa.
Tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettavan ikärajan tulisi olla:
13 vuotta
Ikärajaa koskevat perustelut
Effi kannattaa mahdollisimman alhaista eli 13 vuoden ikärajaa. On tärkeää, että teini-ikäiset nuoret pääsevät omaehtoisesti pitämään yhteyttä ystäviinsä ja läheisiinsä. Käytännössä paljon nuoremmatkin kuin 13-vuotiaat ovat jo itsenäisesti mukana sosiaalisen median ja pikaviestintäpalveluissa ja ovat jatkossakin. Vanhempien suostumuksen edellyttäminen teini-ikäisten sosiaalisen median käytöltä ei olisi realistista eikä käytännöllistä.
Verkossa on aina palveluita, joita ei valvota yhtä tiukasti kuin suosituimpia palveluita. Olisi lastensuojelunäkökulmasta parempi, että lapset ja nuoret olisivat näiden suurten, valvottujen palvelujen asiakkaita eivätkä etsiytyisi vaihtoehtoisten, mahdollisesti epämääräisempien palveluiden käyttäjiksi.
Mikäli ikärajaa ei aleta valvoa esimerkiksi vahvalla sähköisellä tunnistamisella, se jää ohjeelliseksi. Lapsi tai nuori voi aina ilmoittaa ikänsä väärin. Korkea ikäraja kannustaisi lapsia ja nuoria valehtelemaan todellisen ikänsä, mikä vaikeuttaisi lastensuojelullisten käytäntöjen toteuttamista palveluissa. Olisi parempi, että lapset ja nuoret toimisivat palveluissa rehellisesti lapsina ja nuorina, jolloin palvelut voivat esimerkisi määritellä erityisiä turvallisuuskäytäntöjä heidän käyttäjätileilleen.
Mikäli ikärajoja haluttaisiin valvoa tehokkaasti, se edellyttäisi sitä, että sosiaalisen median palveluihin ei saisi enää kukaan rekisteröityä ilman vahvaan sähköiseen tunnistamiseen perustuvaa iän varmistamista. Tämä olisi valtava muutos verrattuna nykyisiin käytäntöihin, ja on hyvin kyseenalaista, voidaanko sananvapausnäkökulmasta katsoen sosiaalisen median palveluille asettaa tällaisia vaatimuksia asiakkaiden tunnistamisesta.
On myös huomattava, ettei 13 vuoden ikäraja tarkoittaisi sitä, että vanhempien olisi pakko sallia 13 vuotta täyttäneen nuoren rekisteröityä johonkin palveluun. Vanhemmat voisivat toki kasvatuksellisin keinoin rajoittaa nuoren netinkäyttöä ikärajan saavuttamisen jälkeenkin. Ikäraja mahdollistaa ainoastaan sen, että sen ylittänyt nuori voi itsenäisesti rekisteröityä tietoyhteiskunnan palveluihin, mikäli perheessä on niin sovittu.
Jotkut lausunnonantajat ovat viitanneet esimerkiksi rikosoikeudelliseen vastuuikärajaan puoltaessaan 15 vuoden ikärajaa. Tämä peruste on mielivaltainen. Yhtä hyvin voitaisiin viitata Suomen lainsäädännössä myös yleiseen 12 vuoden ikärajaan. Esimerkiksi lastensuojelulaissa, uskonnonvapauslaissa ja nimilaissa on useita säännöksiä, joissa ikärajaksi on asetettu 12 vuotta.
Effi toivoo, että jatkovalmistelussa annetaan erityistä huomiota lasten ja nuorten parissa työtä tekevien tahojen lausunnoille, joita tätä kirjoittaessa ovat erityisesti Lastensuojelun keskusliitto, Mannerheimin lastensuojeluliitto, Suomen Nuorisoyhteistyö – Allianssi, Pelastakaa Lapset ja kirkkohallitus. Kaikki kannattavat 13 vuoden ikärajaa. Useat korkeampaa ikärajaa lausunnoissaan puoltaneet tahot eivät ole tekemisissä lasten ja nuorten kanssa eivätkä ole sanottavasti perustelleet näkemyksiään.
Yleiset kommentit suullista käsittelyä seuraamuslautakunnassa koskevasta 16 §:stä
Ei lausuttavaa.
Muut yleiset kommentit valvontaviranomaista koskevasta 3 luvusta
Tietosuojavaltuutetun, apulaistietosuojavaltuutetun ja seuraamuslautakunnan tulisi olla riippumattomia poliittisista suhdanteista. Riippumattomuuden varmistamiseksi olisi hyvä, että nimittämisessä olisi mukana jokin muukin taho kuin valtioneuvosto. Nimittäminen voisi valtioneuvostossa tapahtua esimerkiksi tuomarinvalintalautakunnan perustellusta esityksestä samaan tapaan kuin tuomarien nimittäminen. Tietosuojavaltuutetun ja apulaistietosuojavaltuutetun nimittävä taho voisi olla myös eduskunta samaan tapaan kuin eduskunnan oikeusasiamiehen ja apulaisoikeusasiamiehen kohdalla.
Effi pitää erinomaisena asiana, että ehdotetussa tietosuojalain 20 §:ssä säädettäisiin niin sanotusta whistleblower-suojasta, eli väärinkäytöksen ilmiantaneen henkilön henkilöllisyyden suojaamisesta. Tällainen säännös on ehdottomasti tarpeen.
4 luku. Oikeusturva ja seuraamukset
Yleiset kommentit käsittelyn viivästymistä koskevasta 23 §:stä
Ei lausuttavaa.
Tulisiko yleisen tietosuoja-asetuksen 83 artiklan mukaisia hallinnollisia sakkoja voida kohdistaa myös viranomaisiin ja julkishallinnon elimiin?
kyllä
Perustelut
Myös julkishallinnollisilla tahoilla on oltava riittävät kannustimet parantaa tietoturvaa ja tietosuojan tasoa, joten hallinnollisia sakkoja tulisi voida kohdistaa myös niihin. Perustelut hallinnollisen sakon määräämiselle eivät julkishallinnollisten tahojen osalta eroa yksityisistä tahoista.
Muut yleiset kommentit oikeusturvaa ja seuraamuksia koskevasta 4 luvusta
Ei lausuttavaa.
5 luku. Tietojenkäsittelyn erityistilanteet
On enenevässä määrin haastavaa määriteellä ”journalistiset, akateemiset, taiteelliset ja kirjalliset” toiminnot. Ihmiset julkaisevat, ilmaisevat itseään ja tuovat esiin mielipiteitään verkossa, usein suurelle yleisölle. Jää epäselväksi, missä määrin tämä artikla kattaa bloggaajat, verkkoaktivistit ja digitaalisesti itse julkaisevat kirjoittajat ja taitelijat.
Muidenkin kansalaisyhteiskunnan toimijoiden kuin varsinaisten mediatalojen ja tiedeinstituutioiden pitää pystyä harjoittamaan selvitystyötä, “virallisia” tahoja tukevaa tutkimustyötä ja vaikkapa tutkivaa journalismia. Näiden pitäisi olla turvattu samassa määrin kuin “virallisenkin” journalismin ja tieteen. Ehdotetuilla säännöksillä ei saa vaikeuttaa yleisen edun näkökulmasta perusteltuja avoimen tiedon hankkeita.
Yleiset kommentit tieteellisiä ja historiallisia tutkimustarkoituksia sekä tilastollisia tarkoituksia varten tapahtuvaa käsittelyä koskevista poikkeuksista ja suojatoimista
Erityisesti muistiorganisaatiot (arkistot, kirjastot, museot, tieteellisten ja muiden tietokantojen ylläpitäjät) ovat olleet huolestuneita siitä, että niiden enenevässä määrin harjoittama historiallisen sekä kulttuuriperintöön ja tutkimukseen liittyvän tiedon digitointi ja julkaiseminen verkossa kaikkien saataville olisi nyt uhattuna. Effi katsoo, että yleistä etua palvelevaa avointa tiedonjulkaisua ei pidä kohtuuttomasti haitata. Työryhmän mietinnöstä ei selvästi ilmene millaisia käytännön vaikutuksia ehdotetulla lainsäädännöllä olisi tältä osin, joten asiaa on selvennettävä jatkovalmistelussa.
Huomiota olisi kiinnitettävä myös tiedeinstituutioiden ja virallisten muistiorganisaatioiden ulkopuolella kansalaisyhteiskunnan piirissä tapahtuvaan tutkimus- ja selvitystoimintaan ja tietokantojen kokoamiseen.
Tutkimustarkoituksia on kovin erilaisia. Yhtäältä voi olla kyse vaikkapa Finnan tapaisesta verkkopalvelusta, jossa julkaistaan kulttuuriperintöä, ja jonka julkaisemat kuvat ja niiden metatiedot muodostavat henkilötietorekisterin. Toisaalta voi olla kyse vaikkapa siitä, että kansainvälinen yritys pyrkii hyödyntämään viranomaisten rekistereissä olevia terveystietoja kaupallisessa tutkimus- ja kehitystyössä.
Ensinmainitusta toiminnasta tiukat anonymisointivaatimukset ja muut rajoitukset voisivat tehdä käytännössä mahdotonta. Jälkimmäiseltä toiminnalta taas voidaan edellyttää tiukkoja käytänteitä ja ylipäänsä kyseenalaistaa se, missä määrin tietoja voidaan luovuttaa kyseisenlaisiin tarkoituksiin ilman rekisteröidyn selvää suostumusta. Näitä eri tilanteita olisi pohdittava ja selkiytettävä jatkovalmistelussa.
Muut yleiset kommentit tietojenkäsittelyn erityistilanteita koskevasta 5 luvusta
Ei lausuttavaa.
Laki rikoslain 38 luvun 9 §:n ja 10 §:n 3 momentin muuttamisesta
Yleiset kommentit tietosuojarikosta koskevasta 9 §:stä
Ehdotettu tietosuojarikosta koskeva 9 § on muotoiltu melko sekavasti. Säännös koskee esimerkiksi tilannetta, jossa henkilö rikkoo yleistä tietosuoja-asetusta toimimatta asetuksessa tarkoitettuna rekisterinpitäjänä tai henkilötietojen käsittelijänä. Lisäksi säännöksessä kriminalisoidaan toimintaa viittaamalla hyvin yleisesti useiden eri säädösten useita eri asioita koskeviin säännöksiin.
Finlexissä julkaistun Lainkirjoittajan oppaan kohdassa 4.1.15 todetaan, että “kunkin rikoksen tunnusmerkistö on ilmaistava laissa riittävällä täsmällisyydellä siten, että säännöksen sanamuodon perusteella on ennakoitavissa, onko jokin toiminta tai laiminlyönti rangaistavaa”. Lisäksi oppaan kohdassa 4.2.3 todetaan ongelmallisiksi “avoimet blankorangaistussäännökset, joiden mukaan rangaistavien tekojen tunnusmerkistöt määräytyvät osittain lain nojalla annettavien alemmanasteisten säännösten ja määräysten taikka Euroopan unionin oikeuden perusteella”.
Ehdotettu tietosuojarikosta koskeva 9 § olisi juuri tällainen ongelmallinen “blankorangaistussäännös”, joka ei myöskään olisi riittävän täsmällinen siten kuin rikoksen tunnusmerkistöltä edellytetään. Rikoslakirikosten tunnusmerkistöjen tulisi olla tavallisen kansalaisen ymmärrettävissä. Nyt ehdotetussa muodossaan lainkohta on sellainen, ettei sitä voi ymmärtää perehtymättä lain esitöihin ja niihin tietosuojasäädöksiin, joihin lainkohdassa viitataan.
Tietosuojarikosta koskeva 9 § tulisi lain jatkovalmistelussa muotoilla kokonaan uudestaan sellaiseksi, että siinä konkreettisesti yksilöidään ne teot, jotka tekemällä tai laiminlyömällä voi syyllistyä kyseiseen rikokseen.
Muut mahdolliset kommentit
Effi kiinnittää huomiota eräisiin kansallisen liikkumavaran tulkintoihin. Ks. Effin eurooppalaisen kattojärjestön EDRin analyysi yleisen tietosuoja-asetuksen kansallisesta liikkumavarasta (Flexibilities in the General Data Protection Regulation).
Tietosuoja-asetuksen 14 artiklan 4 kohdan mukaan rekisterinpitäjän on toimitettava rekisteröidylle 1-3 kohdissa tarkoitetut tiedot, jos “rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muuhun tarkoitukseen kuin siihen, johon henkilötiedot kerättiin”. Kuitenkin 5 kohdan mukaan tietoja ei tarvitse toimittaa, jos “tietojen hankinnasta tai luovuttamisesta säädetään nimenomaisesti rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa vahvistetaan asianmukaiset toimenpiteet rekisteröidyn oikeutettujen etujen suojaamiseksi”.
EDRin tulkinnan mukaan tämä jättää jäsenvaltioille mahdollisuuden säätää laajoista tietojen luovutuksista kolmansille tahoille – sekä julkisille että yksityisille – ilman, että asiasta tarvitsisi ilmoittaa rekisteröidylle (Flexibilities in the General Data Protection Regulation, s. 15-16).
Tietosuojalaissa voitaisiin yleisesti säätää, millaisia ovat ne “asianmukaiset toimenpiteet rekisteröidyn oikeutettujen etujen suojaamiseksi”, joiden perusteella erityislainsäädännössä voitaisiin soveltaa 14 artiklan 5 kohtaa. Näihin toimenpiteisiin voisi sisältyä myös velvoitteita kertoa rekisteröidylle mahdollisuudesta tietojen luovuttamiseen kolmannelle osapuolelle.
Tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohta mahdollistaa EDRin tulkinnan mukaan hyvinkin laajan kansallisen liikkumavaran automatisoitujen yksittäispäätösten ja profiloinnin suhteen (s. 19-20). Ainoana rajoituksena on, että laissa “vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi”. Jatkovalmistelussa olisi syytä tarkentaa, missä tapauksissa automatisoidut yksittäispäätökset ja profilointi ovat Suomessa sallittuja. Suomessa on puhuttu paljon ainakin verotuksen automatisoinnista.
Tietosuoja-asetuksen 26 artiklassa säädetään yhteisrekisterinpitäjistä. EDRin tulkinnan mukaan tämän lainkohdan myötä yhteistyössä tietoja käsittelevät yritykset voivat keskenään järjestellä tietosuoja-asetuksen mukaiset vastuunsa (s. 23-24). Tällöin yhteisrekisterinpitäjät voivat itse valita sellaiset ”järjestelyt”, joiden kautta toimintaa voidaan harjoittaa vähiten vaativan tietosuojajärjestelmän puitteissa. Tällainen mahdollisuus vaarantaa digitaaliset sisämarkkinat luomalla ”race to the bottom” -tyyppisen kilpailun, jonka myötä jäsenvaltiot kilpailevat yrityksistä joustamalla tietosuojasäännöksien tulkinnassa kansallisella tasolla.
TATTI-työryhmän tulkinnan mukaan kansallisessa lainsäädännössä “voidaan määritellä rekisterinpitäjän vastuualueet siten, etteivät yhteisrekisterinpitäjät voi tästä keskinäisellä sopimuksella poiketa”. Näin tulisi tehdä. Käytännössä tietosuojavirastolle jäisi myös mahdollisuus seurata Suomessa toimivien yhteisrekisterinpitäjien toimintaa tästä näkökulmasta. Tietosuojaviraston roolia yhteisrekisterinpitäjien valvonnassa tulisi korostaa lain esitöissä.
Tietosuoja-asetuksen 49 artiklan 1 kohdan d alakohta sallii henkilötietojen siirron kolmansiin maihin tai kansainväliselle järjestölle ilman riittäviä tietosuojatoimia, ilman rekisteröidyn hyväksyntää tai mitään muutakaan artiklassa 46 listattuja tiedonsiirron mahdollistavia perusteita. Riittää, että ”siirto on tarpeen tärkeää yleistä etua koskevien syiden vuoksi” ja tämä ”yleinen etu” on unionin tai jäsenvaltion lainsäädännössä tunnustettu.
TATTI-työryhmä on katsonut, että ”49 artiklan 1 kohdan d ja g alakohta sekä 5 kohta sisältävät marginaalista liikkumavaraa, josta voidaan säätää erityislailla”. EDRi huomauttaa (s. 39-40), että tietosuoja-asetuksen johdanto-osan perustelukappaleessa 112 on lueteltu esimerkinomaisesti mitä “yleinen etu” voi tarkoittaa. Yleisen edun käsitteen tulkintaa tästä näkökulmasta tulisi täsmentää lain esitöissä.
Ahto Apajalahti
Hallituksen jäsen
Effi ry
Riikka Mikkonen
Juridiikan asiantuntija
Effi ry