Tietosuoja-asetuksen suostumuksesta liikkuu valtava määrä ”totuuksia” ja kaupunkihuhuja. Kuten että jatkossa kaikki henkilötietojen käsittely, profilointi ja b2b sähköinen suoramarkkinointi mukaan lukien edellyttäisi nimenomaista suostumusta. Tai että kaikki vanhat suostumukset on uusittava.
Mikä on totta ja mikä kaupunkihuhuja? Mitä nyt pitäisi alkaa tekemään?
1. Suostumus nyt ja jatkossa – tuleeko kaikkeen käsittelyyn saada suostumus?
Vastaus on yksiselitteisesti ei. Tällä hetkellä Suomessa henkilötietolaki säätää yleisistä edellytyksistä, joiden perusteella henkilötietoja voidaan käsitellä. Samalla tavalla tietosuoja-asetuksessa määritetään kuusi perustetta henkilötietojen käsittelylle. Ja ihan niin kuin henkilötietolaissa, tietosuoja-asetuksessakin suostumus on vain yksi käsittelyperuste muiden joukossa.
Suostumusta käsittelyperusteena miettiessä huomioon kannattaa ottaa myös se, että suostumus antaa joissain tapauksissa vahvempia oikeuksia, kuten oikeuden tulla unohdetuksi ja oikeuden tietojen siirtoon, kuin silloin jos käsittelyperusteena olisi vaikka oikeutettu etu.
2. Erota viestien lähettäminen yleisestä käsittelystä
Suostumusta koskevia pohdintoja tehtäessä tulee heti kättelyssä erottaa toisistaan suostumus yleisesti henkilötietojen käsittelyyn ja suostumus (sähköisten) viestien lähettämiseen. Nämä ovat eri asioita ja niitä koskee myös osittain eri lainsäädäntö.
Tietosuoja-asetus ei sääntele kanavakohtaisista luvista, vaan nämä tulevat jatkossa valmisteilla olevasta ePrivacy -asetuksesta (vanha direktiivi Suomessa Tietoyhteiskuntakaaressa), jonka on kaavailtu tulevan voimaan samanaikaisesti tietosuoja-asetuksen kanssa, mikä tosi juuri nyt näyttää liian vaativalta aikataululta.
3. Suostumuksen määritelmä nyt ja jatkossa – mikä muuttuu?
Usein kuulee, että tietosuoja-asetuksen suostumus tarkoittaa nimenomaista suostumusta eikä nykyisen kaltaista yksiselitteistä suostumusta. Onko näin ja mitä ihmettä tämä edes tarkoittaa?
Henkilötietolaissa suostumuksella tarkoitetaan ”kaikenlaista vapaaehtoista, yksilöityä, tietoista tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn”, kun asetuksessa sillä tarkoitetaan ”mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen”
Tietosuoja-asetuksesta ei siis ole tulossa nimenomaisen suostumuksen vaatimusta kaikelle käsittelylle (jossa suostumusta pyydetään), vaan se koskee nykyisen lainsäädännön tavoin vain tiettyjä käsittelyjä kuten esimerkiksi arkaluonteisia tietoja tai automatisoituja päätöksiä.
Asetuksessa ei löydy määritelmää nimenomaiselle suostumukselle. Näyttää kuitenkin siltä, ettei se juurikaan eroa tavanomaisesta yksiselitteisestä suostumuksesta paitsi sen osalta, että nimenomainen suostumus tulee vahvistaa selkeällä kirjallisella tai suullisella lausumalla, joka viittaa johonkin tiettyyn nimenomaiseen käsittelyyn kun yksiselitteiseen suostumukseen riittää epäsuora myöntyminen.
Käytännössä:
Epäsuora/yksiselitteinen suostumus:
Anna sähköpostiosoitteesi (vapaaehtoinen)
“Käytämme osoitettasi lähettääksemme tarjouksia ja tietoa tuotteistamme”
Nimenomainen suostumus:
“Suostun vastaanottamaan sähköpostia tuotteistanne ja saaman tarjouksia siivousvälineistä (rasti ruutuun)”
4. Tarkemmat raamit
Nopeasti katsottuna näyttää siis jokseenkin samankaltaiselta tilanne nyt ja jatkossa. Mutta kun luetaan asetusta eteenpäin, löytyy erojakin.
Tietosuoja-asetuksessa (art 7) asetetaan neljä edellytystä, jotka suostumuksen on täytettävä:
- On pystyttävä osoittamaan, että suostumus on annettu
- On annettava mahdollisuus suostumuksen peruuttamiseen ja kerrottava siitä
- On esitettävä pyyntö selvästi erillään muista asioista helposti ymmärrettävässä ja saatavilla olevassa muodossa, selkeällä ja yksinkertaisella kielellä
- Eikä palvelun tarjoamisen tai muun sopimuksen täytäntöönpanon ehdoksi voi asettaa suostumusta sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten
Miten nämä suhtautuvat nykylainsäädäntöön – muuttuuko todellisuudessa kuitenkaan niin paljoa? Alla käsitellään näitä neljää edellytystä hieman tarkemmin.
4.1. Suostumus pitää näyttää toteen
Nykylainsäädännössä asiaan ei ole varsinaisesti otettu kantaa, mutta käytännössä tilanne ei silti muutu, sillä jo henkilötietolain perusteluissa on todettu, että suostumuksen pyytäjän tulee näyttää toteen suostumuksen olemassaolo.
Jatkossa suostumuksesta olisi kuitenkin hyvä jäädä tarkemmin tieto siitä kuka suostui, mihin suostui, milloin ja millä tavoin suostui, mitä informoitiin suostumuksesta ja onko suostumus peruutettu.
4.2. Suostumuksen peruuttaminen ja siitä kertominen
Jo tällä hetkellä henkilötietolain perusteluissa todetaan, että rekisteröidyllä on oikeus milloin tahansa peruuttaa suostumuksensa. Vain peruutusoikeudesta kertominen tulee siis teoriassa uutena, mutta käytännössä tämäkin on sisältynyt yleiseen informointivelvollisuuteen. Jatkossa kannattaa tämänkin osalta varmistaa, että peruutusoikeudesta on kerrottu selkeästi muun informaation ohessa.
4.3. Suostumuksen pyytämisen tapa – nykyiset luvat romukoppaan?
Todella usein eri tilaisuuksissa ja yhteyksissä on viimeisen vuoden aikana kuullut väitteen, että asetuksen tullessa voimaan nykyiset suostumukset muuttuvat pätemättömiksi ja tämän vuoksi nyt tulisi alkaa keräämään kiireen vilkkaan uusi lupia.
Näin suoraviivaista ja mustavalkoista asia ei kuitenkaan ole. Ja täysin varmaa on se, ettei uusia lupia tarvitse kerätä mikäli nykyiset on kerätty asetuksen vaatimukset täyttäen. Tämä on todettu jo asetuksen resitaaleissa (171). Mitä nämä vaatimukset sitten ovat ja miten ne eroavat nykyisistä vaatimuksista?
Tällähetkellä yksiselitteisen suostumuksen vaatimus ei täyty, jos suostumusta antaessaan ei ole tiennyt mihin suostumuksen antaa. Asetuksessa taas edellytetään, että suostumusta pyydettäessä kerrotaan vähintään se kenelle suostumus pyydetään, mihin tarkoituksiin ja miten käsitellään sekä peruutusoikeus. Tältä osin tilanne ei siis ainakaan muutu.
Tietosuoja-asetuksen perusteluiden mukaan ” ….Suostumusta ei sen vuoksi pitäisi voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta…”
Vaikka henkilötietolaissa ei ole varsinaisesti kielletty asetuksen tavoin ”valmiiksi rastitettuja ruutuja”, eivät ne tähänkään asti käytännössä ole olleet hyväksyttäviä, vuosien varrella niin tietosuojavaltuutettu (TSV) kuin kuluttajaviranomaiset (KKV) ovat kannanotoissaan kieltäneet valmiiksi rastitetut ruudut.
Kannattaa myös huomioida se, ettei asetuksen edellyttämä ”aktiivinen toimi” suinkaan sulje pois nykyistä epäsuoraa suostumusta edellyttäen, että siihen liittyy jonkinlainen toimi, joka osoittaa selkeästi suostumuksen tietojen käsittelyyn tietyllä tavalla. Myöskään jatkossa “rasti ruutuun” ei tule olemaan ainoa tapa suostumuksen pyytämisen.
Muita ihan yhtä hyviä tapoja on esimerkiksi kirjallisen dokumentin allekirjoittaminen, “opt-in” näppäimen tai linkin painaminen, kyllä/ei valinnan tekeminen, valintojen tekeminen asetuspaneelissa, vastaaminen sähköpostiin jossa pyydetään suostumusta, myöntävä vastaus suulliseen luvankysymiseen tai vapaaehtoisten tietojen antaminen tiettyyn tarkoitukseen. Se mitä ei kannata tehdä, nyt tai jatkossa, on nojautua passiivisuuteen, valmiiksi rastitettuihin ruutuihin, ”opt-out” ruutuihin, oletusasetuksiin tai ehtoihin piilotettuun suostumukseen.
Jos kuitenkin vuosien varrella on tullut kerättyä lupia, joiden alkuperästä ei ole täyttä varmuutta, kannattaa miettiä keinoja lupien tuoreuttamiseen tai muita perusteita käsittelyn jatkamiselle.
4.4. Käsittely palvelun edellytyksenä – saako?
Aika yleinen käytäntö nykyään on, että suostumus on asetettu palvelun käyttämisen edellytykseksi. Jatkossa ongelmia voi tämän osalta aiheuttaa se, että tietosuoja-asetus on selkeä sen suhteen, ettei suostumusta voi bundlata palvelun ehdoksi, ellei se ole välttämätön palvelun toimimiseksi:
Asetuksen resitaaleissa (42) todetaan, että “Suostumusta ei voida pitää vapaaehtoisesti annettuna, jos…hän ei voi myöhemmin kieltäytyä suostumuksen antamisesta tai peruuttaa sitä ilman, että siitä aiheutuu hänelle haittaa.” Tämä ei kuitenkaan tarkoita sitä, etteikö suostumuksesta voisi jatkossakin tarjota kohtuullisen insentiivin.
Edelleen resitaaleissa (43) todetaan, että ”Suostumusta ei katsota vapaaehtoisesti annetuksi… jos sopimuksen täytäntöönpanon, mukaan lukien palvelun tarjoamisen, edellytyksenä on suostumuksen antaminen huolimatta siitä, että tällainen suostumus ei ole tarpeellista sopimuksen täytäntöön panemiseksi. ” Tästä lähtökohdasta katsoen suostumus ei välttämättä ole kovin monessa tilanteessa se paras vaihtoehto. Edes silloin kuin tietojen käsittely olisi palvelun toimimisen edellytys.
Jos kuitenkin päädytään suostumukseen, kannattaa ottaa huomioon se, että käytännössä se, onko suostumus ”tarpeellinen sopimuksen täytäntöönpanemiseksi” tarkoittaa esimerkiksi sitä, että verkkokaupan asiakkaiden tietojen jakaminen muiden verkkokauppojen kanssa ei välttämättä täytä tätä edellytystä, mutta tietojen jakaminen rahdinkuljettajan kanssa sitä vastoin täyttää. Näin ollen ensimmäisessä tapauksessa voi olla, ettei suostumusta katsota annetun ”vapaasti”, mutta toisessa suostumus on ilman muuta ”vapaasti” annettu.
UK:n tietosuojavaltuutettu on kuitenkin todennut, että joissain rajoitetuissa tapauksissa sopimuksen edellytyksenä ollut suostumus voitaisiin katsoa annetun “vapaasti”, vaikka käsittely ei olisikaan tarpeellista sopimuksen täytäntöön panemiseksi. Tällaisia olisi esimerkiksi se, ettei suostumukselle ole vaihtoehtoa, käsittely lopetetaan jos suostumus peruutetaan, informointi on selkeää ja suostumuksen bundlaaminen palveluun on kohtuullista. Näitä soveltaen tilanne ei enää niin kovin erilaiselta näytäkään, mutta pohdittavaksi tulee vielä se, mitä tapahtuu jos suostumus peruutetaan – loppuuko palvelu, jatkuuko ”huonompana” vai sellaisenaan? Kaksi ensimmäistä vaihtoehtoa johtava jälleen kysymykseen siitä, onko suostumus annettu ”vapaasti”.
5. Profilointi edellyttää aina suostumusta
Asetuksessa ei edellytetä profiloinnin käsittelyperusteeksi suostumusta, vaan se kuuluu edelleen moneen toimintaan GDPR:n sallimana peruselementtinä ja voisikin sanoa että käsittelyperusteen löytyessä, oli se mikä tahansa, profilointi on lähtökohtaisesti sallittu. Arkaluonteiset tiedot ovat toki oma maastonsa.
6. Alaikäisten tietojen käsittely edellyttää aina suostumusta
Asetuksesta ei ole tulossa mitään yleistä velvollisuutta hankkia suostumusta alaikäisten tietojen käsittelemiseen. Velvollisuus suostumuksen hankkimiseen alle 16 –vuotiaiden (minimissään 13 –vuotiaiden) huoltajalta tulee vain silloin, jos kyse on tietoyhteiskunnan palvelusta ja käsittelyperusteena on suostumus.
Pia Pynnä, ASML