EU:n tietosuoja-asetuksen artikloita tavataan ja tihrutaan parhaillaan compliance-kinkereissä ympäri Eurooppaa. Yhä useammalle ja yhä enemmän on selvää että asetustekstistä itsestään löytyy hyvin vähän konkreettisia vastauksia arkisiin soveltamiskysymyksiin. Toisaalta GDPR lähteekin siitä ajatuksesta että henkilötietojen käsittelijä suunnittelee, perustelee, linjaa ja demonstroi tekemisensä asetuksen puitteissa. Omistaa ja ymmärtää oman data-tekemisensä, synnyttää tietosuojakulttuurin jatkumon jossa nojataan läpinäkyvästi ja samalla tukevasti omaan tekemiseen. Asetusta voi kuitenkin hetken lähestyä myös Döbelnin hengessä, aukkoja katsellen. Alla tutkaillaan kolmea erikoista aukkoa asetuksessa.
Eipä kerrota rekisteröidylle mitä hänen tietojaan tietoja käsitellään?
Asiakkaiden ja käyttäjien informoinnista on puhuttu paljon ja syystä. Modernin monimutkaisen tietointensiivisen liiketoiminnan edellyttämä rekisteröidyn tietojen käsittelyn informointi on taitolaji jossa kaikilla on varaa parantaa niin laatua kuin läpinäkyvyyttä. Mutta kun katsoo tietosuoja-asetuksen 13 artiklaa joka koskee rekisteröidyn informointia niin sen mukaan ei tarvitse informoida lainkaan rekisteröidylle mitä rekisteröityä koskevia tietoja tai tietoryhmiä käsitellään! Selitys saattaa löytyä siitä että 14 artiklassa säädetään informoinnista kun tiedot saadaan muualta kuin rekisteröidyltä – tällöin on 14.1.d mukaisesti informoitava ”kyseessä olevat henkilötietoryhmät” mutta ei siis silloin kun tiedot saadaan rekisteröidyltä. Kun ajattelee modernia käyttäjän palvelukäytön ja asioinnin click streamia niin tuntuu perin erikoiselta että 13 artiklaan ei ole lainkaan laitettu mainintaa että olisi informoitava käsiteltävistä tietoryhmistä. Jokainen itseään ja asiakkaitaan kunnioittava yritys ja yhteisö kuitenkin varmasti informoi asiakkaitaan tästä huolimatta. Tämä artikloiden välinen ero näkyy selvästi mm. UK:n tietosuojaviranomaisen GDPR-ohjeistuksessa (kuva alla).
Vaitiolovelvollisuus kateissa?
Suomessa on totuttu että tietosuojakulttuurin yksi peruskivistä henkilötietojen käsittelyyn liittyvä vaitiolovelvollisuus joka on nimenomaisesti säädetty henkilötietolain 33 §:ssä ”Joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista tai taloudellisesta asemasta, ei saa tämän lain vastaisesti sivulliselle ilmaista näin saamiaan tietoja.” Hyvin samantapainen vaitiolovelvollisuus on säädetty sektorikohtaisessa lainsäädännössä mm. pankki- ja vakuutussalaisuuteen liittyen.
Voisi perustellusti ajatella että GDPR:stä löytyisi samantapainen nimenomainen säännös vaitiolovelvollisuudesta. Sen luulisi tulevan vastaan asetuksen alkuosan II luvussa jossa säädetään käsittelyn pääperiaatteista. Sieltä löytyy tarkoitussidonnaisuutta, läpinäkyvyyttä, accountabilityä jne. Vaitiolovelvollisuutta ei nimenomaisesti sieltä kuitenkaan löydy. Joku voi toki argumentoida että 5.1-artiklan eheyttä ja luottamuksellisuutta koskeva f-kohta säätää vaitiolovelvollisuudesta mutta se ei oikein ole sama asia. Voisi myös argumentoida että jonkinlaisena yhteiskudelmana GDPR:n artikloista syntyy vaitiolovelvollisuus. Mutta ei hätää, oikeusministeriö on asetuksen nojalla annettavaan kansalliseen sääntelyyn viisaasti ehdottamassa (lähtee huomenna lausuntokierrokselle) nykyisen henkilötietolain säännöstä vastaavaa pykälää vaitiolovelvollisuudesta. [Toim.huom: Vaitiolovelvollisuuspykälä tosiaan löytyi seuraavana päivänä lausunnolle lähteneestä OM:n mietinnöstä 34 §:stä]
Siirrettävyys ja julkinen sektori?
Datan siirrettävyydestä käytiin GDPR:n valmistelun aikana keskustelua että kuuluuko sen tyyppinen sääntely lainkaan asetuksen alaan vai pitäisikö tätä erityisesti markkinan kilpailudynamiikkaan vaikuttavaa sääntelyä valmistella ihan muussa komission pääosastossa ja muulla lainsäädäntö-instrumentilla. Yhtäkaikki, artikla sorvattiin ja se on nyt osa asetusta. Joskin hyvin tulkinnanvaraisena. WP 29:n äskettäin työstämä artiklan soveltamista koskeva ohjeistus laajentavine tulkintoineen ei helpota käytännön implementointia työstäviä.
Mutta jos siirrettävyyttä tutkailee kansalaisten digiteryleenit jalassa niin nousee hyvin luonnollinen kysymys: Miksi julkinen sektori ei ole siirrettävyyssääntelyn piirissä? Siellä se olisi luontevinta ja erittäin perusteltua. Julkisella sektorilla jos missä kansalainen törmää kerta toisensa jälkeen siihen että tiedot pötköttävät siiloissa ja taas ”saa” antaa omia tietojaan uudestaan. Joku voi nostaa ”eihän siitä tulisi GDPR:n siirtymäaikana valmista”-hengessä nostaa esiin julkisen sektorin hitaat, pitkät ja kalliit it-hankkeet: kansallinen terveysarkisto, sähköinen tunnistautuminen, HUS:n radiologinen tietojärjestelmä, e-resepti jne. Yritysten argumentit siirrettävyyden hankalasta ja kalliista toteuttamisesta jäivät kuitenkin säädösvalmistelussa vaille huomiota.
Kello siis tikittää. Mutta ei julkiselle sektorille. On toki korostettava että julkisella puolella tehdään koko ajan oivaa työtä esimerkiksi tietojen yhteiskäyttöhankkeiden ja muiden vastaavien parissa. Samaan aikaan tulkintojen yöstä nousee vieno kysymys: Onko varma että julkisella sektorilla ei henkilötietojen käsittelyn peruste koskaan ole suostumus tai sopimus? Näihin käsittelyperusteisiin perustuvat henkilötiedot kuuluvat nimittäin siirrettävyysartiklan mukaan siirrettävyysvelvoitteen piiriin.
Team TIFO, @tifo_fi