Lukuisissa blogeissa, artikkeleissa ja muissa kirjoituksissa on tänä vuonna kirjoitettu, kuinka GDPR asettaa lapsen henkilötietojen käsittelylle ikärajan ja että Suomessa se olisi asettumassa GDPR:n antaman 13-16 vuoden valintahaarukassa 13-vuoteen.
Edellyttääkö GDPR vanhemman suostumusta lapsen henkilötietojen käsittelyssä kaikissa tilanteissa? Onko lapsen ikärajaa koskevaa artiklaa luettu ja tulkittu oikein?
Mitä GDPR oikein säätää?
GDPR:n 8 artiklan 1 kohdan mukaisesti lapsen vanhempainvastuukantajan suostumusta edellytetään ainoastaan, mikäli henkilötietojen käsittelyperusteena on 6 artiklan 1 a alakohdan mukainen suostumus. Onko tätä artiklaa tulkittu liian laajasti? Johtuuko väärinymmärrys mahdollisesti myös siitä, että useat tahot edelleen olettavat suostumuksen olevan ainoa käsittelyperuste?
Lapset ja nuoret käyttävät monia tietoyhteiskunnan palveluita kuten Snapchattia, WhatsAppia, Instagramia, Musical.lya ja Wilmaa. Lähtökohtaisesti nämä some-palvelut ja koulujen sovellukset käsittelevät tietosuojaselosteidensa mukaisesti henkilötietoja sopimuksen täytäntöön panemiseksi tai oikeutetun edun perusteella. Suostumusta käsittelyperusteena käytetään vain tietyissä rajatuissa tapauksissa.
Case WhatsApp
WhatsApp päivitti käyttöehtojaan 24.4.2018 ja näissä edellytetään käyttäjiltä vähintään 16-vuoden ikää. WhatsApp ei ole eritellyt tietosuojakäytännössään millä oikeusperusteella käsittelee mitäkin henkilötietoja ja käyttötarkoituksia varten. Lisäksi suostumus on mainittu yhtenä käsittelyperusteena. Olisiko WhatsAppilla kuitenkaan ollut tarvetta nostaa käyttäjien ikärajaa 16-vuoteen? Todennäköisesti ei. Tällä ratkaisulla WhatsApp on luultavasti pyrkinyt siihen, että 8 artiklan sovellettavuudella ei joutuisi vaivaamaan päätään missään tilanteessa. Tosin WhatsAppilla on hyvin todennäköisesti paljonkin alle 16-vuotiaita käyttäjiä, koska tätä nuoremmat käyttäjät voivat helposti ilmoittaa vain virheellisen syntymävuoden ja jatkaa palvelun käyttämistä.
Suostumuksesta
Iso-Britannian tietosuojaviranomainen ICO on ohjeistuksessaan todennut, että oikeutettu etu käsittelyperusteena voisi olla varteenotettava ja mahdollisesti parempi vaihtoehto verrattuna suostumukseen. Tällöin rekisterinpitäjä toteuttaisi intressipunninnan ja arvioisi henkilötietojen käsittelyn vaikutukset lapsiin ja ovatko nämä kohtuullisia ja suhteellisia ottaen huomioon rekisterinpitäjän intressit. Toki intressipunninta tulee tehdä huolella ja kynnys siihen, että lapsen etu menee rekisterinpitäjän edun edelle, on matalampi kuin aikuisten henkilötietoja käsitellessä. Oikeutettu etu henkilötietojen käsittelyperusteena olisi usein parempi vaihtoehto siitäkin näkökulmasta, että vanhempi ei aina ole parempi arvioimaan lapsen henkilötietojen käsittelyä.
Mitä jatkossa tapahtuu?
Rekisterinpitäjien on suositeltavaa arvioida tarvetta vanhemman suostumukselle lapsen henkilötietoja käsitellessä. Lainsäädännön näkökulmasta tarvetta suostumukselle ei siis välttämättä ole. Erillinen asiansa toki on, että mitä oikeustoimia lapsi ylipäätänsä voi tehdä, mutta jätetään se tämän kirjoituksen ulkopuolelle. GDPR-artiklan sisällöstä ja rajoista on kyllä syytä käydä vielä tarkentavaa keskustelua. Vanhemman suostumuksen käytännön toteutus on monessa tilanteessa haastavaa. Arjessa vanhemmat tuskin ovat ajatuksella käyneet läpi lastensa puhelinten ja sovellusten eri käyttöehtoja ja tietosuojaselosteita. Nämä vain hyväksytään lapsen pyytäessä uutta sovellusta, kun kaikilla kavereillakin on jo se. Lisäksi kankea suostumusrakenne ei kaikissa tapauksissa välttämättä ole lapsen edun mukaista sananvapauden tai edes tietosuojan vuoksi.
Elisa Salmela, ASML, @ElisaSalmela