Viimeisimmät EU:n tietosuoja-asetuksen tulkintaohjeet

10 marraskuuta 2017

EU:n tietosuojaviranomaisten yhteistyöelin "Article 29 Working Party", suomalaisittain tietosuojatyöryhmä, on julkaissut pitkin vuotta ohjeistuksia, joiden on tarkoitus tukea toukokuusta 2018 sovellettavan EU:n yleisen tietosuoja-asetuksen (GDPR) tulkitsemista. Ohjeilla on käytännössä suuri merkitys, koska tietosuoja-asetus yksityiskohtaisuudestaan huolimatta on osin hyvinkin tulkinnanvarainen. Lisäksi viranomaisilla on jatkossa valtuudet määrätä huomattavia sanktioita, ja kyseiset ohjeistukset ilmentävät juuri näiden samojen viranomaisten kantaa tietosuoja-asetuksen tulkinnasta. Englanninkielisillä internetsivuillamme on käsitelty kutakin ohjeistusta laajemmin omassa artikkelissaan, mutta ohessa on tiivistelmä kustakin ohjeistuksesta.

Lopullinen ohjeistus tietosuojaa koskevasta vaikutustenarvioinnista

Tietosuojaa koskeva vaikutustenarviointi on lainsäädännön tasolla uusi vaatimus, mutta etenkin suuret, tietointensiiviset yritykset ovat toteuttaneet vastaavaa vaikutustenarviointia jo aiemmin. Tietosuoja-asetuksen mukaan vaikutustenarviointi on suoritettava, jos käsittelyyn liittyy "korkea riski" yksilöiden oikeuksien kannalta. Tietosuojatyöryhmä tulkitsee kriteeriä korkeasta riskistä laveasti. Ohjeistuksesta on löydettävissä lista yhdeksästä kriteeristä, jotka voivat johtaa velvollisuuteen suorittaa vaikutustenarviointi. Listalla on mainittu esimerkiksi laajamittainen henkilötietojen käsittely, missä laajamittaisuudella voidaan henkilötietojen määrän lisäksi viitata maantieteelliseen tai ajalliseen laajuuteen. Ohjeistuksessa on myös esitetty esimerkkitilanteita siitä, milloin vaikutustenarviointi tulee suorittaa ja milloin ei.

Ohjeistus julkaistiin alun perin huhtikuussa, milloin sitä oli mahdollista kommentoida. Lopullinen ohjeistus julkaistiin lokakuun lopussa. Englanninkielisillä internetsivuillamme on kirjoitettu laajemmin sekä huhtikuussa julkaistusta ohjeistuksen alustavasta versiosta kuten myös lokakuussa julkaistusta lopullisesta versiosta.

Article 29 Working Party issues draft guidelines on Data Protection Impact Assessments & high risk processing

Data Protection Impact Assessments: Final Guidance Issued

Automatisoitu päätöksenteko ja profilointi

Automatisoitu päätöksenteko ja profilointi ovat tärkeitä teemoja erityisesti markkinoinnissa, mutta tulevat kyseeseen myös muissa yhteyksissä. Tietosuoja-asetuksen mukaan henkilöillä on oikeus siihen, ettei heihin kohdisteta automatisoitua päätöksentekoa, mutta vain jos kyseisellä päätöksellä on henkilöön oikeusvaikutuksia tai vastaavalla tavalla merkittäviä vaikutuksia. Ohjeistuksessaan tietosuojatyöryhmä tulkitsee sitä, missä tilanteissa yksityishenkilöillä on tällainen oikeus, eli mitä oikeusvaikutuksilla ja etenkin merkittävillä vaikutuksilla tarkkaan ottaen tarkoitetaan. Internetissä tehtävän kohdistetun mainonnan osalta on alustavasti todettu, ettei tällaisella mainonnalla useimmissa tilanteissa katsota olevan merkittäviä vaikutuksia yksilöille, eikä siihen siis päde edellä mainittu vastustamisoikeus.

Profiloinnin osalta puolestaan ohjeistuksessa on yritetty käytännön tasolla selventää sitä, kuinka tietosuoja-asetuksesta löytyvät tietosuojaperiaatteet käytännössä soveltuvat myös profilointiin. Lisäksi lapsiin kohdistuvasta profiloinnista on lausuttu, että tietosuoja-asetus ei kiellä sitä kokonaisuudessaan, mutta että lapsien profilointia markkinointitarkoituksiin tulisi välttää. Ohjeistus on alustava ja avoin kommentoinnille, mutta kovin suuria muutoksia tuskin on odotettavissa. Myös tätä ohjeistusta on käsitelty tarkemmin englanninkielisellä sivustollamme:

Article 29 Working Party Guidelines on Automated Decision-Making and Profiling

Ohjeistus koskien henkilötietojen tietoturvaloukkauksesta ilmoittamista

Tietosuoja-asetuksen mukaan rekisterinpitäjän on ilmoitettava henkilötietojen tietoturvaloukkauksesta tietosuojaviranomaiselle ilman aiheetonta viivytystä heti, kun se on tullut rekisterinpitäjän tietoon, ja mahdollisuuksien mukaan 72 tunnin kuluessa.
Tietosuojatyöryhmän ohjeistuksessa on esitetty esimerkkitilanteita, milloin loukkaus tulee ilmoittaa ja milloin ei. Ohjeessa annetaan esimerkkejä myös siitä, milloin rekisterinpitäjä tai käsittelijä on "tullut tietoiseksi" tietoturvaloukkauksesta, eli mistä hetkestä laissa säädetyn 72 tunnin laskeminen tulee aloittaa. Tietosuojatyöryhmä muistuttaa lisäksi, että myös sellaiset tietoturvaloukkaukset, joita ei koske julkinen ilmoitusvelvollisuus, on dokumentoitava yrityksessä sisäisesti. Ohjeistusta käsittelevä englanninkielinen artikkelimme löytyy täältä:

Personal data breach reporting: Article 29 Working Party issues draft guidelines

Sakkojen määräämistä koskeva ohjeistus

Tietosuoja-asetus on saanut merkittävää huomiota nimenomaan siihen sisältyvän mittavan sakkomahdollisuuden takia (jopa 4 % globaalista vuotuisesta liikevaihdosta). Tietosuoja-asetuksesta löytyy lista huomioonotettavista seikoista sakon määrää harkittaessa, ja ohjeistuksessaan tietosuojatyöryhmä lähinnä avaa asetuksessa listattuja kohtia, tuomatta asiaan mitään yllättävää täydennystä. Se on tarkoitettu ensisijaisesti tietosuojaviranomaisten ohjenuoraksi, eikä vielä anna yrityksille ja muille organisaatioille toivottuja tulkintoja tulevasta sanktiotasosta. Ohjeistusta käsittelevä englanninkielien artikkeli löytyy täältä:

Administrative Fines: Article 29 Working Party Guidance

EU:n tasolta takaisin kotimaahan

Loppuvuodesta tai viimeistään vuoden 2018 alkupuolella on odotettavissa myös tietosuojauutisia Suomesta, kun hallituksen esitys tietosuojalaiksi valmistuu. Tätä ja muita Suomen tietosuojauudistuksia koskeva artikkelimme on luettavissa täällä.

Lisätietoja saat tietosuojaryhmältämme:
Sakari Halonen, Tobias Bräutigam, Milla Keller, Maria Aholainen ja Karoliina Kallasvuo


Kirjoittajat