EU:n yleisen tietosuoja-asetuksen (GDPR) soveltamisen alettua on annettu noin 200 hallinnollista sakkoa, euromääräisesti lähes 150.000.000, ympäri Eurooppaa. Aloitamme sarjan, johon koostamme kuukausittain kiinnostavia tietosuojaratkaisuja meiltä ja muualta.

Tietosuojavaltuutetun toimiston ratkaisuja tammikuulta 2020

Pääsyoikeuden rajat

TSV katsoi 3.1.2020 antamassaan päätöksessä, että pankkisalaisuuteen liittyvästä tietojen luottamuksellisuudesta johtuen puolisolla ei ollut oikeutta päästä muihin kuin omaan asiointiinsa liittyviin asiointitietoihin. Puolisoilla oli yhteinen bonustili, jonka pääkäyttäjäksi oli merkitty pyytäjän vaimo. TSV katsoi, että koko bonustiliin liittyvien asiointitietojen antaminen puolisolle olisi merkinnyt vaimon pankkisalaisuuden loukkausta ja olisi siten vaikuttanut haitallisesti muiden (tässä tapauksessa vaimon) oikeuksiin GDPR:n 15 artiklan 4 kohdan tavalla. Puolison tietoihin pääsyoikeus koko bonustilin tietoihin voitiin siten evätä.

Tapaus kuvastaa hyvin sitä, minkä laajuiseksi rekisteröidyt yleensä näkevät tietoihin pääsyoikeutensa (kaikki mahdolliset häneen liittyvät tiedot) ja minkä laajuinen se oikeasti on. Rekisteröidyn tarkastusoikeus kattaa vain häntä koskevat henkilötiedot, eikä hänellä ole oikeutta saada sellaisia tietoja, jotka liittyvät toiseen rekisteröityyn. Tämä soveltuu myös esim. kanta-asiakasjärjestelmiin, jossa kanta-asiakastili on avattu toisen nimiin ja vaikkapa tämän puolisolla on rinnakkaiskortti, joka on liitetty tiliin.

Tietoturvaloukkauksen ilmoittamisen tapa

TSV antoi 3.1.2020 huomautuksen rahoitusalalla toimivalle rekisterinpitäjälle, kun sen tietoturvaloukkauksesta antama julkinen ilmoitus oli sisällöltään epäselvä. Koska kyse oli ”korkean riskin” aiheuttavasta tietoturvaloukkauksesta, rekisterinpitäjä oli ilmoittanut loukkauksesta henkilökohtaisesti rekisteröidyille. Koska kaikkien yhteystietoja ei kuitenkaan ollut tiedossa, rekisterinpitäjä käytti myös julkista tiedonantoa. Julkisessa ilmoituksessa oli kohta, jonka mukaan ”asianomaisille on lähetetty tilanteesta lisätietoa henkilökohtaisesti”. TSV katsoi, että ilmoitus ei täyttänyt läpinäkyvyyden vaatimusta, sillä niille rekisteröidyille, joille ei ilmoitettu henkilökohtaisesti, mutta joiden henkilötietoja loukkaus kosketti, saattoi jäädä käsitys, ettei loukkaus koskenut heitä, jos heille ei ollut ilmoitettu henkilökohtaisesti. Rekisteröityjen määrä oli huomattava, noin 9000-10000, joista noin 7000 rekisteröidylle ei toimitettu henkilökohtaista ilmoitusta.

Jutussa on huomionarvoista se, että TSV katsoi tietoturvaloukkauksen tapahtuneen aiottua laajemman tietoihin pääsyn takia, vaikka pääsy oli vain rajoitetulla osalla käsittelijän henkilöstöstä, ja rekisterinpitäjän ja käsittelijän välillä oli tehty tietojenkäsittelysopimus. Tietoturvaloukkaukseksi riitti se, että sopimuksessa oli määritelty, etteivät henkilötiedot tallennu tietokantaan eikä käsittelijällä ole pääsyä tietoihin, mutta näin oli kuitenkin käynyt. Sinänsä GDPR:n määritelmä loukkauksesta täyttyi, sillä pääsy oli GDPR:n määritelmän mukaisesti ”luvatonta”.

Ratkaisuja muualta Euroopasta tammikuussa 2020

Kyproksen tietosuojaviranomainen kielsi työnantajana toimineilta kolmelta saman konsernin yhtiöiltä automatisoidun ”Bradford’s Factor” -työkalun käytön ja määräsi näille yhteensä 82.000 euron hallinnollisen sakon. Kyseinen työkalu seurasi työntekijöiden sairauslomia, pisteytti niitä ja loi niiden perusteella jonkinlaisen profiilin työntekijästä tämän sairauspoissaolojen perusteella. Tietosuojaviranomainen katsoi, että kyseessä on ”arkaluontoisten henkilötietojen” kategoriaan kuuluvien terveystietojen käsittely, jolle ei ko. laajuudessa ollut perustetta, vaikka totesikin yleisesti noudatettavan pääsäännön, jonka mukaan työnantaja saa seurata sairauspoissaolojen yleisyyttä poissaolon syyn oikeellisuutta.

Kyseinen menettely ei olisi sallittua myöskään oman lainsäädäntömme perusteella. Työelämän tietosuojalain mukaan työntekijän terveydentilaa koskevat tiedot on kerättävä ensisijaisesti häneltä itseltään ja hänen kirjallisella suostumuksellaan (jonka on oltava nimenomainen, yksilöity ja vapaaehtoinen) niitä voidaan kerätä muualta. Lisäksi tietojen käyttötarkoitus on tarkoin rajattu, mitä osaltaan vahvistaa ko. laissa säädetty tietojen tarpeellisuusvaatimus, josta ei voida poiketa edes työntekijän suostumuksin. Siten tällaisen terveystietojen automaattiseen analysointiin ja profilointiin ei voitaisi ryhtyä edes työntekijän suostumuksella, sillä tällaisten tietojen käsittely tuskin olisi millään perusteella tarpeen työsuhteesta liittyvien velvollisuuksien hoitamiseksi.

Espanjan tietosuojaviranomainen määräsi 44.000 euron sakon yritykselle, joka oli lähettänyt henkilötietoja (nimen, osoitteen ja puhelinnumeron) sisältävän sopimuksen väärälle henkilölle.

Italian tietosuojaviranomainen määräsi 27.800.000 euron sakon telealan yritykselle, joka oli lähettänyt sähköistä suoramarkkinointia tai soittanut markkinointipuheluja ilman vastaanottajien suostumusta tai sen jälkeen, kun he olivat kieltäneet markkinoinnin. Yritys ei riittävällä tavalla huolehtinut telemarkkinointikumppaninsa menettelytavoista tai opt-out -listojen ajantasaisuudesta. Samalla havaittiin myös muita puutteita yrityksen tietojenkäsittelytavoissa, mm. informaation tarjoamisessa, säilytysaikojen määrittelyssä ja tietoturvassa.

Kreikan tietosuojaviranomainen määräsi 15.000 euron sakon yritykselle, joka otti käyttöön videovalvonnan työpaikalla. Viranomainen katsoi, että valvonnan käyttöönotto oli laitonta, sillä siitä ei ollut informoitu työntekijöitä.

Seuraava osa ilmestyy maaliskuun alussa.

Taulukon kuvalähde.

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.

Eilen 23.1.2020 IAB Finlandin tietosuojaseminaarissa puhuttiin verkkosivujen, markkinoinnin ja mainonnan tietosuojasäännöistä sekä IAB:n Transparency & Consent Frameworkista (TCF). Alla muutamia nostoja digimainonnan tietosuojasta.

Tietosuojavaltuutetun ensimmäiset ratkaisut julkaistu

Päivän teeman kannalta erityisen mielenkiintoinen oli tietosuojavaltuutetun (TSV) suoramarkkinointisuostumuksen pätevyyttä koskeva ratkaisu. Yhtiön käytäntö, jossa asiakasohjelmaan ei voinut liittyä ilman, että hyväksyy samalla suoramarkkinoinnin vastaanottamisen ja joka suostumusta antamatta jättäneiden osalta johti siihen, ettei henkilö voinut varata elokuvalippuja tai ostaa e-sarjalippuja, katsottiin lainvastaiseksi. Rekisteröidyltä saatu suostumus ei ollut vapaaehtoinen eikä riittävän yksilöity EU:n yleisen tietosuoja-asetuksen (GDPR) edellyttämällä tavalla.

Muihin TSV:n antamiin ratkaisuihin voi tutustua Finlex-palvelussa.

Suostumuksen määritelmä puhuttaa

Edellä mainitussa ratkaisussa TSV katsoi, että sähköisen viestinnän palveluista annetussa laissa edellytettyyn suostumukseen sovelletaan GDPR:ssä määriteltyjä suostumuksen edellytyksiä. Vaikka ratkaisu koski suoramarkkinointia, voi siitä vetää johtopäätöksen, että myös evästeitä koskevan suostumuksen tulee olla GDPR:n mukainen.

Useat eurooppalaiset tietosuojaviranomaiset ovat katsoneet, että tämä tarkoittaa aktiivista toimenpidettä (opt-in suostumusta, ei passiivisuuteen perustuvaa op-out suostumusta) yksilöityyn käyttötarkoitukseen ja riittävään informaation perustuen (ks. aiempi kirjoitus täältä). Valmiiksi rastitettuja ruutuja vastaan puhuu myös unionin tuomioistuimen Planet 49 -ratkaisu. Täysin yksimielisiä viranomaiset eivät kuitenkaan ole: Suomessa Traficom pitää edelleen kiinni valtavirrasta poikkeavasta tulkinnastaan, että selainasetukset ovat riittävät suostumuksen antamiseksi – tämä siitä huolimatta, että suosituimmat selaimet eivät oletusarvoisesti estä evästeitä (eikä mitään käyttäjän aktiivista toimenpidettä siis tapahdu evästeiden sallimiseksi).

TCF on IAB Europen, julkaisijoiden ja adtech-toimijoiden yhdessä kehittämä keino evästesuostumusten pyytämiseksi ja suostumukseen tai sen puuttumiseen liittyvän tiedon välittämiseksi digitaalisen mainonnan ekosysteemissä. Sen toinen versio pyrkii parantamaan edelleen läpinäkyvyyttä ja tekemään kuluttajille tarjottavista valinnoista mahdollisimman helppokäyttöisiä. Digitaalisen mainonnan maailma on hyvin monimutkainen, joten TCF joutuu väistämättä tasapainottelemaan ymmärrettävyyden ja riittävän tarkan informaation välillä.

Digimainonta vaikeuksissa?

TCF vaikuttaa perustuvan olettamukseen siitä, että digitaalinen mainonta toimii jatkossakin pitkälti samalla tavoin kuin nyt – hyödyntäen pääosin kolmansien osapuolien evästeitä ja vertaamalla eri toimijoiden eväste-ID:tä keskenään mainostilaan tai dataan liittyvän kaupankäynnin mahdollistamiseksi.

Viime viikolla toimiala kuitenkin havahtui, kun Google ilmoitti poistavansa kolmannen osapuolen evästeet Chrome-selaimestaan seuraavan kahden vuoden kuluessa. Osa hätääntyi, kun taas toiset ovat ennakoineet evästeiden kuolemaa jo useamman vuoden. Nyt katse saattaa suuntautua mm. kontekstuaaliseen mainontaan, omaan ensimmäisen osapuolen dataan, mahdollisiin ensimmäisen osapuolen evästeitä hyödyntäviin universaaleihin ID-ratkaisuihin tai eri toimialojen konsortioihin, jotka voivat luoda Googlen ja Facebookin kanssa kilpailevia kirjautumiseen perustuvia ratkaisujaan. Ehkä syntyy uusia innovaatioitakin?

Mitä tehdä?

Verkkosivujen ja digimainonnan osalta moni on tuntunut odottavan sähköisen viestinnän tietosuojadirektiivin uudistusta, jo vuonna 2017 ehdotettua ePrivacy-asetusta. Sen valmistelu on viivästynyt, mutta selväksi on käynyt, että GDPR:n voimaantulo on vaikuttanut myös ePrivacy-sääntelyyn (eli Suomessa sähköisen viestinnän palveluista annettuun lakiin), erityisesti muuttanut suostumuksen määritelmää yllä kuvatuin tavoin. Nyt on siis viimeistään aika lähteä korjaamaan käytäntöjä digimainonnan ja erityisesti evästesuostumuksen pyytämisen osalta.

Tiiviit toimenpidesuositukset, jotka esitin IAB:n tietosuojaseminaarissa, löydät alta:

• Tiedä, mitä sivustollasi tapahtuu: tee evästeaudit

• Määritä roolisi ja ymmärrä riskitasosi: suomalainen verkkosivusto vs. ohjelmallisesti mainostilaa/dataa myyvä julkaisija tai yritys, joka muutoin tarjoaa palveluitaan Euroopan laajuisesti

• Varaudu muutoksiin: panosta 1st party dataan ja/tai pohdi tekeväsi digimainontaa ilman henkilötietoja

• Kartoita eri suostumustenhallintamekanismeja (CMP), testaa ja ota käyttöön, erityisesti jos haluat toimia kansainvälisessä ohjelmallisen mainonnan markkinassa (huom. hoida suostumus myös niille evästeille, jotka eivät ole TCF:ssä mukana)

• Päivitä tietosuoja- ja/tai evästekäytännöt (esim. yhteisrekisterinpitäjyys Facebookin kanssa, jos käytössä on FB-painikkeita; evästeiden käyttötarkoitukset ja elinkaari; kumppaneiden yksilöinti; suostumuksen hallinta)

• Dokumentoi: mm. sopimukset, vaikutustenarvioinnit, oikeutettuun etuun liittyvät tasapainotestit

• Seuraa viranomaisratkaisuja ja -suosituksia sekä alan markkinakäytännön muutoksia

Lopuksi vielä muistutus siitä, että evästesääntely on teknologianeutraalia, joten ”evästeillä” tarkoitetaan myös muita vastaavia teknologioita (esim. beaconit, pikselit selaimen paikallinen tietovarasto, fingerprintit, mobiilisovellusten SDK:t). On siis suositeltavaa katsoa koko kävijäseurantaan liittyvä kokonaisuus kuntoon.

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.

Brexit-kaislikossa suhisee jälleen kiivaasti, kun Iso-Britannia (UK) ja Euroopan unioni (EU) kipuilevat Brexit-järjestelyjen kanssa. Tässä vaiheessa näyttäisi siltä, että enemmän tai vähemmän kaoottinen Brexit tulisi toteutumaan lokakuun 2019 lopussa. Jos UK ja EU eivät pääse sopuun irtautumisen ehdoista, niin kutsuttu ”Hard Brexit” on villeimpien brittipoliitikkojen mukaan myös vaihtoehto. Hard Brexitiä voisi suoraan verrata vastasyntyneen napanuoran leikkaamiseen. Siinä tapauksessa tilanne eron hetkellä UK:lle olisi, kuten kätilö puolivitsikkäästi totesi ko. tilanteessa tyttäreni syntyessä, ”onneksi olkoon, olet nyt omillasi”.

Muiden vaikutusten ohella Hard Brexitillä olisi olennaisia vaikutuksia myös EU:n laajuisiin immateriaalioikeuksiin (kuten tavaramerkit ja desiginit) sekä henkilötietojen käsittelyyn.

EU-tavaramerkit ja yhteisömallit

EU-tavaramerkkien ja yhteisömallien osalta lähtökohtana on, että ne ovat voimassa yhtenäisenä koko EU:n alueella, eli yksinoikeus kattaa aina kaikki EU-maat. UK:n erotessa EU:sta se ei enää luonnollisestikaan ole EU-maa, jolloin kyseisten EU:n laajuisten oikeuksien voimassaolo UK:ssa lakkaa, ja näitä koskevat hakemuksetkin supistuvat koskemaan vain EU:hun jääviä jäsenvaltioita. Samoin sellaiset Madridin järjestelmän mukaiset kansainväliset rekisteröinnit, joissa suoja on haettu kattamaan koko EU:n alueen, eivät enää koske UK:ta. EU:n komissiokin on valveutuneena antanut aiheesta tiedonannon.

Lienee selvää, että tämä voi aiheuttaa harmaita hiuksia niille suomalaisille(kin) yrityksille, joilla on liiketoimintaa UK:ssa, sillä niiden EU:n laajuinen yksinoikeus ei olisi enää voimassa UK:n alueella. Tilanne voisi pahimmillaan johtaa merkittävään kilpailuedun menetykseen, jos paikallinen UK:ssa operoiva kilpailija saisi hankittua yksinoikeuden vaikkapa toisen aiemmin UK:ssa EU-tavaramerkillä suojattuun tavaramerkkiin.  

UK:n hallinto on kuitenkin tiedostanut ongelman ja ohjeistanut, että Brexit-hetkellä voimassa oleville rekisteröidyille EU-tavaramerkeille ja EU-designeille annetaan vastaava UK:n kansallinen rekisteröinti ”minimaalisella hallinnollisella taakalla”. Oikeudet olisivat siis voimassa edelleen saman laajuisina myös UK:ssa, mutta EU-oikeudesta itsenäisenä. Tämä tarkoittaa sitä, että esim. uusimiseen ja valvontaan liittyvät seikat toteutetaan UK:n asianomaisten lakien mukaisesti ja UK:n viranomaisvalvonnassa. Toisaalta oikeudet olisivat myös siirrettävissä ja muuten hyödynnettävissä itsenäisesti. Yrityksen on näin ollen pidettävä tarkempaa kirjaa IPR-portfoliostaan ja portfolion hallinnointi jonkin verran monimutkaistuu.

Jos oikeus sen sijaan on hakemusvaiheessa, edellytetään uuden UK-hakemuksen tekemistä, jos UK halutaan sisällyttää yksinoikeuden kattamaan alueeseen. Tällekin hakemukselle annetaan tosin samat hakemus-, etuoikeus- ym. päivämäärät kuin mitä EU-hakemuksessa, mutta kuten edellä, oikeus olisi sen myöntämisen jälkeen UK:n lainsäädännön alainen.

Vaikka UK:n EU-napanuora katkaistaisiinkin, säilyy UK tavaramerkkien osalta edelleen normaalisti Madridin järjestelmän mukaisessa kansainvälisessä rekisteröintijärjestelmässä. Jos siis yrityksesi liiketoiminnan kansainvälistyessä haluat esim. laajentaa Suomessa rekisteröimäsi tavaramerkin kattamaan muita maita, UK:n osalta on Brexitin jälkeen huomioitava, että rekisteröinti täytyy tehdä EU:lle ja UK:lle erikseen.

Vaikutukset henkilötietojen käsittelyyn

UK:laiset yritykset valmistautuivat varmasti vähintäänkin yhtä suurella pieteetillä lempilapsemme GDPR:n implementointiin kuin EU:hun jäävät valtiot. Oletettavaa on, että sana ”kiitollisuus” kuvaa hyvin sitä tunnetta, joka näiden yritysten johtoportaissa vallitsee, kun tietosuojarumba on aloitettava osittain uudestaan, mikäli EU:n kansalaisten henkilötietoja mielitään vielä Brexitin jälkeen käsitellä.

Henkilötietojen siirto EU-maiden välillä voi tapahtua vapaasti, mutta kun EU-napanuora katkeaa, poistuu myös tämä mahdollisuus. Brexitin myötä UK:sta tulee nimittäin tietosuojamielessä ns. kolmas maa, mikä tarkoittaa sitä, että henkilötietojen siirtoon UK:n alueelle tulee vastaisuudessa olla erityinen, GDPR:n V luvun mukainen peruste. Näistä voi tässä yhteydessä mainita esim. EU-komission päätöksen tietosuojan tason riittävyydestä tai erityisten suojatoimien implementoinnin, kuten komission mallilausekkeet (Standard Contractual Clauses, SCC) tai konserneissa yritystä sitovat säännöt (Binding Corporate Rules, BCR). Näistä ensiksi mainittu, eli komission päätös, ei tosin tule kyseeseen, sillä sellaista ei ole tehty. On vähän jopa huvittavaa, ettei komissio ole tässä parin vuoden aikana saanut aikaiseksi em. päätöstä (esim. pöytälaatikkoon), vaikka UK:n tietosuojaviranomaiset ovat moneen otteeseen toitottaneet, että he jatkavat GDPR:n periaatteiden noudattamista ja heidän kansallinen täydentävä lainsäädäntönsä vastaa tällä hetkellä GDPR:n vaatimuksia (ja osin on vastannut jo aiemmin).

Jos siis yrityksesi käyttää vaikkapa UK:ssa sijaitsevaa palvelinkapasiteettia tai hankkii muita henkilötietojen käsittelyä sisältäviä palveluita, Brexitin toteuduttua pelkkä tietojenkäsittelysopimus (data processing agreement, DPA) palveluntarjoajan kanssa ei enää riitä, vaan ko. palveluntarjoajan kanssa on tehtävä esim. komission mallilausekkeiden mukainen sopimus tietojen siirrosta (jos muita suojatoimia ei ole käytettävissä).

Ei liene kovin kaukaa haettua, että Brexitin toteutuessa UK menettänee vetovoimaansa henkilötietojen käsittelyä sisältävien palveluiden hankintamaana lisääntyneen byrokratian ansiosta. Tällä taas on myös suoria taloudellisia vaikutuksia sekä rekisterinpitäjille (palveluntarjoajan vaihtoon liittyvät kustannukset) että UK:ssa toimiville käsittelijöille (no money, no honey).

Jos yritys kuitenkin haluaa edelleen hankkia henkilötietojen käsittelyä sisältäviä palveluita UK:laiselta toimijalta (ja miksi ei haluaisi, asiantuntemusta ja käyttökelpoista teknologiaa siellä edelleen kuitenkin on), on syytä huomioida, että GDPR:n mukaisten siirrot kolmansiin maihin mahdollistavien suojatoimien tulee olla paikoillaan heti Brexitin hetkellä. Muuten siirto on GDPR:n vastainen ja voi johtaa sanktioihin.

Tietosuojaliitännäisten vaikutusten huomiointi edellyttää toki myös yrityksen sisäisten dokumenttien päivitystä, tarkoittaen esim. tietosuojalausekkeiden päivittämistä siltä osin kuin tietoja siirretään edelleen UK:n alueelle, eli Brexitin jälkeen EU:n ulkopuolelle. Euroopan tietosuojaneuvoston ohjeistus aiheesta on luettavissa täältä.

Brexit-kaislikon suhina todennäköisesti jatkuu lähiaikoina entistä kovempana, joten myös me seuraamme mielenkiinnolla, mitä pusikosta loppujen lopuksi paljastuu.

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.