Evästeisiin pyydettävästä suostumuksesta saatiin kaivattu päätös, mutta tasapainottelu neuvonnan ja valvonnan välillä jatkuu yhä

Evästeet puhuttavat jälleen – hallinto-oikeus antoi asiaa koskevan ratkaisun muutama viikko sitten. Hallinto-oikeuden aineellisoikeudellinen ratkaisu vastasi tietosuojavaltuutetun vakiintunutta linjaa.

Päätöksen mukaan suostumuksen on oltava yleisen tietosuoja-asetuksen mukainen. Suostumusta evästeiden käytölle ei voida myöskään antaa pätevästi verkkoselainten asetusten kautta.

Ja sitten vielä toiseen ajankohtaiseen kysymykseen: miten valvontaviranomainen voi sovittaa yhteen valvottaviensa neuvonnan ja valvonnan? Tämän yhtälön kanssa tietosuojavaltuutetun toimistossakin on tasapainoiltu viime vuosina. Ennen yleisen tietosuoja-asetuksen soveltamisen alkamista tietosuojavaltuutetulla ei ollut nykyisiä toimivaltuuksia esimerkiksi antaa huomautuksia, määräyksiä tai hallinnollisia seuraamusmaksuja. Tämän vuoksi neuvonnan merkitys korostui tietosuojavaltuutetun toiminnassa.

Tilanne on nyt kuitenkin toinen. Viimeaikainen keskustelu osoittaa kouriintuntuvalla tavalla, että neuvonnan ja valvonnan yhteensovittaminen ei ole aina yksinkertaista. Neuvonnan on pysyttävä yleisellä tasolla – tällaisia yleisiä ohjeita ovat esimerkiksi Euroopan tietosuojaneuvoston ohjeistukset, joita se laatii rekisterinpitäjien tueksi. Konkretia tulee puolestaan valvontaviranomaisen ratkaisukäytännön kautta.

Kuvitellaanpa vaikka, että tietosuojavaltuutetun toimisto olisi antanut rekisterinpitäjälle toimintaohjeita hyvin yksityiskohtaisessa kysymyksessä, vaikkapa terveystietojen käsittelyssä, ja myöhemmin omien henkilötietojensa käsittelyyn tyytymätön potilas kantelisi tietosuojavaltuutetun toimistolle kyseisen organisaation toiminnasta. Aika vaikea olisi valvontaviranomaisen puuttua toimintaan.

Tästä huolimatta tietosuojavaltuutettuun kohdistuu edelleen epärealistisiakin odotuksia siitä, millaista neuvontaa rekisterinpitäjän tulisi saada. On jopa esitetty, ettei tietosuojavaltuutettu voisi käyttää korjaavia toimivaltuuksiaan, ellei ole ensin antanut rekisterinpitäjälle yksityiskohtaista ohjausta. Mikä mahtaisi olla rekisteröidyn asema näissä tilanteissa?

Ja vielä lopuksi niistä lentopisteistä, en malta olla kommentoimatta – mitä jos mietittäisiinkin, voisiko matkustava virkamies käyttää pisteitä työntekoa helpottaviin lisäpalveluihin? On nimittäin kokemusta parinsadantuhannen pisteen vanhenemisesta.

Anu Talus
Tietosuojavaltuutettu