Kenellä on oikeus henkilötietojeni käyttöön?

14.6.2019 16.16
Kolumni
Reijo Aarnio
Tietosuojavaltuutettu Reijo Aarnio.

Pitääkö asiakkaalta pyytää suostumus henkilötietojen käsittelyyn? Tätä kysymystä palloteltiin jo ennen tietosuoja-asetuksen soveltamisen alkamista. Silloin julkisuudessa kritisoitiin kovasti sitä, että suostumuksen pyytäminen vesitti koko instrumentin käyttöä. Jo tuolloin tietosuojavaltuutetun toimisto toi esiin, että rekisteröidyn ja rekisterinpitäjän välistä suhdetta on arvioitava tietosuoja-asetuksen huolellisuusvelvoitetta kunnioittaen, privacy by design -hengessä.

Aloitetaan vastauksen etsiminen kysymällä, millä oikeusperusteella rekisterinpitäjä saa käsitellä (asiakkaan) henkilötietoja. Asiakkuuksiakin on monenlaisia. Esimerkiksi vaikkapa optikkoliikkeen asiakkaaseen saatetaan soveltaa terveydenhuollon potilasta koskevaa lainsäädäntöä tai sitten ihan normaaleja kuluttaja-asiakasta koskevia asetuksen kohtia. Asia voi riippua ostetusta tuotteesta tai palvelusta. Toisaalta tietääkseni ei ole mahdollista esimerkiksi peruuttaa suostumusta viranomaisten käsitellessä tietojamme. Viranomaiset käsittelevät henkilötietoja lain, ei suostumuksen perusteella.

Kaivetaan esiin tietosuoja-asetuksen 6 artikla ja katsotaan, mitä se aiheesta sanoo. Sen mukaan rekisterinpitäjä saa käsitellä sellaista henkilöä koskevia henkilötietoja, joka

  • on antanut siihen suostumuksen,
  • on tai aikoo olla sopimussuhteessa rekisterinpitäjään,
  • on asemassa, jonka johdosta rekisterinpitäjä käsittelee tietoja lakisääteisen velvoitteensa noudattamiseksi,
  • on tilanteessa, joka edellyttää hänen tai jonkun muun elintärkeiden etujen suojaamista.

Lisäksi henkilötietoja voidaan käsitellä

  • yleisen edun tai julkisen vallan käyttämiseksi sekä
  • oikeutettujen etujen toteuttamiseksi.

Yhden edellä esitetyistä edellytyksistä tulee siis täyttyä ennen kuin henkilötietoja voidaan käsitellä. Erityisiin tietoryhmiin eli tutummin arkaluonteisiin henkilötietoihin kuuluvien tietojen kohdalla säännökset ovat tätäkin tiukemmat.

Kun siis marssin kauppaliikkeeseen ja tilaan tuotteen tai palvelun, syntyy kauppiaalle rekisterinpitäjänä useampikin peruste käsitellä henkilötietojani. Voi olla, että teen kauppiaan kanssa osto- tai tilaussopimuksen tai voi olla, että ostamani palvelu kuuluukin terveydenhuollon alaan, joka suorastaan vaatii kauppiasta tekemään merkintöjä. Viranomaisen kanssa asioidessani syntyy jossain vaiheessa tilanne, jossa viranomainen toimii lakisääteisen velvoitteensa noudattamiseksi tai käyttää julkista valtaa.

Yritysten osalta kansainvälisyys tekee tietosuojakysymysten ratkaisemisesta monivaiheisempaa. Suomalaisten tietosuojaoikeudet toimivat kyllä esimerkiksi nettijättien suhteen, mutta asioita hoitava taho on lähtökohtaisesti sen maan tietosuojaviranomainen, jossa yrityksen päätoimipaikka sijaitsee. Näin ollen Suomi osallistuu yhtenä osapuolena tämän johtavan valvontaviranomaisen vetämään prosessiin niin sanotun yhdenmukaisuusmekanismin mukaisesti.

Osin mutkikasta, eikö totta! Mutkikkailla asioilla on puolestaan taipumus viedä aikaa, mitä pahoittelen. Asioiden etenemisvauhtiin kun vaikuttaa myös edellä kuvaamani eurooppalaisen yhdenmukaisuusmekanismin mukainen päätöksenteko. Ruuhkakin on tällä hetkellä kova.

Lopuksi on todettava, että tämän kaiken viestiminen kansalaisille ei ole aivan helppo tehtävä. Siinä niin meillä viranomaisilla kuin rekisterinpitäjilläkin on vielä paljon parannettavaa. Erilaiset sertifikaatit ja papukaijamerkit ovat tuloillaan tarpeeseen. Niistä tietosuojaneuvosto antoi 4. kesäkuuta oman tulkintansa, jonka pohjalta tätä asiaa voidaan nyt ryhtyä edistämään.