MyData ja tietosuoja lähtökohtana terveyssovellusten suunnittelussa

7.4.2020 13.32
Kolumni
Tietosuojavaltuutettu Reijo Aarnio

Ajatellaan myönteisesti: voisiko koronakauheuksien keskeltä tulla jotain hyvääkin? Voisiko MyData-ajatukselle perustuvista terveyssovelluksista tulla uusi Nokia? Näitä asioita on hyvä miettiä, kun arvioimme Singaporen, Saksan (tai Norjan tai Vaasan) mallin käyttöä. Pohdin, osaako suomalainen tai edes eurooppalainen ohjelmistoteollisuus hyödyntää tietosuojan mahdollisuudet kansalaisten terveyden, turvallisuuden ja hyvinvoinnin edistämiseksi ja turvaamiseksi.

Kun ajattelen rakenteilla olevia sovelluksia ja brändejä, näyttäisi joku niistä muistuttavan vahvasti kansalaisten valvontaan perustuvia malleja. Toisissa taas paradigma lähtee ”digitaalisen turvatyynyn” tai ”digitaalisen terveyssomen” pohjalta. Niissä kansalainen kontrolloi tilannetta ilman, että kukaan puuttuu aiheettomasti tai liian laajasti hänen yksityisyyteensä.

Aloittaisin sovelluksen miettimisen Privacy by Design -hengessä EU:n yleisen tietosuoja-asetuksen 6 artiklasta. Se kertoo, kenen henkilötietoja saa käsitellä; käsittelyperuste voi olla esimerkiksi rekisteröidyn suostumus tai sopimus. Joskus käsittely sallitaan erikseen laissa. Käsittely on sallittua myös silloin, kun se perustuu tarpeeseen suojata rekisteröidyn tai jonkun muun elintärkeitä etuja. Asetuksesta näyttäisi siis löytyvän oikeusperuste näille sovelluksille.

Tietosuoja-asetuksen 9 artiklan poikkeussäännöt osoittavat, milloin erityisiin henkilötietoryhmiin kuuluvien terveystietojen käsittely on sallittua. Vanhat tutut käsittelyperusteet kumpuavat esiin: suostumus, elintärkeiden etujen suojaaminen, yleinen etu, tietojen käsittely ennalta ehkäisevää terveydenhuoltoa varten. Erityisen mielenkiintoinen on 9.2 artiklan i-alakohta. Sen mukaan arkaluontoisia henkilötietoja saa käsitellä, kun käsittely on tarpeen kansanterveyteen liittyvän yleisen edun vuoksi, esimerkiksi vakavilta rajat ylittäviltä terveysuhkilta suojautumiseksi. Perusteena on silloin oltava lainsäädäntö, jossa säädetään asianmukaisista suojatoimista.

On siis kaksi tietä. Toinen vie lakisääteiseen velvoitteeseen ja toinen käyttäjän vapaaehtoisuuteen. Ensimmäisen osalta jonkun kannattaisi katsoa, miten tartuntatautilaki taipuu tilanteessa. Toinen tie on parempi ja nopeampi. Se on myös yhteisöllisempi, koska siinä on useampia toimijoita kuin rekisterinpitäjä ja rekisteröity.

Sitten sovellusta vielä parannetaan tietosuoja-asetuksen 5 artiklan mukaisilla periaatteilla, ja tietoturva betonoidaan esimerkiksi anonymisoimalla tai ainakin pseudonymisoimalla tiedot. Välttämätöntä on myös tehdä 35 artiklan mukainen vaikutusten arviointi. Joskus se edellyttää myös tietosuojavaltuutetun ennakkokuulemista. Me tietosuojavaltuutetun toimistossa autamme mielellämme.

Koska esillä olleissa ehdotuksissa ovat mukana teleoperaattorit, on suunnittelijoiden opiskeltava lakia sähköisen viestinnän palveluista (aik. tietoyhteiskuntakaari, os. sähköisen viestinnän tietosuojalaki). Sen käsitteitä ovat teleoperaattorit, tilaajat, yhteisötilaajat ja käyttäjät, mutta myös lisäarvopalveluiden tarjoajat. Lisäarvopalvelulla tarkoitetaan palvelua, joka perustuu välitystietojen tai sijaintitietojen käsittelyyn muuta tarkoitusta kuin viestin välittämistä varten. Sijaintitieto on puolestaan viestintäverkosta tai päätelaitteesta saatava tieto, joka ilmaisee päätelaitteen maantieteellisen sijainnin ja jota käytetään muuhun kuin viestin välittämiseen. Sijaintitietojen käsittelystä säädetään muun muassa edellä mainitun lain 160 §:ssä ja käyttäjän oikeuksista 162 §:ssä.

Suunniteltavana olevat järjestelmät voivat käyttää tai olla käyttämättä operaattoreiden verkkoja. Jos suunniteltava järjestelmä ei käytä teleoperaattoreiden verkkoja, eikä palvelun tuottamisessa tarvitse tietää maantieteellistä sijaintia, tulee siihen sovellettavaksi EU:n yleinen tietosuoja-asetus (GDPR). Riippuen siis järjestelmän designista arvioitavaksi tulee, tarvitaanko asiassa uutta lainsäädäntöä vai sovelletaanko tietosuoja-asetusta. Jälkimmäinen lienee nopein vaihtoehto. Tästä syystä myös Euroopan tietosuojaneuvosto (EDPB) on antanut alatyöryhmälleen toimeksiannon antaa ohjausta tietosuoja-asetuksen käytössä ja siten auttaa koronaviruksen torjuntaan tarkoitettujen sovellusten kehittämisessä.