Henkilötietojen suoja ja ulkopuolisten sovelluksien hyödyntäminen
Erilaisille sovelluksille löytyy monenlaisia käyttötarkoituksia yksityisten, julkisten ja yleishyödyllisten palvelujen piiristä: Opetustoiminnassa hankitaan oppilaille käyttöoikeudet digitaaliseen suoratoistopalveluun, varhaiskasvatuksessa seurataan hoitolapsen verensokereita sovelluksen avulla, työntekijöille viestitellään WhatsApp-ryhmässä ja kansalaisjärjestön tukipalvelussa apua tarvitseva nuori ottaa työntekijään yhteyttä pikaviestintäsovelluksella. Kolmansien osapuolten tarjoamien sovellusten käyttöön liittyy monia haastavia henkilötietojen suojaa koskevia kysymyksiä.
Kenellä on vastuu sovellusten käytöstä?
Erilaisissa palveluissa kuten varhaiskasvatuksessa, opetuksessa, sosiaali- ja terveydenhuollossa sekä järjestöjen toiminnassa on tarve hyödyntää monenlaisia kolmannen osapuolen tarjoamia sovelluksia. Organisaatioissa ei välttämättä kuitenkaan ymmärretä näiden sovellusten käyttöön liittyviä tietosuojariskejä ja -vastuita. Sovelluksentarjoaja voi käyttää käyttäjän henkilötietoja omiin kaupallisiin tarkoituksiinsa, kuten myyntiin ja markkinointiin sekä luovuttaa niitä edelleen yhteistyökumppaneilleen. Sovelluksentarjoaja saattaa myös siirtää henkilötietoja Euroopan talousalueen ulkopuolelle, jolloin henkilötiedot eivät välttämättä enää nauti vastaavaa suojaa kuin Euroopan talousalueella. Palvelun piirissä olevan henkilön tulisi voida luottaa sovelluksen yhteydessä tapahtuvan henkilötietojen käsittelyn olevan asiallista, jos sovelluksen käyttöön ohjataan suoraan tai epäsuorasti julkisen tai muun luotettavan toiminnan piirissä. Henkilön voi myös käytännössä olla vaikeaa määrätä henkilötietojensa käsittelystä ja käyttää oikeuksiaan, jos hän on heikommassa asemassa toimintaa harjoittavaan rekisterinpitäjään nähden. [[i]]
Euroopan unionin yleistä tietosuoja-asetusta (”tietosuoja-asetus”) sovelletaan henkilötietojen käsittelyyn. Tietosuoja-asetuksella suojellaan ihmisten perusoikeuksia ja vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan. [[ii]] Valtaosa henkilötietojen käsittelystä tapahtuu nykyisin automaattisesti tietotekniikan avulla. Käsitteet ”henkilötieto” ja ”käsittely” ovat tulkinnaltaan laajoja. [[iii]] Henkilötiedoiksi katsotaan hyvin monenlaiset tiedot kuten nimi, henkilötunnus, sormenjälki, sähköpostiosoite, valokuva, IP-osoite ja muut verkkotunnistetiedot. Henkilötietojen käsittely taas kattaa käytännössä kaikki henkilötietoihin kohdistuvat toimenpiteet aina keräämisestä tuhoamiseen. Rekisterinpitäjällä tarkoitetaan tahoa, joka päättää, miksi ja miten henkilötietoja käsitellään. [[iv]] Rekisterinpitäjänä on tavallisesti henkilötietojen käsittelyä toimintansa yhteydessä harjoittava organisaatio. Rekisterinpitäjä on vastuussa kaikesta toimintansa piirissä tapahtuvasta henkilötietojen käsittelystä. Lähtökohtaisesti rekisterinpitäjänä toimii aina organisaatio eikä esimerkiksi yksittäinen työntekijä, virkamies tai osasto. Rekisterinpitäjä on vastuussa siitä, että sen henkilöstö on saanut tehtäviensä hoitamisessa tarvitsemansa tietosuojakoulutuksen. [[v]]
Tyypillisesti henkilötietojen käsittelyn ydinalueelle sijoittuvat erilaiset asiakastietojärjestelmät sekä niihin liittyvät prosessit tunnistetaan organisaatioissa hyvin ja niihin liittyvistä tietosuoja-asioista pyritään huolehtimaan asianmukaisesti. Kuitenkin osa henkilötietojen käsittelystä tapahtuu näiden selkeiden järjestelmien ulkopuolella, hajautuen erilaisiin viestintävälineisiin ja muihin sovelluksiin, vähemmän jäsennellyiksi ja hallituiksi kokonaisuuksiksi. Helposti juuri tämä toiminta tipahtaa kontrollien ja dokumentoinnin ulkopuolelle. Myös nämä käsittelyn reuna-alueet tulisi ulottaa henkilötietojen käsittelyä koskevien kontrollien piiriin. Tästä huolehtiminen on rekisterinpitäjän vastuulla. [[vi]] Jos kolmannen osapuolen tarjoaman sovelluksen käyttöönoton yhteydessä henkilötiedot luovutetaan sovelluksentarjoajalle, sovelluksentarjoajasta tulee sovelluksessa käsiteltävien henkilötietojen osalta rekisterinpitäjä. Alkuperäinen organisaatio ei voi kontrolloida sitä, mitä näille henkilötiedoille tapahtuu luovutuksen jälkeen. Tällaisen luovutuksen edellytykset on syytä arvioida huolellisesti, koska organisaatiolla on vastuu luovutuksen lainmukaisuudesta.
Millä edellytyksillä sovelluksia voidaan käyttää?
Jos sovelluksen piirissä käsitellään henkilötietoja, organisaation tulee huolellisesti arvioida sovelluksen henkilötietojen suojaan liittyvät kysymykset. Organisaation tulee toimintaansa sovellettavan lainsäädännön perusteella arvioida, onko toiminnassa olemassa perustetta rekisteröityjen henkilötietojen luovutukseen sovelluksentarjoajan omiin käyttötarkoituksiin. [[vii]] Luovutukselle tulee myös määrittää tietosuoja-asetuksen mukainen oikeusperuste ja rekisteröityä tulee informoida luovutuksesta, sen perusteesta sekä muista käsittelyä koskevista seikoista. [[viii]] Sovellusta arvioitaessa tärkeää on esimerkiksi selvittää, mitä henkilötietoja sovellus kerää, mihin tarkoituksiin ja siirretäänkö näitä henkilötietoja eteenpäin kolmansille osapuolille tai ETA-alueen ulkopuolelle. Käytännössä tämä tarkoittaa yksityiskohtaista tutustumista muun muassa sovelluksen käyttöehtoihin ja tietosuojaselosteeseen. Mikäli sovellusta on tarkoitus käyttää heikommassa asemassa oleville ihmisryhmille kuten lapsille, työntekijöille, turvapaikanhakijoille tai potilaille suunnatussa toiminnassa, käsitellä arkaluonteisia henkilötietoja tai käsittelyllä voi muuten olla merkittäviä vaikutuksia yksilön kannalta, käsittelylle on tehtävä tietosuojaa koskeva vaikutustenarviointi. [[ix]]
Kätevien sosiaalisen median ja muiden viestintäsovelluksien käyttöä voidaan perustella muun muassa sillä, että rekisteröidyt ovat usein jo valmiiksi niihin kirjautuneet yksityishenkilöinä, osaavat käyttää niitä ja käyttävät niitä aktiivisesti. Esimerkiksi kieltenopetuksessa voidaan hyötyä sellaisen valmiiksi tutun pikaviestintäsovelluksen käytöstä, minkä kautta voi tarvittaessa lähettää myös video- ja ääniviestejä. Jotta toiminta olisi tehokasta, organisaation täytyy näkyä tai työntekijän olla saatavilla niillä kanavilla, mitä rekisteröidyt tosiasiallisesti käyttävät. Esimerkiksi nuorille suunnatuissa sosiaali- ja tukipalveluissa saatetaan havaita, että WhatsApp tai Snapchat ovat tosiasiallisesti ainoita väyliä, mistä nuoret tavoittaa. Näin oikeutta henkilötietojen suojaan voi käytännössä olla tarpeen punnita esimerkiksi vasten ihmisten oikeutta saada opetusta ja huolenpitoa. Ääritilanteissa oikeus henkilötietojen suojaan voi tulla punnittavaksi jopa suhteessa oikeuteen elää tai henkilökohtaiseen turvallisuuteen.
Käytännössä luovutuksen hyväksyttävyyden ja sovelluksien tietosuojan arviointi edellyttää syvällistä oikeudellista tietämystä sekä tietosuojalainsäädännöstä että muusta kyseisen organisaation toimintaan sovellettavasta lainsäädännöstä. Luovutuksiin liittyvät oikeudelliset kysymykset voivat olla haastavia. Esimerkiksi suostumusta käytetään yleisesti oikeusperusteena luovutuksille, mutta tietosuoja-asetuksen suostumukselle asettamien tiukkojen ehtojen valossa tämä voi olla kyseenalaista. Suostumusta ei välttämättä voida katsoa vapaaehtoisesti annetuksi esimerkiksi opetustoiminnassa, jossa oppilaan (ja tämän huoltajan) sekä opetuksentarjoajan välillä vallitsee lähtökohtaisesti epäsuhta asetelma. [[x]] Vastuuta sovelluksien hyväksyttävyyden arvioinnista ei tulisi sysätä yksittäisille työntekijöille tai virkamiehille kuten opettajille, kasvattajille tai sosiaalihuollon työntekijöille tai ulkoistaa rekisteröidylle tai näiden huoltajille. Kun tietosuojavaatimukset koetaan liian rajoittavina tai vaikeaselkoisina, vaarana on, että henkilötietojen käsittely karkaa organisaation kontrollin ulkopuolelle. Näin voi käydä esimerkiksi, kun henkilöstö päättää käyttää omia laitteitaan hyödyllisen sovelluksen käyttämiseen silloin, kun sovelluksen lataaminen on estetty työnantajan tarjoamalla laitteella. Tällöin käsittelystä ei myöskään laadita ja ylläpidetä mitään dokumentaatiota. Näin voi tapahtua etenkin silloin, kun koetaan, että henkilötietojen suojan vastapainona on muita yhtä tärkeitä tai jopa tärkeämpiä intressejä. Ratkaisua tilanteisiin tulisikin hakea organisaatiotasolla ja viranomaisten ohjauksessa keskitetysti. Tästä esimerkkinä apulaistietojasuojavaltuutettu on hiljattain tehnyt aloitteen Opetushallitukselle opetustoiminnassa hyödynnettävien sovelluksien henkilötietojen käsittelyyn liittyvien kysymyksien selkeyttämiseksi. [[xi]] Vastaavia aloitteita ja yhteistyötä tarvitaan vielä paljon lisää, myös muun kuin opetustoiminnan osalta, että kolmansien osapuolien sovelluksien käyttöön liittyviin tietosuojakysymyksiin saadaan tarvittavaa selkeyttä.
Kirjoitus on osa Suomen Akatemian Strategisen tutkimuksen neuvoston (STN) rahoittamaa Intiimiys datavetoisessa kulttuurissa (IDA) -hanketta.
[i] Ks. Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettu Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 (yleinen tietosuoja-asetus, TSA), johdannon 75 kohta; Article 29 Working Party: Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, WP 248 rev.01, s. 10 kohta 7.
[[iii]] Ks. esimerkiksi Article 29 Working Party: Opinion 4/2007 on the concept of personal data, WP 136, s. 4—5; Päivi Korpisaari – Olli Pitkänen – Eija Warma-Lehtinen, Uusi tietosuojalainsäädäntö. Alma Talent, 2018, s. 52—53 ja 61—62; ja Christopher Kuner – Lee A. Bygrave – Christopher Docksey – Laura Drechsler (toim.), The EU General Data Protection Regulation (GDPR): A Commentary. Oxford University Press 2020, s. 113–114.
[[iv]] Ks. Rekisterinpitäjä-käsitteen laajasta tulkinnasta esimerkiksi European Data Protection Board: Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.0, s. 9 kohta 14, ja Euroopan unionin tuomioistuimen oikeuskäytännöstä tuomio 13.5.2014, Google Spain and Google, C-131/12, EU:C:2014:317, 34 kohta; tuomio 5.6.2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, 28 kohta ja tuomio 29.7.2019, Fashion ID, C-40/17, EU:C:2019:629, 66 kohta.
[[v]] European Data Protection Board: Guidelines 07/2020 on the concepts of controller and processor in the GDPR. Version 2.0, s. 9 kohta 14 ja s. 10–11, kohdat 17–19.
[[vi]] Ks. rekisterinpitäjän vastuusta TSA 24 artikla ja esimerkkinä tietosuojavaltuutetun 29.10.2021 antama päätös henkilötietojen eheyttä ja luottamuksellisuutta, henkilötietojen käsittelyn turvallisuutta, sisäänrakennettua ja oletusarvoista tietosuojaa ja henkilötietojen siirtoja kolmansiin maihin koskevassa asiassa. Dnro 9024/181/19, s. 3.
[[vii]] Ks. apulaistietosuojavaltuutetun 13.9.2021 antama ohjaus. Dnro 5367/163/19, s. 4.
[[viii]] TSA 6 ja 9 artiklat, 12–14 artiklat.
[[ix]] TSA 35 artikla ja johdannon kohta 75; WP 248 rev.01, s. 10 kohta 7.
[[x]] Ks. Esimerkiksi apulaistietosuojavaltuutetun 13.9.2021 antama ohjaus. Dnro 5367/163/19, s. 4; European Data Protection Board: Guidelines 05/2020 on consent under Regulation 2016/679. Version 1.1, s. 7–9.
[[xi]] Apulaistietosuojavaltuutetun 13.9.2021 antama ohjaus. Dnro 5367/163/19, s. 5.
