Oikeus tulla unohdetuksi

Oikeus tulla unohdetuksi (right to be forgotten, the right to erasure) tarkoittaa yksilön oikeutta saada poistetuksi häntä itseään koskevia tietoja internetistä esimerkiksi niin, että hakukone poistaa hakulistauksestaan tietyt tulokset, jotka muuten listautuisivat henkilön nimellä suoritetussa haussa.

Sillä on tarkoitettu myös henkilön oikeutta saada hänen itsensä tallentamat tiedot pois rekisterinpitäjältä, kuten sosiaalisen median palveluntarjoajalta, kun henkilö lopettaa kyseisen palvelun käytön tai kun henkilö ei enää halua tietojaan käsiteltävän. Sillä ei kuitenkaan tarkoiteta ihmisen oikeutta saada mitä tahansa itseään koskevia, epämiellyttäviä tietoja poistetuksi pelkästään pyytämällä sitä miltä tahansa internetin palveluntarjoajalta.

Unohdus perusoikeutena

Euroopan unionissa oikeus perustuu perusoikeuskirjan 8. artiklassa vahvistettuihin perusoikeuksiin eli yksilön henkilötietojen suojaan (right to personal data) ja yksilön oikeuksiin päättää tietojensa käsittelystä. Henkilöä koskevaa tietoa voidaan kerätä vain jos lailla säädetyt edellytykset täyttyvät. Suomessa henkilötietojen käsittelylle tulee olla henkilötietolaista ilmenevä peruste, kuten asiakas- tai palvelussuhteen vuoksi syntynyt asiallinen yhteys rekisterinpitäjän toimintaan.

Oikeus tulla unohdetuksi nousi keskusteluun tammikuussa 2012, kun EU:n komissio ehdotti EU:n tietosuojadirektiivin kattavaa kokonaisuudistusta. Komission ehdotuksiin oli kirjattu oikeus tulla unohdetuksi (Artikla 17), joka tarkoittaisi yksilön oikeutta saada tietonsa poistetuksi silloin, kun asetuksen edellytykset täyttyvät.

Maaliskuussa 2014 Euroopan parlamentti äänesti uudistuksen puolesta ja jopa vahvisti oikeutta tulla unohdetuksi niin, että myös sivullisia voisi velvoittaa poistamaan linkit tai kopiot tiedoista, jotka henkilö haluaa poistettavan. Tilanteessa, jossa henkilöä koskevat tiedot ovat tulleet julkisiksi ilman laillista perustetta, rekisterinpitäjän tulisi tehdä tarvittavat toimet, jotta nämä tiedot saadaan poistettua myös sivullisilta.

Ehdotuksella halutaan turvata toisaalta tietojen vapaan liikkuvuus ja toisaalta yksilön mahdollisuus saada tietoa ja vaikuttaa siihen, kuinka häntä koskevaa informaatiota käsitellään.

Suhde sananvapauteen

Oikeus tulla unohdetuksi sisältyy nykyiseenkin EU:n tietosuojadirektiiviin (95/46/EY). Euroopan unionin tuomioistuin (EUT) linjasi 13.5.2014 antamassaan tuomiossa (C-131/12 Google Spain ym.), että hakukoneen ylläpitäjä voidaan tietosuojadirektiivin perusteella velvoittaa poistamaan henkilön nimellä suoritetun haun tuloksista linkit, jotka vievät henkilöä koskevia tietoja sisältäville sivuille.

Tuomion ulottuvuus on kuitenkin rajattu. Tuomio käsittelee ainoastaan hakukoneita ja hakutuloksia, eikä tuomio käsittele itse tiedon poistamista linkin kohteena olevalta sivulta. Tiedot voidaan vaatia poistettaviksi siinä tapauksessa, että ne ovat vanhentuneet tai muuttuneet epäolennaiseksi. Tietoja, joita tuomio koskee, on rajoitettu: suuren yleisön oikeus saada tietoja voi mennä esimerkiksi julkisuudessa olevan henkilön yksityisyydensuojan edelle.

Tuomio herätti kritiikkiä, sillä ”vanhentuneen tai epäolennaisen” tiedon määritelmä on liukuva. On pelätty, että tuomio mahdollistaisi sananvapauden rajoittamisen. Kriitikot saivat pian esimerkin, kun tuomion jälkeen Google poisti linkin BBC:n artikkeliin, jossa käsiteltiin kriittisesti entistä Merrill Lynchin toimitusjohtajaa Stan O’Neiliä.

Oikeusopillisesti EUT:n tuomiossa on syytä kiinnittää erityistä huomiota tuomioistuimen kykyyn jäsentää vaikeaselkoista ja uuden teknologian haastamaa tietosuojadirektiiviä. Nykyinenkin tietosuojadirektiivi voi toimivasti säännellä verkkoympäristöä ja sen käsitteet, kuten tässä tapauksessa ”rekisterinpitäjä”, voidaan täsmentää koskemaan uusia toimintoja.

Jos oikeus tulla unohdetuksi kuitenkin halutaan vahvistaa internetin perusoikeudeksi, mikä lienee unionin lainsäätäjän tahto, on palveluntarjoajilla oikeus tietää sen ulottuvuus. Oikeutta tulla unohdetuksi on punnittava suhteessa muihin perusoikeuksiin. Yhdysvaltojen vahva sananvapauskäsitys, samoin kuin oikeus saada tietoa, tulevat aiheuttamaan konfliktitilanteita.

Yhteys henkilötietojen suojaan

Oikeuskirjallisuudessa on esitetty, että yksilöllä tulisi olla omistusoikeus häntä itseään koskeviin tietoihin. Tämä tarkoittaisi immateriaalioikeuksia koskevan sääntelyn ja käytäntöjen ulottamista henkilötietoihin. Näkökulmaa on kritisoitu siitä, että siinä yksityiset tiedot nähdään vaihdannanalaisina hyödykkeinä, eivätkä osana yksilön luovuttamattomia perusoikeuksia. Lisäksi näkökulma on riittämätön: esimerkiksi verkossa toimivien alaikäisten oikeustoimikelpoisuutta on rajoitettu ja heidän kykynsä määrätä henkilötiedoistaan tulisi esimerkiksi Suomessa arvioida jokaisen oikeustoimen kohdalla erikseen.

Yksilöä koskevat tiedot saavat varallisuusarvoa, kun yritykset käyttävät tietoja osana liiketoimintaansa. Verkon niin kutsutut ilmaispalvelut, kuten Facebook, voivat markkinoida käyttäjiensä tietoja mainostajille. Jos yksilö voisi vetää tietonsa pois milloin tahansa, tämä loisi epävarmuutta yrityksille.

Voidaan myös kysyä, kuinka paljon meillä tulee olla valtaa itseämme koskeviin tietoihin ja miten suuri oikeus ja mahdollisuus muilla on saada meistä kiusallisiakin tietoja. Kysymys on vaikea, sillä verkkoon tallentuu hyvin erilaisia tietoja ja verkon tietolähteet vaihtelevat. Yksilöä koskevasta verkkoon tallentuvasta tiedosta suuri osa ei ole yleisölle relevanttia, vaikka se haittaisi työnsaantia tai parisuhteita, tai olisi luonteeltaan loukkaavaa. Tällaisten tietojen poistamisesta tuskin olisi haittaa yleisölle, eikä verkko ole muuttanut pääsyä tämänkaltaiseen tietoon yleisön oikeudeksi.

Voisiko oikeus toteutua?

Koska oikeus tulla unohdetuksi koskee verkossa tapahtuvaa toimintaa, pätevät oikeuden täytäntöönpanoon samat ongelmat, jotka tyypillisesti liittyvät lainsäädännön ja verkon suhteeseen.

Viimeaikainen kehitys on osoittanut, että useat valtiot pyrkivät samanaikaisesti soveltamaan omaa lainsäädäntöään yksittäiseen internetissä tehtyyn tekoon. Valtioiden rajat eivät vaikuta verkkoon, joten esimerkiksi EUT:n ennakkoratkaisun jälkeen on jo ilmestynyt opasteita siitä, miten Googlen unohduskäytännöt voidaan kiertää käyttämällä muiden kuin EU-valtioiden kansalaisille suunnattuja Google-hakuja.

Perusoikeuksien – jotka tässä käsittävät sekä kansainvälisissä sopimuksissa säädetyt ihmisoikeudet että kansallisten perustuslakien määrittelemät oikeudet – toteutumista täysimääräisesti internetissä vaikeuttaa selkeän toimivaltajaon puuttuminen. Valtioille on epäselvää, kenellä on velvollisuus ja oikeus suojella yksilöitä näihin oikeuksiin kohdistuvilta loukkauksilta.

Oikeus tulla unohdetuksi on määriteltävä ja säädettävä unionin lainsäädännössä kattavasti, jotta voidaan mahdollistaa oikeuden yhdenmukainen ja täysimääräinen toteutuminen unionitasolla ja luoda liiketoiminnalle mahdollisimman ennakoitava säädösympäristö.

Verkon alueellinen ulottuvuus ja toimivaltakysymykset on huomioitava kansainvälisellä tasolla niin, että tietosuoja sisällytetään esimerkiksi neuvotteluihin vapaakauppa- tai yhteistyösopimuksista. Yhdysvaltojen ja EU:n välillä on käyty neuvotteluja kansainvälisestä tietosuojaa koskevasta sopimuksesta, jonka tarkoituksena olisi mahdollistaa henkilötietojen asianmukainen käsittely ja oikeusturvakeinot tilanteissa, joissa henkilötietoja siirretään alueiden välillä.

Maiju Virtanen
ON, Turun yliopisto

Kirjoittaja oli harjoittelijana IPR University Centerissä kesällä 2014.