Suostumuksen vaatimus EU:n tietosuoja-asetuksessa

Jotta henkilötietojen käsittely olisi lainmukaista, se on niin henkilötietolain kuin uuden tietosuoja-asetuksen mukaan perustuttava asianomaisen henkilön suostumukseen tai muuhun oikeutettuun perusteeseen, josta säädetään lainsäädännössä.

Tietosuoja-asetuksessa ja henkilötietodirektiiviin perustuvassa henkilötietolaissa edellytetään pääsääntöisesti yksiselitteistä suostumusta, mutta tiettyjen tietojen osalta suostumuksen on oltava nimenomainen. Yksi keskeisistä uudistuksista EU:n tietosuoja-asetuksessa on suostumuksen käsitteen tarkempi määrittely yksiselitteisen suostumuksen osalta. Nimenomainen ja yksiselitteinen suostumus ovat nykyisen henkilötietodirektiivin aikana eronneet toisistaan käytännössä siinä, että yksiselitteisen suostumuksen on voinut tietyissä tilanteissa toteuttaa toimenpitein, jotka ainoastaan välillisesti osoittavat suostumuksen olemassaolon, kun taas nimenomaisen suostumuksen osalta vaatimuksena on ollut suostumuksen välittömyys.

Oikeustila selkeämmäksi

Suostumuksen käsitteen sisältö muuttui tietosuoja-asetuksen valmistelun aikana. Komission ehdotuksessa ja Euroopan parlamentin ensimmäisen käsittelyn lainsäädäntöpäätöslauselmassa rekisteröidyn suostumus määriteltiin miksi tahansa vapaaehtoiseksi, yksilöidyksi, tietoiseksi ja nimenomaiseksi tahdonilmaisuksi, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn joko antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen. Toimielinten välisten neuvottelujen tuloksena tekstiä muutettiin lopulta siten, että nimenomainen tahdonilmaisu korvattiin yksiselitteisellä tahdonilmaisulla säilyttäen konseptin nimenomaisesta suostumuksesta koskien automatisoituja yksittäispäätöksiä (profilointi mukaan luettuna), arkaluonteisia tietoja sekä henkilötietojen siirtoja kolmansiin maihin tai kansainväliselle järjestölle.

Suostumuksen osalta tietosuoja-asetuksen lopullisen version johdanto-osassa katsotaan yleisesti, että suostumus olisi aina annettava selkeästi suostumusta ilmaisevalla toimella, kuten kirjallisella, mukaan lukien sähköisellä, tai suullisella lausumalla, josta käy ilmi rekisteröidyn tahdonilmaisu, jolla hän hyväksyy henkilötietojensa käsittelyn. Lisäksi johdanto-osan mukaan suostumus olisi annettava tavalla, joka selkeästi osoittaa, että rekisteröity hyväksyy henkilötietojensa käsittelyä koskevan ehdotuksen. Jos rekisteröidyn on annettava suostumuksensa sähköisen pyynnön perusteella, on pyynnön oltava selkeä ja tiiviisti esitetty eikä se saa tarpeettomasti häiritä sen palvelun käyttöä, jota varten se annetaan. Lisäksi tietosuoja-asetuksessa säädetään, että suostumuksen antamista koskeva vaatimus on esitettävä kirjallisissa ilmoituksissa selvästi erillään mahdollisista ilmoitusta koskevista muista asioista helposti ymmärrettävässä ja saatavilla olevassa muodossa, selkeällä ja yksinkertaisella kielellä.

29 artiklan mukainen tietosuojatyöryhmä on katsonut voimassaolevan henkilötietodirektiivin osalta nimenomaisen suostumuksen tarkoittavan välitöntä suostumusta (express consent) sisältäen kaikki tilanteet, joissa yksilölle esitetään ehdotus hyväksyä tai hylätä tietty henkilötietojen käyttö ja jossa suostumus toteutetaan aktiivisella toimenpiteellä.  Jää siis nähtäväksi miten nimenomainen suostumus tulee käytännössä eroamaan yksiselitteisen suostumuksen määritelmästä.

Tietosuoja-asetuksen vaikutukset jäsenvaltioissa

Kansalliset henkilötietodirektiivin voimaan saattamiset ovat poikenneet toisistaan ja erityisesti yksiselitteisen suostumuksen tulkinnat ovat vaihdelleet jäsenvaltioittain. Tietyissä valtioissa kyse on välittömästä suostumuksesta, kun taas osa jäsenvaltioista sallii tiettyjä implisiittisen suostumuksen muotoja.

Henkilötietolaissa nimenomaisuuden vaatimus koskee vain suostumusta arkaluonteisten tietojen käsittelyyn, muutoin vaaditaan pelkästään rekisteröidyn yksiselitteinen suostumus. Suomen tietosuojavaltuutetun toimiston mukaan nimenomaiseen suostumukseen liittyy yksiselitteisestä suostumuksesta poiketen korostettu yksilöintivaatimus. Hallituksen esitöissä on lisäksi katsottu, että nimenomaisella suostumuksella korostetaan sitä, että rekisteröidyn suostumuksen tulee olla tarkasti ilmaistu. Hallituksen esitöissä sekä perustuslakivaliokunnan lausunnossa on katsottu, että nimenomaisen suostumuksen tulee yleensä olla kirjallinen ja siitä pitää ilmetä, minkälaiseen henkilötietojen käsittelyyn se on annettu.

Suostumuksen nimenomaisuuden ja yksiselitteisyyden vaatimukseen vaikuttanee myös muut suostumukseen liittyvät elementit eli suostumuksen vapaaehtoisuus, yksilöitävyys sekä yksilön tietoisuus, jotka sisältyvät suostumuksen määritelmään niin voimassaolevassa henkilötietodirektiivissä kuin uudessa tietosuoja-asetuksessa.

Lisäksi on huomioitava asiaan liittyvät todistelukysymykset. Tietosuoja-asetuksessa rekisterinpitäjälle on asetettu todistustaakka suostumuksen olemassaolosta, kun taas voimassaolevassa henkilötietodirektiivissä asiaan ei ole otettu kantaa. Henkilötietolakia koskevan hallituksen esityksen perustelujen mukaan suostumuksen pyytäjän on kuitenkin tullut jo nyt näyttää toteen suostumuksen olemassaolo, ja todistustaakan on katsottu myös EU-oikeudessa olleen vastaava jo voimassaolevan direktiivin aikana ilman mainintaakin. Käytännössä rekisterinpitäjän todistustaakka on merkinnyt jo voimassaolevan henkilötietolain osalta tietosuojavaltuutetun toimiston mukaan sitä, että suostumus on aina hyvä pyytää kirjallisena, jos voidaan olettaa, että suostumus on tarpeen näyttää toteen myöhemmin.

Judit Lainio
Åbo Akademi
Helsingin yliopisto

Kirjoittaja toimi harjoittelijana IPR University Centerissä keväällä 2016.