21 huhti Rekisteriselosteet päivitetty, kaikki kunnossa?
Kyllä, mutta todennäköisesti ei. Eräs suurimpia tietosuoja-asetuksen tuomia muutoksia aiempaan lainsäädäntöön on avoimuusperiaatteen ja läpinäkyvyyden käytännön toteutus.
WP29 julkaisi viikko sitten päivitetyn ohjeensa läpinäkyvyydestä rekisteröityjen suuntaan. Muutokset aiempaan eivät olleet suuria, mutta käytännössä olemme huomanneet, että edellistäkään ei ole yleensä luettu. Rekisteriselosteet ovat edelleen hyviä olemassa, sillä asetus edellyttää, että henkilötietojen käsittelyyn liittyvä tieto on toimitettavissa rekisteröidylle hänen sitä pyytäessä kirjallisena ja koottuna yhteen dokumenttiin. Tosin se ei vielä riitä.
WP29 toteaa, että mahdollisimman kattavan ja yksityiskohtaisen tiedon toimittamisen ja selkeyden välillä on selkeä ristiriita. Jos kaiken asetuksen vaatiman henkilötietojen käsittelyyn liittyvän informaation toimittaa vain kerralla yhdessä isossa paketissa, se ei täytä rekisteröidyn suuntaan asetuksen selkeyden vaatimusta. Uusi ohjeistus pitää edelleen tärkeänä niin sanotun hierarkisen tietosuojalausunnon mallia, jossa rekisteröity saa tiedon helposti ymmärrettävässä muodossa ja selkeällä kielellä esitettynä kerroksittain. Mielellään siten, tietosuojalausunnon rakenne etenee yleisestä yksityiskohtaisempaan. Ensimmäisellä tasolla olisi aina informoitava vähintään:
- Yksityiskohdat henkilötietojen käsittelyn käyttötarkoituksista
- Rekisterinpitäjän identiteetti
- Kuvaus rekisteröityjen oikeuksista ja niiden käyttämisestä
Tästä eteenpäin yksityiskohtaisemman tiedon pitäisi olla esitettynä siten, että rekisteröity itse voi tarkentaa yksityiskohtiin hänen näkökulmastaan ymmärrettävällä tavalla. Tämän voi toteuttaa vaikkapa yksinkertaisella nettisivunavigaatiolla, infolaatikoilla tai muulla tarkoituksenmukaisella tavalla. Olennaista on se, että informaatio toimitetaan käyttäjälähtöisesti. Jos kyse on esimerkiksi henkilötietoa keräävästä teknisestä laitteesta, jossa ei ole näyttöä, perinteinen nettisivu ei ole välttämättä tarkoituksenmukaisin eikä ehkä täytä asetuksen vaatimuksia. Ylipäätään pelkän nettisivun olemassaolo ei ole välttämättä riittävä ja rekisterinpitäjältä edellytetäänkin aktiivisia toimia tietojen toimittamiseen rekisteröidyille.
Lähtökohtana viestinnässä asetus pitää käyttäjäkeskeisyyttä – ei juridista tai lain muotovaatimusta. Rekisterinpitäjä on itse velvoitettu arvioimaan ja tarvittaessa käyttämään esimerkiksi kyselytutkimuksia tai käyttäjäpaneeleita sen arvioinnissa, mikä on tarkoituksenmukaisin informaatiokanava ja viestintätapa sekä kieli. Erityisesti rekisterinpitäjän omalla vastuulla on tunnistaa, millainen on keskiverto käyttäjäkohderyhmä ja miten viestintä pitää toteuttaa. Esimerkiksi viestiessä tietyn alan ammattilaisille, voi kieli olla monimutkaisempaa, mutta jos käyttäjäkohderyhmään kuuluu vaikkapa lapsia, pitää olla erityisen tarkka ilmaisussa. Lapsiin kohdistuvassa viestinnässä voi käyttää apuna vaikkapa Unicefin sivuilla olevaa ohjeistusta. WP29 muistuttaa myös, että vaikka suostumus lapsen henkilötietojen käsittelyyn olisi saatu huoltajalla, on lapsella silti oikeus itsellään saada sama tieto henkilötietojen käsittelyyn liittyen kuin muillakin rekisteröidyillä!
Sanomattakin on selvää, että kaikenlainen juridinen kapulakieli ei täytä asetuksen selkeyden vaatimusta – ellei sitten viestitä lakimiesliiton jäsentiedotteessa. Kaikenlaiset ympäripyöreydet ovat myös WP29:n mukaan vältettävien ilmaisujen listalla. Sellaisia on esimerkiksi: “saatetaan käyttää”, “voidaan käyttää”, “usein” tai “mahdollisesti”. Rekisterinpitäjän tulee olla yksiselitteinen siinä, miten rekisteröidyn henkilötietoja todella käsitellään. Myös lause- ja kappalerakenteet tulee olla selkeitä ja ymmärrettäviä.
Selväkielisyys ja ymmärrettävyys on syytä viedä myös sopimus- tai toimitusehtoihin asti. Esimerkiksi direktiivi 93/13/ETY kuluttajasopimusten kohtuuttomista ehdoista edellyttää selkeää ja ymmärettävää kieltä.
Monissa päivitetyissäkin rekisteriselosteissa näkee edelleen ohjeistuksessa esiin nostettuja huonoja esimerkkejä. Myös hyviä esimerkkejä on tällä kertaa lisätty ohjeistukseen. Mutta alla huonoista allekirjoittaneen vapaasti suomentamat esimerkit:
- “Saatamme käyttää henkilötietojasi uusien palveluiden kehittämiseen.”
- Huono, koska esimerkissä ei kerrota, mitä palvelut ovat ja kuinka henkilötiedot auttavat kehittämään niitä.
- “Saatamme käyttää henkilötietojasi tutkimuksellisiin tarkoituksiin.”
- Huono, koska lauseesta ei käy ilmi, millaiseen tutkimukseen tällä viitataan.
- “Käytämme henkilötietojasi personoitujen palveluiden toimittamiseen.”
- Huono, koska lauseesta ei käy ilmi, mitä personointi tarkoittaa tai mihin sillä viitataan.
“Palveluiden kehittäminen” on siitäkin huono peruste mihinkään, koska se ei anna minkäänlaista oikeutta palveluntarjoajalle käsitellä henkilötietoja. Koska käyttäjä yleensä ostaa tai rekisteröityy johonkin palveluun juuri siksi, millainen se on, voisi palvelun muuttuminen vaikuttaa siihen, että rekisteröity ei välttämättä haluaisi jatkaa kehitellyn palvelun käyttäjänä.
Ohjeistus muistuttaa myös rekisteröidyn oikeuksista liittyen resitaaliin 39.
“Luonnollisille henkilöille olisi tiedotettava henkilötietojen käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista sekä siitä, miten he voivat käyttää tällaista käsittelyä koskevia oikeuksiaan.”
Jos rekisterinpitäjän tiedossa on jo etukäteen, että käsittelyyn voi sisältyä riskejä tai yllätyksiä rekisteröityjen suuntaan, on näistä tiedotettava etukäteen avoimesti. Rekisteröidyltä ei voida olettaa, että hän itse tunnistaisi häneen kohdistuvia riskejä. Niinpä suositeltavaa onkin liittää esim. tietosuojan vaikutustenarvioinnista saadut havainnot riskeistä rekisteröidyille olennaisilta osin informoitaviin tietoihin.
Kun nyt sitten teemme näitä tietosuojalausuntoja ja rekisteriselosteita, on muistettava myös se, että läpinäkyvyys koskettaa koko käsittelyketjun elinkaarta. Jos nyt asetuksen soveltamisen alku vaikuttaa selosteiden sisältöön, on siitä myös tiedotettava rekisteröityjä aktiivisesti ja kerrottava syy muutoksille. Samoin tietenkin tulevaisuudessa. Aina jos muutokset ovat olennaisia on rekisteröityjä informoitava. Epäolennaisia muutoksia ovat esimerkiksi kieliasun muutokset, ilmaisuun liittyvät korjaukset ja kirjoitusvirheiden korjaus. Aktiivisesti informoitavia muutoksia ovat esimerkiksi:
- Muutokset henkilötietojen käsittelyn vaikutuksista rekisteröityihin
- Etenkin rekisteröidyn kannalta yllättävät ja odottamattomat vaikutukset
- Henkilötietojen käsittelyn käyttötarkoituksen muuttuminen
- Rekisterinpitäjän muuttuminen tai vaihtuminen
- Kaikki rekisteröityjen oikeuksien käyttöön liittyvät muutokset
Ja muistakaa hoitaa informointi kuntoon ennen toukokuun 25. päivää!
– Jari Ala-Varvi, tietosuojavastaava, OpSec Oy
** päivitetty 26.7.2019