Tietosuoja-asetuksen mukainen siirto-oikeus – mitä se tarkoittaa?

Varmasti suurin osa digimarkkinoinnin ja -mainonnan ammattilaisista on tietoisia siitä, että tietosuojasääntely on tiukentumassa ja jotain pitäisi tehdä asian eteen. Moni alan toimija odottaa edelleen konkreettisia toimintaohjeita. Eräs tulevista muutoksista on toukokuussa 2018 voimaan astuvan yleisen tietosuoja-asetuksen 20 artiklan mukainen rekisteröidyn oikeus siirtää tiedot järjestelmästä toiseen. Asetuksessa on todettu, että kun henkilötietojen käsittely suoritetaan automaattisesti, rekisteröidyn tulisi saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä, koneellisesti luettavassa ja yhteentoimivassa muodossa ja siirtää ne toiselle rekisterinpitäjälle. Sanamuoto herättää ainakin juristissa paljon kysymyksiä ja saimme onneksi lisävalaistusta asiaan joulukuussa 2016, kun EU:n tietosuojaviranomaisista koostuva työryhmä WP29 julkisti oman näkemyksensä aiheesta. Koska markkinakäytännöstä on vaikea saada tässä vaiheessa minkäänlaista toimintamallia, kirjoitukseni perustuu tässä kohtaan asetuksen tekstiin ja viranomaisten ohjeeseen.

Mistä velvoitteessa on kyse?

Toisaalta siirto-oikeudessa on kyse siitä, että rekisteröity saa häntä koskevat henkilötiedot ja toisaalta siitä, että hänellä on oikeus siirtää tiedot toiselle rekisterinpitäjälle. Rekisteröidyn oikeus saada häntä koskevat henkilötiedot mahdollistaa tietojen säilyttämisen rekisteröidyn omalla laitteella tai vaikkapa erillisessä omadata-tallennuspalvelussa ja niiden hyödyntämisen rekisteröidyn omiin tarkoituksiin. WP29:n ohjeen mukaan tavoite tietojen siirto-oikeudessa on kuitenkin ennen kaikkea helpottaa rekisteröityjen mahdollisuutta vaihtaa palvelusta toiseen. Samalla edistetään eri palveluiden välistä kilpailua ja alennetaan kynnystä uusien palveluiden luomiseen EU:n digitaalisilla markkinoilla. Alkuvaiheessa tämä uusi velvollisuus vaatii väistämättä yrityksiltä uusia järjestelmäinvestointeja ja itse näenkin siirto-oikeuden yhtenä tiukentuvan sääntelyn työläimmistä muutoksista rekisterinpitäjän kannalta.

Mitä tietoa siirto-oikeus koskee?

Siirto-oikeus ei koske välttämättä kaikkea rekisteröidystä käsiteltyä tietoa. Se kattaa rajatumman tietomäärän kuin vaikkapa tietojen tarkastusoikeus. Siirto-oikeus koskee rekisteröidyn tietoisesti rekisterinpitäjälle toimittamaa tietoa sekä tietoa, joka on kertynyt hänen toiminnastaan vaikkapa sähköisessä palvelussa. Siirto-oikeus kattaa luonnollisesti vaikkapa rekisteröidyn antamat yhteystiedot, mutta myös hänen sähköisen palvelun käyttöönsä liittyvän raakadatan kuten sijaintitiedot, haku- ja ostohistorian sekä kontaktihenkilöt. Jos palvelu tallentaa vaikkapa henkilön keskisykkeen eri ajanjaksoina, kuuluu tieto siirto-oikeuden piiriin. Sen sijaan siirto-oikeus ei koske raakadatasta johdettua tai pääteltyä tietoa tai profiilia (esimerkiksi henkilön sijoittaminen tämän maksukäyttäytymisen perusteella tiettyyn yrityksen sisäiseen luottoluokitusluokkaan).

Koskeeko siirto-oikeus kohdennettua verkkomainontaa?

Siirto-oikeutta sovelletaan silloin, kun rekisteröity on antanut henkilötiedot oman suostumuksensa perusteella tai kun käsittely on tarpeen sopimuksen täytäntöönpanemiseksi. Sitä ei ole pakko soveltaa silloin, kun käsittely perustuu muuhun lailliseen perusteeseen kuin suostumukseen tai sopimukseen. Mielestäni on mielenkiintoista, että lähtökohtaisesti siirto-oikeus ei koske tietoja, joita käsitellään oikeutetun edun perusteella. Riippuen siitä, millaiselta parhaillaan valmistelussa oleva uusi sähköisen viestinnän tietosuoja-asetus tulee näyttämään, oikeutettu etu saattaa olla tulevaisuudessa Suomessakin hyvin yleinen käsittelyperuste digimarkkinoinnin ja -mainonnan maailmassa. Tällä hetkellähän kansallinen sääntelymme ei mahdollista oikeutettuun etuun nojautumista käsittelyperusteena ilman tietosuojalautakunnan lupaa. Siirto-oikeutta ei myöskään ole, mikäli rekisterinpitäjä käsittelee tietoja vain tavalla, joka ei vaadi kohteen tunnistamista ja rekisterinpitäjä voi osoittaa, ettei se kykene tunnistamaan kohdetta. Pseydonymisoitu tieto kuuluu siirto-oikeuden piiriin, jos henkilö voidaan tunnistaa tai tieto voidaan linkittää häneen hänen toimittamiensa lisätietojen avulla.

Miten siirto-oikeus toteutetaan teknisesti?

Rekisteröidylle toimitettavan asiakirjan tulisi olla sellaisessa tiedostomuodossa, jonka rakenne mahdollistaa sen, että ohjelmistot pystyvät helposti yksilöimään, tunnistamaan ja poimimaan siitä tiettyjä tietoja. Asetuksen mukaan, kun rekisteröity käyttää oikeutta siirtää tiedot järjestelmästä toiseen, hänellä on oikeus saada henkilötiedot siirrettyä suoraan rekisterinpitäjältä toiselle, jos se on teknisesti mahdollista. Rekisterinpitäjiä kannustetaan nyt kehittämään yhteentoimivia muotoja, jotka mahdollistavat tietojen siirtämisen. Viranomaisten mukaan nyt tulisi ryhtyä toimenpiteisiin vaikkapa sellaisten työkalujen kehittämiseksi palveluiden yhteyteen, joiden avulla rekisteröidyt voivat ladata tietojaan, sekä rekisterinpitäjältä toiselle tapahtuvan välittömän siirron mahdollistavien ohjelmistorajapintojen rakentamiseksi. Teknisten ratkaisujen tulisi olla sellaisia, että rekisteröidyt voivat helposti valita, mitä tietoja haluavat siirtää. Rekisteröidyn oikeus siirtää tai vastaanottaa häntä koskevia henkilötietoja ei kuitenkaan luo rekisterinpitäjille velvoitetta hyväksyä tai ylläpitää tietojenkäsittelyjärjestelmiä, jotka ovat teknisesti yhteensopivia.

Mikä on siirto-oikeuden vaikutus muihin sääntelystä johtuviin oikeuksiin ja velvollisuuksiin?

Koska uusi sääntely sisältää monia jopa vastakkaissuuntaisia oikeuksia ja velvollisuuksia, on hyvä ymmärtää miten siirto-oikeus toimii osana tietosuojasääntelyn kokonaisuutta. Siirto-oikeuden käyttäminen ei tarkoita automaattisesti tietojen poistamista ja käsittelyn päättymistä alkuperäisen rekisterinpitäjän toimesta. Rekisteröity voi jatkaa palvelun käyttöä siirto-oikeuden hyödyntämisen jälkeenkin ja tällöin tietoja voidaan säilyttää alkuperäisen säilyttämisajan mukaisesti. Siirto-oikeuden käyttäminen ei saa rajoittaa oikeutta tulla unohdetuksi eli se ei velvoita rekisterinpitäjää säilyttämään tietoja pidempään kuin ne ovat tarpeellisia käsittelytarpeita varten. Siirto-oikeuden perusteella tietoja vastaanottava uusi rekisterinpitäjä joutuu arvioimaan, mitä tietoja se voi käsitellä. Siirto-oikeuden käyttäminen ei saa vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin. Vaikkapa puhelutiedot tai verkkoyhteisöpalvelujen tiedot sisältävät paljon muidenkin kuin siirto-oikeutta käyttävän rekisteröidyn tietoja. Näiden tietojen vastaanottajan on muistettava, ettei se voi lähtökohtaisesti käsitellä kolmansien tietoja omiin tarkoituksiinsa kuten markkinointiin.

Kirjoittaja Tiina Kerttula on Alma Media -konsernin lakiosastolla työskentelevä juristi, jonka työtehtäviin kuuluu mm. tietosuoja- ja markkinointijuridiikka.