Mikä sen tietosuojalain nimi olikaan? Ai niitä onkin useampia!

Tietosuoja on kasvava juridiikan ala. Myös oikeustieteellisen koulutuksen saaneelle tietosuoja-asiat ovat välillä monimutkaista. Siitä huolimatta yhä useamman ei-juristin tulisi ymmärtää siitä jotakin. Viimeistään siinä vaiheessa, kun juristit alkavat puhumaan eri lakien nimistä ja pykälien numeroista, suurin osa mainonnan ammattilaista menettää kiinnostuksensa. Tietosuojan osalta on kuitenkin hyvä ymmärtää, että tietosuojasääntelyä on useissa eri laeissa. Mitä nämä lait oikein ovat?

Tietosuoja on oikeudenala, jota säännellään EU:n tasolla. Tällä hetkellä voimassa oleva tietosuojan yleislaki on Suomessa vuodelta 1999 oleva henkilötietolaki. Se perustuu EU:n henkilötietodirektiiviin vuodelta 1995. Koska kyseessä on direktiivi, on se eri jäsenmaissa implementoitu eli saatettu voimaan hieman eri tavoin. Tämä tarkoittaa sitä, että esimerkiksi se, kuka saa käsitellä henkilötietoja ja mihin tarkoituksiin, eroaa hieman jäsenvaltiokohtaisesti. Suomessa valvova viranomainen henkilötietolain alla on tietosuojavaltuutettu, joka antaa suosituksia ja ohjeita.

Henkilötietodirektiivi ollaan korvaamassa EU:n tasolla uudella, toukokuusta 2018 alkaen sovellettavalla, yleisellä tietosuoja-asetuksella. Usein Suomessakin siihen viitataan sanalla ”GDPR”, joka on lyhennys asetuksen englanninkielisestä nimestä. Koska kyseessä on sääntelyinstrumenttina asetus, on se sellaisenaan sovellettavaa oikeutta, eikä vaadi varsinaista kansallista implementointia. Eri jäsenvaltiot ja viranomaiset siis tulkitsevat samoja sanamuotoja. Tällä hetkellä eri jäsenvaltioiden tietosuojaviranomaisten muodostamalla työryhmällä ”working party 29” eli WP29:llä on ollut lähinnä tulkintasuosituksia antava rooli, mutta jatkossa heidän muodostamallaan tietosuojaneuvostolla ja sen antamilla tulkinnoilla tulee olemaan entistä suurempi merkitys.

Yleisessä tietosuoja-asetuksessa on määritelty tiettyjä asioita, joista jatkossa säädetään tarkemmin kansallisesti. Esimerkiksi ns. lasten suojaikäraja tietosuoja-asioissa määritellään kunkin jäsenvaltion oman harkinnan mukaan välille 13-16 vuotta. Suomessa ns. Tatti-työryhmä on antanut kesällä 2017 esityksensä uudesta kansallisesta tietosuojalaista, jolla siis otetaan niihin asioihin kantaa, joiden osalta tietosuoja-asetus jättää kansallista liikkumavaraa. Työryhmän työ on edelleen kesken, sillä se ei ole vielä ottanut kantaa siihen, miten tietosuoja-asetuksen johdosta tulisi muokata niitä useita satoja muita kansallisia lakeja, joissa tietosuoja-asioista tällä hetkellä säädetään.

Kohdennetun verkkomainonnan kannalta sähköisen viestinnän tietosuojadirektiivi (”ePrivacy-direktiivi”) vuodelta 2002 on erityisen merkittävä. Se sisältää säännöt mm. evästeille, sähköiselle suoramarkkinoinnille ja sijaintitietojen käsittelylle. Suomessa kyseinen direktiivi on implementoitu tietoyhteiskuntakaarella vuodelta 2014, aiemmin lähes vastaavat pykälät olivat sähköisen viestinnän tietosuojalaissa. Siinä eroja muihin jäsenvaltioihin on mm. evästesuostumuksen tulkinnan osalta. Valvovana viranomaisena evästeiden osalta on tällä hetkellä viestintävirasto. On syytä huomata, että tietoyhteiskuntakaari sisältää monia muitakin asiakokonaisuuksia.

Sähköisen viestinnän tietosuojadirektiivi on myös parhaillaan uudistumassa ja uuden sähköisen viestinnän tietosuoja-asetuksen ensimmäinen luonnos on julkaistu tammikuussa 2017. Lopullista versiota tai sen voimaantuloajankohtaa ei kuitenkaan ole vielä tiedossa, jonka vuoksi sääntelykokonaisuuden tulkinta on tällä hetkellä haastavaa.

Juridisesti haastavan vaikkapa kohdennetun verkkomainonnan toimintaympäristöstä tekee etenkin se, että tähän asti moni alalla on ajatellut, että pelkkää ns. evästetietoa käsittelemällä ei tarvitse välittää henkilötietojen käsittelyyn liittyvistä velvoitteista. Uuden tietosuoja-asetuksen henkilötiedon määritelmä on kuitenkin sillä tavalla aiempaa laajempi, että evästeillä ja vastaavilla tekniikoilla kerätyt tiedot ovat usein myös henkilötietoja, jolloin tietosuoja-asetuksen velvoitteet koskevat niitä käsitteleviä toimijoita. Tämän vuoksi ei kannatakaan tuudittautua ajatukseen, että toimintaa voidaan jatkaa aivan kuten tähänkin asti, sillä yleisen tietosuoja-asetuksen sisältö on jo lopullinen.

Joka tapauksessa, vaikka ns. evästetiedon katsoisikin joltain osin ei-henkilötiedoksi, sääntelyä ei kuitenkaan pääse pakoon. Sähköisen viestinnän tietosuoja-asetuksen ensimmäisessä luonnoksessa lähtökohtana on ollut, että evästeiden ja vastaavien tekniikoiden avulla kerättyjä tietoja voitaisiin käsitellä verkkomainonnassa vain suostumuksen perusteella. Tämä on lähtökohta nykysääntelyssäkin, mutta edellytykset suostumukselle tulevat suurella todennäköisyydellä jatkossa olemaan nykysääntelyä ja nykytulkintaa tiukemmat. Koska evästesääntelyssäkin näyttäisi jatkossa olevan uhkana samanlaiset mittavat hallinnolliset sakot kuin tietosuoja-asetuksessa, kannattaa muutoksiin suhtautua riittävällä vakavuudella.

Kirjoittaja Tiina Kerttula on Alma Media -konsernin lakiosastolla työskentelevä juristi, jonka työtehtäviin kuuluu mm. tietosuoja- ja markkinointijuridiikka.

Lue IABlogista aiemmat kijoitukset koskien tietosuojaa:

Pelätty, kauhisteltu GDPR – muuttuuko CRM-velhon työnkuva totaalisesti? Onko muutos aina pahasta vai olisiko tässä jotain hyvääkin? - Heli Ojala, MTV
Luotettavaa digitaalista ympäristöä rakentamassa. - Johanna Tuohino, Liikenne- ja viestintäministeriö
Henkilötietojen pseudonymisointi – ai siis mikä? - Laura Tarhonen, Sanoma
Näkökohtia profiloinnista uudessa tietosuoja-asetuksessa. - Kaija Kuusimaa, Kesko