Onko ”I agree” vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen suostumusta ilmaiseva toimi?
Onko ”I agree” vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen suostumusta ilmaiseva toimi?
EU:n tietosuojaviranomaisista koostuva WP29-työryhmä on julkaissut uusia EU:n yleistä tietosuoja-asetusta koskevia ohjeita. Ohjeet käsittelevät läpinäkyvyyden toteuttamista henkilötietojen käsittelyssä, suostumusta henkilötietojen käsittelyn perusteena sekä kansainvälisiä tietojen siirtoja. Seuraavassa suostumuksesta henkilötietojen käsittelyn perusteena.
Tietosuoja-asetuksen mukaan rekisteröidyn suostumuksella tarkoitetaan mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen. Tietosuoja-asetuksessa suostumuksen määritelmä on tarkempi kuin nykyisin sovellettavassa lainsäädännössä. Tietosuoja-asetuksen mukaan rekisteröidyn on annettava selkeä suostumus henkilötietojen käsittelyyn, jos käsittelylle ei ole muuta oikeusperustetta.
Vapaaehtoisuus: Tietosuojatyöryhmän mietinnön mukaan suostumukseen liittyvä vapaaehtoisuus tarkoittaa rekisteröidyn kannalta aitoa valintaa ja kontrollia. Mikäli rekisteröidyllä ei ole todellista mahdollisuutta antaa suostumustaan vapaaehtoisesti, esimerkiksi ulkoisen painostuksen tai kielteisten seuraamusten pelossa, ei suostumuksen kriteeri täyty. Sama pätee silloin, jos suostumus on automaattinen osa sopimusehtoja tai rekisteröity ei voi kieltäytyä tai peruuttaa suostumustaan ilman haitallisia seuraamuksia. Myös epätasapaino rekisterinpitäjän ja rekisteröidyn välillä otetaan huomioon suostumuksen vapaaehtoisuutta harkittaessa.
Yksilöitävyys: Suostumus tulee antaa yhtä tai useampaa erityistä tarkoitusta varten ja joista jokaisen kohdalla rekisteröidyllä on mahdollisuus valita suostumuksen antaminen.
Tietoisuus: Rekisteröidyn tulee olla tietoinen siitä, mihin hän antaa suostumuksensa. Mikäli rekisterinpitäjä ei tarjoa rekisteröidylle riittävää tietoa henkilötietojen käsittelystä, suostumuksen kriteeri ei täyty. Jotta rekisteröidyn voidaan katsoa olevan tietoinen suostumuksen soveltamisen edellyttämällä tavalla, tulee rekisteröidyn saada ainakin seuraavat tiedot: rekisterinpitäjän identiteetti, käsittelyn tarkoitus, käsiteltävät henkilötiedot, oikeus peruuttaa suostumus, mahdollinen automaattinen tietojenkäsittely (esim. profilointi) ja tietojensiirto kolmansiin maihin.
Yksiselitteisyys: Suostumuksen antamisen tulee lisäksi täyttää yksiselitteisen tahdonilmaisun kriteeri. Pätevä suostumus tulee siis antaa selkeästi suostumusta ilmaisevalla toimella, kuten joko kirjallisella tai suullisella lausumalla. Käytännössä tämä tarkoittaa sitä, että vaikenemista tai jonkin toimen toteuttamattomuutta ei voida pitää pätevänä suostumuksena. Rekisterinpitäjän tulee ymmärtää, ettei suostumuksen antaminen ole sama asia, kuin sopimukseen tai yleisiin ehtoihin sitoutuminen. Pelkkää suostumista yleisiin ehtoihin tai valmiiksi ruksattua hyväksymisruutua ei voida pitää yksiselitteisenä tahdonilmaisu eikä siten pätevänä suostumuksena.
Tietosuoja-asetuksessa on lisäksi määritelty erikseen nimenomainen suostumus. Rekisteröidyn nimenomainen suostumus vaaditaan tietosuoja-asetuksen mukaan sellaisissa tilanteissa, joissa piilee vakavan tietosuojaloukkauksen vaara. Tällaiseksi luetaan esimerkiksi artiklan 9 mukaisten ns. arkaluontoisten tietojen käsittely, artiklan 49 mukaiset tietojensiirrot kolmansiin maihin sekä artiklan 22 mukaiset automaattiset tietojenkäsittelytoimet, kuten profilointi. Termillä nimenomainen viitataan tapaan, jolla rekisteröity antaa suostumuksensa henkilötietojensa käsittelyyn. Eräs, muttei suinkaan ainoa tapa varmistua nimenomaisesta suostumuksesta, on pyytää allekirjoitettu dokumentti rekisteröidyltä. Ottaen huomioon tietosuoja-asetuksen vaatimukset yksiselitteisestä tahdonilmaisusta ”tavallisen” suostumuksen tapauksissa, ero näiden kahden suostumuksen asteen välillä on melko pieni.
Tietosuoja-asetuksen sisältämä oletusarvoinen tietosuoja asettaa rekisterinpitäjille osoitusvelvollisuuden myös suostumuksen osalta. Rekisterinpitäjän pitää siis kyetä osoittamaan, että se on saanut rekisteröidyltä suostumuksen henkilötietojen käsittelyyn. Tietosuoja-asetus ei kuitenkaan määrittele millä tavoin suostumus on osoitettava. Tietosuojatyöryhmän lausunnon mukaan lähtökohtana voidaan kuitenkin pitää sitä, että osoitusvelvollisuus kulloinkin kyseessä olevan tapauksen rekisteröidyn suostumuksen osalta jatkuu niin kauan, kuin henkilötietojen käsittely jatkuu. Rekisterinpitäjä saa siis säilyttää sellaisia henkilötietoja (esimerkiksi lista suostumuksen antaneista rekisteröidyistä), jotka ovat tarpeellisia osoitusvelvollisuuden täyttämiseksi. Tätä oikeutta ei saisi kuitenkaan tulkita laajentavasti niin, että rekisterinpitäjä saa käsitellä ylimääräisiä henkilötietoja.
Suostumuksen käsitteeseen liittyy kiinteästi myös tietosuoja-asetuksessa säädetty oikeus suostumuksen peruuttamisesta. Rekisterinpitäjän tulee varmistaa, että suostumuksen peruuttaminen on yhtä helppoa kuin sen antaminen ja että rekisteröity voi peruuttaa suostumuksen milloin tahansa. Elektronisin keinoin annettu suostumus tulee siis voida peruuttaa samalla tavalla. Lisäksi suostumuksen peruuttamiseen ei saa liittyä haittavaikutuksia. Tosin sanoen suostumus on voitava peruuttaa ilman lisämaksua tai palvelun huonontumista.
Ongelmakohtia
Suostumus työnantajan ja työntekijän välillä: Epätasapaino valtasuhteissa rekisterinpitäjän ja rekisteröidyn välillä tulee usein kyseeseen työsuhteissa. Ottaen huomioon työsuhteesta aiheutuvan riippuvuussuhteen työnantajan ja työntekijän välillä, on epätodennäköistä, että työntekijä voisi tosiasiassa ilman pelkoa haitallisista seuraamuksista kieltäytyä suostumuksen antamisesta työnantajalle. Tästä johtuen tietosuojatyöryhmä katsoo, että suostumus ei voi olla laillinen perusta työsuhteeseen liittyvälle henkilötietojen käsittelylle.
Lapsen suostumus: Jatkossa rekisterinpitäjien ja henkilötietojen käsittelijöiden on huomioitava lasten erityisasema suostumuksen pyytämisessä. Tietosuoja-asetuksen mukaan lapsi tarvitsee huoltajan suostumuksen tai valtuutuksen tietoyhteiskunnan palveluiden käyttöön. Suomessa ikäraja ei ole vielä selvillä, mutta se on vähintään 13 ja enintään 16 vuotta. Tietosuoja-asetuksen mukaan katsotaan, että kun kyseessä on tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle, lapsen henkilötietojen käsittely on lainmukaista suostumuksen perusteella, jos lapsi on vähintään 16-vuotias. Jos lapsi on alle 16 vuotta, tällainen käsittely on lainmukaista vain siinä tapauksessa ja siltä osin kuin lapsen ”vanhempainvastuunkantaja” on antanut siihen suostumuksen tai valtuutuksen. Rekisterinpitäjän on lisäksi toteutettava kohtuulliset toimenpiteet tarkistaakseen tällaisissa tapauksissa, että lapsen vanhempainvastuunkantaja on antanut suostumuksen tai valtuutuksen, käytettävissä oleva teknologia huomioon ottaen.
Suostumus on kuitenkin vain yksi kuudesta henkilötietojen käsittelyn laillisesta perusteesta. Näistä esimerkiksi sopimuksen täytäntöönpano (art 6(1b)), rekisterinpitäjän lakisääteiset velvoitteet (art 6(1c)) tai rekisterinpitäjän oikeutettu etu (art 6(1f)) toimivat paremmin käsittelyn lainmukaisuuden perusteena. Suostumus voi lisäksi kohdistua vai johonkin henkilötietojen käsittelyn osa-alueeseen, esimerkiksi pankin on pyydettävä asiakkailtaan suostumus maksutietojen käsittelemiseen markkinointia varten, vaikka muuten maksutietojen käsittely on osa pankin ja asiakkaan välistä sopimusta.
Sofia Lindqvist