Seuraamuksista 2

Julkaistu 30.11.2016

Laskurit on käynnistetty H-hetkeä varten. Tietosuoja-asetuksen soveltamisen aloittamiseen on tätä kirjoittaessani aikaa 541 päivää, ainakin netistä löytyvän laskurin mukaan. WP29:n joulukuun kokouksen esityslistalla on mm. viranomaisten keskinäistä yhteistyötä koskevista asioista ja paljon puhutusta tietojen siirrettävyydestä (data portability) päättäminen. Lisäksi hyväksymme (?, toivottavasti) tietosuojavastaavia koskevan ohjeen ja johtavan viranomaisen valinnassa käytettävät kriteerit. Asiat näyttäisivät menevän alkuperäisen suunnitelmamme mukaan kiitos tehokkaan puheenjohtajamme.

Perussääntö asetuksen soveltamista edeltävän ajan käyttöön on; huolehdi ensin, että henkilötietojen käsittelysi on henkilötietolain mukaista! Toteuta sitten asetuksen edellyttämät toimet. Näistä toimistomme on juuri julkaisemassa ohjausaineistoa. Samoin sitä alkaa tulla WP29:ltä. Osa ohjauksestahan on asian ja asetuksen luonteesta johtuen sellaista, että se edellyttää meidän lainvalvontaviranomaisten yhteistyötä eikä kukaan ole toimivaltainen yksin antamaan muita sitovia tulkintoja.

Kaikilla ei kuitenkaan ole nykyisenkään lain soveltaminen mennyt ihan putkeen. Harmittavasti jouduimme ihan hiljattain kiikuttamaan pari juttua poliisin tutkittaviksi.

Tapaus A kuvastaa karmealla tavalla henkilötietojen suojan seuraamusjärjestelmän aukkoja. Suomessa sähköisiä viestintävälineitä käyttämällä suoritettava suoramarkkinointi on aina pääsääntönsä mukaan edellyttänyt vastaanottajan antamaa ennakkosuostumusta (opt in). Poikkeuksen ovat muodostaneet kuluttajan oma aloitteellisuus samankaltaisten tuotteiden ja palveluiden kohdalla ja B2B-markkinoinnissa työtehtäviin liittyvä markkinoinnin vastaanottaminen. Tähän poikkeukseen liittyy tietysti poikkeuksen poikkeus...

Yritys siis lähetti ostamiensa postituslistojen mukaisesti sähköisiä suoramarkkinointiviestejä. Ohjauksemme se kiisti väittäen, ettei se ole rekisterinpitäjä, vaan että rekisterinpitäjä on palveluntuottajansa. Tämä kiista edellytti asian viemistä tietosuojalautakuntaan. Senkin jälkeen markkinointi jatkui. Niinpä menimme tarkastukselle, jossa kuulimme muista asiaan liittyvistä ongelmista, selityksistä ja lupauksista. Tarkastuksemmekaan ei poistanut ongelmaa, vaan kanteluiden tulo jatkuu ja henkilöt, jotka tahtomattaan ja suostumuksettaan saavat viestejä ovat raivoissaan. Tietosuojavaltuutetulla ei ole esitutkintatoimivaltuuksia, joten ainoa keino on kääntyä poliisin puoleen. Toivottavasti siellä riittää resurssit saada markkinahäiriö kuriin. Tällaisiin tilanteisiin tarvitsemme hallinnollisten sanktioiden kaltaista työkalua.

Tapaus B sai kansainvälistä huomiota osakseen. Siinä yritys toteutti aivan loistavaa liikeideaansa netin käytön turvallisuuden parantamiseksi tämän hetken omankin arvionsa mukaan väärällä tavalla. Se ei ehkä tunnistanut, että nettisurffauksessa käytettävä IP-osoite on henkilötieto ja ettei surffausprofiileita pitäisi mennä myymään edelleen. Itse asiassa EU-tuomioistuin linjasi hiljattain, että dynaaminenkin IP-osoite on henkilötieto (kts. ECJ C-582/14 annettu 19.10.2016). Tapaus B:n rekisterinpitäjän tase on "harsomaisen röpelö", yritys selvitystilassa ja tulevia hallinnollisia sanktioita se ei kykenisi maksamaan. Toimet on siis kohdistettava valitettavasti sen puolesta toimineisiin henkilöihin.

Aika näyttää, miten asiaa tutkiva poliisi hommastaan selviää. Tällaisiin tilanteisiin tarvitsemme teho-kasta sanktiojärjestelmää estämään markkinoiden häiriöitä ja parantamaan kansalaisten oikeusturvaa. WP29 työskentelee kuumeisesti luodakseen hallinnollisten sanktioiden määräytymistä varten yhteismitallisen mekanismin, joka estäisi tehokkaasti forum shoppingia. Minusta myös kansallinen seuraamusjärjestelmämme pitäisi asetukseen valmistauduttaessa arvioida uudelleen.