Lausunto liikenne- ja viestintäministeriön massadataa (big data) koskevasta selvityksestä

Dnro 3424/41/2015

18.12.2015

Viite Liikenne- ja viestintäministeriön lausuntopyyntö

Lausunto

Kiitän Liikenne- ja viestintäministeriötä henkilötietolain näkökulmasta hyvin laaditusta selvitysluonnoksesta. Nyt lausunnon kohteena olevassa selvityksessä on tarkoituksena luoda kokonaiskuva massadatan hyödyntämiseen kohdistuvasta sääntelystä.

Big data eli massadata on käsite ja ilmiö, jolla viitataan muun muassa eksponentiaalisesti kasvavaan datan määrään ja sen hyödyntämiseen. Massadatalla voidaan tarkoittaa eri organisaatioiden suorittamaan tietokantojen yhdistelemistä ja jalostamista, jolloin tiedon louhintatekniikoiden ja algoritmien avulla tiedoista etsitään potentiaalisesti kiinnostavaa informaatioita. Tietojen louhinnalla tarkoitetaan tietovarantojen systemaattista yhdistämistä, analysointia ja muokkausta. Louhinnan tarkoituksena on tuottaa uutta tietoa. Kuitenkaan kaikkia mahdollisia massadataan liittyviä tietojen käsittelytapoja ei liene identifioitu.

Tietosuojavaltuutettu tunnistaa kansallisten rekisterien ja muiden tietokantojen tehokkaan hyödyntämisen mahdollisuutena luoda esimerkiksi uutta liiketoimintaa ja potentiaalista talouskasvua. Tietosuojavaltuutettu tunnistaa sen tosiseikan, että tietoaineistoista saatavat taloudelliset höydyt syntyvät todellisesti silloin, kun tietoja yhdistellään toisiinsa ja olemassa oleviin sekä uusiin palveluihin ja innovaatioihin. Massadataan kohdistuu yleisesti paljon odotuksia sen hyödyllisyydestä yksilöille ja koko yhteiskunnalle. Kuitenkaan tiedossani ei ole sitä, että massadataan kohdistettuja odotuksia ja toiveita olisi varsinaisesti todennettu tai, että ne olisivat realisoituneet.

Massadata on monimuotoinen yhteiskunnallinen mahdollisuus ja haaste. Henkilötietojen hyödyntämisen edellytyksenä on tietosuojan implementoiminen tehokkaasti osaksi haettavia ratkaisuja, toimintamalleja, käytäntöjä ja laajemmin koko infrastruktuuriin tiedon elinkaarimallin mukaisesti.

Massadata edustaa tietyllä tavalla uutta näkökulmaa tietojen käsittelyyn, jossa tiedoilla on arvo sinänsä hyödykkeinä. Massadatan keskeinen idea on tietojen myöhempi käsittely tavalla ja tarkoituksiin, joita ei ole määritelty tietojen keräämishetkellä. Tällaisen henkilötietojen käsittelyn haasteena on se, miten sen yhteydessä voidaan soveltaa tehokkaasti tietosuojalainsäädännön keskeisiä periaatteita kuten velvollisuutta määritellä tietojen käsittelylle tarkoitus, käyttötarkoitussidonnaisuutta, suhteellisuutta ja tarpeellisuutta. Keskeistä on ottaa huomioon rekisteröidyn oikeuksien toteutuminen. Rekisteröidy henkilötietolain mukaisiin oikeuksiin kuuluvat tarkastus- ja tiedon korjaamisoikeudet, kielto-oikeus sekä rekisterinpitäjän velvollisuus informoida rekisteröityä tietojen käsittelystä.

Tietosuojavaltuutettu huomauttaa, että henkilötietojen massamuotoiseen hyödyntämiseen liittyy riskejä rekisteröityjen yksityisyyden suojan kannalta. Massadata-analyyseillä voidaan esimerkiksi luoda henkilöistä profiileja ja ennustaa ihmisten käyttäytymistä. Näitä profiileja voidaan käyttää - ja edelleen jatkojalostaa käytettäväksi - eritarkoituksissa ja konteksteissa. Tietojen käsittelyllä voi olla vaikutusta yksilön asemaan ja oikeuksiin myös myöhemmässä vaiheessa, eikä kaikkia tulevaisuuden riskejä pystytä edes vielä tunnistamaan. Näin ollen on tärkeää, että tietojen käsittely tapahtuu hallitusti ja tietosuojasäännöksiä noudattaen. Tietosuojasäännösten tehtävänä on muuttavassa tietojenkäsittely ympäristössä yksityisyyden suojan ja muiden perusoikeuksien turvaaminen sekä luottamuksen rakentaminen ja ylläpito, kun samalla tarjotaan asianmukaiset edellytykset tietojen käsittelylle.

Henkilötietojen käsittelyä ohjaava keskeinen periaate muodostuu siis rekisterinpitäjälle asetetusta velvollisuudesta ennen tietojen keräämistä määritellä henkilötietojen käsittelyn tarkoitus ja myöhemmin käsitellä henkilötietoja määritellyn tarkoituksen kanssa yhteensopivalla tavalla. Henkilötietojen käsittelyn tarkoitus tulee määritellä siten, että siitä ilmenee, minkälaisten rekisterinpitäjän tehtävien hoitamiseksi henkilötietoja käsitellään.

Käyttötarkoitussidonnaisuuden periaatteen tarkoituksena on mm. suojella rekisteröityjen yksityisyyttä asettamalla rajat sille, miten rekisterinpitäjä voi henkilötietoja myöhemmin käsitellä sekä edistää tietojen käsittelyn avoimuutta ja oikeusturvaa. Periaatteen tarkoituksena on estää rekisterinpitäjää käsittelemästä tietoja tavalla, joka on odottamatonta, asiatonta tai muulla tavoin perusteetonta. Periaatteen tarkoituksena on esimerkiksi estää hallitsematon henkilöiden massaluonteinen profilointi eri tarkoituksiin. Periaate tarjoaa kuitenkin rekisterinpitäjälle tiettyä joustavuutta, koska henkilötietoja on käsiteltävä alkuperäisen tarkoituksen kanssa yhteensopivalla tavalla.

Henkilötietolain ohella on otettava huomioon muu henkilötietojen käsittelyyn sovellettava lainsäädäntö. Esimerkiksi laki viranomaisten toiminnan julkisuudesta (621/1999) säätelee viranomaistiedon julkisuutta ja salassapitoa sekä niitä edellytyksiä, joiden nojalla salassapidosta voidaan poiketa. Julkisuuslakia soveltaessa on kiinnitettävä huomiota siihen, että vaikka tieto on julkinen, ei sitä voida tarjota vapaasti käytettäväksi, jos se sisältää henkilötietoja. Henkilötietoja luovutettaessa on luovuttavan viranomaisen varmistuttava siitä, että luovutuksen saajalla on henkilötietolain nojalla oikeus käsitellä tietoja (JulkL 16 § 3 mom.). Salassa pidettävien tietojen luovuttamisesta säädetään erikseen julkisuuslain 7 luvussa.

Tuleva yleinen tietosuoja-asetus tulee vaikuttamaan muun muassa mahdollisiin käsittelyperusteisiin sekä siihen, mistä on mahdollista säätää kansallisesti. Kansallisen liikkumavaran arvioiminen on mahdollista vasta, kun asetus hyväksytään.

Nyt lausunnon kohteena olevassa luonnoksessa todetaan, että sääntelyn tueksi olisi luotava myös käytänteitä, jotka tukevat hyviä toimintatapoja datan hyödyntämisessä ja jakamisessa. Tässä yhteydessä kiinnitän huomiota siihen, että perustuslain 10 § 2 mom. säädetään siitä, että henkilötietojen käsittelystä on säädettävä lailla. Tämä on tärkeä lähtökohta, kun arvioidaan sitä, mitä voidaan ratkaista luomalla käytännesääntöjä ja säännösten tulkinnalla sekä sen, mistä on säädettävä laintasoisesti.

1. Henkilötiedon käsite

Selvityksessä tietosuojavaltuutetulta on erityisesti pyydetty kommentteja anonymisointia koskevaan osioon.

Henkilötietolain (523/1999) soveltamisen kannalta on keskeistä, että rekisterinpitäjillä ja muilla henkilötietojen käsittelyyn osallistuvilla toimijoilla on ymmärrys sekä henkilötietolain tavoitteista että henkilötiedon käsitteestä. Henkilötietolain tavoitteena on sen 1 §:n mukaan toteuttaa yksityiselämän suojaa ja muita yksityisyyden suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä sekä edistää hyvän tietojenkäsittelytavan kehittämistä ja noudattamista.

Henkilötietolain 2 § 1-2 mom. mukaan henkilötietoja käsiteltäessä on noudatettava, mitä tässä laissa säädetään, jollei muualla laissa toisin säädetä. Henkilötietolakia sovelletaan henkilötietojen automaattiseen käsittelyyn. Myös muuhun henkilötietojen käsittelyyn sovelletaan tätä lakia silloin, kun henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa.

Henkilötietolain 3 § 1 mom. 1 kohdan mukaan henkilötiedolla tarkoitetaan kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi. Henkilötietolain henkilötiedon määritelmä on saman sisältöinen kuin se on direktiivissä 95/46/EY.

Henkilötietoja voidaan myös käsitellä niin, että pyrkimyksenä on vähentää henkilöiden suoraa tunnistettavuutta tietoaineistosta (pseudonymisointi). Pseudonymisoitujen tietojen käsittelyyn sovelletaan edelleen tietosuojaa koskevia säännöksiä. Henkilötietoja voidaan käsitellä myös niin, että henkilötiedot muutetaan peruuttamattomasti sellaiseen muotoon, ettei rekisteröity ole niistä suoraan tai välillisesti tunnistettavissa kenenkään toimesta (anonymisointi). Anonyymientietojen käsittelyyn ei sovelleta tietosuojaa koskevia säännöksiä.

Jos henkilö voidaan suoraan tunnistaa, esimerkiksi nimen tai muun suoran tunnisteen perusteella, voidaan henkilötiedon käsitteen määrittämistä pitää jokseenkin yksinkertaisena. Välillisellä tai epäsuoralla tunnistamisella tarkoitetaan muun muassa sitä, että käytettävissä olevat tunnisteet eivät ole riittävät henkilön tunnistamiseen tietyssä tilanteessa. Kuitenkin, jos käytettävissä olevat tunnisteet yhdistetään muihin tunnisteisiin tai tietoihin, on henkilön tunnistaminen mahdollista. "Muiden tarvittavien tietojen" ei tarvitse olla rekisterinpitäjän tai tietojen käsittelijän hallussa.

Tärkeää on huomata, että esimerkiksi pelkkien nimien ja muiden yksilöintitietojen poistaminen ei kaikissa tilanteissa johda kaikkien rekisteritietojen muuttumiseen anonyymeiksi. Kerättävä aineisto voi sisältää yksityiskohtaista tietoa rekisteröidystä myös siten, että rekisteröidyt ovat mahdollisesti välillisesti tunnistettavissa, vaikka suoria henkilötunnisteita ei sisältyisikään henkilörekisteriin. Tärkeää on myös havaita, että henkilön tunnistaminen ei tarkoita välttämättä henkilön nimen selvittämistä, vaan henkilö voi olla tunnistettavissa myös muiden tietojen perusteella

a. Henkilötietojen pseudonymisointi

Henkilötietojen pseudonymisoinnilla tarkoitetaan jonkin tietueen – tavallisesti ainutkertaisen - attribuutin korvaamista toisella. Henkilötietojen psedonymisoimiseen voi liittyä virheellinen käsitys siitä, että yhden tai useamman attribuutin poistaminen tai korvaaminen toisella riittäisi tekemään tietoaineistosta anonyymin. Pelkkä tunnisteen muuttaminen ei estä tunnistamasta rekisteröityä, jos tietoaineistoon jää välillisiä tunnisteita tai riittävästi attribuutteja, joiden ainutkertaisen yhdistelmän avulla rekisteröity voidaan edelleen tunnistaa.

Pseudonymisoinnin tarkoituksena on vähentää sitä mahdollisuutta, että tietoaineisto voitaisiin yhdistää rekisteröidyn alkuperäiseen henkilöllisyyteen. Näin ollen se on käytännöllinen tietojen suojaamismenetelmä. Henkilötietolain 32 § velvoittaakin rekisterinpitäjää toteuttamaan tarpeelliset tekniset toimenpiteet henkilötietojen suojaamiseksi. Kuitenkin henkilötietojen pseudonymisointi mahdollistaa yksilön edelleen yksilön erottamisen joukosta sekä yksilön tietojen yhdistämisen eri tietoaineistoissa. Henkilötietojen pseudonymisointi mahdollistaa todennäköisesti tunnistettavuuden, ja siksi pseudonymisoidut tiedot ovat edelleen henkilötietoja ja kuuluvat edelleen henkilötietojen käsittelyä koskevan lainsäädännön piiriin.

Suorien tunnisteiden poistaminen ja mahdollisesti korvaaminen koodilla tai muulla peitenimellä on rekisterinpitäjän suorittama suojatoimenpide, kun suorien tunnisteiden käsittely ei ole tarpeellista suunnitellun käyttötarkoituksen kannalta. Rekisteröity on kohtuullisesti toteutettavissa olevien keinojen avulla edelleen todennäköisesti tunnistettavissa välillisesti, joten pseudonymisointi ei yksissään johda anonyymin tietoaineiston luomiseen.

Pseudonymisoitujen tietojen asema henkilötietoina tultaneen betonoimaan uudessa yleisessä tietosuoja-asetuksessa.

b. Henkilötietojen anonymisointi

Henkilötietojen anonymisoinnilla tarkoitetaan teknisiä ja muita toimenpiteitä, joiden avulla henkilötiedot muutetaan peruuttamattomasti sellaiseen muotoon, ettei rekisteröity ole niistä suoraan tai välillisesti tunnistettavissa kenenkään toimesta. Henkilötietojen anonymisointi on itsessään henkilötietojen käsittelyä. Anonymisointi ei ole kertaluonteinen prosessi vaan se sisältää tietyn jäännösriskin rekisteröidyn näkökulmasta. Tästä syystä rekisterinpitäjän on anonymisoinnin jälkeenkin säännöllisin väliajoin pystyttävä arvioimaan tietojen tosiasiallista anonyymiteettiä.

Henkilötietodirektiivin 95/46/EY johdanto-osan 26 kappaleen mukaan sen määrittämiseksi, onko henkilö tunnistettavissa, olisi otettava huomioon kaikki kohtuullisesti toteutettavissa olevat keinot, joita joko rekisterinpitäjä tai joku tarkemmin määrittelemätön muu taho voi kyseisen henkilön tunnistamiseksi käyttää. Tietosuojaa koskevia periaatteita ei sovelleta tietoihin, jotka on tehty anonyymeiksi siten, ettei rekisteröity enää ole tunnistettavissa. Henkilön tunnistaminen voi olla mahdollista, jos "joko rekisterinpitäjä tai joku muu" voi käyttää "kohtuullisesti toteutettavissa" olevia keinoja " henkilön tunnistamiseksi. Tietoja käsittelevän rekisterinpitäjän tai muun tahon aikomukset eivät liioin vaikuta tietosuojalain soveltamiseen, vaan tietosuojasääntöjä sovelletaan aina, kun tiedot ovat tunnistettavia.

Käsittelyn peruuttamattomuus on tärkeä tekijä, kun arvioidaan tietoaineiston anonymiteettiä. Anonymisointi tapahtuu käsittelemällä henkilötietoja siten, että henkilön tunnistaminen estyy peruuttamattomasti. Direktiivissä ei täsmennetä, kuinka tällainen tunnistettavuuden poistaminen olisi suoritettava tai voitaisiin suorittaa. Painopiste on lopputuloksessa: tiedot eivät saa mahdollistaa rekisteröidyn tunnistamista minkään "kohtuullisesti toteutettavissa" olevan keinon avulla. Direktiivissä asetetaan siten selvästi erittäin korkeat vaatimukset. Kunkin tapauksen erityisolosuhteet ja tausta vaikuttavat suoraan tunnistettavuuteen.

Henkilötietodirektiivin 95/46/EY 29 artiklalla perustettu tietosuojatyöryhmä WP 29 korostaa lausunnossaan 5/2014 "Anonymisointitekniikoista", että "Näin ollen on ratkaisevan tärkeää ymmärtää, että jos rekisterinpitäjä ei poista alkuperäisiä (tunnistettavissa olevia) tietoja tapahtumatasolla ja luovuttaa tästä tietoaineistosta osan edelleen (esimerkiksi tunnistettavien tietojen poistamisen tai peittämisen jälkeen), tuloksena olevassa tietoaineistossa on edelleen henkilötietoja. Ainoastaan, jos rekisterinpitäjä aggregoi tiedot tasolle, jossa yksittäisiä tapahtumia ei ole mahdollista tunnistaa, tuloksena saatavaa tietoaineistoa voidaan pitää anonyymina."

WP 29 mukaan "tehokas anonymisointiratkaisu estää kaikkia osapuolia erottamasta yksilöä tietoaineistosta, yhdistämästä kahta tietuetta tietoaineiston sisällä (tai kahden erillisen tietoaineiston välillä) ja päättelemästä mitään tietoja tällaisessa tietoaineistossa. Siitä syystä suorien tunniste-elementtien poistaminen ei yleensä riitä varmistamaan, että rekisteröidyn tunnistaminen ei ole mahdollista."

Kuten WP 29 edellä esittämästä linjauksesta on havaittavissa, henkilötietojen käsittelystä on kysymys myös silloin, kun kolmas osapuoli (esim. lähisukulainen, muu sivullinen henkilö, joka on tavalla tai toisella saanut tiedon henkilön ominaisuudesta) voi tunnistaa henkilön, riippumatta siitä, mistä tai miten tunnistamisen mahdollistava taustatieto on saatu käyttöön. Näin ollen esimerkiksi se, onko mahdollinen taustatieto julkinen vai salassa pidettävä, ei vielä sellaisenaan tee tarpeettomaksi arvioita siitä, voidaanko kyseinen tieto taustatietojen avulla muuttaa henkilötiedoksi vai ei.

Koska tilastoja tuottavalla taholla ei tosiasiassa ole olemassa varmuutta siitä, kuinka monesta rekisteröidystä ja kuinka laajalla ihmisryhmällä on olemassa sellaisia taustatietoja, jotka mahdollistavat tunnistamisen, tulee lähtökohdaksi ottaa tilastojen laatiminen siten, ettei yksittäinen rekisteröity ole sieltä varmuudella välillisesti tunnistettavissa edes omasta toimestaan. Tunnistamisen kannalta tarpeelliset taustatiedot omaavalla henkilöllä on "kohtuullisen keinoin" mahdollisuus tunnistaa yksittäinen rekisteröity tilastoista, jos tilastot on laadittu, että niistä on pääteltävissä, mitkä tietueet koskevat yksittäistä rekisteröityä. Käytännössä tietoaineiston anonymisointi edellyttänee yksittäisten tietueiden karkeistamista tilastollisiksi ryhmiksi siten, etteivät mahdolliset yksittäiset poikkeamat ole enää aineistosta eroteltavissa.

On tärkeä havaita, että anonymisointikäytäntöjen ja -tekniikoiden vahvuus vaihtelee.

Tietosuojaryhmä WP 29 lausunnossa käydään läpi eri anonymisointitekniikoita sekä niiden sisältämiä riskejä. Anonymisoitu aineisto sisältää periaatteessa kolme keskeistä riskiä tunnistettavuuden osalta:

1. Erottaminen joukosta tarkoittaa mahdollisuutta eristää jokin tai kaikki tietueet, joilla yksilö tunnistetaan tietoaineistosta.

2. Yhdistettävyys tarkoittaa mahdollisuutta yhdistää vähintään kaksi tietuetta, jotka koskevat samaa rekisteröityä tai rekisteröityjen ryhmää (joko samassa tietokannassa tai kahdessa eri tietokannassa). Jos hyökkääjä voi (esim. korrelaatioanalyysin avulla) todeta, että kaksi tietuetta koskee samaa yksilöiden ryhmää, mutta ei pysty erottamaan yksilöitä kyseisestä ryhmästä, tekniikka tarjoaa suojan joukosta erottamista vastaan, mutta ei yhdistettävyyttä vastaan.

3. Päättely tarkoittaa mahdollisuutta päätellä attribuutin arvo muiden attribuuttien sarjan arvoista huomattavan todennäköisesti.

Anonyymien tietojen käsittelyssä riskinä on, että rekisteröidyt voidaan edelleen tunnistaa tiedoista. Eksponentiaalisesti lisääntyvän datan käsittelyn aikakaudella tunnistamisriski ei vähene ajan kuluessa, vaan päinvastoin kasvaa. Rekisterinpitäjä voi luulla, että tiedot ovat anonyymeja, mutta todellisuudessa kolmas osapuoli voi silti kyetä tunnistamaan henkilöitä, käyttämällä muita saatavilla olevia tietoja tai muutoin käsittelemällä tietoja tavalla, joka mahdollistaa tunnistettavuuden. Anonyymien tietojen käsittely - mukaan lukien anonyymien tietojen julkaiseminen tai luovuttaminen - vaatii rekisterinpitäjältä riskianalyysin tekemistä sen suhteen, onko mahdollista, että rekisteröityjä voitaisiin tunnistaa anonymisoiduista tiedoista. Tässä yhteydessä on muun muassa kiinnitettävä huomiota siihen, mitä muuta tietoa on olemassa ja, onko tiedot sellaisia, että jokin taho esimerkiksi taloudellisen hyötyä tavoitellessa pyrkisi tunnistamaan tiedoista yksilöitä. Anonyymisointiin kohdistuu haasteita, joista keskeisimpiä ovat teknologian ja tietojen saatavuuteen liittyvät kehitykset.

c. Yhteenvetona

Tietosuojavaltuutetun toimistossa käsitellyt anonymisointiin liittyvät asiat ovat koskeneet lähinnä tapauksia, joissa rekisterinpitäjä on pseudonymisoinut tiedot ja ollut siinä käsityksessä, että henkilötietojen pseudonymisointi on ollut riittävä toimenpide yksilön tunnistettavuuden katkaisemiseksi peruuttamattomasti, niin että tietojen käsittelyyn ei enää sovellettaisi tietosuojaa koskevia säännöksiä.

Esimerkiksi, jos rekisterinpitäjä korvaa suorat tunnisteet koodilla ja luovuttaa koodatut tiedot toiselle rekisterinpitäjälle tai tietojen käsittelijälle. Koodauksen voi purkaa rekisterinpitäjän halussa olevan koodiavaimen avulla. Tällöin koodiavaimen haltija voi helposti tunnistaa uudelleen jokaisen rekisteröidyn purkamalla tietoaineiston salauksen, koska henkilötiedot ovat edelleen tietoaineistossa, vaikkakin salatussa muodossa. Koodatut tiedot ovat edelleen henkilötietoja, koska tiedot luovuttava taho voi palauttaa tiedot tunnisteelliseksi kohtuullisesti toteutettavissa olevien keinojen avulla. Vaikka koodiavain hävitettäisiin, mutta rekisterinpitäjä ei poistaisi tietoja alkuperäisestä aineistosta tapahtumatasolla, on siirrettävässä aineistossa edelleen hyvin suurella todennäköisyydellä henkilötietoja. Toisinaan rekisterinpitäjät tai muut tietojen käsittelijät ovat siinä käsityksessä, että rekisteröidyn tunnistaminen vaatii rekisteröidyn nimen tai muiden suorien tunnisteiden selvittämistä.

2. Muita huomioita

Selvityksessä s. 4 todetaan, että "usein dataa varastoidaan myös myöhempää, ei vielä ennakolta määriteltyä käyttöä varten". Kuten selvityksessäkin, viittaan tässä yhteydessä edellä selostettuun käyttötarkoituksen määrittelemisestä ja käyttötarkoitussidonnaisuudesta. Henkilötietojen säilyttäminen on myös itsessään henkilötietojen myöhempää käsittelyä (HetiL 3 § 1 mom. 2 kohta). Näin ollen henkilötietojen säilyttämisen on oltava yhteensopivaa alkuperäisen määritellyn henkilötietojen käsittelyn tarkoituksen kanssa. Käsiteltävien henkilötietojen tulee olla määritellyn henkilötietojen käsittelyn kannalta tarpeellisia (HetiL 9 § 1 mom.). Rekisterinpitäjän on ilman aiheetonta viivytystä oma-aloitteisesti tai rekisteröidyn vaatimuksesta mm. poistettava rekisterissä oleva, käsittelyn tarkoituksen kannalta virheellinen, tarpeeton, puutteellinen tai vanhentunut henkilötieto. Rekisterinpitäjän on myös estettävä tällaisen tiedon leviäminen, jos tieto voi vaarantaa rekisteröidyn yksityisyyden suojaa tai tämän oikeuksiaan (HetiL 29 § 1 mom.). Rekisterinpitäjän on myös hävitettävä henkilörekisteri, joka ei ole enää rekisterinpitäjän toiminnan kannalta tarpeellinen, jollei siihen talletettuja tietoja ole erikseen säädetty tai määrätty säilytettäväksi tai jollei rekisteriä siirretä 35 §:ssä tarkoitetulla tavalla arkistoon (HetiL 34 §). Arkaluonteisten tietojen osalta rekisterinpitäjän on arvioitava käsittelyn tarvetta pääsääntöisesti viiden vuoden välein (HetiL 12 § 2 mom.).

Näistä säännöksistä johtuen, rekisterinpitäjä ei voi "varmuuden vuoksi" säilyttää dataa mahdollisia tulevaisuuden käyttötarkoituksia varten.

Selvityksessä s. 7 on viitattu tarkastusoikeuden toteuttamiseen. Henkilötietolain 26 § 1 mom. säädetään siitä, että "silloin kun on kysymys 31 §:ssä tarkoitetusta automatisoidusta päätöksestä, rekisteröidyllä on oikeus saada tieto myös tietojen automaattiseen käsittelyyn liittyvistä toimintaperiaatteista."

Selvityksessä s. 8 todetaan, että "tietoja saa siirtää vapaasti Euroopan unionin alueella, mutta alueen ulkopuolelle siirrettäessä siirtoon tarvitaan erityinen peruste." Tässä yhteydessä totean, että henkilötietoja saa siirtää Euroopan unionin ja Euroopan talousalueen alueella samoin perustein kuin niitä saa käsitellä Suomessakin. Huomioon on otettava käsittelyn lainmukaisuus kokonaisuudessaan, mm. mahdolliset toisessa jäsenvaltioissa voimassaolevat erityislainsäännökset.

Siinä määrin kuin selvityksessä viitataan sivulla kahdeksan WP 29 –työryhmän työhön, WP 29 –työryhmä ei neuvottele uutta siirtosopimusta transatlanttiselle tietojen siirrolle, vaan arvio ns. Schrems –ennakkoratkaisun vaikutuksia muihin – Suomessa henkilötietolain 23 §:ssä säädettyihin – siirtoperusteisiin. Euroopan komissio on jo jonkin neuvotellut yhdessä Yhdysvaltojen hallinnon kanssa Safe Harbor –järjestelyn korvaavaa siirtosopimusta transatlanttisille tietojensiirroille.

3. Lopuksi

Tietojen käsittelyn kehittyessä ja toimintaympäristön muuttuessa on yhteiskunnan pystyttävä vastaamaan uusiin rekisteröidyn yksityisyyden suojaa koskeviin haasteisiin, ja luomaan henkilötietojen ja yksityisyyden suojan kannalta kestävät menettelytavat ja reunaehdot. Tietojen massamuotoinen hyödyntäminen tavalla tai toisella on mahdollista ainoastaan, jos tietosuojaa koskevat periaatteet otetaan asianmukaisesti huomioon. Jos periaatteita ei oteta huomioon asianmukaisesti, on mahdollista, että esimerkiksi massadatan kaltaisilla hankkeilla ei ole pelkästään vaikutusta henkilöiden yksityisyyden suojaan, vaan myös muihin keskeisiin perusoikeuksiin kuten sananvapauteen.

Rekisterinpitäjillä ja muilla henkilötietojen käsittelyyn osallistuvilla toimijoilla on oltava selkeä ymmärrys sekä tietosuojalainsäädännön tavoitteista että sen keskeisistä periaatteista. Tietosuojalainsäädännön tehtävänä on edistää henkilötietojen käyttöä tarjoamalla asianmukaiset menettelytavat ja perusteet henkilötietojen käsittelylle. Tietosuojalainsäädännön yhtenä keskeisenä tavoitteena on luottamuksen luominen ja säilyttäminen henkilötietoja käsiteltäessä. On otettava huomioon, että tietosuojalainsäädäntö suojaa yksilöä ja hänen perusoikeuksiaan ainoastaan, jos säännöksiä tosiasiallisesti noudatetaan käytännössä.

Henkilötietodirektiivin 95/46/EY 29 artiklan nojalla perustettu tietosuojaryhmä on todennut, että se tarvittaessa on aloitteellinen kansainvälisessä yhteistyössä, jossa tarkoituksena on taata Euroopan unionin tietosuojasäännösten sovellettavuus massadatan kehityksessä. Tämä on tarpeellista, koska massadatan kaltainen tietojen käsittely on harvoin kansallista.

Pidän välttämättömänä sitä, että tietosuojavaltuutettu osallistuu kansalliseen ja ylikansalliseen yhteistyöhön, jossa määritellään massadatan reunaehtoja. Osallistumme mielellämme myös tämän selvityksen jatkotyöstämiseen.

Tarkentavissa ja lisäkysymyksissä voitte olla yhteydessä allekirjoittaneeseen ylitarkastajaan p. 029 56 66796.

Tietosuojavaltuutettu Reijo Aarnio

Ylitarkastaja Anna Hänninen

TIETOSUOJAVALTUUTETUN TOIMIVALTA

Henkilötietolain (523/1999) 38 §:n 1 momentin mukaan tietosuojavaltuutettu antaa henkilötietojen käsittelyä koskevaa ohjausta ja neuvontaa sekä valvoo henkilötietojen käsittelyä tämän lain tavoitteiden toteuttamiseksi ja käyttää päätösvaltaa siten kuin tässä laissa säädetään.

Henkilötietolain 40 §:n 1 momentin mukaan tietosuojavaltuutetun on edistettävä hyvää tietojenkäsittelytapaa sekä ohjein ja neuvoin pyrittävä siihen, ettei lainvastaista menettelyä jatketa tai uusita. Tarvittaessa tietosuojavaltuutetun on saatettava asia tietosuojalautakunnan päätettäväksi taikka ilmoitettava syytteeseen panoa varten.

 
Julkaistu 13.1.2016