Tässä kirjoituksessa käsitellään yleistä tietosuoja-asetusta eli GDPR:ää kansantajuisesti joulupukkiesimerkin kautta. Jos GDPR ei ole aiemmin kiinnostanut tai se on tuntunut vaikeaselkoiselta, tämä teksti on juuri sinulle. Jos taas olet jo selvillä GDPR:n kiemuroista, sopii tämä teksti sinulle huumorimielessä. Kirjoituksessa tarkastelemme sitä, onko joulupukin kilttien ja tuhmien lista GDPR-asetuksen mukainen.
GDPR:n koko nimi on Euroopan parlamentin ja neuvoston asetus numero 2016/679, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta. Suomenkielinen lyhenne tästä on yleinen tietosuoja-asetus eli englanniksi General Data Protection Regulation, josta tulee lyhenne GDPR, joka on käytetympi kuin kotimainen vastaava YTSA tai YTA. Koska kyseessä on EU-asetus, on se Suomessa suoraan sovellettavaa oikeutta eli vastaavaa kansallista lakia ei tarvitse säätää, vaan säädökset tulevat sellaisenaan asetuksesta.
Soveltamisala
GDPR:n soveltamisala määritellään asetuksen 2 ja 3 artikloissa. Soveltamisala jaetaan alueelliseen ja aineelliseen. Alueellinen soveltamisala määrittelee, missä tapahtuvaan toimintaan asetusta voidaan soveltaa. Asetuksen alueellinen soveltamisala on: unionin alueella tapahtuva käsittely, tavaroiden tarjoaminen unionin alueella (ilmaiseksi tai maksutta) ja rekisteröityjen käyttäytyminen unionin alueella. Joulupukin tukikohdasta kiertää monta versiota; yksi on pohjoisnapa, joka ei kuulu minkään valtion lainkäyttöpiiriin. Toinen on Rovaniemi, joka taas on EU-alueella. Jos Joulupukki todellisuudessa asuu alueellisen soveltamisalan alueella, voisi hän siis siirtää henkilötietojen käsittelyn pohjoisnavalle välttääkseen velvollisuuden soveltaa tietosuoja-asetusta.
Joulupukki kuitenkin seuraa tonttujensa välityksellä henkilöiden käyttäytymistä myös EU-alueella, lisäksi hän myös jakaa lahjoja ihmisille. Tämän vuoksi alueellisen soveltamisalan mukaan GDPR lopulta koskee joulupukkia, vaikka hänen toimipaikkansa ei sijaitsisikaan unionin alueella.
Aineellinen soveltamisala taas määrittää, millaiseen toimintaan asetusta sovelletaan. Asetusta sovelletaan lähtökohtaisesti henkilötietojen käsittelyyn. Asetusta ei kuitenkaan sovelleta sellaiseen toimintaan, joka ei kuulu unionin lainsäädännön soveltamisalaan tai toimintaan, jota luonnollinen henkilö suorittaa vain henkilökohtaiseen toimintaansa. Unionin yksi tärkeimpiä tehtäviä on varmistaa reilu kilpailu unionin alueella, ja ilmaisen tavaran jakaminen kuuluu tämän vuoksi todennäköisesti unionin lainsäädännön soveltamisalaan, kuten alueellisen soveltamisalan kohdalta kävi ilmi. Joulupukki ei välttämättä ole luonnollinen henkilö, ja tietojen käsittelyyn osallistuu myös toinen organisaatio, joten en myöskään tulkitsisi tietoja käsiteltävän henkilökohtaisessa toiminnassa.
Johtopäätöksenä voidaan siis todeta, että GDPR soveltuu Joulupukin toimintaan.
GDPR-ongelma 1: Onko Joulupukin suorittama tietojen käsittely ylipäätään lainmukaista?
GDPR:n 6-artiklassa määritetään, milloin henkilötietoja saa käyttää. Tyypillisin tilanne on rekisteröidyn suostumuksen saaminen, jota Joulupukki ei ainakaan artikkelin kirjoittajien nuoruudessa pyytänyt. Suostumuksen saamisen lisäksi henkilön tietoja saa käsitellä myös, jos se tehdään sopimuksen täytäntöönpanemiseksi. Lahja ei kuitenkaan ole sopimus, joten tämäkään kohta ei päde Joulupukkiin.
Joulupukki ei myöskään suorita lakisääteistä tehtävää tai huolehdi kenenkään elintärkeistä eduista. Käsittely ei myöskään ole tarpeen kolmannen osapuolen tai rekisterinpitäjän (Joulupukin) etujen suojaamiseksi. Jäljelle jää yksi poikkeus: tietoja saa käsitellä, jos se on tarpeen yleistä etua koskevan tehtävän suorittamiseksi. Vaikka yleisen edun mukaisia tehtäviä suorittavat yleensä vain valtiot tai niihin rinnastettavat toimijat, voisi Joulupukki muodostaa tähän poikkeuksen. Ottaen huomioon Joulupukin aseman eurooppalaisessa kulttuuriperinnössä ja lahjojen merkityksen miljoonille lapsille, voi Joulupukin todeta suorittavan yleisen edun kannalta merkittävää tehtävää, jolloin henkilötietojen käsittely onkin laillista.
GDPR-ongelma 2: Miten Joulupukki ilmoittaa tietojen keräämisestä?
GDPR 13 ja 14 artiklat säätävät siitä, millä tavalla tietojen keräämisestä pitää ilmoittaa sille, jonka tietoja kerätään. 13 artikla säätää toimintavasta kerättäessä tietoja rekisteröidyltä itseltään, ja 14 artikla kerättäessä tietoa joltain muulta kuin rekisteröidyltä, mutta tieto koskee rekisteröityä. Koska Joulupukin perinteinen tietojenkeruutapa on ollut tonttujen välityksellä tapahtuva suora tietojen kerääminen yksittäisistä henkilöistä, koskee Joulupukkia artiklan 13 mukainen velvollisuus antaa tietoja rekisteröidylle.
Mitä tietoja rekisteröidylle sitten on annettava? Rekisterinpitäjän on kerrottava mm. kuka hän on ja miten häneen voi olla yhteydessä, sekä mihin tarkoitukseen henkilötietoja kerätään. Tämän lisäksi lisätiedoissa on kerrottava mm. oikeudesta tehdä valitus valvontaviranomaiselle ja kauanko henkilötietoja säilytetään. Kuten tiedämme, Joulupukin perinteinen tiedotuskanava on ollut kansanperinne. Jokainen tietää, että Joulupukki kerää tietoja tonttujen välityksellä, ja tietoja kerättävän sen selvittämiseksi, ketkä ovat ansainneet joululahjoja. Joulupukin tietosuojavastaavana taas toimii tietosuojatonttu, onhan Joulupukilla jokaiseen erityiseen tehtävään oma tonttunsa, esimerkiksi “security elf”.
Joulupukki ei kuitenkaan vielä ole antanut rekisteröidyille tietoja kaikista GDPR:n vaatimuksista, kuten oikeudesta valittaa valvontaviranomaiselle. Joulupukin tiedotuskanavana toiminut kansanperinne onkin ollut hieman hidas mutta toimiva viestintäkanava, joten eivätköhän nämäkin tiedot lähivuosina vielä päädy ihmisten korviin.
GDPR-ongelma 3: Oikeus tietää, mitä tietoja Joulupukilla on sinusta
GDPR:n 15-artikla säätää siitä, että rekisteröidyllä on oikeus saada tieto siitä, käsitteleekö joku hänen henkilötietojaan vai ei. Sen lisäksi 15 artikla luettelee useita asioita, joita rekisterinpitäjän on kerrottava rekisteröidylle, tällaisia ovat mm. tietojen käsittelyn tarkoitus, käsiteltävät tiedot sekä tietojen arvioitu säilytysaika. Sen lisäksi tietojen kerääjän on pyynnöstä annettava kaikki henkilöistä kerätyt tiedot.
15-artiklassa säädetään myös, että tiedot on annettava sähköisessä muodossa, jos rekisteröity pyytää niitä sähköisesti. Joulupukki on kuitenkin perinteisesti toiminut ainoastaan kirjepostin välityksellä. Tämän vuoksi pyyntöä tiedoista ei voi esittää sähköisesti, vaan pyyntö on esitettävä kirjeellä napapiirillä sijaitsevaan pääpostiin, jolloin vastaus tulee myös kirjeenä.
GDPR-ongelma 4: Mitä jos Joulupukin listaan on kirjattu virheellisiä tietoja?
GDPR:n 16 artiklan mukaan rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Henkilötietoja ovat nimen, osoitteen ynnä muun lisäksi myös esimerkiksi kuvaukset luonteenpiirteistä ja henkilön käytöksestä pidetty lokikirja. Joulupukin listan osalta tämä tarkoittaa sitä, että jos tontut ovat luonnehtineet tarkkailun kohdetta tuhmaksi, mutta rekisteröidyn mielestä hän itse ei ole suinkaan ollut tuhma vaan että tilanne tai hänen tarkoituksensa on väärinymmärretty, voisi hän pyytää merkintöjen oikaisua ja täydentämistä.
Täydentämisoikeudesta seuraa, että rekisteröity voi myös ehdottaa henkilötietojaan koskevia merkintöjä tehtäväksi. Mikäli Joulupukin listan sisällöstä kävisi ilmi, että tontut eivät ole olleet paikalla, kun rekisteröity on tehnyt jonkin epäitsekkään teon tai olleen muuten erityisen kiltti eli palkitsemisen arvoinen, voisi rekisteröity vaatia näitä lisäyksiä tehtäväksi. Joulupukin kannalta kyseessä on melkoisen raskas rekisterinpitäjän velvollisuus, sillä tästä voisi luonnollisesti seurata kovaa ruuhkaa kirjaamoon sekä lahjojen määrän paisumista. Rekisteröidyn oikeudet ovat kuitenkin vahvat, ja Joulupukin olisi sekä oikaistava virheelliset henkilötiedot että täydennettävä niitä pyynnöstä.
GDPR-ongelma 5: Oikeus poistaa itsensä postituslistalta
GDPR:n 17-artiklassa käsitellään rekisteröidyn oikeutta tietojen poistamiseen eli oikeutta tulla unohdetuksi. Artiklan mukaan rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, kunhan artiklassa mainitut lisäedellytykset täyttyvät. Näitä ovat mm. rekisteröidyn suostumuksen peruminen sekä henkilötietojen lainvastainen käsittely. Kenties useimmin tätä oikeutta käytetään silloin, kun henkilö on ostosten tekemisen yhteydessä tullut antaneeksi henkilötietonsa esimerkiksi kanta-asiakasohjelmaan tai mainontaan, eikä niihin liittyviä viestejä haluta enää vastaanottaa. Kun rekisteröity peruuttaa suostumuksensa henkilötietojen käsittelyyn, eikä niiden käsittelyyn ole perusteltua syytä, tulee rekisteröidyn tiedot poistaa ja mainosspämmin lähettäminen lopettaa.
Kilttien ja tuhmien listaan liittyen tästä oikeudesta seuraa, että jos henkilö saa vuodesta toiseen pelkkiä risuja ja kyllästyy asiaan, voisi hän ilmoittaa Korvatunturille, että hänen tietonsa on poistettava rekisteristä. Tällöin henkilö lakkaisi saamasta masentavaa, jokajouluista muistutusta tuhmuudestaan. Jos hän kuitenkin tekisi joskus parannuksen ja uskoisi olevansa oikeutettu lahjoihin, voisi hän taas rekisteröityä postituslistalle ja tarkistaa asian todellisen laidan.
Johtopäätökset
Kuten voimme edellä todetusta havaita, Joulupukkikin on velvollinen noudattamaan GDPR:ää. Joulupukin toimet ovat jo nykyisellään hyvin GDPR -yhteensopivia. Yhteensopimattomat toiminnot selittyvät pitkälti Joulupukin toiminnan luonteella: tiedotuskanavan ollessa kansanperinne monet tiedot saapuvat kohteilleen hitaasti ja viestinnän tapahtuessa kirjepostina vastausajat ovat hieman pidempiä. Tästä huolimatta nämä puutteet liittyvät lähinnä Joulupukin toiminnan erityisluonteeseen, joten toiminta voidaan artikkelin kirjoittajien mielestä katsoa GDPR -yhteensopivaksi.
Katso aiemmat joulupostauksemme:
Saako naapurin jouluvalot kieltää? - joulupostauksia osa II
https://www.kpflaki.com/blog/jouluvalojen-emissiop%C3%A4%C3%A4st%C3%B6t-joulupostauksia-osa-ii
Saako pikkujouluihin tilatun stripparin palkkion vähentää verotuksessa? - joulupostauksia osa I
https://www.kpflaki.com/blog/saako-pikkujouluihin-tilatun-stripparin-v%C3%A4hent%C3%A4%C3%A4-verotuksessa-joulupostauksia-i
Kirjoittajat:
Eelis Paukku
Lakimies, toimitusjohtaja
KPF Group Oy
Essi Puhakainen
ON, tietojenkäsittelytieteiden opiskelija Agens Oy
