back

Onko tietosuojaselosteesi tarpeeksi läpinäkyvä?

Syyskuussa 2021 Hampurin tietosuojan valvontaviranomainen, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (“HmbBfDI”) ilmoitti sakottaneensa Vattenfall Europe Sales GmbH:ta (“Vattenfall”) yli 900 000 euroa puhtaasti siitä, ettei Vattenfall ollut läpinäkyvästi viestinyt asiakkailleen sitä, että se hyödyntää asiakkaidensa vanhoja laskutustietoja laskiessaan näille uusia tarjouksia.

 

Lehdistötiedotteen mukaan Vattenfall säilytti asiakkaidensa laskutustietoja 10 vuotta lakiin perustuen. Tiedotteen mukaan Vattenfall hyödynsi näitä vanhoja laskutustietoja arvioidakseen asiakkaiden todennäköisyyttä uusia tai vaihtaa sähkösopimuksia. Uusissa sopimuksissa asiakkaille tarjottiin ‘erityisiä bonusehtoja’, jolloin ilmeisesti ne asiakkaat, jotka uusivat sopimuksiaan usein, tulivat pitkässä juoksussa Vattenfallille kannattamattomiksi.

 

Henkilötietojen käsittelyn tarkoituksena oli lehdistötiedotteen mukaan siis se, että Vattenfall pyrki näin varmistamaan, että sen toiminta olisi kannattavaa. Ongelma oli vain siinä, ettei Vattenfall ‘riittävällä tavalla’ kertonut tästä henkilötietojen käsittelystä asiakkailleen. Kyse oli siis sinänsä kovin pieneltä kuulostavalta rikkeeltä.

 

Tiedotteen mukaan Vattenfall tarjoaa jatkossa kuluttajille mahdollisuuden päättää, haluavatko he tehdä tällaisen alennuksia sisältävän sopimuksen, jossa hyödynnetään näiden vanhoja asiakastietoja vai normaalin sopimuksen ilman vanhojen asiakastietojen hyödyntämistä.

 

Läpinäkyvyyden merkitys korostuu

 

Syyskuussa 2021 myös Irlannin valvontaviranomainen (“DPC”) ilmoitti määränneensä 225 miljoonan euron sakon WhatsApp Irelandille läpinäkyvyyttä koskevista laiminlyönneistä.

 

Selvää on, että erilaisille word -lomakkeille laaditut tietosuojaselosteet eivät todennäköisesti täytä GDPR:n asettamia vaatimuksia. Vaikka itse muodossa ei mitään vikaa olekaan, ovat nämä lomakepohjaiset selosteet usein sisällöltään puutteellisia. Ratkaisukäytännön perusteella informaatiossa tulee välttää ylätasoisia “käytämme henkilötietoja analytiikkaan” -ilmaisuja, sillä ne eivät ole riittävän läpinäkyviä.

 

Vaikka mikä tahansa naapuriyritykseltä kopioitu tietosuojaseloste ajatuksella “kunhan edes jotain on olemassa” koetaan kentällä ‘riittäväksi’, on oman yrityksen tietosuojaselosteen sisältöön syytä uhrata aikaa.. Ennemmin tai myöhemmin myös täällä Suomessa joudutaan arvioimaan tietosuojaselosteiden sisältöjä valvontaviranomaisen toimesta.

 

Vaikka Saksan tyylisiä sakkoja ei kannatakaan pelätä kuin ehkä räikeimmissä laiminlyönneissä, vähintä mitä voit asiakkaillesi, työntekijöillesi ja kumppaneillesi tehdä, on kertoa näille henkilötietojen käsittelystäsi asianmukaisesti ja läpinäkyvällä tavalla.

 

Voiko läpinäkyvyydestä olla  jotain hyötyä?

 

Vaikka tänä päivänä tuntuu siltä, että tietosuojaselosteita ei lue muut kuin tietosuojaan erikoistuneet lakimiehet ja aktivistit, näin ei todennäköisesti aina tule olemaan. Valvontaviranomaisille tehtyjen valitusten määristä on havaittavissa selkeästi, että tietosuojan merkitys ja kuluttajien ymmärrys omien henkilötietojensa käsittelystä on kasvamassa.

 

Viidessä minuutissa laadittu tietosuojaseloste voi toki tuoda kilpailuetua hetkellisesti, mutta pitkässä juoksussa sen tuomat säästöt kääntyvät todennäköisesti negatiivisiksi. Huolellisesti laadittu tietosuojaseloste on vähemmän altis erilaisille rekisteröityjen tekemille kanteluille ja valituksille. Tietosuojaymmärryksen kasvaessa rekisteröidyt tulevat todennäköisesti myös antamaan suostumuksiaan enemmän niille, jotka tosiasiallisesti tietosuojaan panostavat.

 

Koska tietosuojaselosteet ovat tänä päivänä hyvin geneerisiä ja tylsän näköisiä, voi hyvin laadittu tietosuojaseloste olla myös tapa erottautua kilpailijoista. Sosiaalisessa mediassa kysytään useamman kerran vuodessa esimerkkejä hyvin laadituista tietosuojaselosteista. Melkein poikkeuksetta samat toimijat nousevat esimerkeillään kärkeen, sillä hyviä esimerkkejä ei ole tänä päivänä liikaa saatavilla. Kun näiden postausten näyttömäärät ovat kymmeniä tuhansia, ei ole mikään ihme, että jotkin näistä toimijoista kertovat pelkästään tämänkaltaisen verkkosivuliikenteen tuoneen heille lisää liikevaihtoa.

 

Mitä se läpinäkyvyys oikein on?

 

Vaikka läpinäkyvyys on yksi keskeisimmistä periaatteista tietosuojassa, sitä ei kuitenkaan erikseen määritellä GDPR:ssä. Läpinäkyvyys konkretisoituu ehkä keskeisimmin siinä, että mitä avoimemmin rekisterinpitäjä informoi rekisteröityjä henkilötietojen käsittelyä koskevista toimistaan, sitä paremmin rekisteröidyt voivat ymmärtää käsittelyyn liittyviä riskejä sekä tarvittaessa riitauttaa tai haastaa rekisterinpitäjää.

 

Kääntäen, mikäli organisaatiosi kertoo rekisteröidyille ylätasoisesti käyttävänsä henkilötietoja mainontaan, rekisteröidyn voi olla mahdotonta ymmärtää ja tätä kautta vaikea haastaa mainontaan usein liittyvää profilointia ja henkilötiedon välittämistä lukuisille kolmansille osapuolille.

 

Rekisteröidylle toimitettavan informaation tulisi olla konkreettista ja siinä tulee välttää abstrakteja, epäselviä sekä monitulkintaisia lauserakenteita. Esimerkiksi usealla tietosuojaselosteella oleva maininta “saatamme siirtää henkilötietojasi kolmansiin maihin” ei kerro kovin konkreettisella tavalla missä tilanteissa siirto tapahtuu, mitä tietoja siirretään, kenelle siirretään tai millä GDPR V luvun ‘siirtomekanismilla’ siirtäminen mahdollisesti tapahtuu.

 

Tietosuojaseloste tulisikin laatia aina tapauskohtaisesti huomioiden niiden rekisteröityjen erityispiirteet, joiden henkilötietoja rekisterinpitäjä käsittelee. On esimerkiksi aivan eri asia informoida tietosuojaa työkseen tekeviä, kuin lapsia tai vanhuksia.

 

Vanhaan henkilötietodirektiiviin perustunut artiklan 29 mukainen Tietosuojatyöryhmä (nykyinen Euroopan Tietosuojaneuvosto EDPB) on läpinäkyvyyttä koskevissa suuntaviivoissaan laatinut esimerkkejä huonoista käytännöistä, joita tulisi välttää.

 

Esimerkiksi ilmaisu “henkilötietoja voidaan käyttää uusien palveluiden kehittämiseen” ei Tietosuojatyöryhmän mukaan kerro henkilötietojen käsittelystä riittävän selvästi, koska rekisteröidylle jää epäselväksi millaisista palveluista on kyse ja mitä hyötyä henkilötiedoista on niiden kehittämisessä.

 

Hyvänä esimerkkinä mainitaan ilmaisu “säilytämme ostohistoriasi ja ehdotamme sinulle aiemmin ostamiesi tuotteiden perusteella muita tuotteita, joiden uskomme kiinnostavan sinua”. Tietosuojatyöryhmän mukaan tällaisesta ilmaisusta käy ilmi, mitä tietoja käsitellään ja että rekisteröidylle tullaan esittämään kohdennettua mainontaa jossain muodossa.

 

Joka tapauksessa on rekisterinpitäjän vastuulla, että sen suorittama henkilötietojen käsittely tapahtuu läpinäkyvästi ja rekisterinpitäjä vastaa GDPR 5.2 artiklan myötä siitä, että se kykenee näyttämään tämän toteen. Vaikka pidät itse jotain ilmaisua selkeänä, se ei vielä tarkoita sitä, että rekisteröidyt ymmärtäisivät asian samalla tavoin.

 

Pyydän usein itse omia asiakkaitani näyttämään, miten ja missä kohdin tietosuojaselostetta tietty henkilötietojen käsittelytoimi on informoitu. Arvioidessani informoinnin tasoa, käytän usein omaa äitiäni esimerkkinä rekisteröidystä. Ymmärtäisikö hän, että ilmaisu “käytämme henkilötietojasi sisällön personointiin” tarkoittaa henkilötietojen käsittelyä tietyllä tavalla.

 

Tietosuojaseloste on kuin elintarvikkeiden tuoteseloste - tunne omat prosessisi ennen sisällön laatimista

 

Vertaa rekisteröidyille toimittamaasi informaatiota esimerkiksi elintarvikkeiden tuoteselosteeseen. Uskaltaisitko vakavasti väittää kuluttajille tuotteesi tuotesisällön, jos et tietäisi mitä ainesosia tuotantolinjallasi tuotteeseesi laitetaan? Sama ajatus pätee tietosuojaan. Et käytännössä voi informoida rekisteröityjä GDPR:n edellyttämällä läpinäkyvällä tavalla, jos et esimerkiksi tunne missä maissa pilvipalveluiden toimittajasi säilyttävät henkilötietojasi tai mistä maista mahdolliset alihankkijat pääsevät niihin käsiksi.

 

Tämä kannattaa pitää mielessä kun pyydät tarjouksia tietosuojaselosteen laadinnasta. Jos yrityksellesi tarjotaan tilinpäätösasiakirjojen laadintaa ilman perehtymistä kirjanpitoaineistoon, on tarjous liian hyvä ollakseen totta. Vaikka tietosuojaseloste sisältäisi otsikkotasolla kaikki GDPR:n 13 ja 14 artikloissa edellytetyt asiat, sen lainmukaisuus täyttyy käytännössä vain silloin, kun sen sisältö on laadittu perehtyen juuri sinun organisaatiosi henkilötietojen käsittelytoimiin.

 

Mikäli oman tietosuojaselosteesi sisältö askarruttaa niin ota rohkeasti yhteyttä. Laitetaan informointisi ja muut tietosuojaan liittyvät asiat yhdessä kuntoon!