Tag Archives: henkilötietojen käsittely

Informoi käyttöehdoista, älä käyttöehdoissa

 

 

 

Denis Galkin

Kirjoittaja työskentelee nuorempana tutkijana Itä-Suomen yliopiston oikeustieteiden laitoksella.

Useimmilla tietoverkon palveluilla on jonkinlaiset käyttö- tai sopimusehdot. Näillä ehdoilla ei ainoastaan sovita palvelun käyttöön liittyvistä kysymyksistä, vaan niitä käytetään hyvin moninaisiin tarkoituksiin: ehdoissa saatetaan informoida käyttäjää esimerkiksi henkilötietojen käsittelyyn liittyvistä seikoista, hankitaan käyttäjän suostumus laajaan henkilötietojen käsittelyyn tai annetaan muuta yleisluontoista tietoa palvelusta. Informoimiseen, suostumuksen antamiseen ja käyttöehtoihin liittyvät ymmärrettävyysvaatimukset jäävät helposti täyttymättä silloin, kun nämä nivotaan yhdeksi kokonaisuudeksi.

Rekisterinpitäjän informoidessa rekisteröityä henkilötietojen käsittelystä kyse on rekisterinpitäjän lakiin perustuvasta velvollisuudesta antaa tietoja rekisteröidylle (GDPR 13 ja 14 artiklan mukaan rekisteröidylle, eli palvelun käyttäjälle, on toimitettava säännöksissä mainitut tiedot). Säännökset eivät velvoita rekisteröityä mihinkään toimintaan informoiduksi tulemisen johdosta, minkä vuoksi informoimisessa on kyse rekisterinpitäjän yksipuolisesta henkilötietojen suojan toteuttamiseen liittyvästä velvollisuudesta.

SUOSTUMUS EI OLE SOPIMUSEHTO

Suostumustilanteessa rekisteröity antaa hyväksynnän henkilötietojensa käsittelyyn (GDPR 6 artikla 1 kohdan a alakohta). Vaikka suostumus on henkilötietojen käsittelyn lähtökohtainen peruste, yleisemmin henkilötietojen käsittely perustuu johonkin muuhun säännöksissä mainittuun käsittelyperusteeseen, kuten sopimuksen täytäntöönpanoon tai asiakassuhteeseen (oikeutettu etu). Euroopan unionin tietosuojaryhmän kannanoton (WP29 lausunto 15/2011 suostumuksen määritelmästä) mukaan rekisterinpitäjä, joka käyttää sopimuksen täytäntöönpanoa henkilötietojen käsittelyn oikeudellisena perusteena sopimuksen tekemisen yhteydessä, ei luo oikeutta sen avulla laajuudeltaan kohtuuttomaan tietojen käsittelyyn. Rekisterinpitäjä tarvitsee rekisteröidyn yksilöidyn suostumuksen, kun käsittely ylittää sopimuksen täytäntöönpanon tarpeellisuuden rajat. Tämä tarkoittaa sitä, että suostumuksen saaminen voi olla lisäedellytys osalle tietojenkäsittelystä, kun käsittely ei liity sopimuksen täytäntöönpanoon, mutta on asiallisesti tarpeellista palvelun tarjoamiseksi tai käyttämiseksi.

Kun henkilötietojen käsittely perustuu suostumukseen, rekisterinpitäjän palvelussa on oltava sellaiset toiminnallisuudet, joiden avulla käyttäjä voisi antaa suostumuksen, joka täyttää vapaaehtoisen, yksilöidyn, tietoisen, yksipuolisen ja yksiselitteisen tahdonilmaisun tunnusmerkit (GDPR 7 artikla). Käytännössä tämä tarkoittaa muusta sisällöstä erillään esitettyä suostumuslauseketta, jonka käyttäjä voi palveluun rekisteröityessään erikseen hyväksyä tai jättää hyväksymättä. Suostumuslausekkeen hyväksymättä jättäminen ei saa johtaa käyttäjän kannalta negatiivisiin seurauksiin. Tässä suhteessa on erityisen merkityksellistä, ettei suostumusta sisällytetä yleisiin sopimus- ja käyttöehtoihin, vaan suostumusta pyydetään erillisellä selkeällä suostumuslausekkeella, jossa on selkeä tahdonilmaisua osoittava mekanisminsa, kuten asetuksessa mainittu erillinen rastitettava ruutunsa.

Rekisteröidyn suostumusta osoittava tahdonilmaisu ei velvoita rekisterinpitäjää minkäänlaiseen reagoimiseen, saati toimintaan. Suostumus mahdollistaa rekisterinpitäjälle henkilötietojen käsittelyn sallittuihin käyttötarkoituksiin, joista on informoitu palvelun käyttäjää suostumuspyynnön esittämisen yhteydessä. Suostumus sitoo rekisteröityä hyvin rajallisesti, sillä rekisteröity voi koska tahansa perua suostumuksensa ilman varoaikaa, jolloin sopimuksiin tyypillistä sopimuksen irtisanomislausekkeita ei voi tässä yhteydessä käyttää.

KÄYTÖN EHDOT ELI KÄYTTÖEHDOT

Käyttöehtoja on pidettävä sopimuksena, johon palvelun käyttäjän sitominen tapahtuu joko aktiivisella tahdonilmaisulla tai konkludenttisesti, eli hiljaisella hyväksynnällä. Tilanteissa, joissa käyttäjä sidotaan käyttöehtoihin ilman, että käyttäjältä vaaditaan aktiivista tahdonilmausta, on käyttäjän todisteellinen ja yksiselitteinen informoiminen ehdoista ehdoton vaatimus sopimussuhteen muodostumiselle. Tämä periaate käy erityisesti ilmi yksityistä pysäköinninvalvontaa koskevasta korkeimman oikeuden ratkaisusta KKO 2010:23. Tällaisessa informoimisessa on kyse sopimus- tai käyttöehtojen ilmaisemisesta palvelun käyttäjälle, ja käyttäjän on ymmärrettävä, että jatkamalla palvelun käyttöä hän sitoutuu hänelle esitettyihin ehtoihin.

YHTEENVETO

Rekisteröidyn informoimisen, suostumuksen ja käyttöehtojen luonnetta ja keskinäistä eroavuutta voidaan havainnollistaa seuraavalla kaavalla. Henkilötietojen käsittelystä informointi on palvelun tarjoajan yksipuolinen toimenpide, joka ei vaadi käyttäjän aktiivista reagoimista. Suostumus taas edellyttää, että palvelun tarjoaja luo palveluun suostumuksen tunnusmerkkien edellyttämät toiminnallisuudet, joiden perusteella käyttäjä voi antaa halutessaan suostumuksen tietoisena tahdonilmauksena. Käyttöehdot puolestaan muodostavat kaksisuuntaisen sopimussuhteen, joka velvoittaa kumpaakin osapuolta.

Informointivelvollisuus sekä siihen läheisesti liittyvät velvollisuudet edellyttävät annettavan informaation ymmärrettävyyttä ja selkeyttä. Suostumusta koskevan pyynnönkin on oltava ymmärrettävä, jotta rekisteröity voi antaa tietoon perustuvan selkeän tahdonilmauksen. Käyttöehtojen on puolestaan oltava kuluttajansuojan näkökulmasta selkeitä ja ymmärrettäviä. Informointivelvollisuuden, suostumuksen ja käyttöehtojen sekä muiden sopimusehtojen nivominen yhteen kokonaisuuteen johtaa siihen, ettei tietoverkon palvelussa pystytä toteuttamaan eri säädöksissä asetettuja vaatimuksia. Tällöin on riski sille, että edellytyksiä henkilötietojen käsittelylle ei ole olemassa tai käyttöehdot eivät ole sitovia sopimusehtoina. On sekä käyttäjän että palvelun tarjoajana etujen mukaista, että informointi, henkilötietojen käsittelyperusteet sekä sopimusehdot ovat ymmärrettäviä, jolloin niiden varaan voidaan rakentaa onnistunut palvelukokemus.

Lue lisää aiheesta artikkelista Voutilainen, Tomi – Galkin, Denis: Käyttäjän tiedollisten oikeuksien suhde tietoverkossa tarjottavan palvelun käyttöehtoihin. Itä-Suomen yliopiston opiskelijat voivat puolestaan vahvistaa omaa tietoteknologiaoikeudellista osaamistaan Digitalisaatio ja oikeus –kurssilla (5311317).