Tag Archives: tietosuoja

Tietosuojalainsäädännön päivitys ja kansallinen täytäntöönpano sakkaavat

 

 

 

Tomi Voutilainen

Kirjoittaja toimii informaatio-oikeuteen erikoistuneena julkisoikeuden professorina Itä-Suomen yliopistossa.

TIETOSUOJASÄÄNTELYN PÄIVITTÄMINEN

Euroopan unionin yleistä tietosuoja-asetusta (EU) 2016/679 aletaan soveltaa 25.5.2018. Asetus on herättänyt paljon keskustelua ja väärinkäsityksiäkin sääntelyyn tulevista muutoksista. Epätietoisuus on ruokkinut myös markkinatoimijoita myymään asiantuntijapalveluitaan ja tuotteitaan uudistuksen nimissä niin yksityiselle kuin julkiselle sektorille. Epätietoisuutta hyväksi käyttäen yritykset ovat lähestyneet muun muassa kuntia tarjoamalla niille olemassa olevien ohjelmistojen uusia, tietosuoja-asetuksen vaatimukset täyttäviä, versioita maksua vastaan. Näissä tapauksissa olen kuntia kuitenkin kehottanut selvittämään, mihin yritykset ovat alun perin sitoutuneet, kun ne ovat tarjonneet tarjouskilpailuissa ohjelmistoaan kunnalle. Monessa yrityksessä ja myös viranomaisessa nimittäin unohdetaan, että viranomaisten tietojenkäsittelyyn vaikuttaa myös viranomaisten toiminnan julkisuudesta annettu laki (621/1999, julkisuuslaki), jossa on säädetty hyvästä tiedonhallintatavasta. Julkisuuslaki pitää sisällään osana hyvää tiedonhallintatapaa tietoturvallisuudesta huolehtimisen velvollisuuden. Valtionhallintoa koskee vielä erikseen tietoturva-asetus (681/2010). Jos viranomainen on noudattanut julkisuuslain 18 §:ssä ja henkilötietolain 32 §:ssä säädettyjä vaatimuksia ja huomioinut nämä hankinnoissaan, ei ole mitään syytä, että tietosuoja-asetuksen nimissä viranomaisten pitäisi alkaa päivittämään ohjelmistojaan, ellei ohjelmiston toimittaja ole laiminlyönyt sopimukseen perustuvan velvollisuuden huolehtia ohjelmiston ja siihen sisältyvien tietojen asianmukaisesta suojaamisesta. Sen sijaan tietosuoja-asetuksen vuoksi hankintasopimukset on joiltakin osin päivitettävä vastaamaan asetuksen yksityiskohtaisia vaatimuksia.

Peruslähtökohdiltaan henkilötietojen suojaa koskevan sääntelyn vaatimukset eivät muutu tietosuoja-asetuksessa siitä, mitä ne ovat olleet Suomessa jo vuoden 1988 alussa voimaan tulleessa henkilörekisterilaissa (471/1987) ja sittemmin vuoden 1999 puolivälissä henkilötietolailla (523/1999) säädetyissä vaatimuksissa.

Tietosuoja-asetuksen täytäntöönpanon yhteydessä monet markkinatoimijat ovat käyttäneet asiantuntijapalvelujen ja tuotteiden markkinoinnin keihäänkärkenä tietosuoja-asetuksessa säädettyä hallinnollisen sakon uhkaa. Tässäkin asiassa aktiivinen viranomaisviestintä olisi voinut leikata terävimmän kärjen näiltä markkinointipuheilta, jotka ovat aiheuttaneet myös väärinkäsityksiä monien rekisterinpitäjien toiminnassa tietosuoja-asetuksen sisällöstä.

Tietosuoja-asetuksen tuomien muutoksien viestinnässä onkin varmistettava, että muutokset kuvataan selkeästi niin julkisen kuin yksityisen sektorin toimijoille rekisteröityjä unohtamatta. Epätietoisuus lisää väärinkäsitysten riskiä, joka sekin voi olla tietosuojan toteuttamisen kannalta riski. Epätietoisuus lisää myös tarpeettomien investointien tekemistä, jos ei ole selvää, miten nykyinen toimintaympäristö vastaa tietosuoja-asetuksen asettamia vaatimuksia. Jos investointeihin on tarve, tarkoittaa se monesti sitä, ettei organisaatio ole toiminut tähänkään asti voimassa olevien säännösten mukaisesti.

Muutoksista viestimisessä avainasemassa ovat henkilötietojen suojaa koskevan yleissääntelyn valmistelusta vastaava oikeusministeriö ja täytäntöönpanoon keskeisesti osallistuva tietosuojavaltuutetun toimisto. Tässä suhteessa onkin vielä paljon tehtävää. Viranomaisten tulisi keskittyä viestinnässään jatkossa avoimeen, vuorovaikutteiseen ja ymmärrettävään viestintään tietoverkossa maksullisten koulutusten sijaan. Nyt tätä viestintää on tehty muiden kuin asiasta vastuussa olevien viranomaisten toimesta muun muassa nk. VAHTI-työnä ja vapaaehtoistyönä harrastuspohjalta.

Moderniin ja hyvän hallinnon vaatimukset täyttävään sääntelyn täytäntöönpanoon kuuluu aktiivinen viestintä sääntelyn muutoksista niin rekisterinpitäjille, henkilötietojen käsittelijöille kuin rekisteröidyillekin. Tämä on erityisen merkityksellistä silloin, kun sääntelymuutoksilla on perusoikeuskytkentä, kuten tietosuoja-asetuksen sääntelyllä. Luonnollisesti riittävä ja asianmukainen viestintä edellyttää riittävää ja asiansa osaavaa resursointia. Lainsäädännön arviointineuvosto kiinnitti tietosuojalakiehdotusluonnosta koskevassa 8.2.2018 päivätyssä lausunnossaan huomiota siihen, että viranomaisilla tulee olla riittävät resurssit ohjeistuksen antamiseen näin kattavassa uudistuksessa. Neuvoston mukaan ei ole tarkoituksenmukaista, että viranomaisten rooli painottuu seuraamusten käsittelyyn, jos resurssit ohjeistamiseen eivät ole riittäviä.

SUOMALAINEN RASKAAN SÄÄNTELYN TIETOSUOJAMALLI

Suomessa henkilötietojen suojaa koskeva perusoikeussäännös sisältyy yksityiselämän suojaa koskevaan perustuslain 10.1 §:n säännökseen, jonka mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Perustuslakivaliokunta linjasi 1990-luvun lopulla henkilötietojen suojan kannalta tärkeät laintasoiseen sääntelyyn sisällytettävät sääntelykohteet lausunnoissaan PeVL 14/1998 vp ja 25/1998 vp. Perustuslakivaliokunnan linjauksen mukaan henkilötietojen suojan kannalta tärkeitä sääntelykohteita ovat rekisteröinnin tavoite, rekisteröitävien henkilötietojen sisältö, niiden sallitut käyttötarkoitukset, tietojen luovutettavuus, tietojen säilytysaika henkilörekisterissä sekä rekisteröidyn oikeusturva. Lisäksi perustuslakivaliokunta on edellyttänyt sääntelyn kattavuutta ja yksityiskohtaisuutta lain tasolla. Vuonna 2002 sääntelyvaatimuksiin lisättiin myös teknisestä käyttöyhteydestä sääntely (PeVL 12/2002 vp). Nämä vaatimukset ovat johtaneet siihen, että Suomessa henkilötietojen käsittelyä koskevia säännöksiä on 700–800 eri säädöksessä. Esimerkiksi teknisestä käyttöyhteydestä on säädetty yli 200 eri säännöksessä.

Sääntelymalli on johtanut monissa tilanteissa kaksinkertaiseen sääntelyyn, jossa toisessa säännöksessä on säädetty viranomaiselle tai muulle toimijalle tiedonsaantioikeus ja toiseen säännökseen on säädetty viranomaiselle oikeus luovuttaa tietoja niille, joilla on olemassa tiedonsaantioikeus. Perustuslakivaliokunta onkin useaan kertaan kritisoinut tällaista sääntelymallia, joka tosin johtuu osittain perustuslakivaliokunnan sääntelymallia koskevista vaatimuksista ja osittain heikosta lainvalmistelun koordinoinnista ministeriöiden välillä. Valiokunnan mielestä tällainen kaksinkertainen sääntely johtaa raskaaseen sääntelyrakenteeseen ja on omiaan synnyttämään tulkintaongelmia. Tällainen raskas sääntely ei ole kuitenkaan valiokunnan mukaan valtiosääntöoikeudellisesti ongelmallista (PeVL31/2017 vp, PeVL 71/2014 vp). Perustuslakivaliokunta on myös kiinnittänyt huomiota henkilötietojen käsittelyä koskevan sääntelyn epäselvyyteen, raskauteen ja monimutkaisuuteen (PeVL 31/2017 vp, PeVL 46/2016 vp ja PeVL 71/2014 vp).

Yleislainsäädännön tasolla ylimmät laillisuusvalvojat ovat niin ikään kiinnittäneet huomiota tiedonsaantioikeuksia ja henkilötietojen suojaa koskevan sääntelyn epäkohtiin. Laillisuusvalvonnassa tällaista sääntelymallia on pidetty oikeudellisesti vaikeaselkoisena (AOK 441/1/2015, 4.11.2016).  Julkisuuslain ja henkilötietolain sääntelyä on myös luonnehdittu luuppimaiseksi (EOA 1473/2016, 18.9.2017).

Viimeaikoina perustuslakivaliokunta onkin tuonut esiin mahdollisuuden arvioida henkilötietojen käsittelyä koskevaa sääntelymallia uudelleen. Perustuslakivaliokunnan käsityksen mukaan estettä ei ole sille, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden sekä täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan joiltain osin täyttää myös asianmukaisesti laaditulla yleisellä Euroopan unionin asetuksella tai kansalliseen oikeuteen sisältyvällä yleislailla (PeVL 1/2018 vp, PeVL 49/2017 vp, PeVL 31/2017 vp, PeVL 5/2017 vp, PeVL 38/2016 vp). Perustuslakivaliokunta ei ole kuitenkaan vielä ottanut kantaa siihen, miltä osin sääntelymallia voitaisiin uudistaa.

Perustuslakivaliokunnan viimeaikaisissa kannanotoissa viestitään, että sääntelymallia koskeva arviointi on mahdollista tehdä vasta, kun yleisen tietosuoja-asetuksen sallimaa kansallista liikkumavaraa käytetään oikeusministeriössä valmisteilla olevassa tietosuojalaissa ja kun sen perustuslain mukaisuutta arvioidaan valiokunnassa (PeVL 49/2017 vp). Perustuslakivaliokunta on todennut muun muassa erään lakiehdotuksen jatkokäsittelyssä, että siinä olisi ollut syytä tarkoin selvittää tietosuoja-asetuksen ja sitä täydentävän kansallisen yleislain mahdollistama tai edellyttämä täydentävän erityissääntelyn tarve (PeVL 49/2017 vp). Perustuslakivaliokunta on myös todennut, että ennen kuin kansallista erityislainsäädäntöä voidaan kehittää, tulisi valtioneuvoston antaa yleislakia koskeva esitys (PeVL 1/2018 vp, PeVL 49/2017 vp). Perustuslakivaliokunta on myös todennut tuoreessa lausunnossaan, että perustuslain 10.1 §:ssä ja EU:n perusoikeuskirjan 8 artiklassa sekä Euroopan ihmisoikeussopimuksen 8 artiklassa perus- ja ihmisoikeutena turvatun henkilötietojen suojan toteuttaminen ei voi enää jatkossa perustua nykyisen sääntelymallin varaan. Sitä vastoin henkilötietojen suojan toteuttaminen tulisi jatkossa ensisijaisesti taata yleisen tietosuoja-asetuksen ja säädettävän kansallisen yleislain nojalla. Tähän liittyen tulisi välttää kansallisen erityislainsäädännön säätämistä sekä varata sellaisen säätäminen vain tilanteisiin, joissa se on yhtäältä sallittua tietosuoja-asetuksen kannalta ja toisaalta välttämätöntä henkilötietojen suojan toteuttamiseksi (PeVL 2/2018 vp).

Perustuslakivaliokunnan lausunnoista onkin muotoutumassa pikku hiljaa viesti lainvalmisteluun. Henkilötietojen suojaa koskeva sääntelymalli on uudistettava. Jotta perustuslakivaliokunta voi arvioida sääntelyyn liittyvää mallia perustuslain 74 §:ssä tarkoitetulla tavalla, tulisi valtioneuvoston valmistella kansallinen yleislaintasoinen lainsäädäntö, jonka perusteella kokonaisarviointi voidaan tehdä perustuslakivaliokunnassa. Muotoutumassa oleva linjaus tarkoittaa, että pyrkimykset sääntelyn sujuvoittamisesta, turhien normien purkamisesta ja hallinnollisen taakan keventämisestä ovat mahdollisia toteuttaa tietojenkäsittelyä ja tiedonhallintaa koskevassa sääntelyssä, kunhan eduskuntaa tuodaan käsiteltäväksi asianmukaisesti ja selkeästi laadittu yleislaki tai yleislait henkilötietojen käsittelyn perusteista siltä osin kuin sille on tarvetta kansallisessa lainsäädännössä tietosuoja-asetuksen lisäksi.

Tällä hetkellä kuitenkin sääntelymallin kehittäminen on varsin sekavaa ja sitä on tehty viimeisen puolen vuoden aikana oikeusministeriön suojissa ilman avointa valmistelua. Epäselvä sääntelyn kehittämistä koskeva tilanne kulminoitui valtiovarainvaliokunnan mietinnössä (VaVM 20/2017 vp), jossa todettiin, että perustuslakivaliokunnan peräänkuuluttamaa kattavaa arviointia erityislaissa olevasta sääntelytarpeesta ei ole mahdollista vielä tehdä. Valiokunnan mukaan riittävät edellytykset syntyvät vasta, kun kansallista yleislakia koskeva esitys on annettu ja EU:n tietosuoja-asetuksesta on saatu auktoritatiivisia tulkintoja. Valiokunta jäi siten odottamaan paitsi kansallista yleislakia henkilötietojen suojasta, mutta myös varsin poikkeuksellisesti ilmaistuina auktoritatiivisia tulkintoja tietosuoja-asetuksesta. Eduskunnassa on siten jääty nyt odottelemaan tietosuoja-asetuksen tulkintoja, joita muotoilevat unionin tuomioistuin sekä tietosuoja-asetuksen säädetty Euroopan tietosuojaneuvosto. Näiltä osin kansallinen lainsäädäntövaltaa käyttävä eduskuntamme on ajautunut tilanteeseen, jossa ei ole selvää, miten Suomeen luotu raskas, monimutkainen ja kaksinkertainen sääntelymalli on purettavissa.

KANSALLINEN TIETOSUOJA-ASETUKSEN TÄYTÄNTÖÖNPANON VALMISTELU

Kansallista henkilötietojen suojaa koskevan lainsäädännön yhteensovittamista on pohdittu oikeusministeriön asettamassa nk. TATTI-työryhmässä, jossa ensivaiheessa valmisteltiin myös kansallisen tietosuojalain luonnosta. Työryhmä julkaisi mietintönsä kesäkuussa 2017 ja se ei ollut yksimielinen. Lakiehdotuksen luonnos sai useilta toimijoilta kriittistä palautetta lausunnoissa, kuten Itä-Suomen yliopistolta.

Tietosuojalakia on nyt jatkovalmisteltu hieman alle puolen vuoden ajan oikeusministeriössä virkatyönä ilman avointa jatkovalmistelua. Tietosuojalain luonnoksesta on kuitenkin saatavissa julkinen 18.1.2018 päivätty versio, joka on toimitettu lainsäädännön arviointineuvostolle. Tältä osin on syytä huomata, että luonnos on vasta jatkovalmistelussa tehdyn virkatyön tulos eikä hallituksen esitys. Siten seuraavassa esitetty arviointi perustuu vain luonnosvaiheessa olevaan asiakirjaan eikä viralliseen esitykseen, vaikka se on ollut toisessa viranomaisessa lausuttavana.

Lainsäädännön arviointineuvosto antoi varsin kriittisen lausuntonsa tietosuojalain luonnoksesta 8.2.2018. Arviointineuvosto katsoi, että luonnoksessa on merkittäviä puutteita. Neuvoston mukaan ilman puutteellisuuksien korjaamista on vakavasti harkittava, voiko hallituksen esitystä antaa eduskunnalla käsiteltäväksi. Neuvoston mukaan luonnoksen pohjalta ei todennäköisesti pysty muodostamaan riittävää ja perusteltua käsitystä esityksestä, eikä sen taloudellisista ja yhteiskunnallisista vaikutuksista. Arviointineuvosto totesi, että luonnos on osin vaikealukuinen. EU:n tietosuoja-asetuksen soveltajakunta on laaja, jolloin lakia soveltavat lähinnä muut kuin asiantuntijat. Neuvoston mukaan tämän vuoksi täytäntöönpanoa koskevan lain tulisi olla erityisen selkeä.

Arviointineuvoston havainto luonnoksen vaikealukuisuudesta on merkityksellinen perusoikeuksien toteuttamisen kannalta katsottuna. Perustuslakivaliokunta on toistuvasti todennut, että sääntelyn selkeyteen on syytä kiinnittää erityistä huomiota perusoikeuskytkentäisessä sääntelyssä, joka koskee luonnollisia henkilöitä heidän tavanomaiseen elämäänsä kuuluvissa toiminnoissa (PeVL 2/2018 vp, PeVL 31/2017 vp, PeVL 45/2016 vp). Tietosuojaa koskeva sääntely kuuluu väistämättä tällaiseen erityistä selkeyttä edellyttävään sääntelyyn.

Tältä osin arviointineuvoston kritiikki on otettava lakiehdotuksen jatkovalmistelussa vakavasti huomioon. Tietosuojalain 18.1.2018 luonnos pitää sisällään sellaisia säädöstekstiluonnosten muotoiluja aivan kuin ne olisivat käännöksiä jonkin muun maan säädöstekstistä. Lisäksi säännöksissä on epäselvyyttä lisääviä sisäisiä ristiinviittauksia. Ongelmaa sääntelyn epäselvyydestä lisää tietosuoja-asetuksen suomenkielinen virallinen versio, joka on monin paikoin vaikealukuinen ja pitää sisällään huonoa suomen kieltä. Lisäksi tietosuoja-asetuksen virallisessa käännöksessä on selkeitä virheiltä vaikuttavia epäloogisuuksia suhteessa esimerkiksi englannin- ja ruotsinkielisiin käännösversioihin. Suomi on yksi Euroopan unionin virallisista kielistä ja sääntelyltä, joka on suoraan sovellettavaa oikeutta Suomessa, tulee edellyttää käännöstyöltä hyvän ja ymmärrettävän kielenkäytön vaatimusta jo perusoikeuksien toteuttamisenkin kannalta katsottuna.  Nyt tässä on selkeästi parantamisen varaa.

Useissa ministeriöissä on tehty myös valmistelua kansallisen erityislainsäädännön sovittamisesta tietosuoja-asetuksen kanssa. Osa näistä valmistelluista lakiehdotusluonnoksista on ollut jo lausunnoillakin. Monissa luonnoksissa muutokset ovat varsin pieniä ja niissä pyritään tekemään viittauksia tietosuoja-asetukseen ja kansalliseen tietosuojalakiin. Perustuslakivaliokunta on suhtautunut kriittisesti myös tällaisiin informatiivisiin viittaussäännöksiin (PeVL 49/2017 vp). Ministeriöissä tehty työ jääneekin nyt odottelemaan kevääksi, että kansallinen tietosuojalaki on käsitelty eduskunnassa. Tämä tarkoittaa sitä, että 25.5.2018 Suomessa ei ole täysin sovitettua lainsäädäntöä tietosuoja-asetuksen kanssa.

Koska näyttää siltä, että laaja sääntelyyn kohdistuva päivitystyö ei ole edennyt mallisuoritukseen, onkin syytä vakavasti harkita tietosuoja-asetuksen kansallisen valmistelun ja täytäntöönpanon riippumatonta jälkiarviointia kansallisen lainvalmistelun sekä siihen selkeästi kaivattavan valtioneuvostotasoisen hankejohtamisen kehittämiseksi. Jälkiarvioinnin tulokset voisivat tehostaa muutenkin EU-sääntelyn kansallisia täytäntöönpanotoimia laajemmin ja yleisellä tasolla. Esimerkiksi hankintalainsäädännön uudistaminenkin viivästyi vuonna 2016 täytäntöönpanotoimien hitauden vuoksi.

PARANNUKSIA TIETOSUOJALAKILUONNOKSEEN, MUTTA KEHITETTÄVÄÄKIN LÖYTYY VIELÄ

Tietosuojalain 18.1.2018 luonnos on muuttunut monin osin siitä, mitä se oli kesällä lausuntokierroksella. Lausunnoissa annettu palaute on otettu huomioon lakiehdotuksen jatkovalmistelussa. Tammikuun versiossa ehdotetaan, ettei hallinnollista seuraamusmaksua voisi määrätä valtion viranomaisille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille eikä tasavallan presidentin kanslialle. Säännösehdotus rajaisi viranomaistoiminnan liittyvän henkilötietojen käsittelyn pääosiltaan pois hallinnollisten seuraamusmaksujen piiristä perustelluista syistä, kuten monissa lausuntokierroksella annetuissa lausunnoissa esitettiin. Rajaus koskee nimenomaan viranomaisia eikä suinkaan kaikkea julkisen hallinnon toimintaa. Hyvä näin.

Sääntelyyn jää kuitenkin rakenteellisia ongelmia. Esimerkiksi hallinnollista seuraamusmaksua ei saa määrätä, jos on kulunut yli kymmenen vuotta siitä, kun rikkomus tai laiminlyönti on tapahtunut. Vanhentumisaika on varsin pitkä, kun otetaan huomioon, että rikosoikeudellisessa järjestelmässä henkilötietoihin kohdistuvat rikokset vanhenevat kahdessa vuodessa ehdotettavana olevana tietosuojarikoksena (nykyisin vielä henkilörekisteririkos). Viranomaisissa henkilötietojen käsittelyyn liittyviä rikoksia on ehtinyt vanhentumaan monesti henkilörekisteririkoksina, mutta syytteitä on nostettu tästä huolimatta vielä virkavelvollisuuden rikkomisesta, jossa vanhentumisaika on viisi vuotta. Nyt Suomeen ollaan luomassa järjestelmä, jossa rekisterinpitäjään tai henkilötietojen käsittelijään voidaan kohdistaa hallinnollinen seuraamusmaksu 10 vuoden vanhentumisajalla, kun tietosuojarikos vanhenee kahdessa vuodessa ja virkarikoksenakin viidessä vuodessa. Vanhentumisajoissa onkin havaittavissa jonkinasteista epäsuhtaa, jota tulisi vielä erikseen perustella lakiehdotuksen valmistelussa. Perustuslakivaliokunta on asiallisesti rinnastanut rangaistusluonteisen taloudellisen seuraamuksen rikosoikeudelliseen seuraamukseen (PeVL 28/2014 vp ja PeVL 9/2012 vp).  Perustuslakivaliokunta on hallinnollisten seuraamusten yhteydessä todennut, että sääntelyn tulee olla täsmällistä ja hyväksyttävää, ja seuraamuksen tulee olla oikeassa suhteessa tekoon. Lisäksi järjestelmän kokonaisuudessaan tulee täyttää suhteellisuuden vaatimukset (PeVL 23/1997 vp, PeVL 56/2014 vp, PeVL 61/2014 vp).

TIETOSUOJALAUTAKUNTA LAKKAA, MUTTA UUSI ILMEISEN TARPEETON LAUTAKUNTA TULEE TILALLE

Tietosuojasääntelyn päivittämisen yhteydessä tietosuojalautakunta menettää tarpeellisuutensa, joskin sen rooli on jäänyt viimeisen 15 vuoden aikana varsin marginaaliseksi ja näkymättömäksi muutenkin. Tietosuojalautakunnan toiminnasta ei saanut tällä vuosikymmenellä useaan vuoteen tietoja, koska se jätti ratkaisunsa julkaisematta. Ratkaisuista tiedottamatta jättäminen on sekin ongelma julkisuuslain 20 §:n kannalta katsottuna. Sittemmin ratkaisuja on julkaistu jälkikäteen muutamalta vuodelta.

Tietosuojasääntelyn päivittämisen yhteydessä ei näytetä haluavan luopua lautakunnasta, vaan lakiehdotusluonnos sisältää ehdotuksen asiantuntijalautakunnasta, jonka tehtävänä olisi tietosuojavaltuutetun pyynnöstä antaa lausuntoja henkilötietojen käsittelyä koskevan lainsäädännön soveltamiseen liittyvistä merkittävistä kysymyksistä. Luonnoksen perustelujen mukaan ”asiantuntijalautakunta olisi tietosuojavaltuutetun toimistoon kuuluva toimiston sisäinen asiantuntijaelin, joka antaisi lausuntoja tietosuojavaltuutetun pyynnöstä henkilötietojen käsittelyä koskevan lainsäädännön soveltamiseen liittyvistä kysymyksistä”. Lisäksi luonnoksen mukaan asiantuntijalautakunnalla ei olisi muodollista päätösvaltaa.

Lakiehdotuksen mukaan lautakunnan jäseniin sovellettaisi rikosoikeudellista virkavastuuta. Lautakunnan jäsenet toimivat palkkiota vastaan. Lautakunnan nimittäisi kolmeksi vuodeksi kerrallaan valtioneuvosto. Asiantuntijalautakunta voisi kuulla ulkopuolisia asiantuntijoita. Siis lakiehdotusluonnoksen mukaan lautakunnan jäsenet olisivat virkavastuussa lautakunnan antamista lausunnoista, jotka eivät olisi oikeudellisesti sitovia, vaan tietosuojavaltuutettua konsultoivia. Lautakunnalla ei olisi edes muodollista päätösvaltaa, joten virkavastuun kantaminenkin taitaa jäädä lautakunnassa muodolliseksi.

Ehdotus asiantuntijalautakunnasta on vähintäänkin epämääräinen ja herättää kysymyksiä siitä, kenen intressejä tällaisella ehdotuksella lautakunnasta ajetaan. Lautakunnan toiminta olisi täysin riippuvaa siitä, olisiko tietosuojavaltuutetulla asioita, joista hän näkisi tarpeelliseksi pyytää lautakunnalta lausuntoa. Lakiehdotusluonnoksen mukaan lausuttavan asian tulisi olla merkittävä. Lakiehdotusluonnos pitää sisällään mahdollisuuden, että tietosuojavaltuutettu voi käyttää myös ulkopuolisia asiantuntijoita, joten tietosuojavaltuutettu ei jää tehtäviään suorittaessaan asiantuntijalautakunnan varaan, vaikka tietosuojavaltuutetun toimistosta ei löytyisi asiantuntemusta jonkin alan erityiskysymyksiin. Lisäksi on otettava huomioon, että tietosuoja-asetukseen liittyviä merkittäviä tulkintakysymyksiä käsittelee Euroopan tietosuojaneuvosto, jonka kanssa lautakunnan toiminta ei voi olla rinnakkaista. Tämäkin rajaa lautakunnan mahdollisuuksia toimia.

Jos luonnoksessa esitetty ehdotus etenee, Suomessa ei liene toista ilmeisen tarpeetonta lautakuntaa. Lainsäädännössä on säädetty paljon erilaisia lautakuntia. Muualla säädetyt lautakunnat ovat pääosin itsenäisiä viranomaisia, jotka tekevät oikeudellisesti merkityksellisiä ratkaisuja etuihin, oikeuksiin ja velvollisuuksiin liittyen. Muutama lainsäädännössä oleva lautakunta muistuttaa tosin enemmän neuvottelukuntaa, kuten oikeusministeriön yhteydessä toimiva turvallisuusselvitysasioiden arviointikriteerilautakunta. Ehdotettavan lautakunnan tehtävä rajautuisi lausuntojen antamiseen ja ne eivät sitoisi ketään – ei edes tietosuojavaltuutettua, joka voisi pyytää lausuntoja myös muilta asiantuntijoilta.

Lautakunnan perustamisen ehdottaminen edellyttäisi avointa keskustelua sen tarpeellisuudesta sekä siitä, mistä tällainen idea lautakunnan perustamisesta on peräisin ja kenen intressissä. Tietosuojavaltuutetun toimistolla on jo usealla alalla toimivia asiantuntijaverkostoja. Tässä asetelmassakin asiantuntijalautakunta vaikuttaa olevan syntyvä käenpoikanen. Asiantuntijalautakunta lienee vasta idea-asteella, joten sen tarpeellisuutta on syytä pohtia vielä huolellisesti ennen sen sisällyttämistä varsinaiseen hallituksen esitykseen tarkempine perusteluineen.

Tarpeeton sääntely kannattaa pitää myös mielessä erilaisia muita viittaussäännöksiä pohdittaessa tietosuojalakiin. Niitäkin luonnoksessa näytti olevan useita. Kansallisen yleislainsäädännön kehittämistä tulee jatkaa myös 25.5.2018 jälkeen, jotta henkilötietojen suojaa koskevaa erityislainsäädäntöä voidaan purkaa ja sääntelyä selkeyttää yleislainsäädännön tasolla. Tietosuojalaki ei vielä kaikilta osin palvele näitä tavoitteita.

Informoi käyttöehdoista, älä käyttöehdoissa

 

 

 

Denis Galkin

Kirjoittaja työskentelee nuorempana tutkijana Itä-Suomen yliopiston oikeustieteiden laitoksella.

Useimmilla tietoverkon palveluilla on jonkinlaiset käyttö- tai sopimusehdot. Näillä ehdoilla ei ainoastaan sovita palvelun käyttöön liittyvistä kysymyksistä, vaan niitä käytetään hyvin moninaisiin tarkoituksiin: ehdoissa saatetaan informoida käyttäjää esimerkiksi henkilötietojen käsittelyyn liittyvistä seikoista, hankitaan käyttäjän suostumus laajaan henkilötietojen käsittelyyn tai annetaan muuta yleisluontoista tietoa palvelusta. Informoimiseen, suostumuksen antamiseen ja käyttöehtoihin liittyvät ymmärrettävyysvaatimukset jäävät helposti täyttymättä silloin, kun nämä nivotaan yhdeksi kokonaisuudeksi.

Rekisterinpitäjän informoidessa rekisteröityä henkilötietojen käsittelystä kyse on rekisterinpitäjän lakiin perustuvasta velvollisuudesta antaa tietoja rekisteröidylle (GDPR 13 ja 14 artiklan mukaan rekisteröidylle, eli palvelun käyttäjälle, on toimitettava säännöksissä mainitut tiedot). Säännökset eivät velvoita rekisteröityä mihinkään toimintaan informoiduksi tulemisen johdosta, minkä vuoksi informoimisessa on kyse rekisterinpitäjän yksipuolisesta henkilötietojen suojan toteuttamiseen liittyvästä velvollisuudesta.

SUOSTUMUS EI OLE SOPIMUSEHTO

Suostumustilanteessa rekisteröity antaa hyväksynnän henkilötietojensa käsittelyyn (GDPR 6 artikla 1 kohdan a alakohta). Vaikka suostumus on henkilötietojen käsittelyn lähtökohtainen peruste, yleisemmin henkilötietojen käsittely perustuu johonkin muuhun säännöksissä mainittuun käsittelyperusteeseen, kuten sopimuksen täytäntöönpanoon tai asiakassuhteeseen (oikeutettu etu). Euroopan unionin tietosuojaryhmän kannanoton (WP29 lausunto 15/2011 suostumuksen määritelmästä) mukaan rekisterinpitäjä, joka käyttää sopimuksen täytäntöönpanoa henkilötietojen käsittelyn oikeudellisena perusteena sopimuksen tekemisen yhteydessä, ei luo oikeutta sen avulla laajuudeltaan kohtuuttomaan tietojen käsittelyyn. Rekisterinpitäjä tarvitsee rekisteröidyn yksilöidyn suostumuksen, kun käsittely ylittää sopimuksen täytäntöönpanon tarpeellisuuden rajat. Tämä tarkoittaa sitä, että suostumuksen saaminen voi olla lisäedellytys osalle tietojenkäsittelystä, kun käsittely ei liity sopimuksen täytäntöönpanoon, mutta on asiallisesti tarpeellista palvelun tarjoamiseksi tai käyttämiseksi.

Kun henkilötietojen käsittely perustuu suostumukseen, rekisterinpitäjän palvelussa on oltava sellaiset toiminnallisuudet, joiden avulla käyttäjä voisi antaa suostumuksen, joka täyttää vapaaehtoisen, yksilöidyn, tietoisen, yksipuolisen ja yksiselitteisen tahdonilmaisun tunnusmerkit (GDPR 7 artikla). Käytännössä tämä tarkoittaa muusta sisällöstä erillään esitettyä suostumuslauseketta, jonka käyttäjä voi palveluun rekisteröityessään erikseen hyväksyä tai jättää hyväksymättä. Suostumuslausekkeen hyväksymättä jättäminen ei saa johtaa käyttäjän kannalta negatiivisiin seurauksiin. Tässä suhteessa on erityisen merkityksellistä, ettei suostumusta sisällytetä yleisiin sopimus- ja käyttöehtoihin, vaan suostumusta pyydetään erillisellä selkeällä suostumuslausekkeella, jossa on selkeä tahdonilmaisua osoittava mekanisminsa, kuten asetuksessa mainittu erillinen rastitettava ruutunsa.

Rekisteröidyn suostumusta osoittava tahdonilmaisu ei velvoita rekisterinpitäjää minkäänlaiseen reagoimiseen, saati toimintaan. Suostumus mahdollistaa rekisterinpitäjälle henkilötietojen käsittelyn sallittuihin käyttötarkoituksiin, joista on informoitu palvelun käyttäjää suostumuspyynnön esittämisen yhteydessä. Suostumus sitoo rekisteröityä hyvin rajallisesti, sillä rekisteröity voi koska tahansa perua suostumuksensa ilman varoaikaa, jolloin sopimuksiin tyypillistä sopimuksen irtisanomislausekkeita ei voi tässä yhteydessä käyttää.

KÄYTÖN EHDOT ELI KÄYTTÖEHDOT

Käyttöehtoja on pidettävä sopimuksena, johon palvelun käyttäjän sitominen tapahtuu joko aktiivisella tahdonilmaisulla tai konkludenttisesti, eli hiljaisella hyväksynnällä. Tilanteissa, joissa käyttäjä sidotaan käyttöehtoihin ilman, että käyttäjältä vaaditaan aktiivista tahdonilmausta, on käyttäjän todisteellinen ja yksiselitteinen informoiminen ehdoista ehdoton vaatimus sopimussuhteen muodostumiselle. Tämä periaate käy erityisesti ilmi yksityistä pysäköinninvalvontaa koskevasta korkeimman oikeuden ratkaisusta KKO 2010:23. Tällaisessa informoimisessa on kyse sopimus- tai käyttöehtojen ilmaisemisesta palvelun käyttäjälle, ja käyttäjän on ymmärrettävä, että jatkamalla palvelun käyttöä hän sitoutuu hänelle esitettyihin ehtoihin.

YHTEENVETO

Rekisteröidyn informoimisen, suostumuksen ja käyttöehtojen luonnetta ja keskinäistä eroavuutta voidaan havainnollistaa seuraavalla kaavalla. Henkilötietojen käsittelystä informointi on palvelun tarjoajan yksipuolinen toimenpide, joka ei vaadi käyttäjän aktiivista reagoimista. Suostumus taas edellyttää, että palvelun tarjoaja luo palveluun suostumuksen tunnusmerkkien edellyttämät toiminnallisuudet, joiden perusteella käyttäjä voi antaa halutessaan suostumuksen tietoisena tahdonilmauksena. Käyttöehdot puolestaan muodostavat kaksisuuntaisen sopimussuhteen, joka velvoittaa kumpaakin osapuolta.

Informointivelvollisuus sekä siihen läheisesti liittyvät velvollisuudet edellyttävät annettavan informaation ymmärrettävyyttä ja selkeyttä. Suostumusta koskevan pyynnönkin on oltava ymmärrettävä, jotta rekisteröity voi antaa tietoon perustuvan selkeän tahdonilmauksen. Käyttöehtojen on puolestaan oltava kuluttajansuojan näkökulmasta selkeitä ja ymmärrettäviä. Informointivelvollisuuden, suostumuksen ja käyttöehtojen sekä muiden sopimusehtojen nivominen yhteen kokonaisuuteen johtaa siihen, ettei tietoverkon palvelussa pystytä toteuttamaan eri säädöksissä asetettuja vaatimuksia. Tällöin on riski sille, että edellytyksiä henkilötietojen käsittelylle ei ole olemassa tai käyttöehdot eivät ole sitovia sopimusehtoina. On sekä käyttäjän että palvelun tarjoajana etujen mukaista, että informointi, henkilötietojen käsittelyperusteet sekä sopimusehdot ovat ymmärrettäviä, jolloin niiden varaan voidaan rakentaa onnistunut palvelukokemus.

Lue lisää aiheesta artikkelista Voutilainen, Tomi – Galkin, Denis: Käyttäjän tiedollisten oikeuksien suhde tietoverkossa tarjottavan palvelun käyttöehtoihin. Itä-Suomen yliopiston opiskelijat voivat puolestaan vahvistaa omaa tietoteknologiaoikeudellista osaamistaan Digitalisaatio ja oikeus –kurssilla (5311317).

Teknologiakehitys ja sen sääntely eivät ohjaa tulevaisuutta samaan suuntaan

Tommi Oikarinen

Kirjoittaja on projektitutkija oikeustieteiden laitoksella.

TULEVAISUUDEN TEKNOLOGIAKEHITYS tulee muuttamaan nykyistä toimintaympäristöämme useilla eri sektoreilla. Valtiovarainministeriön raportissa ”Pilkahduksia tulevaisuuteen – digitalisaation ja robotisaation mahdollisuudet” (VM 10/2017) toiminnan uudistaminen teknologian tarjoaminen mahdollisuuksien rajoissa – eli digitalisaatio – on nostettu päivän sanaksi. Digitalisaation lisäksi muun muassa robotiikka, keinoäly, puheohjaus sekä virtuaali- tai lisätty todellisuus ovat jo olemassa olevaa arkipäivää, johon yhteiskuntamme toiminnan pitää sopeutua.

TEKNOLOGIAKEHITYKSEN RINNALLA käsitys tiedosta ja sen hallinnasta on myös muuttumassa. Meistä kaikista tallennetaan jatkuvasti valtavia määriä tietoa julkishallinnon rekistereihin, yritysten asiakasjärjestelmiin ja käyttämiemme verkkopalvelujen tietokantoihin. Alaa valtaavana ideologiana My Data (omatieto) muodostaa ihmiskeskeisen lähestymistavan henkilötiedon hallintaan ja käsittelyyn sekä antaa ihmisille oikeuden ja pääsyn heistä kerättyyn dataan. Samalla henkilötiedon yhteiskunnallisen, taloudellisen ja vaihdannallisen arvon nousu luo enenevässä määrin paineita tiedonkäyttörajoitteiden uudelleen pohdinnalle. Omien tietojen hallintaa ja yksityisyyden suojaa koskevien vaatimusten lisäksi tiedon hyödyntämistä vaikeuttaa nykyisin tiedon ja sen hallinnan pirstaleisuus.

PÄÄMINISTERI JUHA Sipilän hallitusohjelma kuvaa tulevaisuuden tavoitetilaksi Suomen kilpailukyvyn rakentumisen korkealle osaamiselle, kestävälle kehitykselle sekä ennakkoluulottomalle uudistamiselle kokeiluja ja digitalisaatiota hyödyntäen. Ohjelmaan sisältyy lisäksi tavoite luoda avoimella datalla ja tietovarantojen paremmalla hyödyntämisellä edellytyksiä uusille liiketoimintaideoille sekä tietoon perustuvan päätöksenteon ja avoimuuden vahvistaminen johtamisen ja toimeenpanon uudis-tamisessa.

TEKNOLOGIAKEHITYKSEN AVULLA tavoitellut uudet toimintamallit ja voimassa oleva sääntely eivät kaikilta osin ohjaa tulevaisuutta samaan suuntaan. Yhteiskunnallemme on tavanomaista, että kansalaisten ja yritysten sekä julkisen hallinnon toimintaa rajataan tuotosten ja toimintatapojen osalta lainsäädännöllä. Teknologiavaihtoehtojen tarjoamien uusien toimintamallien muodostumista saattaa vaikeuttaa palvelu- tai tiedonkäsittelyprosessien liian tarkka normittaminen lain tasolla. Uuden teknologian hyödyntäminen tuo mukanaan myös uusia riskejä, jotka pitää tunnistaa ja ottaa riittävässä määrin hallintaan. Tällöin digitaalisen turvallisuuden keskiöön nousevat toiminnan jatkuvuuden turvaaminen sekä palveluissa käsiteltävän tiedon saatavuus, eheys ja oikeellisuus. Lisäksi uudet teknologiat nostavat esiin myös uusien sääntelykohteiden tarpeen arvioinnin: tarvitaanko tulevaisuudessa esimerkiksi roboteille erityistä lainsäädäntöä?

TULEVAISUUDEN TARPEITA vastaavan sääntelyn kehittämishankkeita on käynnissä sekä kansallisella tasolla että Euroopan unionin laajuisesti. Hallitusohjelman kärkihankkeiden toimeenpanosuunnitelmaan sisältyy tiedonhallintalain valmistelu, jossa selvitetään julkisen hallinnon tiedonhallintaa koskevan sääntelyn ja tiedonhallintakäytäntöjen nykytilaa ja kehittämistarpeita sekä arvioidaan, onko eri hallinnonaloilla syntynyt julkisuuslain kanssa tarpeetonta tai päällekkäistä tiedonhallintaa koskevaa erityislainsäädäntöä.

EUROOPAN UNIONIN tietosuojalainsäädäntö uudistui, kun yleinen tietosuoja-asetus tuli voimaan 24. toukokuuta 2016. Tietosuoja-asetusta sovelletaan kahden vuoden siirtymäajan jälkeen 25. toukokuuta 2018 alkaen, jolloin henkilötietojen käsittelyn on oltava tietosuoja-asetuksen mukaista. Tietosuoja-asetuksen tarkoituksena on ajantasaistaa tietosuojaa koskevaa sääntelyä, jotta voidaan vastata teknologian kehitykseen ja globalisaatioon liittyviin henkilötietojen suojaa koskeviin haasteisiin sekä lisätä henkilötietojen käsittelyn avoimuutta ja läpinäkyvyyttä sekä vahvistaa rekisteröityjen oikeuksia valvoa henkilötietojensa käsittelyä.

UUSIEN TEKNOLOGIOIDEN ja niitä koskevien reunaehtojen ja rajoitteiden ymmärtäminen ja soveltaminen edellyttää uudenkaltaista osaamista. Valtionhallinnossa tehdyssä ”Digitalisaation vaatimat osaamiset valtiolla” -kyselyn tulosten perusteella tulevaisuudessa kaikilta työntekijöiltä vaadittavaksi perusosaamiseksi kuuluvat muun muassa digitaalisten palvelujen ja työvälineiden käyttö sekä ymmärrys digitalisaation vaikutuksista omaan toimintaan ja toimintaympäristöön sekä riskienhallinta. Näiden osaamisvaatimusten yhden keskeisen perustan muodostaa ymmärrys tiedonhallintaa ja tietoteknologiaa koskevasta sääntelystä.

ITÄ-SUOMEN YLIOPISTON oikeustieteiden laitos järjestää keväällä 2017 opintojakson tietoteknologiaoikeudesta (5311317 J: Tietoteknologiaoikeus, 5 op). Opintojakson tavoitteena on muodostaa osallistujille tuntemus tietoteknologiaoikeudesta ja tietohallintoa koskevasta sääntelystä sekä tietoteknologian käytöstä oikeudellisessa toiminnassa. Opintojaksolle ilmoittautumisaika umpeutuu helmikuun lopussa. Opintojakso on seminaarikurssi, jonka sisältö vaihtelee osallistujien mielenkiinnon mukaan. Tervetuloa!

Digitaalinen historiatieto säilyy jälkeesi – mutta kuka sitä hallinnoi?

 

 

 

Denis Galkin, Tomi Voutilainen

Galkin on projektitutkija ja Voutilainen julkisoikeuden professori (erityisesti sähköinen hallinto ja informaatio-oikeus) Itä-Suomen yliopistossa.

KÄYTÄMME SÄHKÖPOSTIA, pikaviestipalveluita ja sosiaalisen median palveluita päivittäin. Tietoverkon käytöstä syntyy jokaiseen meistä yhdistettävissä olevia henkilötietoja, joiden käsittely on suojattu tietosuojalainsäädännössä. Tietosuojaan liittyvät kysymykset kattavat kaiken tietoverkossa tapahtuvan tietojenkäsittelyn: Euroopan unionin tuomioistuimen tuoreessa ratkaisussa (C-582/14, 19.10.2016) dynaamisen IP-osoitteenkin katsottiin voivan täyttää henkilötiedon määritelmän.

SE, MITÄ teemme tietoverkossa, on osa digitaalista historiatietoamme. Viime vuosien aikana on tehty erilaisia aloitteita digitaalisen historiatietomme säilyttämiseksi tulevaisuuden tarpeita varten erillisissä digitaalisen tiedon tallennuspalveluissa. Tietojemme tallentamiseen ja hyödyntämiseen liittyy yksityiselämän suojaa koskevia perusoikeuskysymyksiä: miten tällaisissa palveluissa toteutetaan henkilötietojen, luottamuksellisen viestinnän ja omaisuuden suoja? Tietoa kertyy paitsi meistä itsestämme, mutta myös viestintämme muista osapuolista: sukulaisista, työkavereista, ystävistä ja asiakkaista.

HISTORIATIETOJEN SÄILYTYSTARPEET ovat lähtökohtaisesti omiamme, mutta niille voi syntyä myös muita käyttötarpeita esimerkiksi tutkimustarkoituksessa. Lähetetyt ja vastaanotetut digitaaliset viestit osoittautuvat ulkopuolisesta tutkijasta mielenkiintoiseksi, jos viestien lähettäjä tai vastaanottaja on ammattinsa puolesta kiinnostava henkilö: esimerkiksi taiteilijoiden ja poliittisten päättäjien kirjeenvaihto on aina ollut perinteisessä, paperisessa muodossaankin tutkijoiden kiinnostuksen kohteena. Niin ikään toimittajien ammatissa kertyy tietoaineistoa, josta voi olla iloa media- tai historiantutkijoille. Myös tutkijoille itselleen voi syntyä merkittäviä digitaalisia tietoaineistoja tutkimuksen tekemisen yhteydessä, jotka vuorostaan kiinnostavat muita tutkijoita.

TYYPILLISESTI ULKOPUOLISTEN mielenkiinto kasvaa syntyneeseen historiatietoon, kun viestin lähettäjä tai vastaanottaja kuolee. Suomalaisessa sääntelyssä ei ole selvää, millaisia mahdollisuuksia sivullisilla on digitaalisiin historiatietoihin tai missä asemassa kuolleen henkilön perilliset ovat digitaalisen jäämistön suhteen. Digitaaliseen jäämistövarallisuuteen liittyviä kysymyksiä selvitettiin muutama vuosi sitten, mutta mitään näkyviä kestävällä pohjalla olevia toimenpiteitä selvityksen pohjalta ei ole tehty, ainoastaan Viestintäviraston tulkinnanvarainen kirje teleyrityksille, joka sekään ei varsinaisesti perustunut selvityksen tuloksiin.

VAINAJAN ELINAIKANA syntyneiden viestintätietojen luottamuksellisuudesta on käyty jonkin verran keskustelua valiokunnissa tietoyhteiskuntakaaren (221/2013) eduskuntakäsittelyn yhteydessä (PeVL 18/2014 vp ja LiVM 10/2014 vp). Valiokunnissa kritisoitiin tietoyhteiskuntaakaaren hallituksen esitystä, jonka mukaan vainajan perillisten on katsottu tulevan yleisseuraannon perusteella vainajan henkilökohtaisten sähköisten viestien osalta viestinnän osapuoliksi vainajan sijaan. Perustuslakivaliokunta totesikin, että olennaista on, että vainajan viestintää koskevalla sääntelyllä saattaa olla vaikutuksia myös muiden henkilöiden yksityiselämän ja luottamuksellisen viestin salaisuuden suojan kannalta. Valiokunta piti perusteltuna, että tätä kysymystä selvitetään jatkossa erikseen osana asian jäämistöoikeudelliset erityispiirteet huomioon ottavaa kokonaisarviointia. Liikenne- ja viestintävaliokunta tyytyi puolestaan mietinnössään (LiVM 10/2014 vp) kannustamaan henkilön sähköisessä muodossa olevan omaisuuden oikeudellisen aseman selvittämiseen nykyisen oikeustilan selkeyttämiseksi. Parlamentaarisesta kannustuksesta huolimatta lainvalmistelusta vastaavat ministeriöt eivät ole saaneet näkyviä tuloksia aikaan, vaikka digitalisaatio on nykyisenkin hallituksen yksi kärkihankkeista.

KÄYTTÄESSÄMME ERILAISIA palveluita meidän tulisi aina varmistaa, mihin keräämiämme tietoja käytetään, kenellä on oikeus käyttää keräämiämme tietoja ja miten tiedoille käy, jos palvelun tuottaminen loppuu tai käyttäjä haluaa lopettaa palvelun käytön. Verkkopalveluiden käyttö perustuu usein joko käyttöehtoihin tai sopimuksiin. Käyttäjän on muistettava, että hän on sitoutunut noudattamaan ehtoja – tietämättömyyteen ei voi myöhemmin vedota. Samanaikaisesti palveluntarjoajalle ehdot toimivat väylänä kertoa käyttäjälle palvelun toiminnasta. Käyttöehdoilla palveluntarjoaja ei voi kuitenkaan toteuttaa laissa säädettyä velvollisuuttaan informoida käyttäjää tämän lainmukaisista oikeuksista.

KÄYTTÄJÄN TULEE lisäksi aina varmistaa, onko hänellä oikeus kerätä ja tallentaa tietoja toisista henkilöistä ja julkistaa niitä. Rajoittavatko myös tekijänoikeudet tietojen keräämistä ja hyödyntämistä tietoverkossa? Erityisesti taloudelliselta tai historialliselta arvoltaan merkityksellisten tai arkaluonteisten tietoaineistojen osalta kannattaa myös selvittää, miten niitä pääsee käsittelemään erilaisissa tiedontallennuspalveluissa sen jälkeen, kun käyttäjä kuolee, ja toisaalta, voiko käyttäjä estää esimerkiksi arkaluonteisten tietojen luovuttamisen palvelusta hänen omaisilleen kuolemansa jälkeen.

KEHITETTÄESSÄ YHTEISKUNTAAMME digitaalisten palveluiden varaan on oikeudellisen sääntelyn pysyttävä mukana kehityksessä. Tulkinnanvarainen tai vanhentunut sääntely voi johtaa siihen, että erilaisia palveluinnovaatioita ei voida toteuttaa. Toisaalta kehitystyössä on huomioitava perusoikeuksien toteuttaminen, vaikka sääntelyä kehitettäisiinkin digitalisaatiota ajopuuna käyttämällä.

Kirjoittajat ovat laatineet selvityksen Mikkelin ammattikorkeakoulun Digitalia-hankkeelle Kansalaisarkistoon liittyvistä oikeuksista ja velvollisuuksista.