Tulostusversio

3/2010

Palveluntarjoajat: Lainvalinta tuottaa pulmia

Teksti: Eija Warma

Internet ei tunnetusti kunnioita maantieteellisiä rajoja. Palveluntarjoajille maarajat ovat kuitenkin tulleet tutuiksi viime aikoina, kun EU:n jäsenmaat ovat huolestuneet verkkopalvelujen tietosuojasta. Keskustelua käydään siitä, mitä säännöksiä useissa Euroopan maissa toimivien yritysten tulisi noudattaa.

Googlen katukuvapalvelu Street View on herättänyt viime aikoina paljon keskustelua ja myös vastustusta eri Euroopan maissa.

Googlen kamerat kuvasivat Suomea keväällä ja kesällä 2009, ja palvelu julkaistiin helmikuussa 2010. Tietosuojavaltuutettu sai heti palvelun julkaisemisen jälkeen useita yhteydenottoja kansalaisilta. Muutamasta näkymästä kansalaiset tekivät jopa rikosilmoituksia poliisille.

Tietosuojavaltuutettua kiinnosti erityisesti se, miten kansalaisten pyynnöt kuva-aineiston poistamisesta käsitellään ja millä kriteereillä nämä pyynnöt hyväksytään. Tietosuojavaltuutettu oli myös kiinnostunut siitä, mitä Google tekee julkistamattomalle kuvamateriaalille.

Saksassa taas tietosuojaviranomaiset vaativat, että Googlen olisi tullut informoida kansalaisia kiertävästä kamerasta useita viikkoja ennen kuvaamista. Myös kerättävien tietojen säilytysajat ovat herättäneet huolta.

Onko kotipaikalla merkitystä?

Googlen Street View on hyvä esimerkki palveluntarjoajien haasteellisesta asemasta, kun ne toimivat eri alueilla. Palveluntarjoajan tulisi huomioida eri maiden toisistaan poikkeavat tietosuojasäännökset ja -vaatimukset.

Usein kuulee toteamuksen siitä, että yhtiön kotipaikka on Euroopan ulkopuolella ja se on näin ollen velvollinen noudattamaan ainoastaan kotipaikkansa lainsäädäntöä. Toisinaan yhtiöt haluavat noudattaa myös paikallisia säännöksiä, mutta käytännössä toteutus on ollut hyvin vaihtelevaa.

Euroopan komission tietosuojaviranomaisista koostuva ryhmä on lainvalinta-asioissa yhtiöiden kanssa usein eri mieltä. Ryhmä onkin useassa kannanotossaan todennut, että EU-säännökset koskevat EU:ssa toimivia yrityksiä niiden kotipaikasta riippumatta. Tämä näkemysero ei koske ainoastaan Googlen Street View -palvelua vaan myös suurten hakukoneyhtiöiden Yahoon ja Googlen toimintaa sekä sosiaalisen median sivustoja, kuten Facebookia.

Ryhmä laati vuonna 2002 valmisteluasiakirjan (WP 56) EU:n tietosuojalainsäädännön kansainvälisestä soveltamisesta EU:n ulkopuolisten www-sivustojen suorittamaan henkilötietojen käsittelyyn internetissä. Jo siinä ryhmä mainitsee, että EU:n henkilötietodirektiivi tulee sovellettavaksi, "kun rekisterinpitäjä ei ole sijoittautunut yhteisön alueelle mutta päättää käsitellä henkilötietoja tiettyyn tarkoitukseen ja käyttää siinä automatisoituja tai muunlaisia välineitä, jotka sijaitsevat kyseisen jäsenvaltion alueella eikä niitä käytetä ainoastaan tiedonsiirtoon."

Vastaavanlainen säännös on otettu myös osaksi henkilötietolakia. Sen mukaan Suomen lainsäädäntö tulee sovellettavaksi silloin, kun välineet sijaitsevat Suomessa.

EU-säännökset sitovat rekisterinpitäjää

Tuoreempi lausunto vuodelta 2008 (WP 148) koskee hakukoneisiin liittyviä tietosuojakysymyksiä. Siinä ryhmä on jälleen käsitellyt direktiivin soveltuvuutta EU:n ja Euroopan talousalueen (ETA) ulkopuolisiin palveluntarjoajiin, tässä tapauksessa hakukonepalvelujen tarjoajiin.

Jos hakukonepalveluiden tarjoajana on ETAn ulkopuolelle sijoittautunut rekisterinpitäjä, tulee yhteisön tietosuojalainsäädäntö sovellettavaksi kahdessa eri tapauksessa:

  1. Jos kyseessä on hakukonepalvelujen tarjoaja (rekisterinpitäjä), jolla on toimipaikka jäsenvaltiossa ja joka suorittaa tietyn henkilötietojen käsittelytapahtuman sellaisen toiminnan yhteydessä, jota harjoitetaan jäsenvaltion alueella sijaitsevassa toimipaikassa. Palveluntarjoaja esimerkiksi osallistuu kohdistettujen mainosten myyntiin kyseisen jäsenvaltion asukkaille, tai toimipaikka noudattaa tuomioistuimen tai viranomaisen pyyntöjä, jotka koskevat käyttäjätietoja.
  2. Jos kyseessä on hakukonepalveluiden tarjoaja, joka käyttää jäsenvaltion alueella sijaitsevia välineitä. Tällöin palveluntarjoajan tulee myös nimetä kyseisen jäsenvaltion alueelle sijoittunut edustaja. Kun palveluja tarjotaan EU:n ulkopuolelta, voidaan henkilötietojen tallentamiseen ja etäkäsittelyyn käyttää jäsenvaltion alueella sijaitsevia datakeskuksia, henkilökohtaisia tietokoneita, päätelaitteita tai palvelimia. Myös jo pelkästään verkkopalvelun tarjoajan suorittama evästeiden ja vastaavien ohjelmistojen käyttö voidaan katsoa jäsenvaltiossa sijaitsevien välineiden käytöksi. Tällöin on sovellettava kyseisen jäsenvaltion tietosuojalainsäädäntöä.

Näissä kahdessa tilanteessa palveluntarjoaja katsotaan kyseisen jäsenvaltion alueella rekisterinpitäjäksi ja käyttäjä rekisteröidyksi. Osapuolia sitovat kyseisen jäsenvaltion lainsäädännön vaatimukset ja velvoitteet.

Kun kansallinen lainsäädäntö tulee sovellettavaksi, täytyy palveluntarjoajan huolehtia myös siitä, että rekisteröityjä informoidaan riittävästi palvelun sisällöstä ja henkilötietojen käsittelystä. Kiellettyä on myös käyttäjäehtojen yksipuolinen muuttaminen rekisteröidyn oikeuksia heikentävällä tavalla.

Direktiiviehdotus julki ensi vuonna

Palveluntarjoajan kannalta on ymmärrettävää, että komission tietosuojatyöryhmän kanta saattaa herättää vastustusta. Palvelun ja sen ehtojen räätälöiminen eri maantieteellisten alueiden mukaan ja Euroopassa eri jäsenvaltioiden mukaan vaatii resursseja ja taloudellista panostusta.

Erityisesti yhdysvaltalaisten yritysten on ollut vaikeaa ymmärtää EU:n näkemystä direktiivin soveltamisesta ja ylipäätään sitä, että viranomaiset näin voimakkaasti puuttuvat niiden toimintaan: Palvelun kokonaisvaltainen hallinta kun olisi yksinkertaisempaa, jos siihen sovellettaisiin ainoastaan yhden valtion säännöksiä.

Komissiossa on parhaillaan käynnissä henkilötietodirektiivin arviointiprosessi. Direktiivin muutosehdotukset oli tarkoitus julkistaa tämän vuoden marraskuussa, mutta sitä on lykätty alkuvuoteen 2011 valmisteluvaiheessa saadun suuren palautemäärän johdosta.

Komissaari Viviane Reding on jo antanut ymmärtää, että ehdotuksen yhtenä tarkoituksena on yhtenäistää EU-tason soveltamiskäytäntöä. Se tulisi helpottamaan useassa valtiossa toimivien yhtiöiden toimintaa.

On sanomattakin selvää, että lobbarit pyrkivät osaltaan vaikuttamaan muutoksen sisältöön nimenomaan EU:n ulkopuolisten valtioiden näkökulmasta. Se, miten he tehtävässään onnistuvat, jää nähtäväksi alkuvuonna 2011, kun ehdotus uudeksi henkilötietodirektiiviksi julkaistaan.

---

[KIRJOITTAJA]

Asianajaja, LL.M. Eija Warma työskentelee Asianajotoimisto Castrén & Snellman Oy:n palveluksessa. Hän on erikoistunut yksityisyydensuojaan ja henkilötietojen käsittelyyn liittyviin kysymyksiin.

Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.