PYKÄLÄT

Tietosuoja-asetus puuttuu profilointiin

Toukokuussa 2018 sovellettavaksi tuleva tietosuoja-asetus puuttuu asiakkaiden automaattiseen arviointiin, ja asettaa ehtoja mm. automatisoitujen luottopäätösten tekemiselle.

Tieto­suoja-asetus puuttuu profi­lointiin

Tietosuoja-asetus luo raamit sille, millä ehdoilla koneet voivat käsitellä henkilötietoja päätöksenteossa.

Keväällä 2016 voimaan tulleen tietosuoja-asetuksen soveltaminen alkaa yrityksissä ja organisaatioissa toukokuussa 2018. Asetuksessa säännellään entistä laajemmin, miten esimerkiksi asiakkaita tai työnhakijoita voidaan profiloida eli arvioida automaattisen tietojenkäsittelyjen avulla.

Vaikka eurooppalaista tietosuojasääntelyä laadittaessa keskusteltiin jopa profiloinnin kieltämisestä, lopullinen asetus mahdollistaa henkilöiden profiloinnin ilman henkilön suostumusta.

Automaattista tietojen käsittelyä, joka johtaa päätökseen

Yleensä profiloinnilla pyritään ennustamaan henkilön tulevaa käyttäytymistä esimerkiksi aikaisemman toiminnan perusteella. Tietosuoja-asetuksessa profiloinnilla tarkoitetaan mitä tahansa henkilötietojen automaattista käsittelyä henkilön henkilökohtaisten ominaisuuksien arvioimiseksi silloin, kun sillä on henkilöä koskevia oikeudellisia vaikutuksia. Arviointi voi koskea esimerkiksi työsuoritusta, taloudellista tilannetta, mieltymyksiä tai kiinnostuksen kohteita, luotettavuutta tai tulevaa käyttäytymistä.

Asetuksen tarkoittamasta profiloinnista on kyse vain, kun tietojen käsittely on täysin automaattista. Käänteisesti: jos arviointiin liittyy manuaalisia vaiheita, kyse ei ole enää asetuksen tarkoittamasta profiloinnista. Vastaavasti profilointia ei ole sellainen tiedonkäsittely, jossa tietoja ei voida tunnistaa tiettyä henkilöä koskeviksi.

Olennaista määritelmässä on myös se, että profiloinnin perusteella tehdään päätös, jolla on henkilön kannalta oikeudellisia tai muuten merkittäviä vaikutuksia. Asetuksessa ei tarkemmin avata, mitä nämä päätökset käytännössä ovat. Yksi käytännön esimerkki tietosuoja-asetuksen mukaisesta profiloinnista ovat ainakin kuluttajia koskevat automatisoidut luottopäätösmallit, joiden avulla arvioidaan luotonhakijan luottokelpoisuutta ja tulevaa maksukäyttäytymistä ja tehdään päätös luoton myöntämisestä tai epäämisestä.

Henkilön oikeuksien suojasta huolehdittava

Henkilötietoja voidaan käsitellä ja henkilöitä profiloida vain tietosuoja-asetuksessa (artikla 6) mainittujen edellytysten täyttyessä. Käytännössä tyypillisimpiä tietojen käsittelyn perusteita ovat henkilön oma suostumus tai sopimussuhteen solmiminen henkilön kanssa. Kun tietoja käsitellään henkilön antamalla suostumuksella, on hyvä huomioida tietosuojavaltuutetun kanta, jonka mukaan suostumuksen pitää kattaa kaikki käsittelyn tarkoitukset profilointi mukaan lukien.

Tietosuoja-asetus käsittelee laajasti henkilön omia oikeuksia suhteessa automaattiseen henkilötietojen käsittelyyn.

1) Henkilöillä on oikeus saada tieto tietojensa käytöstä profilointitarkoitukseen. Yritykset velvoitetaan tietosuoja-asetuksessa (artiklat 13 ja 14) ilmoittamaan profiloinnista sekä kertomaan merkitykselliset tiedot sen logiikasta, merkittävyydestä ja mahdollisista seurauksista. Henkilöllä on oikeus saada samat tiedot myös tarkistusoikeuden nojalla (artikla 15). Profiloinnin logiikkaa ja merkitystä voidaan avata asiakkaille esimerkiksi esimerkkien avulla.

2) Henkilötietojen käsittelyä ja näin olleen myös profilointia on mahdollista vastustaa (artikla 21) silloin, kun tietojen käsittely perustuu yleiseen etuun tai julkisen vallan käyttämiseen (artikla 6, kohta e) tai rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseen (artikla 6, kohta f). Oikeus vastustaa profilointia ei siis ulotu tilanteisiin, jossa profilointia tehdään sopimuksen solmimiseksi henkilön kanssa – kuten on luottopäätöksissä.

3) Henkilöllä on oikeus olla joutumatta (artikla 22) sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, ja jolla on häntä koskevia oikeusvaikutuksia tai päätös vaikuttaa häneen vastaavalla tavalla merkittävästi. Myös tämän oikeuden kohdalla poikkeuksena ovat tilanteet, jossa profilointi ja siihen pohjautuva päätös on välttämätön henkilön ja yrityksen välisen sopimuksen tekemiseksi tai se perustuu henkilön suostumukseen. Tämänkään vaatimuksen perusteella esimerkiksi luottopäätösten yhteydessä tapahtuvalle profiloinnille ei ole estettä.

Luotonmyöntäjän on kuitenkin huolehdittava henkilön oikeuksien suojaamisesta. Vähimmäisvaatimuksena on, että luotonhakijalla on oikeus vaatia automaattisen päätöksen sijasta esimerkiksi luottohakemuksen käsittelyä luonnollisen henkilön toimesta. Hakemuksen uudelleen käsittely ei kuitenkaan tarkoita, että päätöksen lopputulos automaattisesti muuttuisi.

Myös voimassa oleva henkilötietolaki sisältää vastaavankaltaisia säännöksiä automatisoidusta päätöksenteosta. Henkilön oikeuksia suojataan nykyisessä laissa niin, että hänellä on mahdollisuus saada tietoa esimerkiksi kielteisen luottopäätöksen perusteista ja automaattisen päätöksentekoon liittyvistä toimintaperiaatteista. Automatisoidun päätöksentekojärjestelmän käyttöotosta on lisäksi ilmoitettava tietosuojavaltuutetulle etukäteen.

WP 29:n ohjeistuksia kannattaa seurata

EU-maiden tietosuojavaltuutetuista muodostuva yhteistyöelin WP (working party) 29 laatii ja julkaisee tietosuoja-asetukseen liittyviä ohjeistuksia. Niillä tulee olemaan tärkeä ohjaava merkitys sen suhteen, miten tietosuoja-asetusta tulkitaan. Tähän mennessä ohjeita on julkaistu kolme. Ne koskevat tiedon siirto-oikeutta (Data portability), tietosuojavastaavia (Data Protection Officers DPO) sekä johtavan valvontaviranomaisen määräytymistä (Lead Supervisory Authority).

Tietosuoja-asetuksen artiklat eivät tarkemmin avaa esimerkiksi sitä, mitä ovat käytännössä sellaiset päätökset, joilla on henkilön kannalta oikeudellisia vaikutuksia tai jotka vastaavalla tavalla vaikuttavat merkittävästi. Etenkin tämän vuoksi WP 29:n tulkintaohjeiden seuraaminen on jatkossakin tärkeää.

Yrityksissä on myös hyvä käydä läpi omat prosessit ja tunnistaa tilanteet, joissa asetuksen tarkoittamaa profilointia tapahtuu eli joihin liittyy henkilön ominaisuuksien arvioinnin lisäksi henkilön kannalta merkittävä päätös. Näissä yhteyksissä on toukokuusta 2018 alkaen huolehdittava siitä, että profiloinnin kohteella on mahdollisuus esittää oma kantansa, tarvittaessa riitauttaa päätös ja saada asia manuaaliseen käsittelyyn. Lisäksi pitää varmistaa, että profilointia koskeva informointivelvollisuus hoidetaan tietosuoja-asetuksen edellyttämällä tavalla.

28.2.2017
Ossi Elonen, yhtiölakimies, Lindorff Oy
ossi.elonen@lindorff.com

 

370 arkipäivää tietosuoja-asetukseen