GDPR kahden kuukauden iässä – mitä tiedämme nyt?

GDPR on ehtinyt kahden kuukauden ikään ja eurooppalaiset tuomioistuimet ovat antaneet ensimmäisiä tuomioitaan asetuksen soveltamisesta. Miten GDPR:ää aletaan käytännössä soveltaa ja mitä vaikutuksia tuomioistuimien ennakkopäätöksillä on henkilötietoja käsitteleville organisaatioille?

Eurooppalaiset tuomioistuimet ovat tehneet ensimmäisiä päätöksiään uuden tietosuoja-asetuksen soveltamisesta. Vaikuttaa siltä, että asetuksen vaatimukset eivät ole sanahelinää. Yritysten ja voittoa tavoittelemattomien järjestöjen täytyy panostaa siihen, että niillä on lainmukainen peruste kerätä ja käsitellä henkilötietoja.

Saksalainen tuomioistuin on esimerkiksi tehnyt päätöksen, joka voi olla merkittävä ennakkopäätös EU:n tietosuoja-asetuksen viidennen artiklan tulkinnalle ja siten henkilötietojen keräämisen laillisuudelle. Asiasta on kirjoittanut verkkolehti The National Law Review, jonka pohjalta Suomessa asiasta on uutisoinut esimerkiksi Tivi.

Yhdysvaltalainen, voittoa tavoittelematon ICANN-järjestö (The Internet Corporation for Assigned Names and Numbers) valvoo internetin domain-nimien myöntämistä ja ylläpitää maailmanlaajuista WHOIS-tietokantaa rekisteröidyistä domain-nimistä. Tietokantaa varten tarvitaan tietoja mm. domain-nimien rekisteröinnin ajankohdasta, rekisteröinnin kestosta ja rekisteröinnin tehneistä henkilöistä.

ICANN on pyytänyt kaikilta auktorisoimiltaan domain-nimien myöntäjiltä tietoja esimerkiksi rekisteröinnin tehneiden tahojen hallinnollisista ja teknisistä yhteyshenkilöistä. Saksassa domain-nimiä myyvä ja rekisteröinneistä vastaava EPAG oli kuitenkin kieltäytynyt vedoten GDPR:n viidenteen artiklaan tietojen minimoinnista.

Seuranneen oikeuskäsittelyn seurauksena saksalainen tuomioistuin päätti, että kyseisten tietojen keräämiselle ei ole riittävää perustetta.

ICANN on vienyt asian korkeampaan oikeusasteeseen, joka ei ole vielä tehnyt omaa päätöstään.

Tapaus on merkittävä erityisesti voittoa tavoittelemattomien organisaatioiden julkisen tehtävän määrittelyn näkökulmasta. Mikä on riittävän merkittävä julkinen tehtävä, jota varten voidaan kerätä ja käsitellä henkilötietoja? Julkista tehtävää suorittavien organisaatioiden, kuten järjestöjen ja liittojen, täytyy pystyä perustelemaan toimintansa entistä paremmin, mikäli ne haluavat kerätä ja käsitellä henkilötietoja.

Toinen esillä ollut tapaus koskee arkaluonteisten henkilötietojen käsittelyä. Tällaista tietoa voivat olla tiedot, joista ilmenee luonnollisten henkilöiden uskonnolliseen tai poliittiseen vakaumukseen tai ammattiliiton jäsenyyteen liittyviä seikkoja.

Euroopan unionin tuomioistuin on antanut tuomion Jehovan todistajien ovelta ovelle -saarnaamistyössä tekemän henkilötietojen käsittelyn laillisuudesta.

Saarnaamistyön yhteydessä on tehty muistiinpanoja vierailuista ja ne voivat sisältää esimerkiksi tavattujen henkilöiden nimiä, osoitteita tai tietoja heidän uskonnollisesta vakaumuksestaan. Asetus kieltää arkaluonteisten tietojen, kuten uskonnollisen vakaumuksen, käsittelyn.

Tuomioistuin katsoo, että Jehovan todistajien on noudatettava tietosuoja-asetusta, eikä sen toiminta kuulu asetuksessa säädettyjen poikkeusten soveltamisalaan. Käytännössä se tarkoittaa, että arkaluonteisen tiedon osalta täytyy saada yksiselitteinen suostumus tiedon keräämiseen.

Ennakkopäätös viittaisi siihen, että Jehovan todistajien kaltaiset uskonnolliset tai aatteelliset organisaatiot ovat tietosuoja-asetuksen mukaisia rekisterinpitäjiä ja joutuvat noudattamaan tietojen käsittelyssä tietosuoja-asetuksen määräyksiä.

Tuomioita ja tulkintoja on tulossa lisää. Ensimmäiset viitteet osoittavat kuitenkin voimakkaasti siihen suuntaan, että rekisterinpitäjien täytyy kuvata ja perustella henkilötietojen käsittely erittäin hyvin.