Avoin
Tätä uutista voi käyttää vapaasti. Muistathan kuitenkin mainita lähteen edilex.fi.

11.10.2017 11.30 HTM Denis Galkin: Rekisteröidyn informoiminen, suostumuksen pyytäminen ja käyttöehtoihin sitominen

HTM Denis Galkin: Rekisteröidyn informoiminen, suostumuksen pyytäminen ja käyttöehtoihin sitominen

Useimmissa tietoverkon palveluissa on jonkinlaiset käyttö- tai sopimusehdot. Näillä ehdoilla ei ainoastaan sovita palvelun käyttöön liittyvistä kysymyksistä, vaan niitä käytetään hyvin moninaisiin tarkoituksiin: ehdoissa saatetaan informoida käyttäjää esimerkiksi henkilötietojen käsittelyyn liittyvistä seikoista, hankitaan käyttäjän suostumus laajaan henkilötietojen käsittelyyn tai annetaan muuta yleisluontoista tietoa palvelusta. Informoimiseen, suostumuksen antamiseen ja käyttöehtoihin liittyvät ymmärrettävyysvaatimukset jäävät helposti täyttymättä silloin, kun nämä nivotaan yhdeksi kokonaisuudeksi.

Rekisterinpitäjän informoidessa rekisteröityä, eli palvelun käyttäjää, henkilötietojen käsittelystä, kyse on rekisterinpitäjän lakiin perustuvasta velvollisuudesta antaa tietoja rekisteröidylle (GDPR 13 ja 14 artiklan mukaan rekisteröidylle on toimitettava säännöksissä mainitut tiedot). Säännökset eivät velvoita rekisteröityä mihinkään toimintaan informoiduksi tulemisen johdosta, minkä vuoksi informoimisessa on kyse rekisterinpitäjän yksipuolisesta henkilötietojen suojan toteuttamiseen liittyvästä velvollisuudesta.

Suostumustilanteessa puolestaan rekisteröity antaa hyväksynnän henkilötietojensa käsittelyyn (GDPR 6 artikla 1 kohdan a alakohta). Vaikka suostumus on henkilötietojen käsittelyn lähtökohtainen peruste, yleisemmin henkilötietojen käsittely perustuu johonkin muuhun säännöksissä mainittuun käsittelyperusteeseen, kuten sopimuksen täytäntöönpanoon tai asiakassuhteeseen (oikeutettu etu). Euroopan unionin tietosuojaryhmän kannanoton (WP29 lausunto 15/2011 suostumuksen määritelmästä) mukaan rekisterinpitäjä, joka käyttää sopimuksen täytäntöönpanoa henkilötietojen käsittelyn oikeudellisena perusteena sopimuksen tekemisen yhteydessä, ei luo oikeutta sen avulla laajuudeltaan kohtuuttomaan tietojen käsittelyyn. Rekisterinpitäjä tarvitsee rekisteröidyn vapaaehtoisen, yksilöidyn, tietoisen ja yksiselitteisen suostumuksen (GDPR 4 artikla 11 kohta), kun käsittely ylittää sopimuksen täytäntöönpanon tarpeellisuuden rajat. Tämä tarkoittaa sitä, että suostumuksen saaminen voi olla lisäedellytys osalle tietojenkäsittelystä, kun käsittely ei liity sopimuksen täytäntöönpanoon, mutta on asiallisesti tarpeellista palvelun tarjoamiseksi tai käyttämiseksi.

Käyttöehtoja on taas pidettävä sopimuksena, johon palvelun käyttäjän sitominen tapahtuu joko aktiivisella tahdonilmaisulla tai konkludenttisesti, eli hiljaisella hyväksynnällä. Tilanteissa, joissa käyttäjä sidotaan käyttöehtoihin ilman, että käyttäjältä vaaditaan aktiivista tahdonilmausta, on käyttäjän todisteellinen ja yksiselitteinen informoiminen ehdoista ehdoton vaatimus sopimussuhteen muodostumiselle. Tämä periaate käy erityisesti ilmi yksityistä pysäköinninvalvontaa koskevasta korkeimman oikeuden ratkaisusta KKO 2010:23. Tällaisessa informoimisessa on kyse sopimus- tai käyttöehtojen ilmaisemisesta palvelun käyttäjälle, ja käyttäjän on ymmärrettävä, että jatkamalla palvelun käyttöä hän sitoutuu hänelle esitettyihin ehtoihin.

Tietoverkon palveluja tarjotaan usein kuluttajille, jolloin palveluiden käyttö- tai sopimusehdot ovat kuluttajasopimusten asemassa. Tällöin ehtoja laadittaessa on huomioitava kuluttajasopimuksille asetetut vaatimukset. Kuluttajien kohtuuttomia sopimusehtoja koskevan direktiivin (93/13/ETY, 5 artikla) velvoitetta laatia sopimusehdot selkeästi ja ymmärrettävästi on unionin tuomioistuimessa tulkittu siten, että se sisältää myös kieliopillisen ymmärrettävyyden (C-26/13).  Kuluttajalla pitää siis olla todellinen mahdollisuus ja kyky arvioida sopimuksen sisältöä.

Mitä tämä tarkoittaa käytännössä?

Tietoverkon palvelun käyttäjän kannalta yleisesti käytössä oleva malli johtaa siihen, että käyttäjä ei välttämättä saa hänen henkilötietojensa käsittelyä koskevia tietoja. Tällöin on mahdollista, ettei käyttäjä osaa hyödyntää hänelle rekisteröitynä kuuluvia oikeuksiaan tai ei tiedä näistä. Suuremman riskin nykyisessä yleisessä toimintatavassa kantaa kuitenkin rekisterinpitäjänä toimiva palvelun tarjoaja. Mikäli rekisterinpitäjä on laiminlyönyt rekisteröidyn informoimisen niin kuin tietosuoja-asetuksessa on säädetty, ei henkilötietojen käsittelylle ole edellytyksiä eikä henkilötietoja tällöin saisi käsitellä lainkaan.

Jos puolestaan suostumuslauseke on upotettu osaksi palvelun käyttöehtoja, ei suostumuksen antamiselle asetetut edellytykset täyty. Tällöin suostumusta ei ole annettu pätevästi, eikä se tällöin luo oikeusperustetta henkilötietojen käsittelylle. Lisäksi rekisterinpitäjän kannattaa suhtautua kriittisesti suostumuksen tarpeellisuuteen ja välttää suostumuksen pyytämistä niin sanotusti varmuuden vuoksi. Sopimusperusteinenkin käsittelyperuste sallii kaiken sopimuksen täytäntöönpanoon liittyvän henkilötietojen käsittelyn. Suostumuksellakaan ei pystytä kiertämään minimointiperiaatetta, jonka mukaan käsiteltävien henkilötietojen tulee olla tarpeellisia suhteessa niiden käsittelytarkoituksiin (GDPR 5 artikla 1 kohta c alakohta).

Pahimmassa tapauksessa palvelun tarjoajan yhdistäessä kaiken edellä mainitun osaksi käyttö- tai sopimusehtoja, tulee näistä niin vaikeasti ymmärrettävät, etteivät ne täytä kuluttajasopimuksille asetettua ymmärrettävyysvaatimusta. On sekä käyttäjän että palvelun tarjoajan etujen mukaista, että informointi, henkilötietojen käsittelyperusteet sekä sopimusehdot ovat ymmärrettäviä, jolloin niiden varaan voidaan rakentaa onnistunut palvelukokemus.

Denis Galkin
HTM, Nuorempi tutkija, Itä-Suomen yliopisto

Lue myös

Juridiikan uusimmat uutiset - Tilaa Edilex!

Lakikirjat

www.lakikirja.com

EDILEX PRO -koulutusta

Sosiaalisen median ja somettamisen juridiikka -webinaari 26.10.

Sairauspoissaolojen juridiikkaa 2.11.

Julkisten hankintojen ajankohtaispäivä 8.11.

Rakennushankkeen vastuusuhteet - Ehkäise riidat sopimuksilla 21.11.

Mikäli Sinulla on ajankohtainen juridinen aihe josta haluaisit kirjoittaa vaikkapa lyhyen kolumnin Vierashuoneeseen, ota yhteyttä Edilex-toimitukseen.
Lue lisää...
 

Toimittaja: Jani Surakka, Edilex-toimitus (jani.surakka@edita.fi)