Lähtökohtia

5 TIETOSUOJALAINSÄÄDÄNTÖ

2018 allekirjoituksille avattu modernisoitu sopimusversio ”108+” (CETS 223) ei ole vielä tullut kansainvälisoikeudellisesti voimaan. Seuraavassa lohkoketjujärjes-telmiin liittyviä tietosuojavelvoitteita tarkastellaan ensisijaisesti yleisen tietosuoja-asetuksen kannalta, ja kansalliseen täydentävään sääntelyyn tai sen mahdollisuuk-siin viitataan vain eräissä yksittäisissä kohdissa. Erityislainsäädäntöä tai kansain-välisoikeudellisia instrumentteja ei käsitellä lähemmin.

Henkilötiedoilla tarkoitetaan tietosuoja-asetuksen 4 artiklan 1 kohdan mukaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liitty-viä tietoja. Kyse on kaiken kaikkiaan huomattavan laajasta määritelmästä. Tyy-pillisiä henkilötietoja ovat esimerkiksi nimi, erilaiset osoitteet, puhelinnumero ja tiedot sairauksista. Lohkoketjuja pohdittaessa on ajateltu varsin yleisesti, että jär-jestelmässä tunnisteena toimivassa käyttäjän julkisessa avaimessa voi olla kyse hen-kilötiedosta. Koska yleinen tietosuoja-asetus koskee vain luonnolliseen henki-löön liittyviä tietoja, esimerkiksi osakeyhtiöihin tai muihin oikeushenkilöihin liit-tyvien tietojen käsittely jää asetuksen soveltamisalan ulkopuolelle. Sitä luonnol-lista henkilöä, johon liittyviä henkilötietoja käsitellään, kutsutaan tietosuoja-ase-tuksessa rekisteröidyksi, vaikka käsiteltävät tiedot eivät sinänsä muodostaisikaan rekisteriä.

Myös henkilötietojen käsittely ymmärretään varsin laajasti: asetuksen 4 artiklan 2 kohdan mukaan sillä tarkoitetaan toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallenta-mista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttatallenta-mista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asetta-malla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoitta-mista, poistamista tai tuhoamista. Käsittely kattaa siis kaikenlaiset toimenpiteet läpi henkilötietojen koko elinkaaren.

Yleinen tietosuoja-asetus on luonteeltaan teknologianeutraali, vaikka juuri teknolo-gisen – erityisesti tietotekniikan – kehityksen myötä tehostuneet tavat käsitellä tietoa ovat luoneet tarpeen tietosuoja-asetuksen tapaiselle sääntelylle. Tietosuoja-asetusta sovelletaan sen 2 artiklan 1 kohdan mukaan osittain tai kokonaan maattiseen henkilötietojen käsittelyyn sekä myös käsittelyyn muussa kuin auto-maattisessa muodossa, silloin kun henkilötiedot muodostavat rekisterin osan tai niiden on tarkoitus muodostaa rekisterin osa. Asetusta ei kuitenkaan sovelleta aivan kaikkeen henkilötietojen käsittelyyn: yksi 2 artiklan 2 kohdassa säädetyistä poikkeuksista on sellainen henkilötietojen käsittely, jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toimin-nassa. Poikkeusta tulkitaan varsin suppeasti, mutta se voi silti olla relevantti myös lohkoketjujen kontekstissa.

On myös huomattava, että aivan kaikki tavalla tai toisella henkilöihin tai henki-löryhmiin laajasti ymmärrettynä liittyvät tiedot eivät ole tietosuoja-asetuksessa tarkoitettuja henkilötietoja. Asetuksen johdanto-osan 26 perustelukappaleessa todetaan nimenomaisesti, että asetus ei koske anonyymien tietojen käsittelyä. Kyse voi olla tiedosta, joka ei lainkaan liity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön. Toisaalta kyse voi olla laajassa mielessä henkilötiedon luonteen alkujaan omanneesta tiedosta, jolta on kuitenkin myöhemmin poistettu tunnistettavuus niin, ettei rekisteröidyn tunnistaminen ole enää mahdollista. Esi-merkiksi tilasto- ja tutkimusympäristöissä käytetään usein anonyymejä tietoja.

Käsiteltävien tietojen anonymisoinnista siis seuraa, ettei tietosuoja-asetus enää sovellu tietojen jatkokäsittelyyn, mikä saattaa olla tavoiteltava lopputulos niin lohkoketjuympäristössä kuin yleisemminkin. Henkilötiedon määritelmässä olen-naista on, että tällainen tieto liittyy tunnistettavissa olevaan henkilöön. Jo maini-tussa johdanto-osan 26 perustelukappaleessa todetaan tunnistettavuuteen liit-tyen seuraavaa:

Jotta voidaan määrittää, onko luonnollinen henkilö tunnistettavissa, olisi otettava huomioon kaikki keinot, joita joko rekisterinpitäjä tai muu henkilö voi kohtuulli-sen todennäköisesti käyttää mainitun luonnollikohtuulli-sen henkilön tunnistamiseen suo-raan tai välillisesti, kuten kyseisen henkilön erottaminen muista. Jotta voidaan varmistaa, voidaanko keinoja kohtuullisen todennäköisesti käyttää luonnollisen henkilön tunnistamiseen, olisi otettava huomioon kaikki objektiiviset tekijät, ku-ten tunnistamisesta aiheutuvat kulut ja tunnistamiseen tarvittava aika sekä käsit-telyajankohtana käytettävissä oleva teknologia ja tekninen kehitys.

Kuten todettua, yleinen tietosuoja-asetus antaa tietyiltä osin mahdollisuuden ase-tuksen sääntelyn täydentämiseen tai täsmentämiseen kansallisella tasolla, ja se suoranaisesti edellyttääkin jäsenvaltioilta lainsäädäntötoimia esimerkiksi tietosuo-javiranomaisten toiminnan järjestämiseksi. Suomessa keskeinen säädös tässä suh-teessa on tietosuojalaki (1050/2018), jossa on toteutettu erinäisiä kansallisia rat-kaisuja tietosuoja-asetuksen sallimissa rajoissa. Tietosuojalain soveltamisala esi-merkiksi on määritetty jonkin verran tietosuoja-asetusta laajemmaksi. Samalla on säädetty myös siitä, että yleinen tietosuoja-asetuskin soveltuu laajemmalti kuin asetuksen 2 artiklassa kerrotaan. Tietosuojalain mukaan tietosuoja-asetus sovel-tuu liki kokonaisuudessaan myös sellaiseen henkilötietojen käsittelyyn, joka suo-ritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin lainsäädännön so-veltamisalaan, tai jota jäsenvaltiot suorittavat toteuttaessaan Euroopan unionista tehdyn sopimuksen V osaston 2 luvun soveltamisalaan kuuluvaa toimintaa. Täl-laiset tilanteet on siis tietosuoja-asetuksessa itsessään suljettu asetuksen soveltu-misen ulkopuolelle.

Tietosuoja-asetuksella on verraten laaja alueellinen soveltamisala. Asetus soveltuu 3 artiklan mukaan ensinnäkin henkilötietojen käsittelyyn, jota suoritetaan unionin

alueella sijaitsevassa rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikassa toiminnan yhteydessä, riippumatta siitä, suoritetaanko käsittely unionin alueella vai ei. Toiseksi asetus soveltuu unionissa olevia rekisteröityjä koskevien henkilö-tietojen käsittelyyn, jota suorittava rekisterinpitäjä tai henkilöhenkilö-tietojen käsittelijä ei ole sijoittautunut unioniin, jos käsittely liittyy a) tavaroiden tai palvelujen tar-joamiseen näille rekisteröidyille unionissa riippumatta siitä, edellytetäänkö rekis-teröidyltä maksua; tai b) näiden rekisteröityjen käyttäytymisen seurantaan siltä osin kuin heidän käyttäytymisensä tapahtuu unionissa. Kolmanneksi asetusta so-velletaan henkilötietojen käsittelyyn, jota suorittava rekisterinpitäjä ei ole sijoit-tautunut unioniin vaan toimii paikassa, jossa sovelletaan jonkin jäsenvaltion lakia kansainvälisen julkisoikeuden nojalla.

Laajan maantieteellisen soveltamisalan lisäksi rajat ylittävissä käsittelytilanteissa – jollaisia erilaisiin lohkoketjusovelluksiin epäilemättä liittyy – on syytä havaita asetuksen V luvun sääntely henkilötietojen siirroista kolmansiin maihin tai kansainvä-lisille järjestöille. Alueelliseen soveltamisalaan, EU-alueen ulkopuolelle suuntau-tuvia siirtoja koskevaan sääntelyyn ja näiden mahdollisiin leikkauspisteisiin liitty-viin tulkintaongelmiin ei tässä perusesityksessä pystytä lähemmin perehtymään.

Lohkoketjujärjestelmissä suoritettavaan henkilötietojen käsittelyyn liittyviä vel-voitteita tarkastellaan jäljempänä lähtien siitä oletuksesta, että käsittelystä vastaa-vat tahot ovastaa-vat velvollisia noudattamaan yleisen tietosuoja-asetuksen sääntelyä.