Vaikutusten arviointi – aiheutuuko menettelystä korkea riski?

Ennen henkilötietojen käsittelyn aloittamista on toteutettava käsittelyä koskeva vaikutus-tenarviointi TSA 35 artiklan 1 kohdan mukaisesti, mikäli käsittelyn luonne, laajuus, asiayh-teys ja tarkoitukset huomioiden käsittely aiheuttaa rekisteröidyn oikeuksien ja vapauksien kannalta korkean riskin. TSA 35 artiklan 3 kohdan a alakohdan mukaan tällainen vaikutus-tenarviointi olisi tehtävä erityisesti, kun henkilötietojen käsittelyssä arvioidaan luonnollisen henkilön henkilökohtaisia ominaisuuksia järjestelmällisesti ja kattavasti, ja se perustuu au-tomaattiseen käsittelyyn, kuten profilointiin, ja johtaa mm. päätöksiin, jotka vaikuttavat luonnolliseen henkilöön oikeusvaikutuksia vastaavalla tavalla merkittävästi. Järjestelmälli-syydellä tarkoitetaan yhtä tai useampaa seuraavista: jotain järjestelmää noudattaen tapah-tuva; ennalta järjestetty, organisoitu tai menetelmällinen; osana tietojenkeruuta koskevaa yleissuunnitelmaa tapahtuva; tai osana strategiaa toteutettava.¹⁴⁸

Apulaistietosuojavastaava käsitteli päätöksessään 26.5.2020 (dnro 8393/161/2019) alakohdan tarkoittamaa ”henkilökohtaisten ominaisuuksien järjestelmällistä ja kattavaa arviointia”. Ta-paus perustui taksipalveluntarjoajan henkilötietojen käsittelyn lainmukaisuuteen. Rekisterin-pitäjän käsittelemät henkilötiedot automaattisen päätöksenteon, ml. profilointi, perustana kos-kivat puhelinnumeroita, taksisovelluksen tietoja tehdyistä tilauksista sekä tietoa siitä, onko rekisteröity saavuttanut VIP-tason. Apulaistietosuojavaltuutettu katsoi, että automaattinen päätöksenteon käsittämä henkilökohtaisten ominaisuuksien arviointi keskittyi käytännössä tie-toon, kuinka usein tietty henkilö käyttää taksia. Vaikka henkilökohtaisten ominaisuuksien ar-viointi tapahtuu jokaisen taksitilauksen yhteydessä ja on siten järjestelmällistä, ei tätä kuiten-kaan pidetä taksitilausten määrän sekä VIP-asiakkuustiedon käsittelyn näkökulmasta luonnol-lisen henkilön henkilökohtaisten ominaisuuksien kattavana arviointina, eikä siten vaikutuk-senarviointia ollut velvollisuutta laatia TSA 35 artiklan 3 kohdan a alakohdan perusteella.

148 WP 243rev.01 s. 10.

TSA 35 artiklan 3 kohdan b alakohdan mukaisesti terveystietojen laajamittainen käsittely edellyttää vaikutustenarvioinnin tekemistä. Laajamittaisuuden käsitettä ei määritellä erik-seen, mutta tietosuojatyöryhmä katsoo, että käsittelyn laajamittaisuutta tulee arvioida seu-raavien seikkojen valossa: 1. rekisteröityjen lukumäärä (joko täsmällisenä lukuna tai tiettynä osuutena väestöstä), 2. käsiteltävien tietojen määrä ja/tai erillisten tietoyksikköjen määrä, 3.

tietojenkäsittelytoimien kesto tai pysyvyys sekä 4. käsittelytoimien maantieteellinen ulottu-vuus.¹⁴⁹ Hanninen ym. määrittelevät laajamittaiseksi käsittelyksi käsittelyn, jota toteutetaan

”paljon, pitkäaikaisesti ja/tai laajalta alueelta”.¹⁵⁰ Apulaistietosuojavastaavan päätös TSV 7.12.2021 (dnro 1150/161/2021) koski menettelyä, jossa rekisterinpitäjän toiminta katsottiin laajamittaiseksi potilastietojen käsittelyksi. Päätös koski rekisterinpitäjää, joka tuotti yksi-tyisestä terveydenhuollosta annetun lain (152/1990) tarkoitettua terveydenhuollon palvelua.

Päätöksessä ei kuitenkaan perustella, miksi kyseessä on terveystietojen laajamittainen käsit-tely, vaan laajamittaisuutta pidetään päätöksessä olettamana.

Koska 35 artiklan 3 kohdan listaus ei ole tyhjentävä¹⁵¹, on tietosuojatyöryhmä laatinut 9 kohtaisen listauksen konkreettisista esimerkeistä, jolloin käsittelytoimista edellytetään vai-kutustenarviointi käsittelyyn liittyvän korkean riskin vuoksi. Listaus huomioi esimerkiksi TSA 35 artiklan 1 kohdan ja 3 kohdan a-c alakohdat tietyiltä osin, sekä johdanto-osan¹⁵². Esimerkinomaisista kriteereistä useimmiten vähintään kahden täyttyessä aiheutuu todennä-köisesti rekisteröidyn kannalta korkea riski ja vaikutustenarviointi olisi siksi tehtävä.¹⁵³ Nos-tan alla esiin tutkielman aiheen kannalta merkitykselliset esimerkit, joita haavoittuville ku-luttajille toteutetun terveystuotteiden kohdennetun mainonnan vaikutustenarvioinnin tar-peessa olisi huomioitava.

Ensinnäkin todennäköisesti korkea riski voi aiheutua terveyden, henkilökohtaisten mielty-mysten ja kiinnostuksenkohteiden, käyttäytymisen tai sijainnin arvioinnista tai pisteytyk-sestä. Esimerkkinä tällaisesta tietosuojatyöryhmä mainitsee yrityksen, joka luo käyttäyty-mis- ja markkinointiprofiileja verkkosivuston käyttöön tai siellä liikkumiseen perustuen.

Toiseksi automaattinen päätöksenteko, jolla on oikeusvaikutuksia tai vastaavia merkittäviä

149 WP 248 rev.01, s. 11–12.

150 Hanninen ym. 2017, s. 116.

151 TSA 35 artiklan 3 kohdan c kohtaa ei käsitellä tarkemmin, sillä kohta ei ole tutkielman aiheen kannalta yhtä merkityksellinen, kuin a ja b kohdat. C kohdan mukaan vaikutusten arviointi on tehtävä erityisesti, jos kyseessä on yleisölle avoimen alueen järjestelmällinen valvonta laajamittaisesti.

152 TSA johdanto-osan kohta 75.

153 WP 248 rev.01 s. 10 ja 12.

vaikutuksia rekisteröityyn, voi aiheuttaa todennäköisesti korkean riskin, sillä käsittely voi johtaa esimerkiksi henkilöiden ulkopuolelle jättämiseen tai syrjintään. Myös edellä tässä lu-vussa kuvattu laajamittainen käsittely on yksi kriteereistä.¹⁵⁴

Rekisteröityjen järjestelmällinen valvonta tietojenkäsittelyllä, jossa tarkkaillaan, seurataan tai valvotaan rekisteröityjä sekä tietojen kerääminen verkkojen välityksellä voi niin ikään aiheuttaa todennäköisesti korkean riskin. Esimerkin mukaisesti henkilötietojen kerääminen voi tapahtua olosuhteissa, jossa rekisteröidyt eivät ole välttämättä tietoisia kuka tietoja kerää ja mihin tarkoituksiin tietoja tullaan käyttämään.Myös tietokokonaisuuksien yhdistäminen tai yhteen sovittaminen ihmisten odotukset ylittävällä tavalla voi aiheuttaa korkean riskin.¹⁵⁵ Tällaisesta on kyse esimerkiksi silloin, kun henkilö on antanut tietojaan kahteen toisistaan irralliselta vaikuttavaan nettipalveluun, mutta niiden taustaorganisaatio yhdistelee tiedot ja kohdentaa yhdistettyjen tietojen perusteella mainontaa henkilölle.¹⁵⁶

Viimeiseksi arkaluoteisten tai luonteeltaan hyvin henkilökohtaisten tietojen käsittely sekä haavoittuvassa asemassa olevien rekisteröityjen henkilötietojen käsittely voi aiheuttaa to-dennäköisesti korkean riskin. Koska tällaisen haavoittuvassa asemassa olevien ja erityistä suojelua tarvitsevan väestöryhmän ja rekisterinpitäjän välillä on voimasuhteiden epätasa-paino, ei tällainen henkilö välttämättä kykene tekemään harkintaa suostumuksen antamisen suhteen, vastustamaan tietojensa käsittelyä tai käyttämään oikeuksiaan.¹⁵⁷

Apulaistietosuojavaltuutettu katsoi aikaisemmin tässä alaluvussa käsitellyssä ratkai-sussa 26.5.2020 (dnro 8393/161/2019), että rekisterinpitäjän olisi tullut laatia TSA 35 artiklan 1 kohdan nojalla tietosuojaa koskeva vaikutusten arviointi. Apulaistietosuoja-valtuutettu kiinnitti huomiota ratkaisussa tietosuojatyöryhmän esimerkinomaisen kri-teeristön kahteen kohtaan. Apulaistietosuojavaltuutettu katsoi, että henkilötietojen kä-sittely oli laajamittaista, sillä rekisterinpitäjän välityskeskus välittää noin 4 miljoonaa taksikyytiä vuodessa, joista kolmasosa tulee puhelimitse ja neljäsosa digitaalisesti.

Tässä käsittelyssä oli kyse rekisterinpitäjän tavanomaisesta henkilötietojen käsitte-lystä, ja ko. toimintaa oli harjoitettu 9/2018 alkaen. Käsittelyn laajamittaisuutta tuki

154 WP 248 rev.01, s. 10–11.

155 WP 248 rev.01 s. 11–12.

156 Korpisaari – Pitkänen – Warma-Lehtinen 2018, s. 334.

157 WP 248 rev.01, s. 11–12.

myös se, että sen maantieteelliset vaikutukset ulottuivat myös rekisteröityihin, jotka sijaitsivat pääkaupunkiseudun ulkopuolella, missä toimintaa harjoitettiin. Toiseksi apulaistietosuojavaltuutettu kiinnitti huomiota heikommassa asemassa olevien rekis-teröityjen henkilötietojen käsittelyyn, sillä käsittely koski myös tässä asemassa olevien henkilöiden henkilötietojen käsittelyä. Myöhemmin Helsingin HaO kuitenkin tulkitsi tapausta lievemmin ja katsoi ratkaisussaan 2.11.2021 (H5415), että henkilötietojen kä-sittely perustuu kyseisen henkilön tekemien tilausten määrään, eikä muihin henkilöä tai hänen ominaisuuksiaan, käyttäytymistään tai esimerkiksi liikkumistaan koskeviin tietoihin. Siten Helsingin HaO katsoi, ettei automaattinen päätöksenteko sisällä hei-kommassa asemassa olevien henkilöiden tietojen käsittelyä. Helsingin HaO ei pitänyt käsittelyä kokonaisuutena arvioiden sellaisena, että se todennäköisesti aiheuttaa TSA 35 artiklan 1 kohdan mukaisesti luonnollisen henkilöiden oikeuksien ja vapauksien kannalta korkean riskin. Siten HaO kumosi apulaistietosuojavaltuutetun päätöksen vaikutustenarvioinnin osalta.

Terveystuotteiden kohdennetussa mainonnassa on useita elementtejä, joita sisältyy tietosuo-jatyöryhmän esimerkinomaiseen kriteeristöön. Tällaisessa mainonnassa käsitellään kulutta-jan terveystietoja, mieltymyksiä ja kiinnostuksenkohteita sekä käsitellään heikommassa ase-massa olevan kuluttajan henkilötietoja. Lisäksi automaattisella tietojen käsittelyllä voi olla merkittäviä vaikutuksia kuluttajaan, käsittelyssä voidaan yhdistää tietoja odottamattomalla tavalla, käsittely voi olla laajamittaista ja tietoja voidaan kerätä verkkojen välityksellä. Siten terveystuotteiden kohdennettu mainonta haavoittuvassa asemassa oleville kuluttajille aiheut-taa todennäköisesti korkean riskin henkilön oikeuksille ja vapauksille, jonka vuoksi vaiku-tuksenarvioinnin tekeminen välttämätöntä käsittelyn lainmukaisuuden takaamiseksi.

4 SOPIMATTOMAN MENETTELYN LÄHTÖKOHDAT