GDPR maataloudessa

Osallistuin viime viikolla Maaseutuverkosto.fi -sivulta bongaamaani maatalouden reilun datatalouden sääntökirjan työpajaan. Keskusteluissa sivuttiin myös EU:n tietosuoja-asetusta, mistä inspiroituneena päätin kirjoittaa tämän blogitekstin.

EU:n tietosuoja-asetuksen perusperiaatteista

EU:n tietosuoja-asetus (GDPR, general data protection regulation) on Euroopan parlamentin ja neuvoston asetus, joka automaattisesti koskettaa kaikkia toimijoita EU:ssa. Se määrittelee vähimmäisvaatimukset henkilötietojen käsittelylle EU:n alueella toimittaessa. Asetuksen mukaan ei siis ole merkitystä sillä, onko henkilötietojen käsittelijä (tai rekisterinpitäjä, esimerkiksi yritys) tai luonnollinen henkilö eurooppalainen vai ei. Myöskään sillä ei ole väliä tapahtuuko itse käsittely EU:n alueella vai ei.

Jos yritys siis tarjoaa tuotteita tai palveluita EU:n alueella oleville asiakkaille, tietosuoja-asetusta on noudatettava riippumatta siitä, mihin yritys on rekisteröity tai missä on sen toimipaikka. On myös muistettava, että tietosuoja-asetus määrittelee rajoituksia sille, milloin, mihin ja millä ehdoilla näitä tietoja voi siirtää EU:n alueelta kolmansiin maihin.

EU:n tietosuoja-asetus määrittelee siis vähimmäisvaatimukset henkilötietojen käsittelylle. Toisin sanoen EU:n tietosuoja-asetusta on kaikkien toimijoiden pakko noudattaa, ja se määrittelee kaikki ne kuusi perustetta, joiden mukaan henkilötietoja saa käsitellä. Asetus myös määrittelee ne kansallisen lainsäädännön reunaehdot, joiden mukaan kansallinen lainsäädäntö voi edellyttää henkilötietojen käsittelyä. On hyvä muistaa, että jos kansallinen lainsäädäntö on ristiriidassa EU:n asetuksen kanssa, on EU:n asetus etusijalla. Kansallinen lainsäädäntö ei siis voi sallia sellaista, mikä on EU-asetuksella kielletty.

Henkilötietojen käsittelyn perusteet

Yritysten kannalta henkilötietojen käsittely tulee kyseeseen yleensä suostumuksen, sopimuksen tai lakisääteisen velvoitteen nojalla. Näiden lisäksi perusteena voi olla rekisterinpitäjän oikeutettu etu, jolloin rekisterinpitäjän ja rekisteröidyn intressejä verrataan keskenään. Eräs tällainen oikeutettu etu on suoramarkkinointi, mutta sitä en käsittele tässä blogissa.

Lakisääteinen velvoite

EU:n tietosuoja-asetuksen mukaan lakisääteinen velvoite ei välttämättä edellytä parlamentissa eli eduskunnassa hyväksyttyä säädöstä. Käsittelyn oikeusperusteen on kuitenkin asetuksen esitöiden mukaan oltava selkeä ja täsmällinen. Toisin sanottuna, mikäli kansallinen laki, asetus tai muu säädös ei nimenomaisesti edellytä mainittujen henkilötietojen keräämistä, niitä ei saa kerätä. Tämä on valitettavasti yksi asetuksen tulkinnanvaraisia kohtia, sillä riippuu myös ihmisestä, miten “selkeä ja täsmällinen” on määriteltävissä.

Suostumus

Kun annetaan henkilölle mahdollisuus antaa suostumus tietojen käsittelyyn, suostumus on toteutettava siten, että voidaan osoittaa, että suostumus on annettu tietoisesti, vapaaehtoisesti, yksiselitteisesti ja yksilöidysti. Toisin sanoen henkilön tulee itse aktiivisesti antaa suostumus omien tietojensa käsittelyyn, eikä esimerkiksi rasti saa olla ruudussa valmiina.

Suostumuksen on oltava vapaaehtoinen, eli rekisteröidyllä on oltava todellinen valinnan mahdollisuus. Esitöissä on myös maininta, että suostumuksen ei pitäisi olla pätevä peruste silloin, kun rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta. Suostumusta ei myöskään katsota vapaaehtoisesti annetuksi, jos sopimuksen täytäntöönpanon edellytyksenä on suostumuksen antaminen niiltä osin, kun se ei ole tarpeellista sopimuksen täytäntöön panemiseksi.
Kun henkilötietojen käsittely perustuu suostumukseen, rekisteröidyllä on oikeus peruuttaa suostumus milloin tahansa.

Esimerkki suostumuksen vapaaehtoisuudesta

Esimerkkinä vapaaehtoisen suostumuksen antamisesta voidaan ottaa vaikkapa sopimus, jolla hankitaan tilalle viljelysuunnittelu- tai taloushallinto-ohjelmisto. Tällöin sopimuksen ehtona ei saa olla, että asiakkaan on annettava ohjelmiston tarjoajan käyttöön vaikkapa pitopaikkatunnus tai suostumus pitopaikan tietojen käyttöön, jos ohjelmistoa ei käytetä eläintuotannon tietojen hallintaan. Samassa sopimuksessa voi kuitenkin olla erillinen kohta, jossa suostumuksen voi antaa erikseen. On siis oltava mahdollisuus tehdä sopimus myös ilman, että antaa suostumusta tarpeettomiin, tässä tapauksessa pitopaikkaa koskeviin, tietoihin.

Mikä on henkilötietoa?

EU:n tietosuoja-asetuksen määritelmän mukaan mikä tahansa sellainen tieto, joka voidaan suoraan tai epäsuorasti liittää luonnolliseen henkilöön siten, että henkilö voidaan tunnistaa, on henkilötietoa. Tämä ei tarkoita sitä, että kaikki tunnistamisen edellyttämät tiedot olisivat samassa rekisterissä. Kun pohditaan sitä, onko jokin tieto henkilötietoa, on otettava huomioon myös ne tilanteet, joissa joku pääsee käsiksi lisätietoihin, joiden avulla henkilö voidaan epäsuorasti liittää toisiin tietoihin. Tällaisia tunnistetietoja on myös lueteltu asetuksessa esimerkin omaisesti: nimi, sijaintitieto, verkkotunnistetieto, taloudellinen tekijä jne.

Esimerkki maataloudessa käsiteltävistä henkilötiedoista

Kun tarkastellaan maataloutta, ja siellä liikkuvaa dataa suomalaisessa kontekstissa, voidaan todeta, että sektorin eri toimijoilla on edellä mainittujen määritelmien mukaisesti monenlaista henkilötietoa rekistereissään.
Esimerkiksi peruslohkotunnus tai muu järjestelmissä oleva paikkatieto on henkilötietoa, sillä suurin osa Suomen pelloista on luonnollisten henkilöiden omistuksessa. Peruslohko tai vaikkapa työkoneeseen tallentunut tieto lannoitus- tai kasvinsuojelutoimenpiteestä ja sen ajankohdasta voidaan yhdistää ainakin epäsuorasti viljelijään asti.

Moni muistaa vielä uutiset vuodelta 2016, kun paljastui, että ELY-keskusten valvojat olivat käyneet laittomasti tarkastelemassa viljelijöiden viljavuustutkimuksia aikaisemmin haltuunsa saamillaan tunnistetiedoilla. Voit lukea lisää esimerkiksi tästä Maaseudun Tulevaisuuden artikkelista tai tästä Talouselämän artikkelista. Tällaisesta tietosuoja-asetuksen säännösten rikkomisesta voitaisiin nykyään määrätä enintään 20 miljoonan euron hallinnollinen sakko (tai jos kyseessä on yritys, neljä prosenttia edeltävän tilikauden vuotuisesta maailmanlaajuisesta liikevaihdosta sen mukaan kumpi on suurempi).

Mitä pitää tietää henkilötietoja kerättäessä?

Tietosuoja-asetuksen mukaan henkilötietoja voi kerätä vain tiettyä nimenomaista ja laillista tarkoitusta varten. Henkilötietojen käsittelyn tarkoitus tai peruste ei voi muuttua myöhemmin. Toisin sanottuna, jos henkilötiedot on saatu suostumuksella tarkoitukseen A, niitä ei voi ilman erillistä suostumusta käyttää tarkoitukseen B. Henkilötietoja saa kerätä vain sen verran, kuin on tarpeen tietojen käyttötarkoitus huomioon ottaen. Lisäksi henkilö saa olla tunnistettavissa henkilötiedoista vain niin kauan, kuin on tarpeen esimerkiksi sopimuksen toteuttamista varten.
Toisin sanottuna mitään henkilötietoja ei saa kerätä varmuuden vuoksi “jos sattuisi myöhemmin tarvitsemaan”, ja ne on poistettava sen jälkeen kun niitä ei enää tarvita siihen käyttöön, johon ne on alun perin kerätty.

Mikäli rekisterinpitäjä aikoo käyttää saatuja henkilötietoja muuhun tarkoitukseen, kuin siihen, johon ne on alun perin kerätty, siitä on ilmoitettava rekisteröidylle. Tällöin on myös ilmoitettava, perustuuko käyttö lakiin, sopimukseen vai suostumukseen, ja rekisteröidyllä on mm. oikeus peruuttaa suostumus. Lisäksi on muistettava, että henkilötietoja ei saa keräämisen jälkeen käsitellä alkuperäisen tarkoituksen kanssa yhteensopimattomalla tavalla (yhteensopimaton tapa lienee tulkinnanvarainen käsite tässä yhteydessä).

Kun huomioidaan, että suostumuksessa on mainittava erityiset tarkoitukset, joita varten henkilötiedot annetaan, johtaa tämä hieman hämmentävään tilanteeseen: asetus tavallaan antaa mahdollisuuden käyttää tietoja muuhun tarkoitukseen, kun siitä ilmoittaa rekisteröidylle (artiklat 14 ja 15), mutta toisaalta muuhun kuin suostumuksessa mainittuun tarkoitukseen käyttöön henkilötietojen käyttäminen on kiellettyä (artikla 6). Käytännössä on mahdollista, että rekisterinpitäjälle muodostuu esimerkiksi lakisääteinen peruste luovuttaa suostumuksella saatuja tietoja.

Oikeus tietojen siirtämiseen

Maatalouden ja siellä liikkuvan datan näkökulmasta myös oikeus tietojen siirtämiseen on huomionarvoista. Rekisteröidyllä on oikeus saada häntä koskevat tiedot koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle silloin, kun tietojen kerääminen on perustunut suostumukseen tai sopimukseen, ja kun tietoja käsitellään automaattisesti. Esimerkiksi tilan tietojen siirtäminen on tehtävä suoraan ohjelmasta toiseen, jos se teknisesti on mahdollista. Useimmista ohjelmista löytyy nykyään tietojen vienti esimerkiksi CSV-muodossa, sekä tietojen sisäänluku. Käytännössä siis kaikki paikkaan sidottu tieto maatilalla on saatava koneista ja ohjelmistoista ulos yleisesti käytetyssä ja koneellisesti luettavassa muodossa (esim. CSV-tiedosto).

Tämä on tietenkin vain pintaraapaisu tietosuoja-asetuksesta ja sen soveltamisesta maatalouteen. Asetuksessa on tulkinnanvaraisia kohtia, joiden oikea tulkinta selviää kenties vasta tuomioistuimissa.