Onko yrityksesi valmis tietosuoja-asetuksen profilointiin?

Tietosuoja-asetus puuttuu toukokuusta 2018 asiakkaiden automaattiseen arviointiin, ja asettaa ehtoja mm. automatisoitujen luottopäätösten tekemiselle. Mitä se merkitsee yrityksellesi ja asiakkaillesi?

Uusi tietosuoja-asetus asettaa henkilötietoja käsittelevien yritysten toiminnalle uusia vaatimuksia. Asetuksessa säädellään entistä laajemmin, miten esimerkiksi asiakkaita tai työnhakijoita voidaan profiloida eli arvioida automaattisten tietojenkäsittelyn avulla. Profilointi on jatkossakin mahdollista ilman heidän suostumustaan.

Mitä profilointi on?

Yleensä profiloinnilla pyritään ennustamaan henkilön tulevaa käyttäytymistä esimerkiksi aikaisemman toiminnan perusteella.

Tietosuoja-asetuksessa profiloinnilla tarkoitetaan mitä tahansa henkilötietojen automaattista käsittelyä henkilön henkilökohtaisten ominaisuuksien arvioimiseksi silloin, kun sillä on henkilöä koskevia oikeudellisia vaikutuksia. Arviointi voi koskea esimerkiksi työsuoritusta, taloudellista tilannetta, mieltymyksiä, kiinnostuksen kohteita, luotettavuutta tai tulevaa käyttäytymistä.

Asetuksessa tarkoitetusta profiloinnista on kyse silloin, kun tietojen käsittely on täysin automaattista. Käänteisesti: jos arviointiin liittyy manuaalisia vaiheita, kyse ei ole enää asetuksessa tarkoitetusta profiloinnista. Profilointia ei myöskään ole sellainen tietojen käsittely, jossa tietoja ei voida tunnistaa tiettyä henkilöä koskeviksi.

Olennaista määritelmässä on myös se, että profiloinnin perusteella tehdään päätös, jolla on henkilön kannalta oikeudellisia tai muuten merkittäviä vaikutuksia. Asetuksessa ei tarkemmin avata, mitä nämä päätökset käytännössä ovat. Yksi käytännön esimerkki tietosuoja-asetuksen tarkoittamasta profiloinnista ovat ainakin kuluttajia koskevat automatisoidut luottopäätösmallit, joiden avulla arvioidaan luotonhakijan luottokelpoisuutta ja tulevaa maksukäyttäytymistä ja tehdään päätös luoton myöntämisestä tai epäämisestä.

Yrityksissä on hyvä tunnistaa tilanteet, joissa profilointia tapahtuu eli joihin liittyy henkilön ominaisuuksien arvioinnin lisäksi merkittävä päätös.

Huolehdi henkilön oikeuksien suojasta

Henkilötietoja voidaan käsitellä ja henkilöitä profiloida vain tietosuoja-asetuksessa (artikla 6) mainittujen edellytysten täyttyessä. Käytännössä tyypillisiä tietojen käsittelyn perusteita ovat henkilön oma suostumus tai sopimussuhteen solmiminen henkilön kanssa. 

Tietosuoja-asetus käsittelee laajasti henkilön oikeuksia suhteessa automaattiseen henkilötietojen käsittelyyn.

1) Henkilöillä on oikeus saada tieto tietojensa käytöstä profilointitarkoitukseen. Yritykset velvoitetaan tietosuoja-asetuksessa (artikla 13 ja 14) ilmoittamaan profiloinnista sekä kertomaan sen logiikasta, merkittävyydestä ja mahdollisista seurauksista. Asiakkaalla on oikeus saada samat tiedot myös tarkistusoikeuden nojalla (artikla 15). Profiloinnin logiikkaa ja merkitystä voidaan avata asiakkaille vaikkapa esimerkkien avulla.

2)  Henkilötietojen käsittelyä ja näin ollen myös profilointia on mahdollista vastustaa (artikla 21) silloin, kun tietojenkäsittely perustuu yleiseen etuun tai julkisen vallan käyttämiseen (artikla 6) tai rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseen (artikla 6). Oikeus vastustaa profilointia ei siis ulotu tilanteisiin, joissa profilointia tehdään sopimuksen solmimiseksi henkilön kanssa – kuten on luottopäätöksissä.

3) Henkilöllä on oikeus olla joutumatta (artikla 22) sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi. Myös tämän oikeuden kohdalla poikkeuksena ovat tilanteet, jossa profilointi ja siihen pohjautuva päätös ovat välttämättömiä henkilön ja yrityksen välisen sopimuksen tekemiseksi tai ne perustuvat henkilön suostumukseen. Tämänkään vaatimuksen perusteella esimerkiksi luottopäätösten yhteydessä tapahtuvalle profiloinnille ei ole estettä.

Luotonmyöntäjän on kuitenkin huolehdittava henkilön oikeuksien suojaamisesta. Vähimmäisvaatimuksena on, että luotonhakijalla on oikeus vaatia automaattisen päätöksen sijasta henkilön tekemää luottohakemuksen käsittelyä. Hakemuksen uudelleenkäsittely ei kuitenkaan tarkoita, että päätöksen lopputulos automaattisesti muuttuisi.

Asiakkaalla on oikeus saada tieto tietojensa käytöstä profilointitarkoitukseen.

Seuraa tietosuojavaltuutettujen ohjeistuksia

EU-maiden tietosuojavaltuutettujen työryhmä, WP (working party) 29, laatii ja julkaisee tietosuoja-asetukseen liittyviä ohjeistuksia. Niillä tulee olemaan tärkeä merkitys siinä, miten tietosuoja-asetusta tulkitaan. Tähän mennessä on julkaistu kolme ohjetta, jotka koskevat tiedon siirto-oikeutta (Data Portability), tietosuojavastaavia (Data Protection Officers eli DPO) sekä johtavan valvontaviranomaisen määräytymistä (Lead Supervisory Authority).

Tietosuoja-asetuksen artiklat eivät tarkemmin kerro esimerkiksi sitä, mitä ovat käytännössä sellaiset päätökset, joilla on henkilön kannalta oikeudellisia vaikutuksia tai jotka vaikuttavat häneen vastaavalla tavalla merkittävästi. Tämän vuoksi tietosuojavaltuutettujen työryhmän antamien tulkintaohjeiden seuraaminen on jatkossakin tärkeää.

Yrityksissä on hyvä käydä läpi omat prosessit ja tunnistaa tilanteet, joissa asetuksen tarkoittamaa profilointia tapahtuu eli joihin liittyy henkilön ominaisuuksien arvioinnin lisäksi merkittävä päätös. Toukokuusta 2018 alkaen on huolehdittava siitä, että henkilöllä on mahdollisuus esittää oma näkökantansa, tarvittaessa riitauttaa päätös ja saada asia manuaaliseen käsittelyyn. Lisäksi pitää varmistaa, että profiloinnista kerrotaan asiakkaille asetuksen edellyttämällä tavalla.

 

Luotonhakijalla on oikeus vaatia automaattisen päätöksen sijasta henkilön tekemää luottohakemuksen käsittelyä.

Lue kymmenen vinkkiä, miten voit valmistautua tietosuoja-asetukseen jo nyt.