Huhtikuun 14. päivä Euroopan tietosuojaneuvosto julkaisi kirjeen, jossa se ottaa kantaa koronaviruspandemian torjumiseen tarkoitettuihin sovelluksiin. Neuvosto suhtautuu sinänsä myönteisesti komission aloitteeseen torjua pandemiaa sovelluksilla. Lähtökohtaisesti neuvosto kuitenkin katsoo, että kontaktien jäljittämiseen tarkoitettujen sovellusten käytön tulisi olla vapaaehtoista. Neuvosto painottaa, että henkilötietojen käsittelyn tulee olla yleisen tietosuoja-asetuksen mukaista.
Huoli yksityisyyden loukkauksista pandemian taistelun tiimellyksessä on ilmaistu kotimaisessakin keskustelussa. Älypuhelinsovellus, jolla jäljitetään tartuntaketjuja, lienee jo tekeillä. Siispä on hyvä selvittää, mitä reunaehtoja laki asettaa tietosuojalle.
En ryhdy tässä pohtimaan sitä kiinnostavaa kysymystä, mikä on valmiuslain ja EU-oikeuden suhde. Perusoikeuksia on kunnioitettava niin poikkeusoloissa kuin normaalitilassakin. Kotimaisiin perusoikeuksiimme kuuluu oikeus tietosuojaan, jonka sisältöä määrittää unionin antama tietosuoja-asetus (TSA). Perustuslakivaliokunta on vahvistanut tämän näkemyksen katsoessaan, että on lähtökohtaisesti riittävää perustuslain 10 §:n 1 momentin kannalta, että kotimainen sääntely täyttää EU:n yleisessä tietosuoja-asetuksessa asetetut vaatimukset (ks. PeVL 14/2018 vp).
Asetus on meillä sovellettavaa oikeutta sellaisenaan. Tietosuojaneuvoston ohjeilla ja suosituksilla on tulkinnassa arvoa ainakin soft law -instrumentteina. Neuvosto koostuu kansallisten tietosuojaviranomaisten ja Euroopan tietosuojavaltuutetun edustajista.
Mitä tietosuoja-asetus sitten sanoo tietojen keräämisestä korona-aikaan? Asetuksen sääntelylogiikka on melko yksinkertainen. Sen mukaan henkilötietoja saa käsitellä vain, jos käsittelylle on laillinen perusta. Nämä ovat tyhjentävästi lueteltu asetuksessa. Jos laillinen perusta löytyy, on käsittely sallittua asetuksen määrittämin tavoin. Tällöinkin on kuitenkin noudatettava asetuksessa lueteltuja käsittelyperiaatteita, joihin sisältyy muun muassa käyttötarkoitussidonnaisuuden ja tietojen minimoinnin periaatteet. Erityisille tietoryhmille kuten terveystiedoille – joita olemme kotimaisessa traditiossamme tottuneet kutsumaan arkaluonteisiksi tiedoiksi – on tiukemmat käsittelysäännöt.
Mielenkiintoista on kuitenkin se, että vaikka erityisten tietoryhmien käsittely on asetuksella lähtökohtaisesti kielletty, on niiden kohdalla jätetty jäsenmaille varsin laaja harkintamarginaali. Lainsäädännöllisin toimenpitein jäsenvaltiot voivat säätää siitä, että myös terveyteen liittyviä tietoja kerätään ja käsitellään. Tämä on mahdollista ensinnäkin silloin, kun käsittely on tarpeen tärkeää yleistä etua koskevasta syystä (TSA 9 artiklan 2 kohdan g alakohta). Vaikka yleinen etu on epämääräinen käsite, on se eittämättä mahdollinen peruste pandemian aiheuttamissa tilanteissa.
Jäsenvaltiolla on mahdollisuus myös säätää terveystietojen käsittelystä silloin, kun käsittely on tarpeen lääketieteellisiä diagnooseja varten, terveys- tai sosiaalihuollollisen hoidon tai käsittelyn suorittamiseksi taikka terveys- tai sosiaalihuollon palvelujen ja järjestelmien hallintoa varten (TSA 9 artiklan 2 kohdan h alakohta). Tämäkin laillinen käsittelyperuste voi tulla käyttöön koronan vastaisessa kamppailussa.
Lisäksi tietosuoja-asetus tuntee myös kriisitilanteet. Terveystietojen ja muiden erityisten tietoryhmien käsittelystä jäsenmaan saavat nimittäin säätää lailla silloin, kun ”käsittely on tarpeen kansanterveyteen liittyvän yleisen edun vuoksi, kuten vakavilta rajatylittäviltä terveysuhkilta suojautumiseksi…” (TSA 9 artiklan 2 kohdan i alakohta).
Kuten nähdään, asetus on varsin notkea instrumentti, vaikka käsitellään arkaluonteisia tietoja. Asetus kuitenkin edellyttää, että tiettyjä suojatoimia noudatetaan. Lainsäädännön, jolla jäsenvaltio mahdollistaa käsittelyn, on oltava oikeasuhteista tavoitteeseen nähden. Kansallisella lailla on myös säädettävä asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi.
Tietosuojaneuvosto toteaa kirjeessään, ettei tietosuoja-asetus estä epidemian torjumiseen käytettäviä sovelluksia sinänsä. Asetusta on tässäkin tilanteessa tulkittava tapauskohtaisesti niin, että mahdollisten sovellusten erityispiirteet otetaan huomioon.
Sovelluksia kehitettäessä tietojen minimoinnin periaate noussee tärkeäksi: tietoja ei saa kerätä ja käsitellä enempää, kuin on välttämätöntä. Myös käyttötarkoitussidonnaisuuden periaate on merkittävä: jos tietoja kerätään ihmisten suostumuksella, on niitä käsiteltävä vain siihen tarkoitukseen kuin mihin suostumus on annettu.
Vaikka koronasovelluksilla ei kerättäisikään terveystietoja, vaan pelkästään tavallisia henkilötietoja, on yksityisyyttä kunnioitettava. Perustuslakivaliokunta on kiinnittänyt huomiota siihen, että eri tietoja yhdisteltäessä riski yksityisyydelle kasvaa. Tämä on merkittävää myös pandemiasovelluksia kehitettäessä. Vaikkei kyseessä olisikaan arkaluonteinen tieto, voi yksityisyyden loukkaus olla huomattava. Esimerkiksi sähköisen viestinnän käyttöön liittyvät tunnistamistiedot, sekä mahdollisuus niiden kokoamiseen ja yhdistämiseen, voivat olla yksityiselämän suojan näkökulmasta hyvin ongelmallisia (PeVL 18/2014 vp).
Samaa mieltä on unionin tuomioistuin. Aina ei ole merkitystä sillä, onko tieto tavallinen henkilötieto vai arkaluonteinen. Digital Rights Ireland -ratkaisussa EUT katsoi, ettei tietotyyppejä voidakaan tarkastella puhtaasti erillään. Erilaisia tietoja yhdistelemällä kun saadaan hyvinkin yksityiskohtainen kuva henkilöistä ja heidän elämästään (Digital Rights Ireland C293/12 ja C-594/12).
Sovelluksia arvioitaessa on kiinnitettävä huomio siihen, että mitä merkittävämmästä loukkauksesta yksityisyyteen on kyse, sitä tarkempana lainsäädännössä on oltava. Tietosuojaneuvosto julkaisee lähipäivinä yksityiskohtaisemman ohjeen paikannus- ja jäljitystietojen käytöstä koronaviruspandemian yhteydessä. Hyödyllistä tietoa on saatavilla myös Tietosuojavaltuutetun sivuilta.
Susanna Lindroos-Hovinheimo
julkisoikeuden professori
Helsingin yliopisto
Perustuslakiblogi 
Erityisten henkilötietoryhmien osalta tietosuoja-asetuksen 9 artiklan 2 a)-kohdan mukaisesti rekisteröidyn antama nimenomainen suostumus on mahdollinen käsittelypreuste. Tämä toteutuu sillä, että korona-sovelluksen käyttö on vapaaehtoista. Korona-sovelluksen käyttöönotosta ei tarvitse säätää lailla, jos sovelluksen käyttö on vapaaehtoista.
Olen miettinyt, että olisiko sellainen kännykkäsovellus ok, joka keräisi vain läheisyystiedot esim viimeisimmän 2 viikon aikana. Eli puhelimeen kertyisi loki, josta selviäisi mitkä toiset puhelimet ovat olleet sen läheisyydessä viimeisen 2 viikon aikana.
Tähän lokiin EI kertyisi tietoa missä ja milloin läheisyys toisten puhelimien läheisyys havaittiin. Vain ainoastaan se, että havainto on tehty jossain vaiheessa tuon 2 viikon aikaikkunan sisällä.
Tätä lokitiedostoa voisi sitten hyödyntää niin, että esim positiivisen koronatartunnan saanut luovuttaa tuon (luonnollisesti kryptatun) lokitiedoston viranomaisille, jotka sen avulla lähettävät sitten noille lokissa esiintyville puhelimen viestin mahdollisesta altistumisesta. Tämäkin tekniikka voitaisiin toteuttaa niin, että vain hyvin harvalla viranomaisella olisi tieto, kenelle kaikille tuo viesti lähtee.
Nähdäkseni tällaisella ratkaisulla ei ole kovinkaan isoja riskejä yksityisyyden suojan suhteen, koska missään vaiheessa ei kerry aika- eikä paikkatietoa kuin vain se, että jotkut puhelimet ovat olleet tuon aikaikkunan sisällä tämän puhelimen lähettyvillä. Ja sekin lokitieto olisi kryptattuna, eli sitä ei pääsisi tutkimaan kännykän haltija (tai esim tämän puoliso), eikä terveydenhoidon henkilökunta – ainoastaan ne harvat henkilöt, jotka laittavat sen lokitiedoston perusteella varoitusviestit eteenpäin. Oletettavasti kun jossain kohtaa se kryptaus tulee purkaa, jos niitä varoitusviestejä lähetetään, muutenhan ei oikein mikään systeemi voi lähettää mitään mihinkään, jos se ei tiedä mihin niitä viestejä pitää lähettää. Viimeistään järjestelmästä lähteneitä viestejä tutkimalla tämä kun voi selvitä jollekulle innokkaalle selvittäjälle.