Paikannettujen palveluiden toimintamallit ja yleiset tietosuojaedellytykset Navi Säädöspuitteet projektin raportti Raija Tervo-Pellikka
2 Navi Säädöspuitteet projektin raportti Paikannettujen palveluiden toimintamallit ja yleiset tietosuojaedellytykset Raija Tervo-Pellikka Julkaisija: Helsinki Institute for Information Technology (HIIT) Tammasaarenkatu 3 P.O. box 9800 FIN 02015 HUT, Finland info@hiit.fi Helsinki Institute for Information Technology (HIIT) is a joint research unit of the two leading research universities in Helsinki, Finland, the University of Helsinki (UH) and the Helsinki University of Technology (HUT).
3 1. Johdanto... 1 2. Määrittelyjä... 2 3. Sijaintitiedon käsittelyn lähtökohdat ja tavoitteet paikannukseen perustuvassa palvelussa... 3 3.1. Paikannettuun henkilöön liittyvä tietojenkäsittely ja sen edellytykset... 4 3.2. Yleiset tietosuojavelvoitteet... 5 3.3. Rekisteröidyn oikeudet... 6 4. Paikannuspalvelun tietojenkäsittelyn kehikko... 7 4.1. Palvelujen tietojärjestelmän eri tasot... 9 4.2. Paikannus- ja paikkaperusteisten palvelujen tyyppiesimerkkejä... 10 4.3. Yksityisyydensuojan ja tietosuojan vaatimukset paikannuspalveluissa... 12 5. Käyttötarkoitus ja peruste paikannuksessa ja paikkaperusteisissa palveluissa... 13 5.1. Yleisesti saatavilla olevat sähköisen viestinnän palvelut... 14 5.2. Paikannukseen perustuvat palvelut lisäarvopalvelut... 15 6. Vastuut ja rekisterinpitäjät paikannuksessa ja paikkaperusteisissa palveluissa... 17 6.1. Eri toimijat ja edellytykset käsitellä sijaintitietoa... 18 6.2. Palvelujen hankinta ulkopuolisilta... 19 7. Paikannettuun henkilöön liitettävien tietojen käsittelyn edellytykset... 20 7.1. Yleistä... 20 7.2. Yleinen televiestinnän palvelu -teleoperaattori... 24 7.3. Paikannukseen perustuvan palvelun tarjoaminen VASP ja hyödyntäjätaho... 27 8. Paikkaperusteisten palveluiden käsittelyn edellytykset - esimerkkejä... 32 8.1. Yksityishenkilö itse sijaintitiedon käyttäjänä... 33 8.2. Työnantaja tai muu instanssi sijaintitiedon hyödyntäjänä... 34 8.3. Find-a-Friend -Service... 37 8.4. Paikkasidonnaisen informaation jakaminen... 38 9. Muita tietosuojaan perustuvia normeja... 40
4 9.1. Suojaamisen hallinnolliset ja teknologiset menettelyt... 40 9.2. Rekisteröidyn oikeudet... 41 9.3. Rekisterinpitäjän tehtäviä... 42 10. Lopuksi - johtopäätöksiä... 42 Liite 1: symbolit ja määrittelyjä Liite 2: paikkaperusteisten palveluiden malleja Case 1: Publicly available communication services Case 2: Emergency call Case 3: Tracking people (elderly people, psychiatric patients etc.) Case 4: Find-a-friend service Case 5: Vertical business tracking personnel administration/tracking employee Case 6: Location content services with customer relationship Case 7: Personalised advertising, direct marketing with customer relationship Case 8: Direct marketing and personalised advertising (no customer relationship to the company) Case 9: Informaation tuottaminen paikkasidonnaisesti, esim. keltaiset sivut Case 10: Statistical use for traffic measurement with anonymous subscribers
1 [CONCLUSION IN ENGLISH WILL BE ADDED TO THE REPORT LATER] 1. Johdanto Tämä raportti on tietosuojaa koskeva osaraportti ja kuuluu NAVI projektin Säädöspuitteet osaprojektiin. Raportti sisältää paikannusteknologiaa hyödyntävissä palveluissa yksityisyyden suojan ja muiden laissa annettujen perusoikeuksien varmistamat toimenpiteet tietosuojavaatimusten määrittämiseksi henkilötietolain lähtökohdista. Paikannusteknologiaa hyödyntävissä palveluissa yksityisyyden suojan vaatimukset toteutetaan käytettävissä järjestelmissä ja suunnitellaan järjestelmien kehittämiseen liittyvänä tehtävänä henkilötietolain suunnitteluvelvoitteen mukaisesti toiminnan lähtökohdista. Toiminnan lähtökohdista tarkoittaa sijaintietoon liitettyjen henkilötietojen käsittelyn tunnistamista ja selvittämistä teleoperaattorin ja VASP:n toiminnassa tavoitteena laillinen ja hyvää tietojenkäsittelytapaa ja tiedonhallintaa noudattava käsittely huomioiden erityislainsäädännön edellytykset. Useiden toimijoiden ollessa mukana palveluissa on otettava huomioon näiden keskinäiset oikeudelliset suhteet ja roolit mukaan lukien käyttäjät ja paikannettavat henkilöt, joiden laissa annettujen oikeuksien toteutumisesta on myös huolehdittava sijaintiedon käsittelyssä. Yksityisyydensuojan toiminnallisella tasolla asettamat vaatimukset tarvittavilta osin on tehtävä osaksi järjestelmätoteutusta joustavien toimintatapojen saamiseksi. Tämä on seuraava haaste tällä alalla. Lainsäädännön vaatimukset ovat teknologianeutraalit ja siten samat periaatteet toteutuvat eri teknologioita käytettäessä matkaviestinverkko, satelliittiverkko ja langaton paikallisverkko, mutta niiden erityispiirteet on tarpeen huomioida. Varsinkin matkaviestinverkon teknologian käyttöä kehitetään aktiivisesti laajaan käyttöön ja siihen liittyy yksityisyyden suojan kannalta haasteita, joihin tässä keskitytty tähän.
2 Paikannusteknologian hyödyntäminen ja palvelujen järjestelmätoteutukset ovat aktiivisessa kehitysvaiheessa, vakiintuneita toimintamalleja ei ole tarjolla ja vielä on yksityisyydensuojaa koskevia seikkoja, joiden selvittämiseksi toimintamalleja ja arviointia tarvitaan. Keskeinen lainsäädäntö on uusi, sähköisen viestinnän tietosuojadirektiivi tuli voimaan kesällä 2002 ja vastaava kansallinen laki on valmisteilla. Projekti on laatinut joitain malleja keskustelun pohjaksi ja analysoinut henkilötietolain ja tulevan sähköisen viestinnän tietosuojadirektiivin lähtökohdista. On myös muuta vaikuttavaa lainsäädäntöä huomioitu mm. työelämän tietosuojalaki, tietoyhteiskunnan palvelujen tarjoamista koskeva laki. Tämän raportin liitteenä on näitä toimintamalleja. 2. Määrittelyjä Tässä raportissa käytetään seuraavia käsitteitä: Sähköisen viestinnän tietosuojadirektiivin mukaisia määrittelyjä Liikennetiedolla tarkoitetaan viestintään liittyvää tietoa, jota käsitellään viestintäverkossa verkko- tai viestintäpalvelujen mahdollistamiseksi tai käyttäjän päätelaitteen maantieteellisen sijainnin määrittämiseksi välitettävää viestintää varten. Tunnistamistiedolla tarkoitetaan sellaista liikennetietoa, joka on yhdistettävissä viestinnän yhteen tai useampaan osapuolena olevaan luonnolliseen henkilöön. Sijaintitiedolla sellaista tietoa, joka ilmaisee viestintäpalvelun tilaajan tai käyttäjän päätelaitteen maantieteellisen sijainnin ja jota ei käytetä ensisijaisesti viestinnän välittämiseen. Käsittelyllä tarkoitetaan sellaista välttämätöntä tietojen järjestämistä, käyttöä, muuttamista, yhdistämistä, lyhytkestoista teknisluonteista tallettamista, suojaamista, poistamista, tuhoamista sekä muita tietoihin kohdistuva luonteisia toimenpiteitä, ei kuitenkaan tietojen pitkäkestoista tallettamista taikka tietojen luovuttamista käsittelyyn osallistumattomille tahoille. Käyttäjällä luonnollista henkilöä, joka on palvelua avatessa tai muutoin ilmoitettu teleyritykselle tai lisäarvopalvelun tarjoajalle viestintäpalvelun tai lisäarvopalvelun käyttäjäksi olematta välttämättä tämän palvelun tilaaja. Varsinaisella käyttäjällä luonnollista henkilöä, jonka hallussa päätelaite on tai voidaan olettaa olevan, ja joka tosiasiallisesti käyttää viestintäpalvelua olematta välttämättä tämän palvelun tilaaja. Lisäarvopalvelu on palvelu, joka edellyttää tunnistamis- tai sijaintitiedon käsittelyä tarkoitusta varten, joka ei ole laskutusta tai teleyrityksen harjoittamaa viestintää (tuleva sähköisen viestinnän laki, joka on luonnosvaiheessa). Sähköisen viestinnän tietosuojadirektiivin mukainen määrittelee sijaintitiedon hyödyntämiseen liittyen palveluksi, jota voi olla esim. säätiedotus, reittiopastus, vanhuksen seuranta
3 Henkilötietolain mukaisia määrittelyjä Henkilötiedolla kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi; Henkilörekisterillä käyttötarkoituksensa vuoksi yhteenkuuluvista merkinnöistä muodostuvaa henkilötietoja sisältävää tietojoukkoa, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla taikka joka on järjestetty kortistoksi, luetteloksi tai muulla näihin verrattavalla tavalla siten, että tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta; Rekisterinpitäjällä yhtä tai useampaa henkilöä, yhteisöä, laitosta tai säätiötä, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä tai jonka tehtäväksi rekisterinpito on lailla säädetty; Suostumuksella kaikenlaista vapaaehtoista, yksilöityä ja tietoista tahdon ilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn; Muita käsitteitä Sijaintitieto, joka liittyy mobiiliverkon ja GPS-paikannuksen hyödyntämiseen. Sijaintitiedon hyödyntäjä yleisterminä, VASP= lisäarvopalvelun ja paikkaperusteisen palvelun tarjoaja. Sijaintietoa tai paikkaperusteista tai paikannuspalvelua hyödyntäjäyritys, kun tarkoitetaan esim. terveydenhuollon toimintayksikköä, yritystä työnantajana jne. 3. Sijaintitiedon käsittelyn lähtökohdat ja tavoitteet paikannukseen perustuvassa palvelussa Paikannukseen perustuvia palveluja suunnitellaan ja kehitetään aktiivisesti erilaiseen käyttöön kuluttajille, kaupallisille yrityksille sekä muille organisaatioille sen lisäksi että palveluja hyödynnetään viranomaistoimintaan mm. hätäpaikannukseen. Palvelujen käyttöön liittyy myös yksityisyydensuojan ja muiden laissa säädettyjen perusoikeuksien huomioon ottamiseen paikannettuun henkilöön liittyvässä tietojen käsittelyssä. Suunniteltuihin palvelujen käyttöön tavallisesti sisältyy henkilöön liitettäviä tietoja, mm. paikannettuun matkaviestimeen ja sitä kuljettavaan henkilöön, joten yksityisyyden suojan varmistamiseksi otetaan huomioon henkilötietolain vaatimukset. Henkilötietolaki edellyttää hyvää tietojenkäsittelytapaa ja että tietoja käsitellään laillisesti, mikä tarkoittaa lisäksi vaikuttavan erityislainsäädännön huomioimista täydentämään henkilötietolain vaatimuksia. Keskeiset säännökset lisäksi ovat valmisteilla olevassa sähköisen viestinnän tietosuojalaissa ja tietoyhteiskunnan palvelujen tarjoamista koskevassa laissa.
4 3.1. Paikannettuun henkilöön liittyvä tietojenkäsittely ja sen edellytykset Paikannusteknologian tuottaman sijaintitiedon hyödyntäminen paikkaperusteisessa palvelussa antaa palveluun lisäarvoa palvelun käyttäjälle, kun tieto liitetään paikannettuun matkaviestimeen. Toiminnassa sijaintitiedon käsittelyn tarkoituksesta ja tehtävistä riippuu, onko lisäksi tarpeen tieto liittää paikannettuun henkilöön, mm. palvelun käyttäjään. Toiminnallisella tasolla sijaintietiedon käsittely liittyy paikannukseen perustuvaan palveluun, teknologiatasolla sijaintitiedon tuottamiseen ja luovuttamiseen/siirtoon hyödyntäjälle, jolloin terminaalin sijaintitieto liitetään tarvittaessa henkilöön (paikannettu henkilö), annettavan palvelun järjestämiseen ja sen sisältöön. Palveluita ovat esimerkiksi hätätilanteessa otetut puhelut, keltaiset sivut, find-of-friend tyyppiset palvelut, suoramarkkinointi, erilainen henkilöiden seuranta ja liikenteen tukeminen, joissa yksityisyydensuojan ja tietosuojan lähtökohtia käydään läpi (kappale 5). Järjestelmätasolla ovat palveluiden tarjoamiseen käytettävät järjestelmät. Teknologioita ovat matkaviestinverkon paikannus (esim. GSM), satelliittiverkon paikannus (esim. GPS) ja lähipaikannus (esim. langaton lähiverkko, WLAN) sekä terminaali (esim. matkaviestin, MS). Sekä sijaintitiedon tuottaja että paikkaperusteisen palvelun tarjoaja ja mahdollinen hyödyntäjäyritys tai muu organisaatio käsittelevät henkilöön liitettäviä tietoja, joiden käsittelyssä henkilötietolain vaatimukset huomioidaan. Paikkaperusteisen palvelun hyödyntäjä saa sijaintitiedon luovutuksena, jolloin sekä luovutuksen antajalla että tiedon hyödyntäjällä on oltava edellytykset käsitellä antamassaan palvelussa paikannettuun henkilöön liitettäviä tietoja. Luovuttajalla tulee olla edellytys luovuttaa sijaintitieto ja vastaanottajalla oikeus käsitellä luovutuksena saamaansa sijaintitietoa. Yleisiin sähköisen viestinnän palveluissa tilaajaan ja käyttäjään liitettävien tietojen käsittelylle, ml. sijaintitiedon käsittely, henkilötietolaki antaa yleiset edellytykset, jotka täydentyvät erityislainsäädännön säännöksillä, joista keskeiset sisältyvät tulevaan sähköisen viestinnän tietosuojalakiin.
5 3.2. Yleiset tietosuojavelvoitteet Henkilötietolain yleiset velvoitteet suunnitteluvelvoite, huolellisuusvelvoite, tarpeellisuusvaatimus ja suojaamisvaatimus koskevat rekisterinpitäjän toimintaa. Jokaisella eri tarkoitukseen henkilöön liitettävällä henkilötietoja käsittelevällä järjestelmällä ja henkilörekisterillä (looginen rekisteri) on oltava vastuullinen rekisterinpitäjä. Rekisterinpitäjän on tunnistettava käsittelyn kokonaisuus, määriteltävä käsittelyn käyttötarkoitus ja varmistettava käsittelyn laillisuus. Paikannus- ja paikkaperusteisessa palvelussa paikannettuun henkilöön liitettävien tietojen käsittelylle on oltava laillisesti hyväksyttävä peruste (käsittely on laillista) ja paikannetun henkilön tietojenkäsittelylle täyttyvät henkilötietolain mukaiset edellytykset, yleinen käsittelyn edellytys, informointivelvoite ja käsittelyn toimenpiteet ovat laillisia. Käsittelyn toimenpiteitä ovat mm. tietojen kerääminen, tallettaminen, käyttö, luovutus, yhdistely, säilyttäminen ja hävittäminen. Sen lisäksi, että on laillisesti hyväksyttävä peruste ylläpitää palvelun järjestelmää, aina on oltava oikeutus eli yleinen edellytys käsitellä henkilöön liitettäviä tietoja. Sijaintitiedon käsittelyn yleinen edellytys ml. luovutus määräytyy henkilötietolain perusteella ja luovutusedellytys täydentyy sähköisen viestinnän tietosuojalain perusteella. Käsittelyn edellytys syntyy tavallisesti joko asiakkuuden (asiallinen yhteys) ja henkilön/käyttäjän antamaan suostumukseen tai lakiin perustuvaan säännökseen ja annettuun informaatioon. Paikkaperusteisen palvelun tehtäviä hoitaessaan paikannettuun henkilöön liittyvien tietojen käsittelyyn osallistuvat toimijat on tunnistettava ja näiden edellytykset käsitellä ko. tietoja varmistettava huomioiden näiden eri roolit (mm. sijaintiedon tuottajana, hyödyntäjänä, käyttäjänä, paikannettuna henkilönä). Aina on oltava määriteltynä kuka vastaa käsittelystä (rekisterinpitäjä) ja ketä henkilöä koskevia tietoja käsitellään (rekisteröity). Sijaintitiedon käsittelyn (mm. luovutuksen ja muun käsittelyn) edellytykset riippuvat lisäksi rekisteröidyn eli paikannetun henkilön ja palvelun käyttäjän vaihtelevista rooleista ja oikeudellisista suhteista rekisterinpitäjään eli sijaintitiedon tuottajaan ja luovuttajaan (matkaviestin operaattoriin) ja hyödyntäjään (lisäarvopalvelun (VASP) eli paikannuspalvelun tarjoajaan).
6 3.3. Rekisteröidyn oikeudet Paitsi henkilötietolain rekisterinpitäjälle antamat velvoitteet myös rekisteröidyn oikeudet on huomioitava paikannuspalvelussa tietoja käsiteltäessä ja rekisterinpitäjän tehtävissä. Paikannettuun henkilöön liitettävän sijaintitiedon käsittelyn edellytyksiin liittyviä kysymyksiä ovat esim. anonyymisyys ja em. yleinen käsittelyn edellytys, mikä tavallisesti on joko suostumus, asiallinen yhteys tai lainsäädännön säännös sekä henkilölle annettu informaatio. Sijaintitieto on mahdollista liittää matkaviestinverkossa käyttäjän/tilaajan tilaajarekisterin tietoihin ja paikannuspalvelussa myös palvelun sisältöön. Satelliittiverkossa tuotettua sijaintitietoa ei liitetä matkaviestintä kuljettavaan henkilöön, eikä se siten ole henkilötietolain tarkoittama henkilötieto, mutta siitä voi tulla henkilötieto, jos käyttäjä itse antaa tiedon paikantamispalvelun käyttöön, jossa palvelun tarjoaja voi liittää tiedon käyttäjää koskeviin tietoihin. Langattomassa lähiverkossa tuotettu sijaintitieto voi olla molempia, henkilöön liitettävä tai ei liitettävä tieto. Sateliittiverkon ja langattoman lähiverkon, joka on yksityinen verkko, sijaintitiedon käsittelyyn ei sovelleta tulevaa sähköisen viestinnän tietosuojalakia tai sitä sovelletaan rajoitetusti. Sijaintitietoa hyväksikäyttävä paikannuspalvelu on lisäksi tietoyhteiskunnan palvelu, jossa tulee ottaa huomioon tietoyhteiskunnan palvelujen tarjoamista koskeva laki. Palvelut voivat liittyä myös muuhun toiminnan tarkoitukseen, joita toimintoja sääntelevät erityislainsäädännön säännökset ja voi liittyä mm. vajaavaltaisen henkilön, potilaan, työntekijän, kuluttajan jne. tietojen käsittelyyn). Paikannus- ja paikkaperusteisessa palvelussa kullekin sijaintietoa käsittelevälle eri käyttötarkoitukseen käyttävälle järjestelmälle ja rekisterille on oltava rekisterinpitäjä. Matkaviestinverkon tuottaman sijaintiedon käsittelylle on aina ainakin kaksi rekisterinpitäjää, joita ovat sijaintitiedon tuottava matkaviestinoperaattori ja paikannuspalvelun tarjoaja (VASP) tai sijaintitietoa hyödyntävä yritys tai muu organisaatio. Sijaintitieto liittyy tavallisesti yksityiseen, matkaviestimen eli mobiililiittymän käyttäjään (tilaaja), joka tavallisesti on myös paikannuspalvelun tai paikkaperusteisen palvelun käyttäjä, mutta joka voi olla myös toinen henkilö, yritys tai muu
7 organisaatio, mikä riippuu oikeudellisesta suhteesta palvelun tarjoajaan, esim. työsuhde työnantajaan, asiakkuus kauppaketjuun tai terveydenhuollon toimintayksikköön, jäsenyys find-a-friend palvelun tarjoajaan jne. Jos käyttäjä on muu henkilö kuin tilaaja, tällöin edellytetään, että myös todellisen (varsinaisen) käyttäjän itsemääräämisoikeus huomioidaan, mm. hänen itsensä antama suostumus sijaintitiedon luovuttamiseen ja palvelussa häneen liitettävien tietojen käsittelyyn. Lisäksi voi olla palveluita, joissa ei tarvita sijaintitiedon liittämistä henkilöön siten, että henkilö tunnistetaan, vaan henkilöön liitettäviä tietoja käsitellään anonyymisti, esim. tietoa käsitellään tilastollisesti tai tehtävän hoitamisen kannalta ei ole tarpeen tietää, kuka paikannettu henkilö tai käyttäjä on (mikä on usein mahdollista, mutta näyttää harvinaiselta). Myös tällöin on oltava edellytys paikantaa matkaviestin/henkilö eli keräämiselle on oltava edellytys, mutta sitä on oikeus käyttää ilman henkilön antamaa suostumusta. Esimerkiksi matkaviestinoperaattorilla on oikeutus kerätä ja tallettaa sijaintitieto ja käsitellä tai luovuttaa tieto tilastollisesti ja anonymisoituna. Lainsäädännön edellyttämien yksityisyydensuojan vaatimusten tulee toteutua käytännön toteutuksissa, joissa vaatimuksia voidaan toteuttaa mm. erilaisina teknisinä ratkaisuina. Mikäli käytännön toteuttamiseksi todetaan ongelmallisia kohtia ja kehittämistarpeita voidaan näkökantoja saattaa tiedoksi lainsäädännön kehittäjille. 4. Paikannuspalvelun tietojenkäsittelyn kehikko Yksityisyydensuojan ja muiden laissa säädettyjä perusoikeuksia koskevat vaatimukset edellyttävät toiminnan ja annettavien palveluiden toiminnan kannalta tarpeellista ja laillisesti hyväksyttävää käsittelyä etukäteen määriteltyyn tarkoitukseen. Käsittelyssä laillisen perusteen ja laillisten käsittelyn toimenpiteiden määrittämiseksi ensin tunnistetaan tarjottava palvelu ja siinä sijaintitiedon käsittely palvelun kannalta määriteltyyn tarkoitukseen ja käsittelyn tarpeellisuus kaikilta osin ennekuin on mahdollista arvioida lainsäädännön lähtökohtien toteutuminen. On palveluja (paikantamispalvelu), jossa tuodaan ilmi pyydetty tieto koskien henkilön olinpaikan sijaintia hänen käyttämänsä terminaalin avulla, tavallisesti GPS, GSM tai muu laite. Paikannus- ja paikannukseen perustuva palvelu (Sijaintitiedon hyväksikäyttöpalvelu)
8 on palvelu, jota varten sijaintitiedon hyväksikäyttäjän pyynnöstä luovutetaan tieto henkilön sijainnista, jota kuvaa terminaalin sijaintitieto erilaisissa teknologioissa, esimerkiksi satelliittipaikannuksen tieto tai muu tieto esim. matkaviestinverkon solu- ID, joka liittyy paikkaan, tai langattoman paikallisverkon (WLAN) laitteen laskettu sijainti. Matkaviestinverkon (mobiiliverkko) liikenne antaa paikannukseen perustuvassa palvelussa tiettyjä hyötyjä verkon erityispiirteiden käytölle, joita myös aktiivisesti kehitetään, käytetään ja suunnitellaan käyttöä erilaisiin palveluihin ja tarkoituksiin, joista tyypillisiä on tässä työssä selvitelty ja analysoitu asian konkretisoimiseksi. On selvitetty toimintaa ja kuvattu toimintamalleja yksityisyydensuojan vaatimusten määrittelemiseksi ja analysoimiseksi henkilötietolain lähtökohdista ottamalla huomioon erityislainsäädännön erityisesti televiestinnän ja nyttemmin sähköisen viestinnän tietosuojalainsäädännön vaatimukset yksityisyyden suojan kannalta tyyppipalvelujen ja vaatimusten löytämiseksi teknologisten ratkaisujen vaatimuksiksi. Sähköisen viestinnän tietosuojalaki on valmisteilla ja tulee antamaan yksityiskohtaisemmat määrittelyt ja vaatimukset perustuen sähköisen viestinnän direktiiviin (2002/58/EY), joihin tässä lähtökohdat perustetaan. Henkilötietolain keskeinen lähtökohta on, että sen vaatimukset selvitetään yrityksissä ja muissa organisaatioissa aina jokaisen sijaintitietoa käsittelevän palvelun osalta erikseen huomioidaan käytettävän järjestelmän suunnittelussa, toteutuksessa sekä teknologiassa. Paikantamisteknologian hyväksikäyttö on uutta, palveluja vasta kehitetään eikä vakiintuneita toimintamalleja vielä ole yksityisyyden suojan kannalta tarkasteltuna. Paikkaperusteisessa palvelussa tavallisesti käsitellään paikannettuun henkilöön ja palvelun käyttäjään liitettäviä tietoja, jotka usein ovat sama henkilö eri rooleissa. Käyttäjä voi myös olla yritys tai muu organisaatio tai toinen henkilö. Tavallista on, että paikkaperusteisen palvelun tarjoaja kerää ja tallettaa palvelun antamiseksi tarpeellisia palvelun käyttäjään/paikannettuun henkilöön liitettäviä tietoja, myös muita kuin sijaintitieto, joita se voi tallettaa ja käsitellä palvelun antamisen tarkoituksiin mm. asiakasyhteyksien ylläpitämiseksi ja palvelun toteuttamiseksi ml. laskutus ja muut tarkoitukset esim. suoramarkkinointi ja kohdennettu mainonta, joihin voidaan tarvita yhteystietojen lisäksi mm. mieltymystietoja profiilien tekemiseksi jne. Siten on
9 mahdollista, että palvelussa kerätään ja talletetaan paikannettuun henkilöön tai käyttäjään liitettäviä tietoja, vaikka itse palvelun toteutus ei sitä tarvitsisikaan. Siksi kunkin palvelun yhteydessä on aina selvitettävä nämä ja muut henkilötietolain edellyttämät seikat, joita tässä raportissa kuvataan laadittujen case-esimerkkien valossa. 4.1. Palvelujen tietojärjestelmän eri tasot Paikannus- ja paikkaperusteisen käsittely yksityisyydensuojan lainsäädännöllisten vaatimusten toteuttamiseksi on jaettu eri tasoille tietosuojatarkastelun yksinkertaistamiseksi ja ymmärtämiseksi (kuva 1), mitä edellyttää myös henkilötietolaki. Toiminnallinen taso (Activity layer) sisältää sijaintitiedon tuottamisen (paikannuspalvelun) ja paikkaperusteisen palvelun ja sen hyödyntämisen, systeemitasolla (Application Layer) ovat palveluissa käytettävät järjestelmät ja teknologiatasolla (Technology layer) käytettävä paikannusteknologia, johon myös käyttäjien päätelaitteet, terminaalit, kuuluvat. Layers Activity framework and service processes A ctivity layer Publicly available communication services Added services Value added services System/Application layer Mobile network Satellite network Other technology e.g. W LAN Technology layer M S GPS Other -Terminals Taken into account in this presentation MS = Mobil Station 4 Kuva1 Paikannus- ja paikkaperusteisten palvelujen tietojenkäsittelyn tasot Lainsäädäntö on teknologianeutraalia ja siten vaikuttaa toiminnallisella tasolla, jossa ovat palvelut ja niissä käsittely, käsittelyyn osallistuvat eri toimijat ja roolit toimia
10 sekä käyttäjien pyytämien paikkaperusteisten palvelujen tehtävissä tietojenkäsittelyja tietovirtaprosessit. Sijaintitiedonkäsittely (mm. tuottaminen, luovuttaminen ja muu käsittely) ja siinä noudatettavat tietosuojalainsäädännön vaatimukset määritellään ja suunnitellaan toiminnallisella tasolla (Activity layer) ja kuvataan järjestelmään implementointia varten ominaisuuksina (mm. loogisina rakenteina ja arkkitehtuureina, käsittelyn toimenpiteiden sääntöinä) joita käytetään tietosuojavaatimusten toteuttamisen pohjana palveluita varten kehitettävissä ja niissä käytettävissä järjestelmissä ja tiedonsiirrossa (Application layer). Erilaisten paikantamisteknologioiden ja käytettävien laitteiden osalta arvioidaan aina erikseen, millä edellytyksillä ko. teknologioita voidaan palvelussa käyttää (Technology layer and Terminals). Tässä raportissa esimerkit perustuvat pääasiallisesti mobiiliteknologiaan ja matkaviestimen käyttöön. Sateliittiteknologiaa hyväksikäyttävissä palveluissa käsittelyn edellytykset ovat samat toiminnallisella ja sovellustasolla, mutta poikkeaa teknologiatasolla sijaintitiedon tuottamisen ja luovuttamisen osalta, jossa käyttäjä itse luovuttaa sijaintitiedon palvelun käyttöön. Eroavaisuudet palveluissa käytettäviin järjestelmiin ja siten myös käyttäjien toimintoihin aiheuttaa erilainen teknologia, matkaviestinverkkopaikannus, sateliittipaikannus ja lähipaikannus, mm. WLAN. Tietojärjestelmän eri tasot toimivat toisiaan tukevina ketjuna palveluissa, joita tässä raportissa tarkastellaan tarkemmin. 4.2. Paikannus- ja paikkaperusteisten palvelujen tyyppiesimerkkejä Paikannuspalvelujen keskeisiä, erilaisista lähteistä kerättyjä kehittämiskohteita kuvataan lyhyesti taulukossa 1 ja näistä on valittu esimerkkejä, joissa yksityisyyden suojan ja tietosuojan vaatimuksien toteutumista analysoidaan ja arvioidaan henkilötietolain lähtökohdista liitteissä Case (kuvat 1-10). Raportin tekstiin on lisäksi nostettu palvelujen keskeisiä tyyppiesimerkkejä.
11 Taulukko 1. Tyypillisiä paikannusteknologiaa hyödyntäviä palveluita Palvelun nimi Lyhyt kuvaus palvelustae Viite liite 2:een Technology level Regulatory based location services (Emergency calls) Applications for tracking persons (the customer relationship may exist) Publicly available electronic communication ap- Information plications Information applications without customer relationship Anonymous - statistical information services Julkisesti saatavilla olevan, mobiilioperaattorin tarjoaman televiestintäpalvelun tuottama paikkatieto (solu ID) on osa mobiiliverkkoon perustuvaa paikannusteknologiaa hyödyntävän palvelun toteutusta ja toimintaprosessia. Paikkaperusteisen palvelun pyyntö välittyy yleisen televiestinnän palvelun avulla, jossa sekä aktiivisena oleva puhelinlaite että solu ID tunnistetaan. Solu ID:n perusteella lasketaan palvelussa käytettävä (x,y)-paikkakoordinaatti, joka on tulevan sähköisen viestinnän tietosuojadirektiivin mukaan muu kuin televiestinnän toteutuksessa syntyvä liikennetieto. Televiestinnän palvelu ohjaa palvelupyynnön viestikeskukseen, jossa anonyymi viesti liitetään henkilön tunnistetietoihin. Activity level Hätäpuhelu on esimerkki regulaatioon perustuvasta paikannetusta palvelusta, jossa puhelun vastaanottavalla viranomaisella (hätäkeskus, poliisi, jne.) on lakiin perustuva oikeus saada sijaintitieto laitteesta, josta hätäpuhelu on tullut. Meripelastuslain mukaan ilmoituksen voi tehdä myös toinen henkilö. Paikannusteknologiaa voidaan hyödyntää terveyden- ja sosiaalihuollon asiakkaiden hoidossa, työntekijöiden seuraamisessa esim, turvallisuus- tai työntehostamissyistä, seurantapalveluun rekisteröityneiden henkilöiden (Find-a-friend) tms.. yhteydenpito. Jotta henkilöä voidaan seurata, tulee olla voimassa asiakas- tai palvelussuhde, jossa henkilöä on informoitu ja on saatu lupa paikantamiseen. Käsittelyyn vaikuttaa lisäksi ko. toimintaa ja käsittelyä sääntelevä erityislainsäädäntö, esim. työelämän tietosuojalaki ja terveyden potilaan oikeuslaki. Paikannusteknologiaa hyödynnetään erilaisissa paikkaan liittyvän tiedon jakamiseen liittyvissä paikkaperusteisissa palveluissa kuten hakemistoissa, uutisissa ja mainostamisessa. Henkilölle tarjottava palvelu voi olla myös paikkasidonnainen ilmoitustaulu, turistiohjaus, reitin opastus jne. Mobiilioperaattorin ja paikannusteknologiaa hyödyntäviä palveluja tarjoavan tahon välillä tulee olla sopimus asiakasyhteyksien toteuttamiseksi. Henkilö voi soittaa palvelunumeroon, jolloin yhteydenottoon sisällytetään tietojen luovuttamisluvan olemassaolon tarkistaminen mikäli palvelun tarjoajalla on lupa ja siihen liittyvä informaatio on hoidettu jo aiemmin. Asiakasrekisteri on tarpeen muodostaa, mikäli palvelusta peritään maksu. Palveluun liittyvää tietoa ei välttämättä tallenneta, mutta laskutustieto kerätään ja tallennetaan rekisteriin. Paikannusteknologiaa hyödyntävässä suora- ja kohdennetussa markkinoinnissa yrityksen ja henkilön välille ei välttämättä muodostu asiakkuutta. Anonyymeissä tilastotietoa tuottavissa palveluissa mobiililaitteiden tietoja anonyymisti käsiteltäviksi tilastotiedoiksi. Anonyymia tilastotietoa voi tarjota esimerkiksi tieliikenteestä vastaava viranomainen, joka hankkii mobiilioperaattorilta anonyymeja kuljettajille tarjottavia matka-aikapalveluja. Case 1 Case 2 Case 3,4,5 Case 9 Case 7,8 Case 10
12 4.3. Yksityisyydensuojan ja tietosuojan vaatimukset paikannuspalveluissa Palvelukohtaisissa toimintamalleissa yksityisyydensuojan ja muiden laissa annettujen perusoikeuksien (tietosuoja) varmistamiseksi paikannettuun henkilöön liitettävän käsittelyn on noudatettava hyvää tietojenkäsittelytapaa ja käsittelyn on oltava laillista. Kaikella käsittelyllä on oltava tarkoitus ja laillisesti hyväksyttävä käsittelyn peruste. Aina on selvitettävä onko tarpeen tietoja tallettaa ja jos on, niin kuinka kauan ja mikä on peruste eli muodostuuko henkilörekistereitä, jolloin on oltava määritellyt vastuut, rekisterinpitäjät ja muut vastuut. Sijaintitiedon ja siihen liitettävän henkilön tietojenkäsittelyyn osallistuvilla eri toimijoilla on oltava edellytykset käsitellä tehtäviä hoitaessaan sijaintitietoa ja sijaintitietoon liitettäviä henkilötietoja, jolloin kunkin paikannetun henkilön tietojenkäsittelylle on oltava oikeutus, johon vaikuttaa henkilön itsemääräämisoikeus, tietoisuus käsittelystä ja siihen vaikuttaminen. Tietoja on käsiteltävä laillisesti, oikeus on käsitellä vain tehtävien hoidon kannalta tarpeellisia tietoja, joiden on oltava lisäksi laillisesti kerättyjä ja sallittuja, huomioiden erityisryhmät mm. arkaluonteisten tietojen ja henkilötunnuksen käsittelyn rajoitukset sekä salassapidettävyys, tietojen on oltava virheettömiä ja myös muun mahdollisen käsittelyn on oltava laillista. Tietoja on voitava käsitellä vain etukäteen määriteltyyn tarkoitukseen ja niitä voivat käsitellä vain yrityksen tai organisaation kunkin rekisterinpitäjän työntekijät tai ulkopuoliset rekisterinpitäjän toimeksiannosta ja tämän ohjeiden mukaisesti siten, että rekisteröidyn eli paikannetun henkilön ja varsinaisen käyttäjän yksityisyyttä ja muita perusoikeuksia ei aiheettomasti loukata. Tämä voidaan tehdä vain selvittämällä toiminta, palvelut ja tarpeellinen käsittely sekä arvioida lainmukaisuus käsittelyssä ja varmistaa vaatimusten mukanaolo toteutuksessa ja toteutuminen käytettävässä teknologiassa.
13 5. Käyttötarkoitus ja peruste paikannuksessa ja paikkaperusteisissa palveluissa Paikannus- ja paikkaperusteisten palvelujen tyypillisiä käyttötarkoituksia voidaan ryhmitellä ensin sijaintitiedon tuottamisen ja paikantamispalvelujen mukaisesti ja näitä tarkemmin seuraavasti: Sijaintitietojen tuottaminen (paikannuspalvelut) - Yleisten sähköisen viestinnän palvelujen antamisessa sijaintitiedon tuottaminen - satelliittipaikannuksen avulla sijaintitiedon tuottaminen - langattoman paikallisverkon avulla tuotettu sijaintitieto Paikannukseen perustuvat palvelut (sijaintiedon hyödyntäminen) - Lainsäädäntöön perustuvat viranomaisen palvelut o Emergency calls (112) ja meripelastuslain mukaiset hätätilanteet - Paikkaan sidotun tiedon jakaminen, esim. keltaiset lehdet, ilmoitustaulut yms. tai tiedon jakaminen esim. reitin opastus. (ns. paikkamukautuvat palvelut, jotka voivat olla erilaisia pyyntöpalveluja) - Paikkaan sidotut työsuhteen hoitamisen, asiakas-, jäsenyys- tms. palvelut o Työntekijän työtehtävien hoitamista tulevat seuranta o Vanhuksen liikkumisen seuranta - Paikkaan sidottu suoramarkkinointi ja kohdennettu mainonta asiakkuuden perusteella tai ilman asiakkuutta: o Kanta-asiakasjärjestelmät ym. asiakasjärjestelmät, jotka sidottu paikkaan - Tilastolliset järjestelmät Sijaintitiedon tuottamisen (paikannuspalvelun) ja tiedon hyödyntämisen (paikkaperusteisen palvelujen ja muun hyödyntämisen), käyttötarkoituksia ovat mm. asiakasjärjestelmät, jotka liittyvät käyttäjälle tarjottaviin palveluihin ja informaation
14 jakamiseen (mm. keltaiset sivut), kaupalliseen käyttöön (mm. kantaasiakasjärjestelmät, suoramarkkinointi, markkinatutkimus jne.), tilastollinen ja viranomaiskäyttö. R ekisterinpitäjä: M obiilioperaattori Rekisteri: Tilaajarekisteri KKäyttötarkoitus:Yleinen telepalvelpalvelu tele- Sisältö:Tilaaja-/käyttäjätiedot osarekisterin muodostavat m toteutustiedot mm. mm. koti- koti-ja ja vierailijarekisterit Muu mahdollinkäyttö R ekisterinpitäjä: V A SP Rekisteri: Paikantam ispalvelun asiakasrekisteri (Palvelu (Palvelu y) y) KKäyttötarkoitus:Paikantamis- ispalvelun antaminen (Palvelu (Palvelu y) y) Sisältö: Sisältö: Rekisteri: Paikantam ispalvelun asiakasrekisteri (palvelu (palvelu y) y) KKäyttötarkoitus:Paikantam ispalvelupalvelun antaminen (Palvelu (Palvelu y) y) is- Sisältö: Sisältö: Suoramarkkinointi Tutkimus Laskutus Esimerkki: Paikannuspalvelun ja paikkaperusteisen palvelun tarjoajien pitämät henkilörekisterit 5.1. Yleisesti saatavilla olevat sähköisen viestinnän palvelut Käsittelyn tarkoituksen määrittää tehtävät, joiden hoitamiseksi paikannettua henkilöä ja palvelun käyttäjää koskevaa sijaintitietoa on oikeus kerätä ja tarvittaessa tallettaa laillisesti perusteltuun rekisterinpitäjän rekisteriin, kun siihen on edellytykset. Matkaviestinoperaattori kerää ja tallettaa sijaintitietoa yleisen televiestinnän palvelun hoitamiseen liittyvissä tehtävissä ja tallettaa tiedot matkaviestinverkon rekisteriin (liikenteen ohjausasema). Matkaviestinverkon soluteknologiaan perustuva toiminta tarjoaa paikantamispalvelun käyttöön matkaviestinverkon liikenneohjausaseman serverillä operaattorin pitämää sijaintitietoa terminaalia mukanaan kuljettaman henkilön sijainnista vertaamalla aseman serverillä olevan rekisterin tietoa laitteen sijaintitietoon. Toiminnassa syntyvä tieto talletetaan matakaviestinverkon serverille, jossa sitä päivitetään aina silloin, kun solualue muuttuu. Terminaalin sijainnin
15 jatkuvassa seurannassa (polling method) syntyvä sijaintitieto, jonka operaattori luovuttaa paikkaperusteista palvelua varten palvelun tarjoajalle (lisäarvopalvelun tarjoaja, VASP), kun luovuttamisen edellytykset täyttyvät. Tämä sijaintitieto ei ole televiestinnän pyydetyn palvelun toteuttamisessa syntyvä tieto, eikä ole siten televiestinnän liikenne- ja tunnistamistieto, mutta on sitä toimintaa varten ylläpidettävässä palvelussa syntyvä henkilöön liitettävissä oleva tieto, paitsi kun käyttäjä itse pyytää palvelun, ko. palveluun liittyy tieto, miltä solualueelta palvelu on pyydetty (sijaintitieto). Voidaan helposti luulla, että käsitellään käyttäjään liittyviä tietoja, jotka on kerätty ja tallennettu yleisten sähköisten viestintäpalveluiden tuottamiseksi (näin ei kuitenkaan ole). Silloin kun käyttäjä itse pyytää palvelun (paikannettu pyyntöpalvelu), sisältyy palveluun yhteydenotto, jolloin voitaisiin olettaa sijaintitiedon luovuttamiseksi tarvittava luvan sisältyvän pyyntöön, mikä tulisi myös tallettua valvontaa varten. Tieto talletetaan väliaikaisesti matkaviestinverkon serverille. Kun paikkaperusteisen palvelun tarjoaja (VASP) on saanut käyttäjältä palvelupyynnön ja operaattori on saanut VASP:lta sijaintitiedon luovuttamispyynnön, tieto annetaan tämän serverin rekisteriä käyttämällä. 5.2. Paikannukseen perustuvat palvelut lisäarvopalvelut Paikannukseen perustuvan palvelun tarjoajan (lisäarvopalvelun tarjoaja, VASP) palvelussa paikannettuun henkilöön liitettävien tietojen käsittelyn tarkoituksen määrittää tehtävät, joiden hoitamiseksi paikannettua henkilöä ja palvelun käyttäjää koskevia tietoja on oikeus kerätä ja tarvittaessa tallettaa laillisesti perusteltuun (rekisterinpitäjän) henkilörekisteriin, kun siihen on edellytys. VASP ilmoittaa tämän käyttötarkoituksen mobiilioperaattorille sijaintitiedon luovutusta koskevan pyynnön yhteydessä ja lisäksi antaa tiedon, että tähän käyttötarkoitukseen käsittelystä on annettu käyttäjälle informaatio. Paikkaperusteisen palvelun kulloisenkin käyttötarkoituksen (esimerkkejä käyttötarkoituksista kappaleessa 5.1) mukaisessa toiminnassa on selvitettävä, onko tarpeen tallettaa palvelun antamista koskevia tietoja ja pitää sitä varten henkilörekisteriä. Käyttötarkoitukset voidaan ryhmitellä lisäksi siten, muodostuuko
16 henkilörekisteri vai ei ja jos muodostuu, niin millainen, millaisten rekisterinpitäjän tehtävien hoitamiseksi, esim. asiakasjärjestelmä palvelun tuottamiseen, markkinointirekisteri kaupalliseen käyttöön tai tilastolliseen käyttöön. Asiakasjärjestelmiä muodostuu tyypillisesti silloin, kun palvelun hoitamiseksi on tarpeen kerätä ja tallettaa käyttäjästä/asiakkaasta yhteystietoja ja palvelun toteuttamistietoja, joita tarvitaan mm. laskutusta varten tai henkilöstöhallinnolliseen käyttöön (esim. työntekijän työtehtävien suorittamisen seuranta). Tavallista on, että palveluista laskutetaan, jota varten rekisteröidään tietoja henkilörekisteriin. Asiakasrekisterin tietojen kaikki muu käyttö ja edellytykset huomioidaan, mm. tyypillisiä ovat suoramarkkinointi ja lainsäädännössä annettujen velvoitteiden hoitaminen. Erotuksena asiakasrekisterin tietojen käytöstä suoramarkkinointiin ovat tiedot, joita erikseen kerätään ja talletetaan suoramarkkinointia ja kohdennettua mainontaa varten, esimerkiksi kysymällä käyttäjän taustatietoja, keräämällä käytöstä profiilitietoja ja tallettamalla näitä ja joiden käsittelyn yleinen edellytys on eli suostumus, mikä on eri kuin asiakasrekisterin tietojen käsittelyn yleinen edellytys (asiallinen yhteys) ja annettu informaatio. Paikkaperusteisessa palvelussa ei ole aina tarpeen tallettaa paikannettuun henkilöön liitettäviä tietoja, joten on tarpeen selvittää muodostuuko tällainen rekisteri vai ei, jotta tarvittaessa lainmukainen käsittely tulee selvitettyä. Jos henkilörekisteri muodostuu se muodostaa loogisen kokonaisuuden, sisältäen kaikki ko. palvelun toteuttamisen tarkoituksessa kerätyt ja talletetut tiedot ja erotetaan muiden käyttötarkoitusten tiedoista. Samalla määritellään kuinka kauan tietoja talletetaan (kesto), joka ilmoitetaan operaattorille luovutusta pyydettäessä. Lisäksi selvitetään onko tarpeen käsitellä tietoja siten, että henkilö tunnistetaan vai voidaanko käsitellä anonyymisti ja tilastollisesti siten, että syntyy tilastollinen rekisteri, ei henkilörekisteri. Jos VASP antaa useita eri paikantamispalveluita, kukin palvelu muodostaa erillisen käyttötarkoituksen ja jos henkilörekisteri muodostuu, on se erikseen pidettävän looginen rekisterin. Lisäarvopalvelun tarjoajan (VASP) tai sen palveluja hyödyntäjäyrityksen tai muun organisaation tehtävät ja intressit voivat edellyttää käyttäjän tunnistamista, asiakassuhteen syntymistä sekä henkilörekisterin pitämistä, mm. asiakkuuden ylläpitämiseksi ja palvelun toteuttamiseksi ml. laskutuksen hoitaminen maksullisten palvelujen osalta. Välttämättä ei huomata, että myös laskutusta varten kerätään ja talletetaan tietoja, jotka kuuluvat loogiseen henkilörekisteriin. Lisäksi sijaintiedon hyödyntäjällä voi olla intressi kerätä ja käsitellä palvelun käytöstä tietoja suoramarkkinointiin, mikä käyttötarkoitus on muu kuin asiakkuuden