Rikkooko Joulupukin kilttien ja tuhmien lasten lista GDPR-lakia? Otimme selvää

Petteri Pyyny
23. joulukuuta, 2024 11:17

Kuten kaikki tietävät, Joulupukki ylläpitää alati päivittyvää listaa lasten kiltteydestä - sekä mahdollisesta tuhmuudesta. Lista päivittyy pitkin vuotta Joulupukin tonttujen keräämien tietojen perusteella.
Näiden tietojen pohjalta Pukki sitten tekee viime hetken päätökset siitä, millaisia lahjoja kullekin lapselle on tulossa - vai tuleeko sittenkin lahjojen sijaan risuja, jos lapsi on tietojen mukaan ollut erityisen tuhma.

Tämähän on itsestäänselvyys kaikille ja asiasta mainitaan useissa joululauluissakin (mm. "Joulupukki matkaan jo käy" -laulussa).
Mutta aloimme pohtimaan näin joulun alla Joulupukin listan laillisuutta muuttuneessa maailmassa.

Kuten kaikki tietävät, pitää Joulupukki majapaikkaansa Suomen Korvatunturilla. Näin ollen Pukki on oletettavasti Suomen ja Euroopan Unionin lakien alainen - ja myös pukin toiminta asettuu näin samoihin laillisuusraameihin kuin muidenkin suomalaisten toimijoiden.

Päätimme ottaa asiasta tarkemmin selvää.

Oletukset Joulupukin toiminnasta

Laadimme ensin tietyt perusolettamat Joulupukin listasta ja Pukin toimintatavoista. Teimme analyysissamme mm. seuraavat oletukset:

• Joulupukin päämaja sijaitsee Korvatunturilla, Suomessa. Näin ollen Joulupukin toimintaa säätelee mm. GDPR-asetus eli Euroopan Unionin Yleinen tietosuoja-asetus.
• Joulupukin kilttien ja tuhmien lasten lista sisältää kaikkien maailman lasten tiedot. Asetimme "lapsen" määritelmäksi sen, että kyseinen henkilö on alle 18-vuotias.
• Oletamme, että joulupukki saa tiedot lasten kiltteydestä ympäri maailmaan toimivilta avustajiltaan ("tonttu").
• Pukki saa automaattisesti esitiedot kaikista uusista maailmaan syntyvistä lapsista joltain taholta, mutta ei kuitenkaan lasten vanhemmilta.

Vakavat kysymykset Joulupukin listaan liittyen

Näin ollen saimme tiivistettyä kysymyksemme kolmeen tärkeimpään kohtaan, joita lähdimme selvittämään tarkemmin:

1. Onko Joulupukin ylläpitämä lista henkilörekisteri? Ja jos se on henkilörekisteri, onko se laillinen henkilörekisteri?
2. Mitä ongelmakohtia kyseinen kilttien/tuhmien lasten lista mahdollisesti sisältää?
3. Jos Pukin toiminnassa on selkeästi ongelmallisia kohtia, miten Pukin pitäisi muuttaa toimintatapojaan, jotta toiminta olisi jatkossa lain silmissä ongelmatonta?

Tähän liittyen teimme oman analyysimme, mutta pyysimme myös toisen näkemyksen yksityisyyteen intohimoisesti suhtautuvalta Electronic Frontier Finlandilta (EFFi).

Oma analyysimme Joulupukin toiminnasta

Onko Joulupukin lista henkilörekisteri?

GDPR:n mukaan henkilörekisterillä tarkoitetaan "kaikkia järjestelmiä, jotka sisältävät tietoa tunnistettavissa olevista henkilöistä" (esim. nimi, osoite, käyttäytymistiedot, jne.). Joulupukin lista täyttää tämän määritelmän, koska:

• Siinä on todennäköisesti lasten nimiä ja ehkä muitakin tunnistetietoja (kuten asuinpaikka tai tietoa heidän käytöksestään).
• Tiedot on järjestetty tavalla, joka mahdollistaa lasten tunnistamisen (esim. "kilttien" ja "tuhmien" listaukset) ja lahjojen jakamisen kerättyjen tietojen perusteella.

Joten ehdottomasti, mielestämme Pukin lista on lain näkökulmasta henkilörekisteri.

Mutta onko Joulupukin ylläpitämä henkilörekisteri sitten laillinen?

GDPR:n mukaan henkilörekisterin ylläpidolle pitäisi olla laillinen käsittelyperuste. Eli käytännössä Pukin listalla pitäisi olla lainmukainen peruste, kuten sopimus, lakisääteinen velvoite tai muu oikeutettu etu.

Sen perusteella, mitä tiedämme Joulupukin listasta, mikään näistä ehdoista ei tunnu täyttyvän, sillä lasten tiedot kerätään ilman heidän tai heidän vanhempiensa erillistä suostumusta. Lisäksi toiminnalle ei ole selkeää oikeutettua perustetta - vaikka moni vanhempi sinänsä arvostaakin lasten kiltteyden mittausta, se tuskin on oikeutettu peruste lasten itsensä mielestä.

Myös se, miten lasten tiedot ylipäätään päätyvät Joulupukin rekisteriin (vuodot synnytyslaitoksilla tai väestörekisterissä..?) viittaa vahvasti vakaviin tietosuojarikkomuksiin.

Joten sanoisimme, että Joulupukin lista ei ole laillinen henkilörekisteri.

Mitä ongelmakohtia Joulupukin ylläpitämä lista sisältää?

Listassa vaikuttaisi olevan useitakin ongelmallisia kohtia. Ensinnäkin GDPR-asetus pitää lapsia erityisen suojelun tarpeessa olevina henkilöinä, joten alaikäisten henkilötietojen käsittelyssä pitäisi olla erityisen tarkka. Ja kun lista sisältää jopa alle kouluikäisten lasten tietoja, tulisi vähintään vanhemmilta olla yksiselitteinen suostumus lastensa henkilötietojen käsittelyyn. Näin ei tietääksemme ole.

Myös henkilörekisterin ja siinä olevien tietojen käsittelyn tarkoitus on hieman epäselvä. Yleinen tietosuoja-asetus vaatii, että henkilötietoja kerätään vain tiettyä, nimenomaista ja laillista tarkoitusta varten. Lista kaikista maailman lapsista, joka sisältää tiedot heidän mahdollisesta kiltteydestään ei oikein mahdu mielestämme laillisen tarkoituksen raameihin.

Myös tietojen säilytysajasta on säädetty asetuksessa siten, että tietoja saisi säilyttää vain niin kauan kuin tietoja tarvitaan tiettyä tarkoitusta varten. Emme tiedä tuhoaako pukki henkilörekisterinsä aina joulun jälkeen ja aloittaa keräämään sitä uudestaan - vai säilyvätkö myös aiempien vuosien tiedot, kenties pysyvästi.

Miten listasta saataisiin paremmin yleisen tietosuoja-asetuksen kanssa yhteensopiva?

Aivan ensimmäiseksi Pukin pitäisi huolehtia siitä, että kaikilta listalla olevilta lapsilta ja heidän vanhemmiltaan on saatu yksilöity, selkeä ja dokumentoitu suostumus tietojen keräämiseen ja käsittelyyn.

Lisäksi Joulupukin pitäisi määritellä selkeästi se, miksi tietoja kerätään ja miten niitä käsitellään.

Lapsille pitäisi myös antaa oikeus tarkistaa tietonsa Joulupukin henkilörekisteristä tarvittaessa, muutenkin kuin jouluna. Myös korjauspyynnöt pitää käsitellä viipymättä ja niiden käsittelyyn pitäisi olla mielestämme tarjolla selkeät ohjeet.

Effin analyysi

Electronic Frontier Finlandin eli Effin edustajat olivat täynnä joulun henkeä ja osallistuivat omalta osaltaan tämän monimutkaisen, mutta erittäin tärkeän asian pyörittelyyn.

Effi ottikin Joulupukin listaan hyvin uuden ja raikkaan lähestymiskulman, joka ehdottomasti haastaa oman, varsin byrokraattisen ja lakia tylsästi tulkitsevan analyysimme.

Effin varapuheenjohtaja Elias Aarnio oli samaa mieltä kanssamme, että Joulupukin lista ja sen käyttötapa vaikuttaa ehdottomasti henkilötietojen käsittelyltä. Mutta Effi nosti analyysissaan esiin GDPR:stä löytyvän ns. kotitalouspoikkeuksen:

Resitaali 18:

Tätä asetusta ei sovelleta luonnollisen henkilön suorittamaan henkilötietojen käsittelyyn toiminnassa, joka on yksinomaan henkilökohtaista tai kotitaloutta koskevaa toimintaa ja joka näin ollen ei ole sidoksissa mihinkään ammatilliseen tai kaupalliseen toimintaan. Henkilökohtaista tai kotitaloutta koskevaa toimintaa voi olla esimerkiksi kirjeenvaihto ja osoitteiston pitäminen sekä sosiaalinen verkostoituminen ja verkkotoiminta, joita harjoitetaan tällaisen henkilökohtaisen tai kotitaloutta koskevan toiminnan yhteydessä. Asetusta sovelletaan kuitenkin rekisterinpitäjiin tai henkilötietojen käsittelijöihin, jotka tarjoavat keinot tällaiseen henkilökohtaiseen tai kotitaloutta koskevaan henkilötietojen käsittelyyn.

2 artikla:

Tätä asetusta ei sovelleta henkilötietojen käsittelyyn,
[...]
c) jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa

Effin mielestä tämä kohta on mielenkiintoinen Joulupukin kohdalla, sillä Joulupukin toiminta voitaisiin katsoa kotitalouspoikkeuksen alaan kuuluvaksi. Tätä puoltaisi se, että Pukilla ei ole mitä ilmeisimmin toiminimeä, yritystä, säätiötä tai muuta oikeushenkilöä toimintaansa liittyen.

Aarnion mukaan Pukin toiminnan laajuus toki tavallaan edellyttäisi jonkinlaista virallisempaa organisaatiota. Mutta koska sellaista ei ole, eivätkä viranomaiset ole sellaista Pukilta koskaan vaatineet, voitaisiin olettaa, että Joulupukin toiminta on hiljaisesti hyväksytty vuosien saatossa kotitalouspoikkeuksen alaan kuuluvaksi.

Toinen, mihin Effin Aarnio kiinnitti huomiota oli se, että yllämainitussa lain kohdassa mainitaan oikeushenkilön (kuten yritys) vaihtoehdoksi luonnollinen henkilö (yleensä elossa oleva ihminen).

Joulupukin tapauksessa käsite "luonnollinen henkilö" on tietenkin hieman ongelmallinen. Avaan tätä kysymystä siteeraten Eppu Normaalin takavuosien hittiä ja kysymällä mikä seuraavista luonnolliseen henkilöön liittyvistä määreistä on epäuskottavin:

* älykäs painija (tunnen tällaisen henkilökohtaisesti)
* rehellinen poliitikko (tunnen useammankin tällaisen ihmeen)
* raitis näyttelijä (näitäkin minulla ilo tuntea useampi)
* Joulupukki kykyineen kiertää koko maailma suurin piirtein valon nopeudella yhden vuorokauden aikana

Joulupukki on siis kaikista näistä luonnollisista henkilöistä epäluonnollisin. Meillä ei ole harmainta aavistusta siitä mikä viranomainen voisi tehdä tulkinnan siitä onko Joulupukki luonnollinen henkilö vai ei.

Eli näillä argumenteilla voitaisiin katsoa, että Joulupukin toiminta sopisi hyvinkin GDPR:n kotitalouspoikkeuksen piiriin.

Aarnio toki muistuttaa, että rekisterinpitäjinä toimivien tonttujen täytyy tästä huolimatta noudattaa tietosuojalainsäädäntöä ja tietojen luovutuksille tulee olla GDPR:ssä mainittu peruste. Lisäksi tietojen luovutuksesta tulee olla maininta kyseisen organisaation (tonttujen tiedusteluorganisaatio?) tietosuojaselosteessa.

Lopuksi Effin Aarnio pohtii tilannetta, jossa Pukki olisi päättänyt siirtyä paperisista listoista digiaikaan ja päättäisi tehdä ns. pilvisiirtymän. Tällöin Pukin listan olisi syytä pysyä Euroopan Unionin alueella sijaitsevilla palvelimilla - jos tiedot siirtyvät vaikkapa amerikkalaisille palvelimille, niihin on Yhdysvaltain oman lainsäädännön nimissä usein pakko antaa pääsy Yhdysvaltain tiedusteluviranomaisille.

Joten lienee selkeintä, että Pukki pysyy jatkossakin paperisessa henkilörekisterissä - mutta palkkaa itselleen pätevän tietosuojaan erikoistuneen juristin, jotta mahdolliset ongelmakohdat EU:n lainsäädännön kanssa tulee korjattua.