EU:n tietosuoja-asetuksen vaikutukset pankin luottopäätöksiin : Profilointi ja automaattinen päätöksenteko GDPR:n näkökulmasta

Abstract

Nykyinen digitaalinen ja globaali maailma on mahdollistanut sen, että henkilötietojamme on laajalti kaikkialla, myös Suomen rajojen ulkopuolella. Henkilötietojamme kerätään hyvin monilta eri tahoilta. Yritykset, joiden palveluita käytämme, työnantajat ja jopa älypuhelinten sovellukset poimivat henkilötietojamme kaiken aikaa. Koska henkilötietojen keräämisestä on tullut niin arkipäiväistä ja niin globaalia, on niiden turvaaminen entistä tärkeämpää. Tätä varten Euroopan parlamentti ja neuvosto ovat säätäneet uuden asetuksen, joka tuo mukanaan rekisterinpitäjille velvollisuuksia ja lisää rekisteröidyn oikeuksia. Eräs uusi oikeus on olla joutumatta automaattisen päätöksenteon kohteeksi ja mahdollisuus saada tietoa automaattisen päätöksenteon perusteista. Laki ei suoraan ota kantaa, mitä tietoja rekisteröidylle tulee näistä perusteista kertoa. Tulkinnanvaraisuuden vuoksi tutkielmalle on tarvetta. Tutkielma on oikeusdogmaattinen.

Tutkimuksessa käyvät tutuksi pankin oikeudet ja velvollisuudet GDPR:n näkökulmasta ja niiden pohjalta tehtiin katsaus finanssialalla tapahtuvaan profiloin-tiin ja automaattiseen päätöksentekoon. Euroopan yleinen tietosuoja-asetus (EU) 2016/679 eli GDPR on tullut voimaan 25.5.2016 ja se implementoitiin jokaiseen jäsenmaahan 25.5.2018 alkaen. Koska asetus on uusi, muodostui haasteeksi käytännön kokemus rekisteröidylle annettavista tiedoista. Rekisterinpitäjälle ei ollut tullut tarkastuspyyntöjä automaattisen päätöksenteon perusteista. Profiloinnistakin tarkastuspyyntöjä oli tehty vain pari. Johtopäätökset tein pitkän työuran antamaa ammattipätevyyttä hyödyntäen.

Tyhjentävää vastausta automaattisen päätöksenteon ja profiloinnin perusteista ei voida antaa, sillä tilanteet ovat usein hyvin tapauskohtaisia. Selvää kuitenkin on, että rikolliseen toimintaan tai sen epäilyyn liittyvää tietoa ei voida antaa. Tarkat algoritmitiedot katsotaan liiketoimintasalaisuudeksi. Kaikki sellainen tieto, minkä salassapidolle ei ole perusteita ja mikä ei vaaranna rekisterinpitäjän liiketoimintaa, tulisi toimittaa rekisteröidylle hänen pyytäessä.

The current digital and global world has allowed that our personal data is almost everywhere, even outside of Finland. Our personal data has been collected by many different operators. Companies, whose services we use, employers and even our smartphones are collecting our personal data all the time. Protecting our personal data is now even more important, because collecting personal data has become so routine and so global. That’s why EU’s parliament and European council have set a new regulation which involves more duties to data controller and which provides more rights to the data subject. One of the new rights is that the data subject shall have the right not to be subject to a decision based solely on automated processing. There are no facts about what should be given for the data subject concerning automated processing. There was great need for this kind of thesis because the regulations are so ambiguous. This thesis is based on law.

The bank rights and responsibilities from the perspective of GDPR are coming familiar in this thesis. On the basis of this regulation a review on automated individual decision-making was made, including profiling. EU’s General Data Protection (EU) 2016/679 i.e. GDPR came into effect on 25.5.2016 and it’s been implemented in every EU member country since 25.5.2018. Because the regulation is new, there were difficulties to find practical experience, especially related to information that data subjects have right to know. The conclusion was made on the basis of writer’s long working career and professional competence.

Exhausting answers do not exist, because every case is different and will be considered case by case. Crystal clear is that any information cannot be given to the data subject if the data subject is involved in criminal action. Very specific algorithm details are business secrecies. All kind of information, that has no barriers to be confidential and which doesn’t harm business activity, should be given for data subject if asked.