Mobiilisovellusten ja anonymisoidun liikkuvuusdatan käyttö COVID-19-kriisin torjumiseksi ja siitä ulospääsemiseksi

Eduskunnan liikenne- ja viestintävaliokunta on pyytänyt FiComilta lausuntoa valtioneuvoston selvityksestä komission suosituksesta unionin yhteisestä työkalupakista liittyen mobiilisovellusten ja anonymisoidun liikkuvuusdatan käyttöön COVID-19-kriisin torjumiseksi ja siitä ulospääsemiseksi. FiCom kiittää mahdollisuudesta tulla kuulluksi ja esittää kunnioittavasti seuraavaa:

FiComin keskeiset viestit

• Telealalla on kykyä ja halua auttaa COVID-19-epidemian hillitsemisessä.
• Jo nyt viranomaisten päätöksenteon tueksi tarjotaan anonymisoituja tilastoanalyyseja ihmisten liikkumisesta. Data on saatu käsittelemällä viestinnän välitystietoja.
• On ensiarvoisen tärkeää, että sovellusten kyberturvallisuudesta ja tietosuojasta huolehditaan riittävän tehokkaasti.
• Sovellusten tulee perustua vapaaehtoisuuteen, ja ne tulee poistaa käytöstä, kun niitä ei enää tarvita.

FiCom pitää valtioneuvoston tavoin komission suositusta, komission ja jäsenvaltioiden yhteistä työkalupakkia ja komission tietosuojaa koskevaa tiedonantoa oikeansuuntaisina. Kehitystyössä tulee kuitenkin huomioida eri jäsenvaltioiden tekninen kehitys, lainsäädäntö sekä olemassa olevat käytänteet. Eri jäsenvaltioiden sovellusten yhteentoimivuuden tavoittelemisen ei tule tarpeettomasti rajoittaa tai hidastaa kansallisten sovellusten kehittämistä ja käyttöönottoa.

Telealalla on kykyä ja halua auttaa COVID-19-epidemian hillitsemisessä. FiComin jäsenyritysten toiminta – ja viestintä laajemminkin – perustuu luottamukseen. Kansalaisten on luotettava niin yrityksiin kuin omaan viestintäänsäkin, joten tietosuoja ja kyberturvallisuus täytyy turvata lainsäädännön sekä viranomaisten tulkintojen mukaan.

Teleoperaattorit voivat sähköisen viestinnän palveluista annetun lain 142 § mukaisesti käsitellä viestinnän välitystietoja. Ne voivat esimerkiksi mobiililaitteen sijainnin ilmaisevan tiedon avulla tuottaa tilastollista analyysiä ihmisten liikkumisesta alueilla, joissa liikkumista on rajoitettu. Tilastollista analyysiä varten tapahtuvan käsittelyn on oltava asiallisesti perusteltua, eikä analyysistä saa tunnistaa yksittäistä luonnollista henkilöä.

Suomessa teleoperaattorit tarjoavat tilannekuvaa ja anonymisoitua tietoa ihmisvirtojen liikkeistä valtioneuvoston sekä Helsingin ja Uudenmaan sairaanhoitopiirin Helsingin yliopistollisen sairaalan käyttöön viranomaisten päätösten tueksi sekä koronavirusepidemian leviämisen ennustamiseksi. Oikeuskansleri on 28.4.2020 tekemässään päätöksessä OKV/15/50/2020 todennut, ettei täysin anonymisoitu sijaintitietojen käyttö maakuntatasolla loukkaa tietosuojaa tai muutenkaan vaaranna kenenkään oikeuksia. Kuten valtioneuvoston selvityksestä sekä komission 8.4.2020 yhteisestä välineistöstä antamasta suosituksesta käy ilmi, myös erilaiset alustapalvelut ovat jakaneet viranomaisten käyttöön anonyymejä ja aggregoituja sijaintitietoja.

Mahdollisten mobiilisovellusten tulee kunnioittaa perusoikeuksia, kuten yksityisyyden ja henkilötietojen suojaa. Riittävän tehokkaat kyberturvallisuus- ja tietoturvatoimenpiteet ovat välttämättömiä tietojen saatavuuden, luotettavuuden, yhtenäisyyden sekä luottamuksellisuuden suojaamiseksi.

Koska sovellusten tulee perustua vapaaehtoisuuteen, on käyttäjien luottamuksen takaamiseksi ensiarvoisen tärkeää, ettei niillä kerättyjä tietoja hyödynnetä mihinkään muuhun tarkoitukseen kuin COVID-19-kriisin hallitsemiseen ja sen ratkaisuun. Komission yhteisestä välineistöstä antamassa suosituksessa pidetään tärkeänä yleistä luottamusta siihen, että tietoja suojataan asianmukaisin turvatoimin ja käytetään yksinomaan virukselle altistuneiden henkilöiden varoittamiseen kansallisten terveysviranomaisten hyväksymällä tavalla. Esimerkkeinä kielletystä käytöstä on mainittu mm. lainvalvontaviranomaiset sekä kaupalliset tarkoitukset. Sovellusten käyttöönotto voi avata ovia myös rikolliselle väärinkäytölle, joten riskit ihmisten liikkuvuusdatan ja terveystietojen käytön osalta tulee tiedostaa.

Komission työkalupakissa on erityisesti linjattu, että sovellukset tulee poistaa käytöstä ja niissä olevat tiedot hävittää välittömästi, kun niitä ei enää tarvita. Sovellusten käytön tulee siis rajautua ajallisesti vain epidemian kestoon. Komission 16.4.2020 julkaisemissa sovellusten tietosuojaa koskevissa ohjeissa todetaan lisäksi, ettei sovellusten käytöstä poistamisen tule riippua siitä, onko käyttäjä itse poistanut sovelluksen vai ei.

Suomen kansallisista valmistelutoimista vastaa sosiaali- ja terveysministeriö yhteistyössä muiden hallinnonalojen kanssa. Mobiilisovellusten käyttöä valmistellessa tulee kuulla liikenne- ja viestintäministeriön, oikeusministeriön, tietosuojavaltuutetun toimiston sekä Kyberturvallisuuskeskuksen lisäksi myös alan toimijoita. Tässä kaikkia koskettavassa kriisissä täytyy uskaltaa hyödyntää myös yritysten käytännön osaamista.