GDPR-vaatimusten täyttäminen kevyesti ja ymmärrettävästi

Julkaistu
30/9/2017

GDPR:n, eli EU:n tietosuoja-asetuksen vaatimuksiin on ollut mahdollista varautua jo hyvän aikaa, mutta usealla henkilötietoja käsittelevällä taholla valmistelut ovat jääneet puolitiehen tai niihin ei ole vielä ryhdytty lainkaan. Valitettavasti tämä ei ole kuitenkaan lainkaan yllättävää tietosuoja-asetuksen ympärillä pyörivän informaatiotulvan keskellä. Jokaista kysymystä varten on monta vastausta - osa oikeita ja osa vääriä. Joihinkin kysymyksiin ei ole vielä varmaa vastausta olemassa.

Suurin haaste tietosuoja-asetukseen liittyvän tietoähkyn keskellä on vaatimusten yksiselitteinen täyttäminen yksilöllisessä tilanteessa. Valitettavasti yksikään kirjoitus, tämä mukaan lukien, ei tule antamaan tyhjentävää vastausta tai automaattista ratkaisua. Yksikään sovellus tai pilvipalvelu ei tule myöskään itsestään varmistamaan henkilötietoja käsittelevän yhteisön GDPR:n vaatimusten täyttämistä, vaikka niistä voikin olla valtava apu tietosuojastrategian toteuttamisessa.

Tilanne ei kuitenkaan ole toivoton, mutta lähtökohdat on tiedostettava: Yksittäisen yrityksen tilannetta ei voida aukottomasti varmistaa tutustumatta yksittäisen yrityksen tilanteeseen. Vaatimusten tunnistamiseen ja käytännön toteuttamiseen voidaan kuitenkin antaa erittäin hyviä suuntaviivoja. 

Tämän kirjoituksen tarkoituksena on antaa kevyt EU-oikeudellinen näkemys GDPR:n vaatimusten vaatimista käytännön toimista. Aihetta pyritään avaamaan mahdollisimman ymmärrettävästi, jotta lukija saisi selkeämmän kuvan GDPR:n asettamista keskeisimmistä vaatimuksista ja mitä toimia nämä edellyttävää. Tyhjentävää vastausta ei tämäkään kirjiotus yksittäiseen tapaukseen kykene antamaan. Yrityksen yksilöllinen tilanne onkin aina käytävä läpi tietosuoja-asetukseen perehtyneen asiantuntijan toimesta.

Kirjoitus jakautuu seuraaviin kokonaisuuksiin:
  1. Ymmärrä, mistä tietosuoja-asetuksessa on kysymys
  2. Päätä, kuka vastaa tietosuoja-asetuksen vaatimusten täyttämisestä
  3. Ymmärrä, mitä informaatiota keräätte
  4. Varmista kerätyn tiedon laillisuus
  5. Informoi rekisteröityä etukäteen
  6. ‍Käsittele henkilötietoja läpinäkyvästi
  7. ‍Varmista ulkoisten palveluntarjoajien toiminta
  8. ‍Varmistu käytettävien tietoteknisten ratkaisujen turvallisuudesta ja ilmoita tietoturvaloukkauksista
  9. Kevyt yhteenveto

1. Ymmärrä, mistä tietosuoja-asetuksessa on kysymys

Miksi GDPR on säädetty? Parhaiten asiaan osaa vastata Steve Jobs kauan ennen GDPR:n voimaantuloa antamassaan haastattelussa. Videolla Steve Jobs kertoo erittäin selkeästi, kuinka tärkeää tietosuoja meille kaikille on.

 

Kaiken tietosuoja-asetukseen liittyvän keskustelun takana on lähtökohtaisesti positiivinen tarkoitus lisästä meidän jokaisen oikeuksia digitaalisessa ympäristössä. Ei ole yhdentekevää, kuinka arkaluontoisia tietoja käsitellään. Ilman tietosuojaan liittyvää lainsäädäntöä olisi täysin yksittäisen rekisterinpitäjän päätettävissä, kuinka tärkeäksi he henkilötietojen käsittelyä koskevat toimintatavat arvostavat. 

On päivänselvää, että esimerkiksi henkilötunnusten julkinen jakaminen ei ole suotavaa maailmassa, jossa identiteettivarkauksien määrä vain kasvaa. Ei ole myöskään yhdentekevää, että lääkärille annettuja arkaluonteisia tietoja käytettäisiin ruokakaupan mainonnassa. Harva meistä myöskään haluaa Facebookin selaustietojen päätyvän työnantajan työpöydälle automaattisesti. 

Henkilötietojen suojaamiseen tähtäävät toimenpiteet eivät kuitenkaan tapahdu itsekseen. Arkaluonteisten tietojen turvaamiseksi varten on oltava selkeä järjestelmä ja pelisäännöt. Tämä on GDPR:n tavoite. Siitäkin huolimatta, että niiden EU:n laajuinen käyttöönottaminen olisikin aluksi hieman haastavaa.

Tietosuoja-asetuksessa itsessään ei siis ole lopulta juuri mitään ihmeellistä. Tiivistettynä yrityksen tulee ainoastaan tietää, miten he heidän kanssaan toimivista henkilöistä kerättyjen tietojen kanssa toimivat. On erittäin tärkeää rekisteröidyn ja myös rekisterinpitäjän itsensä kannalta tietää, tallettaako esimerkiksi työnantaja työntekijän henkilötunnuksen sisältävän verokortin koko organisaation kanssa jaettuun julkiseen Dropbox-kansioon, omaan salkkuunsa vai kaksivaiheisen tunnistautumisen vaativaan pilvipalveluun, johon ei ole pääsyä kenelläkään muulla kuin palkanlaskijalla, josta se työsuhteen päättyessä poistetaan automaattisesti pysyvästi.

Näistä lähtökohdista GDPR:n kokonaisvaltainen ymmärtäminen alkaa olla jo huomattavasti kevyempää. Kun valtaosa yrityksistä haluaa muutoinkin toimia läpinäkyvällä ja kestävällä tavalla, ei lähtökohtien ja tarkoituksen ottaminen haltuun olekaan enää niin haastavaa. Seuraavaksi voimme siirtyä katsomaan lähemmin sitä, kuinka tietosuoja-asiat saadaan hoidettua tietosuoja-asetuksen vaatimaan kuntoon. 

2. Päätä, kuka vastaa tietosuoja-asetuksen vaatimusten täyttämisestä

Aivan ensimmäiseksi yrityksen on syytä selvittää, kuka heillä vastaa tietosuojaan liittyvistä asioista. Kuka on se taho, joka ymmärtää ison kuvan? Laajamittaista henkilötietojen käsittelyä harjoittavien yhteisöjen on tietosuoja-asetuksen määräysten mukaisesti nimettävä oma tietosuojavastaava, mutta pienemmissäkin yrityksissä on suositeltavaa valita henkilö, joka ottaa vastuulleen kokonaisuuden hoitamisen päivittäisessä työssään.

Pohdittaessa tietosuoja-asioista vastaavaa henkilöä, on hyvä käydä läpi, keillä kaikilla on pääsy erilaisiin henkilötietoihin ja tulisiko tätä oikeutta rajoittaa. Kaikkien yritysten on GDPR:n vaatimusten mukaisesti varmistettava, että henkilötietoja käsitellään ainoastaan tarvittavassa laajuudessa. 

3. Ymmärrä, mitä informaatiota keräätte

Jokaisen yrityksen ja muun henkilötietojen kanssa toimivan yhteisön on syytä selvittää, mitä henkilötietoja toiminnassa kerätään, mistä informaatio on peräisin ja kenen kanssa tietoja jaetaan. Tämän alkukartoituksen voi toteuttaa monella tapaa. Yksinkertaisin tapa on käydä liiketoiminto- ja hallintoprosessit yksittäin läpi ja kirjata ylös oleelliset asiat henkilötietojen näkökulmasta. Samalla on hyvä katsoa, mitä tietoa todellisuudessa tarvitaan. Jos pohdit, mitkä kaikki tiedot ovat henkilötietoja, seuraava listaus auttanee. 

GDPR:n mukaisia henkilötietoja ovat:

  • nimitiedot ja henkilötunnus;
  • osoitetiedot, sähköpostiosoite ja puhelinnumero;
  • sijaintitiedot, mieltymykset ja kiinnostuksen kohteet;
  • tulotiedot ja pankkitiedot;
  • verkkotunnistetiedot ja profilointitiedot; ja
  • kaikki muu tieto, joka voidaan suoraan tai epäsuorasti yhdistää tiettyyn henkilöön

Henkilötiedoksi ei kuitenkaan katsota tietoa, jonka perusteella rekisterinpitäjä ei voi tunnistaa juuri tiettyä henkilöä. Ihan kaikkea dataa ei siis tarvitse lähteä pilkkomaan tai yksilöimään pelkästään tietosuoja-asetuksen takia.  Tätä ei voi kuitenkaan tulkita liian laajasti, koska esimerkiksi salatut tiedot kuuluvat GDPR:n piiriin, jos salaus on mahdollista purkaa. On kuitenkin hyvä muistaa, että GDPR:n osalta on usein helpompi varmistaa vaatimustenmukaisuus laajasti ymmärrettynä, kuin varmistua mahdollisen poikkeuksen soveltuvuudesta omaan tilanteeseen.

4. Varmista kerätyn tiedon laillisuus

Sen jälkeen, kun on saatu tieto siitä mitä kaikkea tietoa kerätään, on syytä varmistua siitä, että henkilötietojen keräämiseen on hyväksyttävä peruste.

Henkilötietoja saa tietosuoja-asetuksen mukaisesti käsitellä ainoastaan lakiin perustuvalla syyllä. Käytännössä tämä tarkoittaa yritysten kannalta sitä, että yrityksellä on oltava lupa henkilötietojen käsittelyyn. Lupa voi olla peräisin joko henkilöltä itseltään (sopimus/lupaperusteinen) tai lakisääteinen (esim. työnantajavelvoitteet). 

Yrityksen ja yhteisön on siis varmistettava, että kaikkeen kerättyyn henkilötietoon on olemassa lain hyväksymä syy. Tietosuoja-asetus asettaa entistä tarkempia velvollisuuksia tiedon keräämiseen, kun kohteena on alaikäinen tai jos kerättävä tieto koskee rotua, etnistä alkuperää, poliittisia mielipiteitä, uskonnollista tai filosofista vakaumusta, ammattiliiton jäsenyyttä, geneettistä tai biometristä tietoa, terveystietoja tai seksuaalista käyttäytymistä tai suuntautumista.

Henkilötietoja saa myös kerätä vain siinä laajuudessa, kun tarve vaatii ja kerätyt henkilötiedot tulee pitää ajantasaisena. Henkilötietoja ei tulisi myöskään säilyttää pidempään kuin on tarve. Kaiken käsittelyn tulee tapahtua turvallisesti ja suojatusti myös silloin, kun tietoa kerätään verkon kautta.

5. Informoi rekisteröityä etukäteen

Pyynnöstä luovutettavien tietojen lisäksi rekisteröidylle on ilmoitettava kattava etukäteistieto siitä, mitä tietoja hänestä kerätään, kuka kerää ja mitä tarkoitusta varten tietoja kerätään.

Rekisteröidylle annettaviin tietoihin lukeutuvat erityisesti seuraavat: 

  1. rekisterinpitäjän (sekä mahdollisen edustajan ja tietosuojavastaavan) identiteetti ja yhteystiedot;
  2. henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste;
  3. henkilötietojen mahdollinen vastaantottaja ja vastaanottajaryhmät; ja
  4. jos rekisterinpitäjä aikoo siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle, tieto sopivista tai asianmukaisista suojatoimista ja näitä koskevista tiedoista;

Lisäksi rekisteröidylle on kerrottava myös seuraavat tiedot, jotka ovat tarpeen asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi;

  1. ‍henkilötietojen säilytysaika tai ajan määrittämiskriteerit;
  2. ‍rekisteröidyn oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista tai vastustaa käsittelyä sekä oikeutta siirtää tiedot järjestelmästä toiseen;
  3. ‍oikeus peruuttaa suostumus milloin tahansa;
  4. ‍oikeus tehdä valitus valvontaviranomaiselle;
  5. ‍onko henkilötietojen antaminen lakisääteinen tai sopimukseen perustuva vaatimus taikka sopimuksen tekemisen edellyttämä vaatimus sekä onko rekisteröidyn pakko toimittaa henkilötiedot ja tällaisten tietojen antamatta jättämisen mahdolliset seuraukset;
  6. ‍automaattisen päätöksenteon, mm. profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.

6. Käsittele henkilötietoja läpinäkyvästi ja varaudu todistamaan se

Tietosuoja-asetuksen yksi suurimpia uudistuksia sitä edeltävään henkilötietolakiin verrattuna on läpinäkyvyyteen liittyvät vaatimukset. Rekisterinpitäjän on kyettävä todistamaan, että tietosuoja-asiat on selvitetty ja hoidettu asianmukaisesti.

Rekisterin pitäjän on myös kyettävä pyynnöstä toimittamaan rekisteröidylle henkilötietojen käsittelyn kohteena olevat tiedot selkeässä ja ymmärrettävässä muodossa. Rekisterinpitäjä ei voi kieltäytyä toimittamasta tietoja. Kaikkiin pyyntöihin on reagoitava kuukauden kuluessa, eikä tietojen pyytämisestä tai toimittamisesta saa pääsäännön mukaisesti pyytää erillistä maksua, ellei kyse ole esim. perusteettomasta häirinnästä. Rekisterinpitäjällä on kuitenkin oikeus ja velvollisuus pyytää tunnistautumista.

Rekisteröidyllä on tiedonsaantioikeuden lisäksi myös oikeus pyytää tietojen tuhoamista, vaatia tietojen oikaisemista, oikeus tulla “unohdetuksi”, oikeus rajoittaa tietojen käsittelyä, oikeus siirtää tiedot järjestelmästä toiseen, oikeus vastustaa tietojen käsittelyä ja profilointia. On kuitenkin tärkeä huomioida, että edellä mainitut rekisteröidyn oikeudet eivät koske samalla tavoin tietoja, joiden säilyttäminen perustuu rekisterinpitäjän lakisääteiseen velvollisuuteen.

Kaikkien rekisterinpitäjien onkin syytä varmistaa, miten he konkreettisesti toimivat ja täyttävät edellä mainitut vaatimukset. Paras tapa varautua tietopyyntöihin on laatia selkeä sisäinen ohjeistus asiasta. 

7. Varmista ulkoisten palveluntarjoajien toiminta

Jos rekisterinpitäjä käyttää ulkopuolisia palveluntarjoajia tai muita käsittelijöitä, jotka käsittelevät rekisterinpitäjän keräämiä henkilötietoja rekisterinpitäjän puolesta, puhutaan ns. henkilötietojen käsittelijästä. Yritysten osalta puhutaan useimmiten siitä, että yritys tallettaa henkilötietoja esimerkiksi ulkopuoliseen pilvipalveluun tai antaa henkilötietoja muiden käyttöön tiettyä tarkoitusta varten. Yrityksen on tällöin huolehdittava siitä, että valittu palveluntarjoaja käsittelee henkilötietoja asiallisesti yrityksen puolesta.

Käytännössä henkilötietojen käsittelijän vastuut ja henkilötietojen asianmukainen käsittely varmistetaan päivittämällä aiemmat sopimukset tai laatimalla erillinen henkilötietojen käsittelyä koskeva sopimus (eng. Data Processing Addendum tai DPA). Monet palveluntarjoajat ovat valmistelleet omia sopimuksiaan, mutta on jokaisen yrityksen omalla vastuulla varmistua siitä, että heidän henkilötietojen käsittelijälle luovuttamia henkilötietojaan käsitellään asianmukaisesti. Jos tietoja välitetään eteenpäin kolmansiin maihin EU:n ulkopuolelle ovat vaatimukset vieläkin tiukemmat.

8. Varmistu käytettävien tietoteknisten ratkaisujen turvallisuudesta ja ilmoita tietoturvaloukkauksista

Henkilötietojen käsittelyn tulee tapahtua turvallisesti. Rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason mukaiset toimenpiteet.  Käytännössä tämä tarkoittaa tietojen salausta, varmuuskopiointia ja tiedon pääsyn varmistamiseen liittyviä toimenpiteitä. Toimet on mitoitettava riskin ja kustannusten mukaisesti kohtuullisiksi. 

Mikäli tietoturva pettää ja tapahtuu tietoturvaloukkaus, on tästä pääsääntöisesti ilmoitettava valvontaviranomaisen lisäksi myös suoraan rekisteröidylle. Valvontaviranomaiselle tehtävälle ilmoitukselle on asetettu tavoitteellinen 72 tunnin aikaraja ja ilmoitus on tehtävä kaikissa tilanteissa, paitsi jos henkilötietojen tietoturvaloukkauksesta ei aiheudu tietosuoja-asetuksessa tarkemmin määriteltyä riskiä. Rekisteröidyille on ilmoitettava ilman aiheetonta viivästystä kaikista henkilötietojen tietoturvaloukkauksista, jotka todennäköisesti aiheuttavat korkea riskin luonnollisten henkilöiden oikeuksille ja vapauksille. 

Mahdolliseen tietoturvaloukkaukseen on varauduttava ennakolta niin ehkäisyn kuin myös toimenpiteiden osalta. Yritysten on myös varauduttava tekemään vaikutusarvioita etukäteen ottaessaan uutta teknologiaa käyttöön. 

Kevyt yhteenveto: 

Sääntöjä, vaatimuksia ja ehtoja on paljon, mutta nämä voidaan enimmäkseen tiivistää seuraavasti; tiedä, mitä keräät, millä oikeudella, kenellä on pääsy dataan, kenelle sitä jaat, kuinka tieto on suojattu, mitä teet, jos tapahtuu virheitä tai jos rekisteröity pyytää tietoja. Näihin vastaamalla pääsee jo erittäin pitkälle. Tämän lisäksi, kun ohjenuoraksi otetaan halu rakentaa yritystoimintaa, jossa asiakastietoja käsitellään muutenkin vastuullisesti ja turvallisesti, löytyvät vastaukset suurimpaan osaan vastaan tulevista kysymyksistä lähes automaattisesti. Näiden pohjalta yrityksen tai muun yhteisön henkilötietojen käsittelyä ja tietosuojaa koskeva strategia rakentuu jo kuin itsestään GDPR:n vaatimusten mukaiseksi ymmärrettäväksi, loogiseksi ja selkeäksi kokonaisuudeksi.  

Aivan ilman sopimuksia ja asiakirjoja ei tästäkään valitettavasti selvitä, mutta asia on mahdollista ottaa haltuun myös kevyesti selkeiden ja ymmärrettävien sopimusehtojen kautta. Yritysten osalta GDPR:n luomat velvollisuudet saadaankin parhaiten varmistettua luomalla yrityksen yksilöllisen tilanteen huomioivat selosteet ja sopimusehdot asiakkaiden ja yhteistyökumppaneiden suuntaan. Näiden toteutuminen varmistetaan myös sisäilillä tietosuojakäytännöillä ja -prosesseilla, jotka dokumentoidaan selkeästi ja ymmärrettävästi.

CALL TO ACTION: Jos GDPR tuottaa harmaita hiuksia tai haluat viedä tietosuojakäytännöt optimiaaliselle tasolle, EU-lainsäädäntöön erikoistuneet lakimiehemme auttavat mielellään räätälöimään teille toimivan ratkaisun. Lue lisää alta löytyvästä linkistä.

Tutustu Palveluun
Julkaistu
29/3/18
Aihealueella
Yritykset
.

Haluatko lisätietoa?

Tarjoamme kaikille uusille asiakkaille maksuttoman lähtökartoituksen, jonka aikana  selvitämme palvelutarpeen ja annamme asiantuntijuuteen pohjautuvan suosituksemme asian ratkaisemiseksi.
Ota yhteyttä