ARJESSA MUKANA

Varaudu tietosuojaan – lue tuoreet päivitykset

Henkilötietojen käsittelyyn on tulossa melkoisia muutoksia EU:n tietosuoja-asutuksen myötä. Moni yritys joutuu päivittämään käytäntöjään, mutta miten? Tarkkoja ohjeistuksia kaikista yksityiskohdista ei vielä ole, mutta suuntaviivat ovat selvillä. Kahden vuoden siirtymäaika päättyy toukokuussa 2018.

Näin varaudut tietosuoja-asetuksen muutokseen jo nyt

EU:n jäsenmaiden tietosuojavaltuutetuista koostuva työryhmä käy parhaillaan läpi uutta tietosuoja-asetusta ja laatii ohjeita sen käytännön toteutukseen ja tulkintaan.

Euroopan unionin uutta tietosuoja-asetusta aletaan soveltaa lainsäädännön tasolla 25. toukokuuta 2018. Tavoitteena on luoda ensimmäistä kertaa koko unionin alueen 28 maalle yhtenäinen säännöstö henkilötietojen käsittelystä ja siitä, millaisia oikeuksia meillä kaikilla on omiin henkilötietoihimme, niiden keruuseen ja käsittelyyn. Säännöstö tuo yrityksille uusia vastuita ja velvollisuuksia.

– Uuteen asetukseen varautuminen on joissain yrityksissä ollut käynnissä jo pitkään, mutta viimeistään nyt olisi jokaisen henkilötietoja käsittelevän firman hyvä aika pohtia omia käytäntöjään, toteaa Lindorffin yhtiölakimies Ossi Elonen.

Näin varaudut uuteen tietosuoja-asetukseen jo nyt

  1.  Selvitä yrityksen nykyiset tietosuojakäytännöt

    Henkilötietoja käsittelevät lähes kaikki yritykset, joilla on esimerkiksi asiakasrekisteri. Miten näitä tietoja käsitellään? Uusi asetus velvoittaa osan yrityksistä tekemään henkilötietojen käsittelystä vaikutusarvioinnin (DPIA, Data protection impact assessment), jossa kartoitetaan muun muassa henkilötietojen käsittelyn riskit.

  2. Valmistaudu osoittamaan, että tietosuoja-asetusta noudatetaan

    Uusi asetus määrittelee selkeästi henkilötietojen käsittelytavat ja vastuut. Asetus myös edellyttää, että rekisterinpitäjä pystyy osoittamaan käsittelevänsä henkilötietoja asetuksen mukaisesti. Tämä tarkoittaa esimerkiksi tietosuojakäytäntöjen huolellista dokumentointia ja rekisteriselosteen pitämistä ajan tasalla.

  3. Dokumentoi asiakkaan suostumus henkilötiedon keräämiseen

    Jos henkilötietojen käsittely perustuu siihen, että henkilö on antanut luvan henkilötietojensa keräämiseen, yrityksen pitää pystyä osoittamaan, että suostumus on todella annettu.

    Suostumuksen pitää olla selvästi aktiivinen toimenpide. Se on annettava kirjallisella, sähköisellä tai suullisella lausumalla, josta käy ilmi henkilön vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu siitä, että hän hyväksyy henkilötietojensa käsittelyn. Jos suostumus annetaan esimerkiksi puhelimitse, puhelu on syytä nauhoittaa.

  4. Varmista mahdollisuus henkilötietojen poistamiseen

    Uusi asetus ei tuo Suomessa dramaattisia muutoksin yksilön oikeuteen saada henkilötietonsa poistetuksi. Nykyinen henkilötietolakimme lähtee siitä, että tietoja saa käsitellä ja säilyttää vain niin kauan, kuin se on alkuperäisen käyttöperusteen mukaan tarpeellista. Jos perusteena on ollut henkilön suostumus, tiedot on poistettava, jos henkilö vaatii. Joskus henkilötietojen käsittelylle on jokin laillinen käyttöperuste, ja silloin tietojen poistaminen ei ole välttämätöntä.

  5. Varmista mahdollisuus henkilötietojen siirtämiseen

    EU:n tietosuoja-asetus antaa henkilölle joissakin tilanteissa oikeuden saada haltuunsa itseään koskevat tiedot ja siirtää ne toiselle rekisterinpitäjälle. Yrityksen kannalta se tarkoittaa, että olisi pyrittävä käyttämään tietojen tallentamisessa formaatteja, jotka mahdollistavat tietojen siirtämisen.

    Lopullinen tulkintaohje on vielä tulossa, mutta uusimman tulkintaluonnoksen mukaan velvollisuus koskisi paitsi tietoa, jonka rekisteröity on itse antanut, myös sellaista tietoa, joka on kertynyt asiakassuhteen aikana. Esimerkiksi aktiivisuusrannekkeen keräämät harjoitustiedot pitäisi jatkossa voida siirtää toisen yrityksen tietojärjestelmään, jos asiakas niin haluaa.

  6. Pysy tarkkana profiloinnissa – tulossa uusia rajoituksia

    Uuden säännöstön mukaisesti henkilöllä on joissain tilanteissa oikeus vastustaa häneen kohdistuvaa profilointia. Profiloinnilla tarkoitetaan tässä henkilötietojen käsittelyyn perustuvaa henkilökohtaisten ominaisuuksien automaattista arviointia.

    Lisäksi henkilöllä on joissakin tilanteissa oikeus olla joutumatta sellaisen automaattisen päätöksenteon kohteeksi, johon liittyy esimerkiksi profilointia, ja jolla on henkilön kannalta merkittäviä vaikutuksia. Mikäli tällainen automaattinen päätöksenteko on kuitenkin mahdollista, profiloinnin kohteella tulisi ainakin olla mahdollisuus riitauttaa päätös, esittää oma kantansa ja tarvittaessa saada asiansa käsiteltyä uudelleen manuaalisesti.

    Käytännössä tästä ei kuitenkaan ole vielä olemassa tarkkaa tulkintaohjetta, joten alkuvaiheessa on hyvä tunnistaa yrityksen toiminnassa tilanteet, joissa profilointia mahdollisesti käytetään. Esimerkiksi asiakastietojen käyttö markkinoinnissa voisi olla tällainen tilanne.

    Kun yrityksen profilointikäytännöt ovat selvillä, on helppo reagoida asetuksen myöhemmin tarkentuviin ohjeisiin.

  7. Varaudu tietosuojaloukkauksiin

    Uuden asetuksen myötä henkilöllä on oikeus ilman aiheetonta viivästystä saada tietoa, jos hänen tietojaan on saattanut vuotaa vääriin käsiin. Yrityksellä on myös velvollisuus ilmoittaa tietosuojaloukkauksesta viranomaisille 72 tunnin kuluessa siitä, kun loukkaus on havaittu.
    Käytännössä yrityksissä pitäisi varautua uudistukseen luomalla valmis toimintamalli tietosuojaloukkausten varalle.

  8. Kerro tietojen keräämisestä aiempaa tarkemmin

    Jatkossa yritysten on kerrottava aiempaa laajemmin ja tarkemmin henkilötietojen käsittelystä, sen perusteista ja säilytysajasta. Tähän ei vaikuta se, kerätäänkö tietoa henkilöltä itseltään vai jostain muualta.

    Rekisteri- ja tietoturvaselosteiden päivittämisen lisäksi uuden tietosuoja-asetuksen ajatuksena on, että tiedottaminen olisi jatkossa välitöntä ja monikanavaista. Esimerkiksi verkossa henkilötietojen tallentamisesta ja käytöstä voitaisiin ilmoittaa pop-up-ikkunalla samassa tilanteessa, jossa tietoa kerätään.

  9. Tarkista ja päivitä tarvittaessa ulkoistamissopimukset

    Tietosuoja-asetus asettaa uusia vaatimuksia rekisterinpitäjän ja henkilötietoja käsittelevän alihankkijan välisille toimeksiantosopimuksille. Ensi vaiheessa on syytä selvittää, millä tavoin omat alihankkijat ovat tekemisissä henkilötietojen käsittelyn kanssa. Esimerkiksi painotalo, joka käsittelee asiakkaiden osoitetietoja, on alihankkija. Jos yhteistyösopimukset on sovittu kauan sitten, niissä ei todennäköisesti ole sovittu henkilötietojen käsittelystä, ja ne on päivitettävä asetuksen mukaisiksi.

  10. Huolehdi lasten henkilötietojen suojaamisesta asianmukaisesti

    EU:n tietosuoja-asetus tarjoaa erityistä suojaa lasten henkilötiedoille. Asetuksen mukaan jäsenmaat voivat itsenäisesti määritellä 13 ja 16 vuoden väliltä ikärajan, jota nuoremman henkilön tietojen käsittely edellyttää vanhemman lupaa.

  11. Vältä sanktioita

    Suomen tietosuojavaltuutetulla ei ole aikaisemmin ollut oikeutta määrätä sanktioita. Uudistuksen myötä tietosuoja-asetuksen rikkomisesta voi seurata paitsi huomautus, myös huomattava sakko. Sakon määrä on enintään 20 miljoonaa euroa tai neljä prosenttia yrityksen kokonaisliikevaihdosta.

    Sanktioista päättää kussakin tapauksessa toimivaltainen viranomainen, joka useimmiten on sen maan tietosuojavaltuutettu, jossa yrityksen pääkonttori on.

  12. Pidä silmällä tuoreimpia ohjeistuksia

    Tietosuoja-asetuksen voimaantuloon on enää noin vuosi, ja yritysten on syytä olla hyvin perillä nykyisistä ja tulevista käytännöistä ja velvollisuuksista. Monet uudistuksen käytännön toteuttamisen yksityiskohdat ovat kuitenkin yhä auki.

EU:n jäsenmaiden tietosuojavaltuutetuista koostuva työryhmä WP29 käy parhaillaan asetusta läpi ja laatii ohjeita sen käytännön toteutusta ja tulkintaa varten. Tuoreimmista ohjeistuksista kerrotaan muun muassa tietosuojavaltuutetun ja oikeusministeriön verkkosivuilla.

22.5.2017
Teksti Matti Koskinen

 

Tietosuoja-asetus puuttuu profilointiin