Big data: Tietosuojalainsäädäntö ja sopimusehdot

[fa icon="calendar"] 06. huhtikuuta, 2020 by Mikko Järvinen

Big_data_GDPR_Makitalo_Attorneys1200x628

Big datalla haasteita datan käsittelemiseksi GDPR:n mukaisesti. Anonyymi data voi muuttua henkilötiedoksi ja dataa koskevien sopimusehtojen tulee olla kunnossa.

Analytiikan ja algoritmien osaamisen kasvaessa big data tai suuret tietomassat luovat uusien teknologioiden kuten datan louhinnan (data mining), tekoälyn ja koneoppimisen kautta uusia liiketoimintamahdollisuuksia ja tehokkaita keinoja esimerkiksi analysoida isoja tietomääriä eri tietolähteistä.

Massadatan hyödyntämisessä on kuitenkin otettava huomioon voimassa olevan lainsäädännön reunaehdot sekä huolellisesti laadittava datan jakamista koskevat sopimusehdot.

EU:n uusi datastrategia pyrkii luomaan yhtenäiset sisämarkkinat datan hyödyntämiselle. Strategian peruspilarina toimii yksittäisen henkilön osalta muutama vuosi sitten voimaan astunut yleinen tietosuoja-asetus. GDPR:nä tunnetun asetuksen tavoitteena on yksityisyyden suojan perusturvan varmistamisen lisäksi luoda luottamusta digitalisoituneen yhteiskunnan eri palveluntarjoajiin. GDPR:n voimaantulon myötä yksityishenkilöt voivat luottaa siihen, että yritykset kautta linjan toimivat olennaisilta osin samojen tietosuojasääntöjen puitteissa koko EU:n alueella.

Anonyymi tieto voi muuttua tietosuojalainsäädännön mukaiseksi henkilötiedoksi

Vaikka suuri osa massadatasta onkin anonyymiä tietoa, jota ei voimassa olevan lainsäädännön mukaan katsota henkilötiedoksi on suurten tietovarantojen osalta huomioitava, että tietoja yhdistelemällä voi anonyymikin tieto ”saastua” henkilötiedoksi, jolloin tämän tiedon osalta tulee noudattaa yleisen tietosuoja-asetuksen ja kansallisten henkilötietojen käsittelyä sääntelevien lakien asettamia velvoitteita tietoturvallisuudesta, tietosuojasta ja rekisteröidyn oikeuksien toteuttamisesta.

Huomioi ainakin nämä seikat, kun käsittelet tietosuojalainsäädännön mukaisia henkilötietoja

Suosittelemmekin aina kartoittamaan mitä dataa yrityksesi kulloinkin käsittelee ja arvioimaan käsittelystä syntyviä riskejä sekä yritykselle itselleen että yksityishenkilöiden (rekisteröityjen) oikeuksiin ja vapauksiin. Mikäli dataa tai osaa siitä voidaan katsoa henkilötiedoksi tulisi yrityksen toiminnassa muistaa ainakin seuraavat asiat:

  • Varmista missä roolissa (rekisterinpitäjä/henkilötietojen käsittelijä) kulloinkin käsittelet henkilötietoja.
  • Varmista, että yhtiölläsi on laillinen peruste käsitellä henkilötietoja.
  • Teetä vaikutustenarviointi (DPIA).
  • Toteuta rekisteröityjen oikeudet ja informointi.
  • Solmi sopimus henkilötietojen käsittelystä.
  • Varmista, että sopijakumppani täyttää yleisen tietosuoja-asetuksen mukaiset velvoitteensa.
  • Päivitä ja tarkista dokumentoidut tietosuoja- ja tietoturvaperiaatteet tasaisin väliajoin.

Mitä datan jakamista koskevissa sopimusehdoissa tulee ottaa huomioon?

Suosittelemme lisäksi kiinnittämään datan jakamista koskeviin sopimusehtoihin erityistä huolellisuutta. Sopimusehdoissa tulisi huomioida ainakin seuraavat asiat:

  • Sopimusosapuolten keskinäisten vastuiden määrittäminen.
  • Sopimuksen ajallinen ja maantieteellinen ulottuvuus.
  • Myydäänkö vai lisensoidaanko dataa?
  • Onko tarvetta tai oikeutta luovuttaa dataa eteenpäin?
  • Kuka omistaa oikeudet mahdollisesti jatkohyödynnettyyn dataan?

Tägit: GDPR, tietosuoja, big data

Tilaa uutiskirjeemme tästä!

Uusimmat kirjoitukset