Yleinen tietosuoja-asetus tai: kuinka lakkasin olemasta huolissani ja opin rakastamaan tietosuojaa

[fa icon="calendar"] 25. lokakuuta, 2017 by Mikko Järvinen

makitalo_gdpr (ID 198383).jpg

Viimeisten vuosikymmenien globalisaatio ja teknologian ripeä kehitys ovat tuoneet esiin uusia haasteita henkilötietojen suojaamiselle. Modernin teknologian avulla niin julkiset kuin yksityisetkin toimijat pystyvät tarjoamaan yksittäiselle henkilölle lukemattoman määrän tapoja jakaa sekä käyttää henkilötietoja. Yksilöiden kasvava halu hyödyntää henkilötietojaan on johtanut laajaan tietojen jakamiseen yksityisen ja julkisen sektorin palveluntarjoajien kanssa.

Tietosuojan sääntelykehikko perustuu tällä hetkellä jo vanhentuneisiin säännöksiin, tietosuojadirektiiviin vuodelta 1995 (95/46/EC), jolla aikanaan pyrittiin harmonisoimaan tietosuojalainsäädäntöä Euroopan Unionissa. Nyt sääntelyä on uudistettu perinpohjaisesti uudella ja nähtävästi entistä yhtenäisemmällä yleisellä tietosuoja-asetuksella (2016/679), joka tunnetaan ehkä paremmin nimellä GDPR. EU:n yleistä tietosuoja-asetusta sovelletaan toukokuun 25. päivä 2018 alkaen.

Miten uusi asetus tulisi ottaa vastaan?

Tulisiko GDPR nähdä vain taakkana yrityksille? Vai toimiiko asetus valtavien hallinnollisten sakkojen takia lähinnä pelotteena? Vai pitäisikö GDPR kuitenkin nähdä mahdollisuutena selkeyttää ja yhtenäistää henkilötietosuojamenetelmiä kilpailijoiden välillä luomalla henkilötietojen käsittelijöille tasapuoliset toimintaedellytykset?

GDPR on aiheuttanut jonkin verran polemiikkia, jopa kiihkeitä reaktioita kollegojen keskuudessa ja on muodostunut toistuvaksi keskustelun aiheeksi paneelikeskusteluissa ja toivottavasti myös työpaikkasi kahvipöydän ympärillä.

Tietosuojavaltuutetun tuomiopäivän kello näyttää tällä hetkellä 211 päivää, muistuttaakseen päivien lukumäärästä joiden kuluttua yhtiösi on viimeistään noudatettava GDPR:ssä asetettuja velvoitteita.

Joidenkin mielestä aikaa on vielä paljon, toisten mielestä taas ei. Joka tapauksessa, sinun kannattaa käyttää tämä aika hyväksesi ja kehittää yrityksesi tietosuojaosaamisesta kilpailuvaltti. Moni keskittyy vain asetuksen varjopuoleen ja tyytyy kahlaamaan pintapuolisesti läpi GDPR:n synkän 173 resitaalista ja 99 artiklasta koostuvan suon, joka ovat täynnä jargonia ja uusia termejä (kuten esim. pseudonymisointi).

GDPR sisältää esimerkiksi laajan luettelon tiedoista, joita tulee toimittaa henkilöille, kun heitä koskevia henkilötietoja käsitellään. Kuitenkin siinä missä EU:n lainsäätäjät ovat selvästi epäonnistuneet, tulee rekisterinpitäjien toimittaa tällaiset tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa.

Mikä sitten on asetuksen hyvä puoli?

Kuten moni muukin, pidin aluksi GDPR:ää välttämättömänä pahana, jolla viimeinkin kaikki yritykset saataisiin noudattamaan edellisen vuosisadan tietosuojadirektiivin säännöksiä. Pian kuitenkin löysin asetuksen valoisan puolen – GDPR:ää ei pitäisi nähdä tapana pakottaa yritykset toteuttamaan asetuksen asettamat velvoitteet. GDPR on monella tapaa positiivinen muutos, joka mahdollistaa yhtiön käsittelemien henkilötietojen seurannan, hallinnan sekä tietoisuuden lisäämisen. Lisäksi, se luo yhtiöille mahdollisuuden ja edellytykset luoda uusia sisäisiä toimintatapoja ja ohjeistuksia henkilötietojen käsittelyä sekä hallintaa varten. Uudistuksen myötä henkilötietokäsittelijän ja yksilön välille on mahdollista rakentaa vankempi luottamussuhde, riippumatta siitä, löytyvätkö rekisteröidyn henkilötiedot paperilta tai yhtiösi sisäisestä bittivirrasta.

Miten se toimii käytännössä?

Esimerkkinä voidaan käyttää Liisaa, joka on ylpeä juuri perustetun osakeyhtiön omistaja. Liisan yhtiö tarjoaa kuluttajille ohjelmistoa palveluna. Jotta hänen potentiaaliset asiakkaat pääsisivät hyödyntämään kyseistä palvelua, heidän tulee rekisteröityä käyttäjiksi luovuttamalla yhtiölle valtava määrä henkilötietoja, jotka ovat tarpeen palvelun toteuttamista varten.

Liisa on hiljattain oivaltanut, että yleinen tietosuoja-asetus tulee sovellettavaksi myös hänen yhtiöönsä. Mitä Liisan pitäisi tehdä seuraavaksi?

Seuraavat voidaan, esimerkinomaisesti, listata asioina, jotka tulisi ottaa huomioon ennen yleisen tietosuoja-asetuksen voimaantuloa:

  • Varmista, että yhtiön johto ja avainhenkilöt ovat tietoisia uudesta yleisestä tietosuoja-asetuksesta;

  • Varmista, että sinulla on yleisen tietosuoja-asetuksen 6 artiklan mukainen lainmukainen peruste henkilötietojen käsittelyyn;

  • Varmista, että yhtiösi noudattaa yleisen tietosuoja-asetuksen 5 artiklan henkilötietojen käsittelyä koskevia periaatteita;

  • Tiedosta artikloissa 12-22, 34, 77, 79 ja 82 mainitut rekisteröidyn oikeudet, mukaan lukien miten henkilötietoja poistetaan tai toimitetaan yleisesti käytetyssä sähköisessä muodossa;

  • Varmista, että yhtiösi sisäiset prosessit ovat kunnossa, etenkin sisäänrakennettua ja oletusarvoista tietosuojaa (25 artikla) sekä henkilötietoja koskevien pyyntöjen aikarajoja (12 artikla) koskien;

  • Ole tietoinen henkilötietojen käsittelyyn liittyvistä riskeistä, jotka kohdistuvat rekisteröidyn oikeuksiin ja vapauksiin (toisin sanoen, ota käyttöön vaadittavat tekniset ja organisatoriset toimenpiteet varmistaaksesi, että käsittely vastaa tietosuoja-asetuksen 24 artiklan säännöksiä);

  • Ole läpinäkyvä yksilöille heidän henkilötietojensa käsittelystä ja pidä viestintä mahdollisimman tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa (12 artikla);

  • Varmista, että sisäiset prosessisi mahdollistavat sinulle henkilötietoon kohdistuvien tietoturvaloukkauksien havaitsemisen, tutkimisen sekä ilmoittamisen ja muista, että GDPR:n 33 ja 34 artikloissa säädetään ilmoittamisvelvollisuudestasi tieturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidyille;

  • Valmistaudu osoittamaan, että yllämainittuja henkilötietojen käsittelyä koskevia periaatteita on noudatettu yhtiösi toiminnassa (5 artikla);

  • Sinun tulisi dokumentoida, mitä henkilötietoja yhtiösi pitää hallussaan, mistä ne ovat tulleet ja kenen kanssa niitä jaetaan;

  • Tarkasta nykyiset tietosuojakäytännöt sekä ohjeistukset ja päivitä ne mahdollisesti tarpeen mukaan yleisen tietosuoja-asetuksen mukaisiksi;

  • Sinun tulisi arvioida, miten suostumuksia haetaan, dokumentoidaan ja hallinnoidaan ja mikäli tähän prosessiin on tehtävä muutoksia – jos voimassaolevat suostumukset eivät täytä GDPR:n (4 sekä 6-9 artiklat) kriteerejä, pyydä suostumus uudestaan;

  • Siinä tapauksessa, että olet ulkoistanut osan tai kaiken henkilötietojen käsittelystäsi, varmista että sinulla on voimassa kirjallinen sopimus, jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät sekä rekisterinpitäjän velvollisuudet ja oikeudet (28 artikla);

  • Harkitse, onko yhtiösi velvollinen nimittämään tietosuojavastaavan GDPR:n noudattamisen seuraamista varten (artikla 37);

  • GDPR:ssä on säädetty lasten erityisestä suojelusta. Tämä tarkoittaa, että sinun tulisi selvittää, onko yhtiölläsi velvollisuus luoda järjestelmä iän tunnistusta varten ja hankkimaan huoltajien suostumus tietojen käsittelylle (artikla 8); ja

  • Arvioi, tuleeko yhtiösi suorittaa tietosuojaa koskeva vaikutustenarviointi (35 artikla).

Kun Liisa on arvioinut yllämainitut kohdat sekä ruksannut kaikki tarvittavat tehtävät tehdyiksi, GDPR vaatii, että Liisan yhtiö jatkaa näiden ylläpitoa. Jos olet metaforien ystävä, GDPR vastaa talon siivoamista. Talo vaatii jatkuvaa huolenpitoa ja sinulle voidaan antaa huomautus pienestäkin pölyhiukkasesta. Lisäksi on huomioitava, että vaikka kaikkien on siivottava, uppoaa siivousurakkaan enemmän aikaa ja resursseja 400 neliön talossa kuin yksiössä, joten GDPR:n vaatimat tarpeelliset (tekniset ja organisatoriset) toimenpiteet voivat vaihdella yhtiöittäin suurestikin. On hyvä huomioida, ettei pelkästään yhtiön koko kuitenkaan riitä määrittelemään tietosuoja- ja tietoturvatoimenpiteiden tarvetta, vaan tietoturvallisuuden toteuttaminen riippuu merkittävästi myös yhtiön muusta toiminnasta; se tulee suhteuttaa toimintaan ja suojattaviin tietoihin.

Kärsitkö edelleen motivaation puutteesta? Älä huoli, GDPR antaa yhtiöllesi noin 10–20 miljoonaa syytä tutustua mahdollisiin yhtiösi tietosuojaa liittyviin riskeihin ja puutteisiin. Lisäksi, sinulla on 211 päivää aikaa siihen.

Yllämainitusta huolimatta ja tilanteestasi riippuen, sinulla ei ole vielä syytä huoleen. GDPR:n kehikko ja se miten GDPR:n yksityiskohtaisia määräyksiä toteutetaan yhtiöiden päivittäisessä toiminnassa, on tällä hetkellä myös lainsäätäjälle hieman epäselvää. Esimerkiksi EU:n WP29-tietosuojatyöryhmällä, joka koostuu EU:n jäsenvaltioiden tietosuojaviranomaisisista, on vielä julkaisematta useampi GDPR:n soveltamista koskeva ohjausasiakirja. Tämän lisäksi, oikeusministeriön asettaman niin kutsutun TATTI -työryhmän ehdottaman henkilötietolain (1999/523) korvaavan ja GDPR:ää täydentävän sekä täsmentävän uuden tietosuojalain hallituksen esityskin on tässä vaiheessa vielä julkaisematta.

Vaikka saamme vielä odottaa lainsäätäjien ja tuomioistuinten tarkempaa ohjeistusta
GDPR:n soveltamisesta, jatkamme tilannepäivityksiä omalta osaltamme blogijulkaisuilla ja neuvoilla. Ilmoitathan meille, jos haluat lisätietoja tai tarvitset apua GDPR:n haltuun ottamisessa yrityksessäsi. Sillä välin, älä luovu toivosta vaan omaksu muutos ja näe tämä mahdollisuutena tehdä asiat vielä entistä järjestelmällisemmin. 

Tägit: tietosuoja

Tilaa uutiskirjeemme tästä!

Uusimmat kirjoitukset