EU:n yleinen tietosuoja-asetus velvoittaa pian kaikkia suomalaisia yrityksiä ja muita organisaatioita

Pekka_350x525

Euroopan Unionin uusi, yleinen tietosuoja-asetus astuu voimaan keväällä 2018. Asetuksella halutaan vahvistaa ja yhdenmukaistaa henkilöiden oikeuksia EU:n alueella, vastata henkilötietojen laittomaan käsittelyyn sekä kansainvälisiin väärinkäytöksiin. Esimerkiksi jokaiselle Suomessa toimivalle yritykselle asetus tietää nykyisen toiminnan täsmentämistä sekä uusia vastuita ja velvoitteita. Asianajaja Pekka Kiviniemi Kalliolaw:sta kehottaa suomalaisia yrityksiä perehtymään tietosuoja-asetukseen heti.

Henkilötieto ”saastuttaa” vaivihkaa koko tietojoukon

Mikä tahansa henkilötiedon subjektiin liittyvä tieto on henkilötietoa: jos tietty ihminen on tunnistettavissa suoraan tai välillisesti käsiteltävänä olevan tiedon perusteella, tieto on henkilötietoa. Käsittelyä on esimerkiksi se, että tietoa katsotaan tai se, että tieto tallentuu tietojärjestelmän lokiin.

Tietojärjestelmässä oleva henkilötieto saastuttaa hyvin usein ja helposti koko tietojärjestelmän tiedot. Kun henkilötieto yhdistyy järjestelmässä tietojoukkoon, tulee koko tietojoukosta henkilötietoa. Kiviniemi antaa esimerkin:

– Jos vaikkapa yrityksen työvälineet, kuten työhaalarit, kootaan yrityksen tietojärjestelmissä tietojoukkoon, jossa on työntekijöiden nimet ja koot, työvälineiden luettelo on muuttunut henkilötiedoksi.

Henkilötietojen käyttämistä kannattaa välttää aina kun mahdollista. Ja käyttää minimaalisesti, vain todellisen tarpeen mukaan, Kiviniemi neuvoo.

– Eräälläkin asiakkaallamme neuvotteluhuoneet varattiin aiemmin henkilötunnuksilla. Tämä on täysin ylitarpeellista ja menee kaikkien riskien hallinnan yläpuolelle. Ei missään nimessä näin.

Miten estää tietojärjestelmien saastuminen

Jos henkilötietoja pseudonymisoidaan ja kryptataan eli käsitellään niin, että tietoja ei voida enää yhdistää tiettyyn rekisteröityyn henkilöön käyttämättä lisätietoja, kuten salausavainta, ja tietojoukkoon pääsevät käsiksi vain harva, valittu käyttäjäpiiri tietyillä käyttöoikeuksilla ja tietyssä tilanteessa, pystytään välttämään osa henkilötietojen käsittelyongelmista, Kiviniemi kertoo.

– Esimerkiksi HR:ssä jokin henkilöstöä koskeva tietojoukko voidaan eristää menetelmällisesti ja teknisesti luomalla tietojoukon henkilötiedoille uniikit numerosarjat, josta henkilöä ei voida tunnistaa eikä numerosarja muutoinkaan viittaa henkilöön millään tavoin. Kun operoidaan muita tietoja tällä satunnaisella, uniikilla tunnisteella, vältytään saastumiselta lyhyesti todettuna.

Pseudonymisointi ja kryptaus ovat myös yksi harvoista tavoista viedä henkilöihin liittyvää tietoa EU:n ulkopuolelle. Jos Aasiassa palvelinkeskuksessa pyörii joku palvelu, jossa käsitellään henkilötietoja, tiedot pitää viedä pseudonymisesti uniikkisarjoina niin, ettei niitä saada lainkaan laillisin keinoin avattua ja purettua Aasiassa. Tällöin tosiasiassa Aasiassa ei enää kyseisessä palvelinkeskuksessa käsiteltäisi henkilötietoja vaan vain merkkijonoja. Toki muitakin menetelmiä voidaan henkilötietojen vientiin käyttää.

Uusia vastuita ja velvollisuuksia yrityksille ja muille rekisterinpitäjälle

Asetuksen seurauksena yritykset ja muut rekisterinpitäjät joutuvat tarkistamaan tietosuojakäytäntönsä, sillä luvassa on uusia merkittäviä velvoitteita ja vastuita.

Henkilötietojen käsittely on lyhyesti todettuna kielletty ilman henkilötiedon subjektin nimenomaista suostumusta, sopimusta subjektin ja rekisterinpitäjän välillä, pakottavan lain antamaa perustelua, elintärkeän intressin suojaamista, välttämätöntä viranomaistehtävää tai laillisten intressien vuoksi välttämätöntä käsittelyä.

Vaatimukset henkilöltä saatavalle suostumukselle kiristyvät. Henkilötiedon subjektin pitää antaa vapaasta tahdostaan suostumus, joka perustuu tietoisuuteen. Suostumuksen on oltava nimenomainen, eli rekisterinpitäjän on voitava todistaa, että henkilö antoi tahdonilmaisunsa juuri tiettyihin henkilötietojen käsittelyn tarkoituksiin.

Kiviniemen mukaan satasivuiset ja monimutkaiset käyttöehdot, joihin on piilotettu esimerkiksi henkilötietoja ja paikannustietoja käsittelyä koskevat pykälät, tulevat muuttumaan.

– Yritysten kannattaa huomioida kiristyvät suostumusvaatimukset mm. tulevissa tavarantoimitusten ja palveluiden ja sähköisten palveluiden sopimusehdoissa: palvelua voidaan harvoin edes toimittaa ilman suostumusta henkilötietojen käsittelyihin.

Henkilötietoja saa kerätä ja käsitellä vain nimenomaisesti sovittuun tarkoitukseen.

Erityisten henkilötietojen, kuten rotu, etninen tausta, poliittinen mielipide, käsittely on kiellettyä muutamia poikkeuksia lukuun ottamatta.

Henkilön oikeus saada välittömästi kaikki itseään koskeva tieto

Tietosuoja-asetus listaa henkilötietojen käsittelyn kohteena olevan henkilön oikeudet. Näitä ovat mm. omia henkilötietoja koskeva tiedonsaantioikeus, oikeus saada tiedot oikaistua, oikeus tulla unohdetuksi sekä oikeus tietojen poistamiseen.

Henkilön tiedonsaantioikeus tarkoittaa, että henkilöllä on oikeus saada milloin tahansa tieto, käsitteleekö rekisterinpitäjä häntä koskevia tietoja, ja jos kyllä, mitä tietoja.

Rekisterinpitäjä on velvollinen antamaan pyydettäessä viipymättä selkeässä ja tavallisessa tiedostomuodossa kopion henkilötiedoista, joita se käsittelee. Näihin lukeutuvat esimerkiksi osoite, ostohistoria, kanta-asiakastiedot, maksuvälineet ja asiakkaan luokittelua koskevat tiedot, jos rekisterinpitäjä käsittelee tällaisia henkilötietoja.

Henkilöllä on oikeus tulla unohdetuksi velvoittamalla rekisterinpitäjää tuhoamaan itseään koskevat henkilötiedot rekisteristä vaikkapa peruessaan suostumuksensa tietojen keräämiseen. Suostumuksen poistaminen pitää onnistua samalla tavalla ja yhtä helposti kuin suostumuksen antaminen.

Jotta rekisterinpitäjä voi henkilön pyytäessä poistamista edelleen käyttää jo kerättyä tietoa esim. liiketoimintavolyymeihin, tieto pitää lopullisella tavalla anonymisoida ja erottaa henkilön identiteetistä muu data. Monesti tämä tarkoittaa manuaalista työtä. Tietojen nopea ja dokumentoitu hävittäminen on myös yrityksen intresseissä, Kiviniemi selvittää.

– Jos palvelimella on vaikkapa kolme vuotta vanhempaa henkilötietoa, johon ei yritys ole koskenut, pitää hälytyskellojen soida.

Laiminlyönnistä seuraa sanktioita

Tietosuojavaltuutettu tekee erityistarkastuksia jo nykyisin, ja myös jatkossa. Lisäksi EU saa oman tietosuojaviranomaisen.

Tietosuoja-asetuksen laiminlyönnistä voidaan langettaa merkittäviä seuraamusmaksuja. Rekisterinpitäjä saatetaan tuomita korvaamaan henkilötiedon subjektille suorat ja välilliset vahingot. Lisäksi rekisterinpitäjän on maksettava hallinnolliset sakkomaksut, maksimissaan 2 % globaalista liikevaihdosta. Myös rikosoikeudellinen rangaistus on mahdollinen, kuten nykyäänkin.

EU:ssa asuviin henkilöihin kohdistuvien henkilötietojen väärästä käsittelystä seuraavat sanktiot ovat samat kaikille myös esimerkiksi Yhdysvalloissa kotipaikkaansa pitäville yhtiöille, kun tietyt edellytykset palvelujen tarjoamisesta juuri eurooppalaisille täyttyvät. Näin EU:n ulkopuolella toimivat yritykset eivät saa enää kilpailuetua.

Vaikka henkilötietojen käsittelyn laiminlyönti olisi yrityksen alihankkijan virhe, velvoitteet kaatuvat lopuksi aina rekisterinpitäjän niskaan. Hyvillä sopimuksilla voidaan kuitenkin hallita riskiä, Kiviniemi muistuttaa.

– Velvoitteita voidaan hyvin laadituilla sopimuksilla vyöryttää alihankkijoille tai kumppaneille, mikä voi osittain kattaa vahinkoja tai syntyviä tappioita.

Lue lisää tietosuoja-asetuksesta: http://ec.europa.eu/justice/data-protection/http://www.tietosuoja.fi/fi/

Lue lisää Ineon GDPR palveluista