GDPR:n, eli EU:n tietosuoja-asetuksen vaatimukset koskevat kaikkia yrityksiä.

Urakka tietosuoja-asetuksen ympärillä pyörivän informaatiotulvan keskellä voi osoittautua hyvin haastavaksi ja  vaatimuksenmukaisuuden varmistaminen jääkin helposti kesken taikka muutoin vaillinaiseksi.

Tietosuoja-asetuksen hyvät puolet ja haasteet liittyvät asetuksen perusrakenteeseen, joka mahdollistaa sen, että asetukset asettamat velvoitteet voi saavuttaa monella eri tavalla. Tämä tarkoittaa sitä, että yrityksillä on mahdollisuus valita itse, kuinka se saavuttaa lakisääteiset tavoitteet. Samalla tämä kuitenkin asettaa yhtiölle itselleen vastuun siitä, että heidän valitsemansa tapa täyttää tietosuoja-asetuksen asettamat vaatimuket.  

Lisäksi on äärimmäisen tärkeä ymmärtää se, että tietosuojan varmistaminen on jatkuva prosessi, jota ei voi vain kerran hoitaa kuntoon ja unohtaa. Hyvin rakennettu perusta ja prosessit tekevät kuitenkin lakisääteisten velvollisuuksien ylläpidon huomattavasti selkeämmäksi ja helpommaksi.

Suurin haaste tietosuoja-asetukseen liittyvien moninaisten ratkaisuvahtoehtojen keskellä on vaatimusten yksiselitteinen täyttäminen yksilöllisessä tilanteessa. Valitettavasti yksikään kirjoitus, tämä mukaan lukien, ei tule antamaan tyhjentävää vastausta tai automaattista ratkaisua. Yksikään sovellus tai pilvipalvelu ei tule myöskään itsestään varmistamaan henkilötietoja käsittelevän yhteisön GDPR:n vaatimusten täyttämistä, vaikka niistä voikin olla valtava apu valitun tietosuojastrategian toteuttamisessa.

Tilanne ei kuitenkaan ole toivoton, vaikka lähtökohdat on tiedostettava: Yksittäisen yrityksen tilannetta ei voida aukottomasti varmistaa tutustumatta yksittäisen yrityksen tilanteeseen. Vaatimusten tunnistamiseen ja käytännön toteuttamiseen voidaan kuitenkin antaa erittäin hyviä suuntaviivoja.

Tämän kirjoituksen tarkoituksena on antaa kevyt EU-oikeudellinen näkemys GDPR:n vaatimusten vaatimista käytännön toimista. Aihetta pyritään avaamaan mahdollisimman ymmärrettävästi, jotta lukija saisi selkeämmän kuvan GDPR:n asettamista keskeisimmistä vaatimuksista ja mitä toimia nämä edellyttävät. Tyhjentävää vastausta ei tämäkään kirjoitus kykene antamaan. Yrityksen yksilöllinen tilanne onkin aina käytävä läpi tietosuoja-asetukseen perehtyneen asiantuntijan toimesta.

Kirjoitus jakautuu seuraaviin kokonaisuuksiin:

1. Ymmärrä, mistä tietosuoja-asetuksessa on kysymys
2. Päätä, kuka vastaa tietosuoja-asetuksen vaatimusten täyttämisestä
3. Ymmärrä, mitä informaatiota käsittelette
4. Varmista perusteet tiedon käsittelylle
5. Informoi rekisteröityä etukäteen
6. ‍Käsittele henkilötietoja läpinäkyvästi
7. ‍Varmista ulkoisten palveluntarjoajien toiminta
8. Varmistu käytettävien tietoteknisten ratkaisujen turvallisuudesta
9. Valmistaudu osoittamaan asetuksen noudattaminen ja ilmoittamaan tietoturvaloukkauksista

1. Ymmärrä, mistä tietosuoja-asetuksessa on kysymys

Tietosuoja-asetuksen ylimpänä tavoitteena on lisätä meidän jokaisen oikeusturvaa digitaalisessa ympäristössä. Ei ole yhdentekevää, kuinka esimerkiksi verkkokaupan asiakkaiden henkilötietoja käsitellään. Ilman tietosuojaan liittyvää lainsäädäntöä olisi täysin yksittäisen rekisterinpitäjän päätettävissä, kuinka tärkeäksi he henkilötietojen käsittelyä koskevat toimintatavat arvostavat.

On selvää, että esimerkiksi henkilötunnusten julkinen jakaminen ei ole suotavaa maailmassa, jossa identiteettivarkauksien aiheuttama vaara on ilmeinen. Ei ole myöskään yhdentekevää, että lääkärille annettuja arkaluonteisia tietoja käytettäisiin vaikkapa ruokakaupan mainonnassa ilman, että henkilö on itse siitä lainkaan tietoinen. Harva meistä myöskään haluaa netin ja somealusta käyttötietojen  päätyvän työnantajalle automaattisesti.

Henkilötietojen suojaamiseen tähtäävät toimenpiteet eivät kuitenkaan tapahdu itsekseen. Arkaluonteisten tietojen turvaamiseksi varten on oltava selkeä järjestelmä ja pelisäännöt. Tämä on GDPR:n tavoite. Siitäkin huolimatta, että niiden EU:n laajuinen käyttöönottaminen onkin ollut haastavaa ja tietosuoja-asetuksen tulkinta moninaista.

Tietosuoja-asetuksessa itsessään ei kuitenkaan ole lopulta juuri mitään ihmeellistä. Tiivistettynä yrityksen tulee ainoastaan tietää, miten he heidän kanssaan toimivista henkilöistä kerättyjen tietojen kanssa toimivat. On erittäin tärkeää tietää, tallettaako esimerkiksi työnantaja työntekijän henkilötunnuksen sisältävän verokortin koko organisaation kanssa jaettuun julkiseen Dropbox-kansioon, omaan salkkuunsa vai kaksivaiheisen tunnistautumisen vaativaan pilvipalveluun, johon ei ole pääsyä kenelläkään muulla kuin palkanlaskijalla, josta se työsuhteen päättyessä poistetaan automaattisesti pysyvästi lain vaatimassa ajassa.

Näistä lähtökohdista GDPR:n kokonaisvaltainen ymmärtäminen alkaa olla jo huomattavasti kevyempää. Valtaosa yrityksistä haluaa muutoinkin toimia läpinäkyvällä ja kestävällä tavalla, ei tietosuoja-asetuksen tarkoituksen ymmärtäminen olekaan enää niin haastavaa. Seuraavaksi voimme siirtyä katsomaan lähemmin sitä, kuinka henkilötietojen käsittelyä saadaan parannettua tietosuoja-asetuksen vaatimaan suuntaan.

2. Päätä, kuka vastaa tietosuoja-asetuksen vaatimusten täyttämisestä

Aivan ensimmäiseksi yrityksen on syytä selvittää, kuka heillä vastaa tietosuojaan liittyvistä asioista. Kuka on se taho, joka ymmärtää ison kuvan? Laajamittaista henkilötietojen käsittelyä harjoittavien yhteisöjen on tietosuoja-asetuksen määräysten mukaisesti nimettävä oma tietosuojavastaava, mutta pienemmissäkin yrityksissä on suositeltavaa valita henkilö, joka ottaa vastuulleen kokonaisuuden hoitamisen päivittäisessä työssään tai sen ohella.

Pohdittaessa tietosuoja-asioista vastaavaa henkilöä, on hyvä käydä läpi, keillä kaikilla on pääsy erilaisiin henkilötietoihin ja tulisiko tätä oikeutta rajoittaa. Kaikkien yritysten on GDPR:n vaatimusten mukaisesti varmistettava, että henkilötietoja käsitellään ainoastaan tarvittavassa laajuudessa.

3. Ymmärrä, mitä informaatiota keräätte

Jokaisen yrityksen ja muun henkilötietoja käsittelevän yhtiön on oltava tietoinen, mitä henkilötietoja yhtiössä kerätään, mistä informaatio on peräisin ja kenen kanssa tietoja jaetaan. Asian selvittäminen kannattaa useimmiten aloittaa alkukartoituksella, jonka voi toteuttaa monella tapaa. Yksinkertaisin tapa on käydä liiketoiminto- ja hallintoprosessit yksittäin läpi ja kirjata ylös kaikki henkilötietojen käsittelyyn liittyvät asiat. Samalla on hyvä katsoa, mitä tietoa todellisuudessa tarvitaan. Jos pohdit, mitkä kaikki tiedot ovat henkilötietoja, seuraava listaus auttanee. GDPR:n mukaisia henkilötietoja ovat:

• nimitiedot ja henkilötunnus;
• osoitetiedot, sähköpostiosoite ja puhelinnumero;
• sijaintitiedot, mieltymykset ja kiinnostuksen kohteet;
• tulotiedot ja pankkitiedot;
• verkkotunnistetiedot ja profilointitiedot; ja
• kaikki muu tieto, joka voidaan suoraan tai epäsuorasti yhdistää tiettyyn henkilöön

Henkilötiedoksi ei kuitenkaan katsota tietoa, jonka perusteella rekisterinpitäjä ei voi tunnistaa juuri tiettyä henkilöä. Ihan kaikkea dataa ei siis tarvitse lähteä pilkkomaan tai yksilöimään pelkästään tietosuoja-asetuksen takia.  Tätä ei voi kuitenkaan tulkita liian laajasti, koska esimerkiksi salatut tiedot kuuluvat GDPR:n piiriin, jos salaus on mahdollista purkaa. On kuitenkin hyvä muistaa, että GDPR:n osalta on usein helpompi varmistaa vaatimustenmukaisuus laajasti ymmärrettynä, kuin varmistua mahdollisen poikkeuksen soveltuvuudesta omaan tilanteeseen. Eli siitä ei ole haittaa, että soveltaa henkilötietojen käsittelyssä noudattavia periaatteita myös muihin tietoihin kuin henkilötietoihin.

4. Varmista kerätyn tiedon laillisuus

Sen jälkeen, kun on saatu tieto siitä mitä kaikkea tietoa kerätään, on syytä varmistua siitä, että henkilötietojen keräämiseen on hyväksyttävä peruste.

Henkilötietoja saa tietosuoja-asetuksen mukaisesti käsitellä ainoastaan lakiin perustuvalla syyllä. Käytännössä tämä tarkoittaa yritysten kannalta sitä, että yrityksellä on oltava lupa henkilötietojen käsittelyyn. Lupa voi olla peräisin joko henkilöltä itseltään (sopimus/lupaperusteinen) tai lakisääteinen (esim. työnantajavelvoitteet).

Yrityksen ja yhteisön on siis varmistettava, että kaikkeen kerättyyn henkilötietoon on olemassa lain hyväksymä syy. Tietosuoja-asetus asettaa entistä tarkempia velvollisuuksia tiedon keräämiseen, kun kohteena on alaikäinen tai jos kerättävä tieto koskee rotua, etnistä alkuperää, poliittisia mielipiteitä, uskonnollista tai filosofista vakaumusta, ammattiliiton jäsenyyttä, geneettistä tai biometristä tietoa, terveystietoja tai seksuaalista käyttäytymistä tai suuntautumista.

Henkilötietoja saa myös kerätä vain siinä laajuudessa, kun tarve vaatii ja kerätyt henkilötiedot tulee pitää ajantasaisena. Henkilötietoja ei tulisi myöskään säilyttää pidempään kuin on tarve. Kaiken käsittelyn tulee tapahtua turvallisesti ja suojatusti myös silloin, kun tietoa kerätään verkon kautta.

5. Informoi rekisteröityä etukäteen

Pyynnöstä luovutettavien tietojen lisäksi rekisteröidylle on ilmoitettava kattava etukäteistieto siitä, mitä tietoja hänestä kerätään, kuka kerää ja mitä tarkoitusta varten tietoja kerätään.

Rekisteröidylle annettaviin tietoihin lukeutuvat erityisesti seuraavat:

1. rekisterinpitäjän (sekä mahdollisen edustajan ja tietosuojavastaavan) identiteetti ja yhteystiedot;
2. henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste;
3. henkilötietojen mahdollinen vastaantottaja ja vastaanottajaryhmät; ja
4. jos rekisterinpitäjä aikoo siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle, tieto sopivista tai asianmukaisista suojatoimista ja näitä koskevista tiedoista;

Lisäksi rekisteröidylle on kerrottava myös seuraavat tiedot, jotka ovat tarpeen asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi;

1. ‍henkilötietojen säilytysaika tai ajan määrittämiskriteerit;
2. ‍rekisteröidyn oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista tai vastustaa käsittelyä sekä oikeutta siirtää tiedot järjestelmästä toiseen;
3. ‍oikeus peruuttaa suostumus milloin tahansa;
4. ‍oikeus tehdä valitus valvontaviranomaiselle;
5. ‍onko henkilötietojen antaminen lakisääteinen tai sopimukseen perustuva vaatimus taikka sopimuksen tekemisen edellyttämä vaatimus sekä onko rekisteröidyn pakko toimittaa henkilötiedot ja tällaisten tietojen antamatta jättämisen mahdolliset seuraukset;
6. ‍automaattisen päätöksenteon, mm. profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.

6. Käsittele henkilötietoja läpinäkyvästi ja varaudu todistamaan se

Tietosuoja-asetuksen yksi suurimpia uudistuksia sitä edeltävään henkilötietolakiin verrattuna on läpinäkyvyyteen liittyvät vaatimukset. Rekisterinpitäjän on kyettävä todistamaan, että tietosuoja-asiat on selvitetty ja hoidettu asianmukaisesti.

Rekisterin pitäjän on myös kyettävä pyynnöstä toimittamaan rekisteröidylle henkilötietojen käsittelyn kohteena olevat tiedot selkeässä ja ymmärrettävässä muodossa. Rekisterinpitäjä ei voi kieltäytyä toimittamasta tietoja. Kaikkiin pyyntöihin on reagoitava kuukauden kuluessa, eikä tietojen pyytämisestä tai toimittamisesta saa pääsäännön mukaisesti pyytää erillistä maksua, ellei kyse ole esim. perusteettomasta häirinnästä. Rekisterinpitäjällä on kuitenkin oikeus ja velvollisuus pyytää tunnistautumista.

Rekisteröidyllä on tiedonsaantioikeuden lisäksi myös oikeus pyytää tietojen tuhoamista, vaatia tietojen oikaisemista, oikeus tulla “unohdetuksi”, oikeus rajoittaa tietojen käsittelyä, oikeus siirtää tiedot järjestelmästä toiseen, oikeus vastustaa tietojen käsittelyä ja profilointia. On kuitenkin tärkeä huomioida, että edellä mainitut rekisteröidyn oikeudet eivät koske samalla tavoin tietoja, joiden säilyttäminen perustuu rekisterinpitäjän lakisääteiseen velvollisuuteen.

Kaikkien rekisterinpitäjien onkin syytä varmistaa, miten he konkreettisesti toimivat ja täyttävät edellä mainitut vaatimukset. Paras tapa varautua tietopyyntöihin on laatia selkeä sisäinen ohjeistus asiasta.

7. Varmista ulkoisten palveluntarjoajien toiminta

Jos rekisterinpitäjä käyttää ulkopuolisia palveluntarjoajia tai muita käsittelijöitä, jotka käsittelevät rekisterinpitäjän keräämiä henkilötietoja rekisterinpitäjän puolesta, puhutaan ns. henkilötietojen käsittelijästä. Yritysten osalta puhutaan useimmiten siitä, että yritys tallettaa henkilötietoja esimerkiksi ulkopuoliseen pilvipalveluun tai antaa henkilötietoja muiden käyttöön tiettyä tarkoitusta varten. Yrityksen on tällöin huolehdittava siitä, että valittu palveluntarjoaja käsittelee henkilötietoja asiallisesti yrityksen puolesta.

Käytännössä henkilötietojen käsittelijän vastuut ja henkilötietojen asianmukainen käsittely varmistetaan päivittämällä aiemmat sopimukset tai laatimalla erillinen henkilötietojen käsittelyä koskeva sopimus (eng. Data Processing Addendum tai DPA). Monet palveluntarjoajat ovat valmistelleet omia sopimuksiaan, mutta on jokaisen yrityksen omalla vastuulla varmistua siitä, että heidän henkilötietojen käsittelijälle luovuttamia henkilötietojaan käsitellään asianmukaisesti. Jos tietoja välitetään eteenpäin kolmansiin maihin EU:n ulkopuolelle ovat vaatimukset vieläkin tiukemmat.

8. Varmistu käytettävien tietoteknisten ratkaisujen turvallisuudesta

Henkilötietojen käsittelyn tulee tapahtua turvallisesti. Rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason mukaiset toimenpiteet.  Käytännössä tämä tarkoittaa tietojen salausta, varmuuskopiointia ja tiedon pääsyn varmistamiseen liittyviä toimenpiteitä. Toimet on mitoitettava riskin ja kustannusten mukaisesti kohtuullisiksi.

9. Valmistaudu osoittamaan asetuksen noudattamien ja ilmoittamaan tietoturvaloukkauksista

Henkilötietojen käsittelijän tulee itse kyetä osoittamaan kirjallisen dokumentaation avulla, kuinka tietousoja-asetuksen vaaatimukset on heidän yhtiössä varmistettu. Eli pelkkä asetuksen noudattaminen ei riitä, vaan yhtiön on myös pystyttävä todistamaan. Tätä varten on äärimmäisen tärkeää laatia sekä dokumentaatio, kuten tietosuojaseloste, seloste käsittelytoimista ja sisäinen ohjeistus.

Mikäli tietoturva pettää ja tapahtuu tietoturvaloukkaus, on tästä pääsääntöisesti ilmoitettava valvontaviranomaisen lisäksi myös suoraan rekisteröidylle. Valvontaviranomaiselle tehtävälle ilmoitukselle on asetettu tavoitteellinen 72 tunnin aikaraja ja ilmoitus on tehtävä kaikissa tilanteissa, paitsi jos henkilötietojen tietoturvaloukkauksesta ei aiheudu tietosuoja-asetuksessa tarkemmin määriteltyä riskiä. Rekisteröidyille on ilmoitettava ilman aiheetonta viivästystä kaikista henkilötietojen tietoturvaloukkauksista, jotka todennäköisesti aiheuttavat korkea riskin luonnollisten henkilöiden oikeuksille ja vapauksille.

Mahdolliseen tietoturvaloukkaukseen on varauduttava ennakolta niin ehkäisyn kuin myös toimenpiteiden osalta. Yritysten on myös varauduttava tekemään vaikutusarvioita etukäteen ottaessaan uutta teknologiaa käyttöön.

Kevyt yhteenveto:

Sääntöjä, vaatimuksia ja ehtoja on paljon, mutta nämä voidaan enimmäkseen tiivistää seuraavasti; tiedä, mitä keräät, millä oikeudella, kenellä on pääsy dataan, kenelle sitä jaat, kuinka tieto on suojattu, mitä teet, jos tapahtuu virheitä tai jos rekisteröity pyytää tietoja. Näihin vastaamalla pääsee jo erittäin pitkälle. Tämän lisäksi, kun ohjenuoraksi otetaan halu rakentaa yritystoimintaa, jossa asiakastietoja käsitellään muutenkin vastuullisesti ja turvallisesti, löytyvät vastaukset suurimpaan osaan vastaan tulevista kysymyksistä lähes automaattisesti. Näiden pohjalta yrityksen tai muun yhteisön henkilötietojen käsittelyä ja tietosuojaa koskeva strategia rakentuu jo kuin itsestään GDPR:n vaatimusten mukaiseksi ymmärrettäväksi, loogiseksi ja selkeäksi kokonaisuudeksi.  

Aivan ilman sopimuksia ja asiakirjoja ei tästäkään valitettavasti selvitä, mutta asia on mahdollista ottaa haltuun myös kevyesti selkeiden ja ymmärrettävien sopimusehtojen kautta. Yritysten osalta GDPR:n luomat velvollisuudet saadaankin parhaiten varmistettua luomalla yrityksen yksilöllisen tilanteen huomioivat selosteet ja sopimusehdot asiakkaiden ja yhteistyökumppaneiden suuntaan. Näiden toteutuminen varmistetaan myös sisäilillä tietosuojakäytännöillä ja -prosesseilla, jotka dokumentoidaan selkeästi ja ymmärrettävästi.

Jos GDPR tuottaa harmaita hiuksia tai haluat viedä tietosuojakäytännöt optimiaaliselle tasolle, EU-lainsäädäntöön erikoistuneet lakimiehemme auttavat mielellään räätälöimään teille toimivan ratkaisun.