20.000.000 syytä huolehtia tietosuojasta

EU:n tietosuoja-asetusta (tuttavallisemmin GDPR) on sovellettu kohta vuoden. Yksi sen merkittävimmistä vaikutuksista on, että tietosuoja-asioista on tullut vasemmalla kädellä hoidettavien asioiden sijasta yrityksen ylimmän johdon asia. Tämä johtuu ennen kaikkea rekisterinpitäjien laajentuneista velvollisuuksista sekä julkisuudessakin paljon esillä olleista mittavista hallinnollisista sakoista (enimmillään 4% globaalista liikevaihdosta tai 20 MEUR, kumpi on suurempi) ja laajasta vahingonkorvausvelvollisuudesta, jotka asetuksen rikkomisesta voi seurata.

GDPR:n voimaantuloon varauduttiin laajalla rintamalla erityisesti viime keväänä. Kun 25.5.2018 viimein koitti, olikin yhtäkkiä suorastaan piinaavan hiljaista. Mitään alkuräjähdykseen verrattavissa olevaa megasakkopamausta ei tullut, ja aurinkokin nousi normaalisti. Uusi Y2K? Ei aivan, sillä nyt eri EU-maiden tietosuojaviranomaiset ovat heränneet ja voimaantuneet uusista toimivaltuuksistaan. EU:n laajuisesti on jo määrätty yrityksille n. 55 MEUR edestä hallinnollisia sakkoja tietosuojavelvoitteiden loukkausten perusteella. Tästä potista suuren osan toki muodostaa Googlen Ranskan tietosuojaviranomaiselta saama 50 MEUR sakko. Suomessakin tietosuojavaltuutettu on ilmoittanut hiljalleen aloittavansa tarkastukset yrityksiin, asia, jonka esim. Hollannin tietosuojaviranomainen on jo ottanut sydämen asiakseen. 

Eli toisin kuin Y2K, tämä aihe on siis edelleen ja enenevässä määrin ajankohtainen. Alla on esitelty tiivistettynä toimenpiteitä, joilla voit vaikuttaa siihen, ettei oma yrityksesi päädy näihin tilastoihin.

I Analysoi

Mitä henkilötietoja yrityksessänne käsitellään ja mitä tarkoituksia varten? Toisin sanoen, tee data flow -kuvaus; mitä, miksi, mistä, minne. Älä käsittele muita kuin tarkoituksen kannalta välttämättömiä tietoja. Muista, että verkkotunnistetiedot (kuten IP-osoite, eväste ID tms.) luetaan nykykäytännössä henkilötiedoksi.

Mikä on henkilötietojen käsittelyperuste ja onko se kaikkien käsittelytoimien kannalta asianmukainen? Henkilötietojen käsittelylle pitää olla laillinen peruste, yritystoiminnassa useimmiten soveltuu joko sopimusperuste (henkilötietoja käsitellään tuotteen tai palvelun toimittamiseksi), suostumus (kuten sähköinen suoramarkkinointi), oikeutettu etu (kuten suoramarkkinointi) tai lakisääteinen velvoite (kuten työ- tai kirjanpitolainsäädäntö).

Miten tietoturvasta on huolehdittu? Ovatko käytetyt tekniset keinot asianmukaisia suhteessa käsiteltävien henkilötietojen arkaluonteisuuteen? Esim. terveydentilatietojen tai henkilötunnuksen käsittely edellyttää rankempia tietoturvajärjestelyitä kuin ns. tavallisten henkilötietojen käsittely.

Osallistuuko henkilötietojen käsittelyyn alihankkijoita? Näitä ovat esim. SaaSina tarjottavan CRM-palveluntarjoajat, infrapalveluiden tarjoajat tai vaikka naapurin Pasi, jos hän osallistuu yrityksenne lukuun henkilötietojen käsittelyyn.

II Rakenna prosessit ja dokumentoi

Rakenna prosessi sille, miten organisaatiossa huolehditaan rekisteröityjen oikeuksien toteuttamisesta, esim. mitä organisaatiossa tapahtuu, kun rekisteröidyltä saadaan tarkastuspyyntö. Sama koskee tietoturvaloukkausten havainnointia ja ilmoituksia viranomaiselle tai rekisteröidylle, eli kuvaa mitä tapahtuu, jos henkilötietoja sisältäviin järjestelmiin on murtauduttu ja sieltä viety asiakkaiden tai työntekijöiden tietoja.

Rakenna tietosuojan organisaatio ja nimeä vastuuhenkilöt. Toiminnan luonteesta riippuen myös erityisen tietosuojavastaavan nimittäminen voi olla tarpeen, eikä se koskaan väärin ole muutenkaan.

Dokumentoi. Dokumentoi analyysin havainnot ja lopputulokset (riskiarvio, data flow, oikeutettuun etuun perustuvassa käsittelyssä mahdollinen tasapainotesti sekä mahdolliset korjaavat toimenpiteet), laadi tietoturvapolitiikka, jossa kuvataan yrityksen käyttämät tietoturvakeinot, sekä dokumentoi prosessit rekisteröityjen oikeuksien toteuttamiseen. Kuvaa myös tietosuojaorganisaatio/vastuuhenkilöt.

III Päivitä tai laadi informointiin tähtäävä dokumentaatio

Tietosuojakäytäntö / -lauseke / Privacy Policy. Rakkaalla lapsella on monta nimeä, mutta tämän dokumentin merkitystä ei voi väheksyä. Sen avulla henkilöt, joiden henkilötietoja käsitellään, saavat tietoonsa henkilötietojensa käsittelyyn liittyvän olennaisen informaation. Tämä dokumentti laitetaan niihin yhteyksiin, kun henkilötietoja saadaan (nettisivut ym.) tai siitä informoidaan esim. suoramarkkinointiviestin yhteydessä, jos tiedot on saatu muualta. Muistathan kuitenkin, ettei vanhan rekisteri-/tietosuojaselosteen ”kiillottaminen” vielä tarkoita sitä, että käsittely olisi GDPR:n mukaista, vaan edellytetään vielä vähän muutakin.

Tee seloste käsittelytoimenpiteistä. Tätä dokumenttia ei pidä sekoittaa edelliseen. Tämä on yrityksen sisäinen dokumentti, joka annetaan pyynnöstä viranomaiselle. Jos siis esim. rekisteröity pyytää tällaista dokumenttia, hänet voi ohjata tutustumaan tietosuojakäytäntöönne.

IV Tee sopimukset henkilötietojen käsittelyyn osallistuvien alihankkijoiden kanssa

GDPR edellyttää, että henkilötietojen käsittelijät sitoutuvat sopimusperusteisesti noudattamaan GDPR:n vaatimuksia. Tämä sopimus tunnetaan ”piireissä” useimmiten nimellä tietojenkäsittelysopimus tai Data Processing Agreement (DPA). GDPR edellyttää lisäksi, että vain sellaisia käsittelijöitä saa käyttää, jotka kykenevät täyttämään GDPR:n vaatimukset. Älä siis käytä naapurin Pasia käsittelijänä, ellet ole ensin varmistunut Pasin kyvykkyydestä esim. huolehtia tietoturvasta.

Kannattaa lopuksi muistaa, ettei tietosuoja-asioissa aina ole olemassa yhtä oikeaa vastausta, vaan käsittelyn lainmukaisuuden arvioinnissa on otettava huomioon monta tekijää. Tietosuojalainsäädännön tulkinta on osittain hyvin mielipidesidonnaista, minkä vuoksi erilaisia näkemyksiä samasta asiasta on melkein yhtä useita kuin on esittäjiäkin. Yhdestä kaikki ovat kuitenkin samaa mieltä: henkilötietojen kanssa pelleily ei kannata.

Sami Tenhunen toimii asianajajana liikejuridiseen konsultointiin erikoistuneessa Iconics Consulting Oy:ssä.