Kaikki yritykset käsittelevät enemmissä tai vähemmissä määrin henkilötietoja jokapäiväisessä työssään. Monessa yrityksessä ja organisaatiossa henkilötietoja käsitellään kiinnittämättä huomiota siihen, miten ja milloin tämä tapahtuu. Moderni teknologia on tehnyt henkilötietojen kaupallisesta hyödyntämisestä helpompaa, mm. sosiaalisesta mediasta tapahtuvan automatisoidun henkilötietojen keräämisen myötä. Samanaikaisesti erinäiset henkilötietojen väärinkäyttötapaukset ovat lisääntyneet. Näistä voidaan esimerkkinä mainita henkilöllisyyttä koskevat petokset.
EU:n tietosuoja-asetus
EU:n tietosuoja-asetuksen, GDPR:n (EU General Data Protection Regulation), soveltaminen alkoi 25.5.2018. Tietosuoja-asetuksen tarkoituksena on edesauttaa henkilötietojen vapaata liikkuvuutta EU:n sisällä, sivuuttamatta yksityishenkilöiden oikeuksia. Henkilötiedoilla tarkoitetaan kaikkea tietoa (esim. nimeä, kuvaa taikka henkilötunnusta) jonka avulla henkilö voidaan suoraan tai välillisesti tunnistaa. Kyse voi olla henkilötiedoista jotka sisältyvät systematisoituun rekisteriin, mutta myös henkilötiedoista joita ei ole systematisoitu ja joita käytetään esimerkiksi kirjeenvaihdossa. Kaikkien näiden mainittujen henkilötietojen käsittely kuuluu tietosuoja-asetuksen soveltamisalaan.
Henkilötietojen käsittelijä ja rekisterinpitäjä
Tietosuoja-asetuksen terminologiassa yritystä taikka organisaatiota, joka kerää ja käsittelee henkilötietoja ja jolla on itsenäinen päätösvalta suhteessa henkilötietojen käsittelyyn ja päämäärään, kutsutaan rekisterinpitäjäksi. Henkilötietojen käsittelijäksi kutsutaan sen sijaan sitä joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Henkilötietojen käsittelijä voi olla esim. jakelija joka toimittaa yrityksen hyödykkeitä asiakkaille.
Laillinen peruste edellytyksenä henkilötietojen käsittelylle
GDPR asettaa tiukennetut vaatimukset kaikille organisaatioille, jotka käsittelevät henkilötietoja. Asetus edellyttää, että kaikkeen henkilötietojen käsittelyyn on lainmukainen peruste. Henkilötietojen käsittelyyn oikeuttavia perusteita ovat muun muassa se, että henkilö on suostunut siihen että organisaatio saa käyttää hänen henkilötietojaan, tai että henkilö on tehnyt sopimuksen organisaation kanssa ja sopimusvelvoitteidensa täyttämiseksi organisaation täytyy käsitellä hänen henkilötietojaan. Kaiken henkilötietojen käsittelyn täytyy olla korrektia, avointa ja tarkoituksenmukaista. Henkilötietoja voidaan ainoastaan käyttää nimenomaisesti määrättyihin tarkoituksiin. Mikäli henkilötietojen käyttöön oikeuttava peruste lakkaa olemasta, täytyy myös henkilötietojen käsittelyn päättyä. Tiettyjen GDPR:ssä asetettujen edellytysten täyttyessä organisaation pitää nimetä itselleen tietosuojavastaava, jonka tehtävänä on varmistaa että tietosuoja-asetusta noudatetaan.
Dokumentaatio
GDPR asettaa korkeat vaatimukset henkilötietojen käsittelyn dokumentaatiolle. Dokumentaatio-vaatimuksesta seuraa, että henkilötietoja käsittelevien organisaatioiden ja yritysten täytyy kyetä luotettavalla tavalla osoittamaan että tietosuojaa koskevaa lainsäädäntöä on noudatettu käsittelyssä. Kuinka kattavia toimenpiteitä ja dokumentaatiota yritykseltä tai organisaatiolta voidaan edellyttää, arvioidaan tapauskohtaisesti. Arviointiin vaikuttavat mm. organisaation koko, minkälaisia henkilötietoja käsitellään ja minkälaisia riskitekijöitä toimintaan liittyy. Esim. arkaluonteisia henkilötietoja käsiteltäessä vaaditaan kattavampia turvallisuustoimenpiteitä kuin muunlaisia henkilötietoja käsiteltäessä. Jotta dokumentaatio saavuttaisi asetuksessa vaaditun tason, juridinen osaaminen voi olla välttämätöntä.
Johdonmukaisuusarviointi ja rutiinit
Riippuen toiminnan laajuudesta dokumentaatiovaatimus voidaan täyttää esim. luomalla henkilötietojen käsittelylle oma rekisteri taikka luomalla dokumentti johdonmukaisuusarvioinnille johon kirjataan kaikki riskialtis henkilötietojen käsittely. Yrityksen täytyy myös luoda rutiinit mm. sille, miten henkilöstön tulee käsitellä henkilötietoja jokapäiväisessä työssään. Tällainen rutiini voi esim. sisältää toimintasuunnitelman IT-turvallisuuden ylläpitämiseksi ja säännellä miten yrityksessä toimitaan tietosuoja-asetuksen mukaisesti henkilötietojen tietoturvaloukkauksen tapahtuessa.
Sopimus henkilötietojen käsittelystä
Yritystoiminnassa tulee usein vastaan tilanteita, joissa yksi yritys siirtää henkilötietoja toiselle, esim. kun yritys käyttää pilvipalveluita. Tällaisissa tilanteissa juridiset vastuukysymykset aktualisoituvat ja GDPR vaatii, että osapuolten välillä on sitova sopimus. Henkilötietojen käsittelyä koskevassa sopimuksessa osapuolten täytyy sopia mm. siitä, kuka tietosuoja-asetuksen säännökset huomioon ottaen on henkilötietojen käsittelystä päättävä rekisterinpitäjä ja kuka niiden käsittelijä, ja miten käsittelijä saa käyttää henkilötietoja. Lisäksi voidaan sopia, että käsittelijän täytyy avustaa rekisterinpitäjää tietoturvaloukkauksen tapahtuessa ja siitä, miten henkilötietojen palautus niistä päättävälle tapahtuu. Osapuolten täytyy myös sopia siitä, onko henkilötietojen käsittelijällä oikeus siirtää henkilötietoja EES/EU- alueen ulkopuolelle ja saako henkilötietojen käsittelijä delegoida henkilötietojen käsittelyn kolmannelle taholle tai käyttää tällaista tahoa avustajana henkilötietojen käsittelyssä. Uusi tietosuoja-asetus luo yritykselle tarpeen huolellisuuteen osapuolten tehtävänjaossa ja vastuun jakamisessa, varsinkin tilanteissa joissa monta yritystä käsittelee henkilötietoja saman yritystoiminnan puitteissa.
Tietosuojavaltuutettu valvoo GDPR:n noudattamista
Jokaisessa EU:n jäsenvaltiossa on valvontaviranomainen, jonka tehtävänä on valvoa että GDPR:ää noudatetaan. Tietosuojavaltuutettu vastaa Suomessa tästä tehtävästä. Tietosuojavaltuutettu voi määrätä hallinnollisia seuraamuksia tietosuoja-asetusta rikkoneelle. Tämän takia niin pienille kuin isoille yrityksille on tärkeää seurata henkilötietojen käyttöä. Tarkoin suunniteltu ja perusteellisesti dokumentoitu henkilötietojen käsittely luo asiakkaille ja yhteistyökumppaneille luotettavan kuvan yrityksestä.
Tervetuloa ottamaan yhteyttä DKCO:n lakimiehiin ja asianajajiin, jotka käsittelevät GDPR:ään liittyviä kysymyksiä.