Paljon puhuttua EU:n yleistä tietosuoja-asetusta aletaan soveltaa jo tänä keväänä. Viimeistään nyt kannattaakin tarkistaa, että yrityksen toiminta täyttää uuden tietosuoja-asetuksen vaatimukset.
Käsitteistön selkeyttämiseksi on hyvä muistaa, että tietosuojallahan tarkoitetaan yksilön perusoikeutta yksityisyyteen tämän henkilötietoja käsiteltäessä. Henkilötiedot voivat taas olla mitä tietoja tahansa, joista voidaan suoraan tai epäsuorasti tunnistaa tietty luonnollinen henkilö. Esimerkiksi nimen ja valokuvan lisäksi, IP-osoite, sähköpostiosoite, palkkatiedot, some-päivitys yms. ovat henkilötietoja.
Henkilötietojen käsittely tarkoittaa mitä tahansa henkilötietoihin kohdistuvaa toimenpidettä, kuten tietojen keräämistä, tallettamista, järjestämistä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, poistamista jne. Toisin sanoen suojattavaa on paljon – ja aikaa vähän. Dilemman ratkaisemiseksi olisi hyvä lähteä liikkeelle periaatetasolta. Näin siksi, että hyvin suunniteltuhan on puoleksi tehty ja siihen henkilötietojen käsittelyssä noudatettavat periaatteet tähtäävät. Nämä periaatteet on lueteltu uuden tietosuoja-asetuksen 5 artiklassa ja ne ovat:
-
- lainmukaisuus, kohtuullisuus ja läpinäkyvyys
- käyttötarkoitussidonnaisuus
- tietojen minimointi
- täsmällisyys
- säilytyksen rajoittaminen
- eheys ja luottamuksellisuus.
Yritysten on arvioitava prosessejaan
Viime kädessä asetus edellyttää, että yritys voi osoittaa noudattavansa kyseisiä periaatteita. Jatkossa yrityksen on toisin sanoen pystyttävä omalla dokumentoinnillaan todistamaan, että se ei esimerkiksi kerää asiakkaistaan ja työntekijöistään tarpeettomia henkilötietoja. Tähän velvoittavat muun muassa käyttötarkoitussidonnaisuuden ja tietojen minimoinnin periaatteet. Lisäksi henkilötietojen säilyttämisaikoja on rajoitettu siltä osin kuin niiden säilyttämiselle ei ole perusteltua syytä, kuten esimerkiksi jo aiemmin todettu tietojen minimoinnin sekä säilytyksen rajoittamisen periaatteet edellyttävät. Yrityksen tulisikin ensin lähteä arvioimaan, soveltaako se kyseisiä periaatteita työntekijä- ja asiakastietojen käsittelyprosesseihin ja miltä osin on tarvetta muutoksille.
Kansainvälisesti toimivan yrityksen kohdalla periaatteet konkretisoituvat esimerkiksi uuden tietosuoja-asetuksen vaatimuksissa, jotka koskevat henkilötietojen siirtoa EU:n ulkopuolelle eli kolmansiin maihin. Konkreettisia siirtotilanteita ovat esimerkiksi asiakastietojen tai työntekijätietojen hallinnointiin tarkoitetun pilvipalvelun ostaminen EU:n ulkopuoliselta palveluntarjoajalta. Tällöin henkilötietoja helposti siirtyy EU:n ulkopuolelle. Mikäli henkilötietoja siirtyy kolmansiin maihin, tulee tarkistaa, että siirto täyttää tietosuoja-asetuksen vaatimukset.
Asetus lähtökohtaisesti kieltää henkilötietojen siirrot EU:n ulkopuolelle, mikäli vastaanottajamaa ei tarjoa riittävää tietosuojan tasoa. Sellaiseen kolmanteen maahan, jossa tietosuojan taso ei ole riittävä, voidaan tietoja kuitenkin siirtää asetuksessa säädetyin poikkeusperustein. Näihin poikkeusperusteisiin sisältyy komission alue- ja sektorikohtainen riittävyysarviointi, jonka perusteella tiettyjä tietoja voi siirtää tiettyihin maihin. Lisäksi henkilötietoja voidaan siirtää komission mallisopimuslausekkein (standard contractual clauses ”SCC”), jolloin kyseiset sopimusehdot sisällytetään palveluntarjoajan kanssa tehtävään palvelusopimukseen.
Globaalisti toimivan yrityksen sisällä henkilötietojen siirto kolmansiin maihin voidaan myös toteuttaa sisällyttämällä sitovat yrityssäännöt (binding corporate rules ”BCR”) osaksi yrityksen toimintaa. Edellä mainittujen lisäksi siirto on mahdollista toteuttaa yritysten laatimien, asianmukaiset suojatoimet takaavien käytännesääntöjen (codes of conduct ”COC”) avulla.
Yleinen tietosuoja-asetus edellyttää yrityksiltä huomattavasti aiempaa kattavampaa raportointia, informointia ja dokumentointia henkilötietojen käsittelyssä. Tämä tulee huomioida myös siirrettäessä henkilötietoja kolmansiin maihin. Mahdollisia siirtotilanteita silmällä pitäen yritysten tulee ennen kaikkea arvioida tekemiään sopimuksia, joiden perusteella yritysten keräämiä henkilötietoja siirtyy kolmannelle, esimerkiksi ulkopuoliselle palveluntarjoajalle. Näin siksi, että uuden tietosuoja-asetuksen johdosta vastuu henkilötietojen lainmukaisesta käsittelystä on paitsi rekisterinpitäjällä (eli sillä, joka henkilötiedot on kerännyt), myös henkilötietojen käsittelijällä (eli sillä, jolle rekisterinpitäjä on henkilötietoja luovuttanut esimerkiksi säilyttämistä ja hallinnointia varten).
Teksti on julkaistu EY:n sivuilla 26.10.2017