GDPR tulee – pitääkö panikoida?

Suomen ja Euroopan unionin tietosuoja-asetus uudistuu 25.5.2018. Tietosuoja-asetusta (General Data Protection Regulation, GDPR) sovelletaan lähtökohtaisesti kaikkeen henkilötietojen käsittelyyn Euroopan Union alueella, sekä käsittelyyn, joka koskee Euroopan Unionin kansalaisia.

GDPR näkyy mediassa sekä kuuluu konsulttien myyntipuheissa, mutta mistä on kyse näin maallikon silmin?

GDPR nousee lähes joka palvelun kanssa esille: yleensä sovellusten käyttäjät ovat henkilöitä, joten henkilötietojen käsittelyä on vaikea välttää. Suomessa asiat ovat olleet jo aikaisemmin suhteellisen hyvällä tasolla EU:n yleiseen tasoon nähden, joten aivan älyttömiä ponnisteluja GDPR ei meiltä suomalaisilta toimijoilta vaadi.

Huolehdi, että ainakin seuraavat asiat ovat kunnossa

MIHIN KÄSITTELY PERUSTUU? (JOKIN SEURAAVISTA)

• Sopimukseen
• Oikeutettuun etuun (esim. asiakas, työsuhde tai suoramarkkinointi)
• Suostumukseen (erillinen suostumus direktiivistä poikkeavaan käsittelyyn, esim. datan säilyttäminen tilin poiston jälkeen)
• Yleisen edun turvaamiseen
• Oman alan lainsäädännön vaatimukseen (esim. HR-järjestelmille 10 vuotta on minimi työtodistusta varten)

KÄYTTÖTARKOITUSSIDONNAISUUS

• Tietoa saa käyttää vain siihen, mihin on ilmoitettu niitä käytettävän

TIETOJEN MINIMOINTI

• Kerää vain ne tiedot, joita ennalta ilmoitettuun käyttötarkoitukseesi vaaditaan

SÄILYTYKSEN RAJOITTAMINEN AJALLISESTI

• Tietoa on helppo hankkia, mutta siitä on vaikea päästä eroon
• Automatisoi tiedon poistaminen, suurimpia puutteita nykyisessä tietosuojassa

HUOLEHDI ETTÄ REKISTERIÄ KÄYTTÄVÄT TYÖNTEKIJÄT OVAT KOULUTETTU HENKILÖTIETOJEN KÄSITTELYYN

• Käytännön tietoturva ja tietojen luottamuksellisuus, laadi tarvittaessa tarkentava salassapitosopimus

PALVELUN HENKILÖTIETOJEN KÄSITTELYN TULEE OLLA LÄPINÄKYVÄÄ

• Dokumentoi palvelusi tietosuoja käyttäjille

OSOITUSVELVOLLISUUS (MITÄ ON TEHTY TIETOSUOJAN HYVÄKSI)

• On pystyttävä osoittamaan, että GDPR:n asetuksia on noudatettu. Esimerkiksi ”tietosuojapäiväkirjalla”
• Laadi kattava käytäntö tietosuojan huolehtimisesta

TIETOTURVA

• Huolehdi, että tietoturva toteutuu käytännön tasolla (ei salasanalla varustettuja post-it–lappuja näyttöön liimattuna)

REKISTERÖIDYN OIKEUDET:

• Oikeus saada läpinäkyvää ja ajantasaista tietoa henkilötietojen käsittelystä
• Oikeus saada omat henkilötietonsa pyytämällään tavalla ilman viivytystä ja ilmaiseksi
• Oikeus korjata virheellisiä henkilötietoja
• Oikeus saada oman henkilötiedot yleisesti tuetussa, koneen luettavassa muodossa (CSV, JSON, XML), eli mahdollisuus siirtää omat henkilötiedot järjestelmästä toiseen
• Oikeus henkilötietojen poistamiseen (oikeus tulla unohdetuksi), kuitenkin niin, että voimassaolevia lakeja noudatetaan
• Oikeus rajoittaa henkilötietojen tietyntyyppistä käsittelyä
• Oikeus vastustaa henkilötietojen käsittelyä (suoramarkkinoinnissa)
• Oikeus vastustaa profilointia
• Oikeus olla joutumatta automaattisen päätöksenteon silloin, kun sillä on merkittäviä vaikutuksia käyttäjille. Profiloinnista ja automaattisista päätöksistä perustuen henkilötietoihin on kerrottava käyttäjille (esim. mitä dataa käytetään, miksi sitä käytetään ja mitä vaikutuksia sillä voi olla)

TÄRKEINTÄ ON LAITTAA TIETOSUOJASELOSTE VIMPAN PÄÄLLE.

Haastavinta ovat integraatiot. Luovutatteko käyttäjien henkilötietoja eteenpäin muille toimijoille? GDPR:n mukaan te olette silloin vastuussa, että toimijat joille olette tietoja luovuttaneet, toimivat myös GDPR:n piirissä. Kaikista henkilötietojen muutoksista, poistoista ja henkilötietojen käsittelyn rajauksista ei riitä, että tiedot päivitetään tai poistetaan teidän järjestelmästä, vaan sama koskee kaikkien muiden toimijoiden järjestelmiä, joille te olette tiedot luovuttanut. Muista myös, että paperilla oleva data on yhtälailla GDPR:n piirissä.

Sitten on myös päällekkäin meneminen lainsäädännön kanssa. Luonnollisestikin teillä on vaatimuksia datan arkistoinnista, joten kaikkia tietoja ei niin vain voida poistaa. Tässä tulee mahdollisuutena pseudonymisointi, eli tehdään vaikeammaksi henkilötiedon yhdistäminen pseudonyymi-identiteettiin, mutta kuitenkin niin että henkilöllisyys voidaan tarpeen mukaan selvittää. Esimerkkinä toimii hyvin laskut. Asiakassuhteen jälkeen voi tulla pyyntö tietojen poistamisesta, mutta kirjanpitolaki ei sitä laskujen osalta mahdollista, joten asiakkaan tiedot jäävät kirjanpitoon.

Emme kuitenkaan Kiskolla ole lakimiehiä ja suosittelemme toki käyttämään heidän palvelujaan jos siltä tuntuu. Meidän näkökanta kuitenkin on, että asiakkaille päin näkyvät asiat kuntoon: selkeä ja totuudenmukainen viestintä siitä, että mitä kerätään ja mihin käyttötarkoitukseen. Järjestelmiin voi tietysti rakennella noita poistamis- ja export -ominaisuuksia mutta ne voi tämän hetkisen käsityksen mukaan tehdä myös manuaalisesti just-in-time-hengessä.

Tällä hetkellä kommunikaatio säädännön vaatimuksista on vielä ristiriitaista, eikä kukaan voi sanoa ennen ennakkotapauksia, miten lopulta GDPR:ää tulkitaan. Uskomme, että alkuvaiheessa kiikarissa ovat enimmäkseen isot tekijät ja tekijät, jotka laiminlyövät räikeästi (ei minkäänlaisia rekisteriselosteita, tietoja käytetään epäeettisesti jne.) säädännön henkeä.