gdpr valmistautuminen

GDPR – älä turhaan pelkää sitä, mutta valmistaudu siihen viimeistään nyt

GDPR. Nuo neljä kirjainta ovat kylväneet kauhua monessa yrityksessä jo kuukausien ajan.

General data protection regulation eli yleinen tietosuoja-asetus vaatii kaikilta yrityksiltä toimenpiteitä. EU-asetus astui voimaan jo toissa vuonna, siirtymäaika päättyy tämän vuoden toukokuussa. Asetuksen noudattamatta jättämisestä on uhkakuvissa maalailtu tuntuva rangaistus: jopa 20 miljoonaa euroa tai neljä prosenttia liikevaihdosta – kumpi summa vain on suurempi. Näin on varmistettu, että asia saa kiireisemmänkin toimitusjohtajan huomion.

GDPR:ää sovelletaan henkilötietojen käsittelyyn. Sen tarkoitus on yhdenmukaistaa EU:n tietosuojakäytäntöjä ja parantaa EU:n kansalaisten yksityisyydensuojaa.

Yksilölle asetus on tietysti muutos parempaan. Asetus varmistaa, että jokaisella on oikeus saada tietää – selkeällä ja ymmärrettävällä tavalla – mitä tietoja hänestä on tallennettu yrityksen tietojärjestelmiin. Jokaisella on halutessaan myös oikeus tulla unohdetuksi, eli vaatia poistamaan omat tiedot yrityksen tietojärjestelmistä, ellei säilyttämiselle ole laillista perustetta.

Oikeutettu etu

Entä mitä GDPR tarkoittaa yrityksille? Jatkossa kuluttajan henkilötietoja ei enää saa kerätä ilman henkilön suostumusta. Tietoja saa kerätä ja käyttää vain hyväksyttyyn tarpeeseen ja niille on määriteltävä säilytysaika. Yrityksen on varmistettava, että tietoja tallennetaan, käytetään ja poistetaan oikein. Yksityisyydensuojaselosteen on löydyttävä yrityksen nettisivuilta.

Yhtenä nimenomaisena vaatimuksena GDPR:ssä on yksityisyydensuojaselosteen ymmärrettävyys. Asiaa ei siis voi enää kertoa vaikeaselkoisella jargonilla, vaan se on tehtävä selkeästi ja ymmärrettävästi. Rekisteröidyn keskeiset oikeudet – kuten oikeus tulla unohdetuksi – on kerrottava yksityisyydensuojaselosteessa.

B2B-asiakkaiden kohdalla tilanne on hieman toinen: tällöin henkilötietoja koskee ns. oikeutettu etu. Oikeutettu etu voi vallita, jos rekisteröity on esimerkiksi rekisterinpitäjän asiakas tai työntekijä. Oikeutettuun etuun perustuvat esimerkiksi markkinointi, asiakkuus ja tietojen käsittely konsernin sisällä. Asetuksen mukaan rekisteröidyllä on oikeus vastustaa tietojen käsittelyä, myös profilointia, mutta tietojen siirto-oikeutta ei ole toisin kuin silloin, jos tietoja käsitellään sopimuksen tai suostumuksen perusteella. Sekä B2B- että B2C-rekistereissä olevia tietoja kannattaa kuitenkin käsitellä GDPR:n mukaisesti.

Tietoturvaloukkauksen sattuessa yrityksen on raportoitava kansalliselle tietosuojaviranomaiselle heti, kun se on tullut rekisterinpitäjän tietoon, mahdollisuuksien mukaan 72 tunnin kuluessa. Myös käyttäjille on ilmoitettava loukkauksista mahdollisimman pian.

Tietosuoja on otettava huomioon jo tuotteita tai palveluita rakennettaessa, ja esimerkiksi sosiaalisessa mediassa ja mobiilisovelluksissa yksityisyydensuojaa edistävät oletusasetukset ovat automaattisesti käytössä.

Analysoi, mitä toimia GDPR aiheuttaa sinun yrityksellesi

Sakkosumman maksimi, siis 20 miljoonaa euroa tai neljä prosenttia liikevaihdosta, on suuri, mutta sakkoja ei kannata pelätä. Käytännössä ne lankeavat maksettavaksi vasta silloin, jos ei ole noudattanut asetusta eikä huomautuksen saatuaan korjaa tilannetta. Tietämättömyys ei kelpaa selitykseksi.

Aivan ensimmäisenä kannattaa tehdä vaikutusarviointi, eli analysoida, mitä GDPR juuri sinun yrityksesi kohdalla tarkoittaa. Selvitä, millaisia henkilötietorekistereitä yrityksesi ylläpitää, ovatko ne tarpeellisia, kuka tietoja käsittelee ja miten ne on suojattu. Kiinnitä erityisesti huomiota siihen, sisältävätkö rekisterit erityisiä henkilötietoja, kuten tietoja henkilöiden uskonnollisesta tai poliittisesta vakaumuksesta tai syntyperästä. Tällaisessa tapauksessa asiaan pitää suhtautua erityisen vakavasti.

Olennaista on se, että yritys pystyy osoittamaan ottavansa henkilötietojen käsittelyn vakavasti. Ensimmäinen askel on yleensä siis nykytilanteen dokumentointi.

Redlandissa teemme ainakin nämä asiat:

  • Nimeämme tietosuojavastaavan
  • Teemme listan henkilötietorekistereistämme
  • Päivitämme sisäiset prosessimme asetuksen mukaisiksi muun muassa
    • muuttamalla sivustojen kehitysympäristöämme
    • varautumalla mahdollisiin tietoturvaloukkauksiin ja niistä ilmoittamiseen
  • Hankimme asiakkailtamme luvan henkilötietojen keräämiseen – vaikka B2B-markkinoinnissa periaatteessa voidaankin soveltaa oikeutetun edun periaatetta, mutta aiomme silti kysyä asiakkailtamme luvan jatkossakin
  • Varmistamme, että voimme
    • muodostaa kokonaiskuvan tietojen sijainnista rekistereissämme
    • tarvittaessa poistaa yksittäisen henkilön tiedot
    • poistaa turhat tiedot
    • käyttää anonymisoitua tietoa mahdollisuuksien mukaan
  • Dokumentoimme tietoturvakäytäntömme ja teemme tietotilinpäätöksen
  • Hyödynnämme asiakkaidemme kanssa Koodia Suomesta -järjestön tekemää sopimuspohjaa, joka soveltuu tilanteisiin, joissa toinen osapuoli on henkilötietojen rekisterinpitäjä ja toinen henkilötietojen käsittelijä
  • Muistamme, että yksityisyydensuojaseloste on hyvä juttu, sillä se lisää luottamusta ihmisten ja yritysten välillä.

Termit selviksi

Rekisteriksi määritellään mikä tahansa jäsennelty henkilötietoja sisältävä tietojoukko, esimerkiksi asiakas- tai markkinointirekisteri, josta on mahdollista saada tietoja tietyin perustein ja kohtuullisella vaivalla. Rekisteri voi olla digitaalisessa muodossa tai esimerkiksi kortisto.

Rekisterinpitäjä on luonnollinen henkilö, yhteisö, laitos tai säätiö, jonka käyttöä varten henkilörekisteri perustetaan ja joka määrittelee henkilötietojen käsittelyn tarkoituksen ja keinot. Yritys on rekisterinpitäjä asiakkaidensa ja työntekijöidensä henkilötietojen käsittelyn osalta. Lähes kaikki yritykset käsittelevät toiminnassaan henkilötietoja ja ovat siis rekisterinpitäjiä, joiden tulee noudattaa tietosuojalainsäädäntöä.

Henkilötietoja ovat esimerkiksi asiakkaiden, työntekijöiden tai yrityskontaktien nimet, osoitteet, puhelinnumerot, henkilötunnukset tai muut yksilöön liitettävissä olevat tiedot.

Henkilötietojen käsittelyä on henkilötietoihin kohdistuva toiminta, kuten kerääminen, tallentaminen, säilyttäminen, järjestäminen, muokkaaminen, luovuttaminen, yhdistäminen tai tuhoaminen. Henkilötietojenkäsittely voi tapahtua digitaalisesti tai manuaalisesti.

Henkilötietojen käsittelijä on luonnollinen tai oikeushenkilö, viranomainen tai organisaatio, joka käsittelee henkilötietoja edellisen kohdan mukaisesti.

Tietojenkäsittelysopimus on laadittava, kun henkilötietojen käsittely ulkoistetaan esimerkiksi palkkahallintoon. Sopimuksessa varmistetaan, että rekisterinpitäjä ja henkilötietojen käsittelijä ymmärtävät oikeutensa ja velvollisuutensa GDPR:n näkökulmasta.

Tietosuojavastaavan tehtävä on muun muassa arvioida organisaation tietosuojan tilaa ja kehittämistarpeita sekä raportoida niistä johdolle. Tietosuoja-asetus velvoittaa nimittämään tietosuojavastaavan joissakin tapauksissa; esimerkiksi sellaisissa organisaatioissa, jotka käsittelevät paljon arkaluonteisia henkilötietoja.

Tietoturvaloukkaus tarkoittaa tapahtumaa, jonka seurauksena siirretyt, tallennetut tai muuten käsitellyt henkilötiedot häviävät, muuttuvat, luovutetaan luvattomasti tai niihin päästään käsiksi.

Profilointi on henkilötietojen automaattista käsittelyä, jossa arvioidaan henkilön tiettyjä henkilökohtaisia ominaisuuksia henkilötietojen pohjalta. Erityisesti profiloinnissa analysoidaan tai ennakoidaan henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin liittyviä piirteitä.

 

Aurinkoa kevääseen – se tulee GDPR:stä huolimatta!

Tätä tekstiä ei tule käsittää lakitekniseksi neuvonnaksi. Voit lukea lisää aiheesta vaikkapa Tietosuojavaltuutetun toimiston sivuilta.

Heräsikö kysymyksiä?