Juristin ilmainen vinkki: laita asiat kuntoon
Jaa sivu:
Vaikka toisinaan niin saatetaan ajatella, EU:n yleinen tietosuoja-asetus (GDPR) ei ole mikään uusi ja ennenkuulumaton asia, vaan pikemminkin uusin, ja tähän asti pisimmälle menevä, tietosuojalainsäädännön ilmentymä. Tietosuoja-asetuksen ohella sitä täydentämään säädetään kotimaassamme lisäksi tietosuojalaki. Voidaankin hyvällä syyllä sanoa, että tietosuojalainsäädäntö uudistuu kokonaisuudessaan. Kaikilta osin sisältöä ei kuitenkaan myllätä tyystin, vaan moni osa-alue on lopulta vanhan kertausta, ehkä hieman tiukennettuna.
Suomalaisittain muutoksen merkitystä vähentää periaatteessa se, että meillä henkilötietolainsäädäntö on jo tähän asti ollut varsin korkealla tasolla ja vaativaa. Aiemman kotimaisen lainsäädännön ongelma on ollut enemmänkin merkittävien valvontaresurssien ja sanktioiden puute. Jos siis suomalaista ”vanhaa” henkilötietolakia on noudattanut ja huolehtinut sen mukaisista velvoitteista, ei uuden asetuksen velvoitteiden täyttäminen välttämättä vaadi mittavia panostuksia muutoin kuin dokumentaation parantamiseen osoitusvelvollisuuden täyttämiseksi. Asetuksen käsitteet ja esimerkiksi rekisteröityjen oikeudet ovat vanhalle tietosuoja-asioiden tuntijalle jo valmiiksi pääosin tuttuja.
Sen sijaan jos asiat ovat tähänkin asti olleet retuperällä, on työnsarkaa edessä enemmän. Jatkossa tietosuoja-asetus ja muu asiaan liittyvä lainsäädäntö on yksinkertaisesti tunnettava ja sitä on noudatettava. Tietosuojalainsäädännön vaatimusten painottajana on nimittäin sanktiouhka, tuo monessakin yhteydessä mainostettu sakko, jonka määrä on enintään 20 000 000 euroa tai 4 % maailmanlaajuisesta liikevaihdosta, kumpi onkaan suurempi. Lisäksi valvontaviranomainen voi antaa erilaisia määräyksiä tietosuojavelvoitteiden toteuttamiseksi. Kansallinen tietosuojaviranomainen voi äärimmillään jopa kieltää kokonaan henkilötietojen käsittelyn. Miten yrityksesi, järjestösi tai edes oma arkesi sujuisi, jos et saisi käsitellä, eli siis esimerkiksi tallentaa, säilyttää, lukea tai muokata yhtäkään henkilötietoa? Entä kuinka hyvin yhtiösi talous pyörisi, jos merkittävä osa sen liikevaihdosta kaapattaisiin (toistuvasti) sakkoina yhteiseen kirstuun?
Asioihin on mukavampi valmistautua ennalta kuin kiireellä sakkouhan jo ollessa päällä. Jos siis oma osaaminen ja kiinnostus ovat olleet hukassa, alkaa olla jo kiire toimia. Onneksi apua on tarjolla.
Henkilötietoja on kaikkialla
Ei ole olemassa jotain tiettyä määrää tiedonmurusia, minkä jälkeen puhuttaisiin henkilötiedoista. Lyhyesti määriteltynä henkilötietoja ovat kaikki sellaiset tiedot, joista yksin tai yhdistelemällä voidaan tunnistaa tietojen taustalla oleva henkilö. Tiedon muodolla ei ole väliä, joten niin äänitteet, kuvatallenteet kuin vaikkapa tekstikin voivat olla henkilötietoja. Mitään tiettyä tietoa ei tarvitse olla tallennettuna. Henkilötietoja voidaan siis käsitellä, vaikka henkilön nimi ei olisi edes tiedossa. Olennaista on, voiko motivoitunut analysoija selvittää tiedoista tietyn, yksilöidyn henkilön.
Henkilötietojen käsittelyä on siis kaikkialla. Uusi tietosuojalainsäädäntö, siis GDPR ja kansalliset aihetta täydentävät lait, eivät myöskään enää pyöri henkilörekistereiden ympärillä. Keskeistä on (vaikka vain yhdenkin henkilön) henkilötietojen käsittely. Käsittelyä taas ovat kaikenlaiset toimet esimerkiksi niiden tallentamisesta ja säilyttämisestä aina niiden luomiseen, muokkaamiseen ja poistamiseen. Mitä kriittisempiä tietoja käsitellään, sitä korkeammaksi vaatimustaso muodostuu.
Tietosuojasta osa kaikkea toimintaa
Tietosuoja-asetuksen kantava ajatus on, että tietosuojakysymyksistä ja henkilötietojen suojaamisesta tulisi muodostua sisäänrakennettu ja oletusarvoinen toimintatapa. Tietosuojakysymysten pitäisi olla läsnä jo uusien tuotteiden ja palveluiden suunnitteluvaiheessa, ja tietosuojan toteuttamisen siis tulla osaksi arkipäivää ja osaksi normaalia sopimuskulttuuria.
Käytännössä tietosuojan sisäänrakentaminen edellyttää ainakin koulutusta, käytäntöjen rakentamista ja jopa tuotekehitysprosessien muokkaamista. Lisäksi on seurattava aikaansa: tekniikan ja yhteiskunnan kehitys ja muutokset on huomioitava, ja tietosuoja-asioissa on seurattava aikaansa.
Sopimusmaailmassa tietosuojan sisäänrakentaminen edellyttää, että kaikissa sopimuksissa, joihin liittyy jollain tapaa henkilötietojen käsittelyä, on asiasta sovittava erikseen. Henkilötiedoista tulleekin oma sopimusten vakio-osionsa samaan tapaan kuin vaikkapa salassapitosopimuksista tai sopimussakoista monilla aloilla.
Osoitusvelvollisuus eli ”vahingossa oikein” ei riitä
Yksi tietosuoja-asetuksen yleisesti työläimpiä käsitteitä, ja meilläkin uusi sellainen, on osoitusvelvollisuus. Osoitusvelvollisuus tarkoittaa, että rekisterinpitäjän on voitava osoittaa, että henkilötietoja on käsitelty lainmukaisesti käsittelyn kaikissa vaiheissa. Pelkästään siis se ei riitä, että käsittely on mennyt (enemmän tai vähemmän tietoisesti) oikein, vaan se on myös voitava paperilla osoittaa.
Osoitusvelvollisuus tarkoittaakin kaikille rekisterinpitäjille merkittävää ja ennen kaikkea pysyvää dokumentaatiovelvollisuutta. Onkin tärkeää muistaa, että osoitusvelvollisuuden täyttäminen edellyttää jatkuvaa päivittämistä ohjelmistojen, työvälineiden, käytäntöjen ja prosessien muuttuessa. Ei ole mahdollista tehdä asiakirjoja ”kerran kuntoon” isollakaan rahalla ja unohtaa niitä sitten kuin rakennuspiirustuksia konsanaan, vaan kyse on jatkuvasti ajan tasalla pidettävistä dokumenteista. Hyvä työkalu on tähän enemmän kuin paikallaan.
Paperit on vietävä käytäntöön
Käsittelyn pitää myös todellisuudessa olla tietosuojalainsäädännön mukaista. Tietosuoja-asetuksesta seuraakin, että rekisterinpitäjien on huolehdittava henkilötietoja käsittelevien henkilöiden, siis jopa koko henkilökunnan, kouluttamisesta, työskentelytapojen valvonnasta ja tarvittaessa oikaisemisesta sekä yleiseen yritys- ja tietoturvallisuuteen liittyvien järjestelyiden asianmukaisuudesta, ajantasaisuudesta ja -riittävyydestä. Pelkkä paperi ei riitä. Siksi onkin erittäin tärkeää, että kirjatut käytännöt viedään asianmukaisesti käytäntöön, ja että käytäntöjen noudattamista vielä seurataan.
Kun sekä käytännöt (tosiasiallinen toiminta) että paperit (osoitusvelvollisuus) ovat kunnossa, yritys on valmis uuteen tietosuojan aikakauteen.
Tuomas Liinamaa
OTM, luvan saanut oikeudenkäyntiavustaja
Legalwise Oy on tamperelainen juridiikan asiantuntijayritys, joka auttaa yrityksiä ja yrittäjiä keskittymään liiketoimintaan.
Olitpa mistä päin Suomea tahansa, me autamme niin tietosuoja-asioissa kuin muidenkin yrityksen lakiasioiden kanssa.