GDPR –pitääkö aloittavien ja pientenkin yritysten ottaa se huomioon?

Useat meistä olemme viime aikoina saaneet sähköpostilaatikkoihimme tietosuojaa tai -turvaa, henkilötietojen käsittelyä tai otsikossani mainittua kirjainyhdistelmää korostavia viestejä. Tarjolla on muun muassa ollut oppaita, tietoiskuja, kirjallisuutta, tapahtumia ja erilaisia koulutuksia. Mistä on kyse? Miksi tällaista viestintää tulee juuri nyt?

Euroopan unionin henkilötietojen käsittelyä, yksityisyydensuojaa ja tietosuojaa laajemminkin koskeva lainsäädäntö uudistui merkittävästi, kun EU:n yleinen tietosuoja-asetus tuli voimaan loppukeväästä 2016. Tietosuoja-asetusta sovelletaan jäsenvaltioissa kahden vuoden siirtymäajan jälkeen, eli 25. toukokuuta 2018 alkaen. Etenkin kansainvälisissä yhteyksissä tietosuoja-asetukseen viitataan otsikossa mainitulla lyhenteellä GDPR (muodostuen sanoista General Data Protection Regulation). Mainittu viestinnän tulva selittyy korostuneesti siten sillä, että viimeistään 25.5.2018 lukien kaiken henkilötietojen käsittelyn on oltava GDPR:n mukaista.

Mitä sitten tarkoitetaan henkilötiedolla? Henkilötietoa on kaikki sellainen tieto, josta voidaan tunnistaa suoraan tai välillisesti luonnollinen henkilö, kuten minut tai sinut arvoisa lukija. GDPR:n johdanto-osassa tuodaan nimenomaisesti esiin jatkuvasti kehittyvä tekniikka, jonka vuoksi ”luonnolliset henkilöt voidaan yhdistää heidän käyttämiensä laitteiden, sovellusten, työkalujen ja protokollien verkkotunnistetietoihin, kuten IP-osoitteisiin, evästeisiin tai muihin tunnisteisiin”. Toisaalta vaikkapa ravintolan varauskalenteriin käsin kirjatut varaajan nimi ja puhelinnumero ovat yhtä lailla henkilötietoja. Kun henkilötietoja kertyy tietyn käyttötarkoituksen johdosta, syntyy niistä yhdessä henkilörekisteri.

Sitä tahoa, jonka lukuun tällainen rekisteri on kerätty ja kenen kontrollissa se on, kutsutaan rekisterinpitäjäksi (englanniksi ”controller”). Rekisterinpitäjän lukuun henkilötietoja käsittelevää tahoa kutsutaan käsittelijäksi (englanniksi ”processor”). Vaikka rekisterinpitäjällä on ensisijainen vastuu käsittelyn lainmukaisuudesta, on GDPR:ssä myös käsittelijälle asetettu itsenäinen vastuuasema, mikäli se toimii asetuksen tai rekisterinpitäjän ohjeiden vastaisesti.

Tietosuoja-asetuksella on tavoiteltu ajantasaista sääntelyä, joka toisaalta vastaisi teknologian kehitystä, mutta ottaisi samalla huomioon myös globalisaation tuomat haasteet. Asetuksen etuna on tältä osin se, että sääntely yhtenäistyy ainakin Euroopan unionin alueella. Tämä on myös esimerkiksi yrittäjien etu – jatkossa palvelujen tarjoaminen on tietosuojakysymysten suhteen mahdollista samoin ehdoin isommille markkinoille.

Tietosuoja-asetuksen tarkoituksena on luoda EU-kansalaisten henkilötietojen käsittelyyn tarvittavaa avoimuutta ja läpinäkyvyyttä sekä parantaa meidän kaikkien oikeuksia vaikuttaa henkilötietojemme käsittelyyn (etujamme siten myös valvoen). Asetusta sovelletaan julkisen sektorin lisäksi myös yksityisellä sektorilla. Asetuksen määräyksiä on noudatettava käsiteltävien henkilötietojen luonteesta, määrästä tai käsittelytavasta riippumatta. Eroa ei lähtökohtaisesti ole siten siinä, pidetäänkö esimerkiksi asiakasrekisteriä paperimuodossa tai modernissa CRM-ohjelmistopalvelussa. On myös huomattava, että ennen ainuttakaan asiakasta aloittavakin yrittäjä joutuu käsittelemään henkilötietoja, ovathan yrittäjä itse tai vaikkapa hänen palkkaamansa työntekijät myös luonnollisia henkilöitä.

Keskeinen GDPR:n mukanaan tuoma muutos aiempaan liittyy siihen, että jatkossa ei enää riitä, että toimii oikein, tämä on myös pystyttävä aktiivisesti osoittamaan. Tietosuoja-asetuksen yhteydessä puhutaan myös usein sen mukanaan tuomasta valvonnan lisääntymisestä ja aiempaa korostuneemmasta sanktioinnista. Tietosuoja-asetuksessa korostetaan, että tietosuoja-asioiden huomioiminen tulisi kaikilla henkilötietoja käsittelevillä tahoilla olla sisäänrakennettua ja oletusarvoista. Lisäksi tietosuojan huomioimista kaikessa toiminnassa alleviivaa osoitusvelvollisuuden lisäksi mm. se, että käsittelyn ulkoistuksesta on jatkossa aina sovittava kirjallisesti.

Omassa työssäni olenkin esimerkiksi mainittujen sopimusten luonnostelun yhteydessä huomannut viime aikoina myös tuskastumista. Yritysten vastuuhenkilöt ovat huomanneet, että huolellisesti toimittaessa tietosuojateemat nousevat esiin monissa eri yhteyksissä. Kun vielä väärintoimimiseen liittyy selkeä sanktiouhka (erityisesti korkeat seuraamusmaksut), ovat toimijat saattaneet eri henkilötietojensa kanssa tuskastuen tuhahtaa, että ”GDPR estää liiketoimintaa”.

Olen tässä teemassa pyrkinyt korostamaan, että asiallisesti toimien, asioita ja riskejä riittävän syvällisesti ennakoiden ja toimintaansa dokumentoiden pärjää varmasti. Lisäksi olen muistuttanut, että nykypäivänä henkilötiedoilla on rahaan rinnastuva vastikkeellinen luonne. Monet ”ilmaisista” palveluista katetaan esimerkiksi markkinointitarkoituksiin päätyvillä henkilötiedoillamme. Yhtä lailla kuin raha on syytä pitää tallessa ja suojassa, on myös uusi vastike – henkilötieto – syytä pitää tallessa ja suojassa. Analogia jatkuu näiden vastikkeiden siirtelyä koskevaan dokumentaatioon saakka. Samalla lailla kuin eri yhtiöitä sitoo kirjanpitovelvoitteet, tulisi myös tietosuojavelvoitteet huomioida yritystoiminnan oletusarvoisena osana. Jos muuta ei itse asetuksesta jaksaisi lukea, kannattaa ainakin 5 artiklan periaatteet käydä läpi. Niistä erityisesti käyttötarkoitussidonnaisuusperiaatetta noudattaen pystyy rationaalisesti tekemään oikeita ratkaisuja niin tiedon keräämisen, sen säilyttämisen ja käsittelyn kuin tuhoamisenkin suhteen.

Itse näen, että tietosuojavelvoitteista asiallisesti huolehtien voi myös kohentaa asemaansa markkinoilla. Läpinäkyvät ja avoimet prosessit henkilötietojen käsittelyyn liittyen tuovat myös asiakkaille luottamusta. Aloittavilla yrityksillä on puolellaan merkittävä etu: he voivat jo ennen yritystoiminnan aloittamista huomioida tietosuoja-asiat luonnollisena sisäänrakennettuna ja oletusarvoisena osana yritystoimintaa – alasta riippumatta. Sama etu on liiketoimintaa laajentamassa olevalla pienemmällä yrityksellä; prosesseja voi olla helpompi oikaista kasvuvaiheessa. Jo toimivien ja hieman isommaksi kasvaneiden yritysten vastuuhenkilöiden tuhahdukset selittyvät osin sillä, että etenkin heillä on vielä kirittävää ja toisaalta sillä, että heillä vaaditut tekniset sekä organisatoriset toimenpiteet on implementoitava jo käynnissä olevan usein jo laajemman liiketoiminnan osaksi.

Mitä sitten pienemmälle tai aloittavalle yritykselle evääksi? Alkuun pääsee seuraamalla alla olevia kehotuksia:

  • Muista, että henkilötietojen käsite on erittäin laaja
  • Tunnista
    • tiedot, joita yritykselläsi on tai tulee olemaan
    • roolisi henkilötietojen käsittelyssä
    • tilanteet, joissa käsittelet henkilötietoja (kaikki ei ole vain tietotekniikkaa)
    • riskit, jotka henkilötietojen käsittelyysi liittyvät
  • Suunnittele ja toteuta vaaditut tekniset ja organisatoriset toimenpiteet ennen kuin keräät tietoja
  • Varmista käsittelyn oikeutus ja tietojen elinkaari
  • Sovi kaikesta kirjallisesti
  • Luo mallit osoittaaksesi, että toimit oikein

Edellä mainituista liikkeelle lähtien voit tehdä tietosuojakysymyksistä yrityksellesi kilpailuvaltin.

Edellä todettu on tarkoitettu ainoastaan yleiseksi alustukseksi asiaan. Mikäli jokin asia jäi askarruttamaan, on tarkemmissa pohdinnoissa otettava huomioon tapauskohtainen harkinta ja yrityksesi liiketoimintaan liittyvät erityispiirteet. Joka tapauksessa viimeistään nyt kannattaa asian suhteen aktivoitua.

Artikkelin on kirjoittanut asianajaja Lauri Mäki, voit varata ajan hänen maksuttomalle GDPR-klinikalleen 30.11.

2017-11-16T21:32:45+00:00