PK-yrityksen valmistautuminen EU:n tietosuoja-asetukseen
Vieraskynässä tällä kertaa Villy Lindfelt. Villy on lakimies, KTM ja OTM sekä lakipalveluyritys LAKIUS Oy:n perustaja.
Sisältö
Mikä ihmeen EU:n tietosuoja-asetus?
Uusi 25.5.2018 voimaan tuleva EU:n tietosuoja-asetus (tuttavallisesti GDPR) korvaa aiemman henkilötietodirektiivin ja koska se on oikeudelliselta muodoltaan EU:n asetus, tulee se suoraan sovellettavaksi sellaisenaan kaikissa jäsenvaltioissa, myös Suomessa.
Direktiivit edellyttävät aina kansallista implementointia, eli direktiivit eivät velvoita suoraan sellaisenaan yksityishenkilöitä. Asetuksessa tosin on tiettyjä poikkeuksia, joiden osalta mainitaan, että asia voidaan jättää kansallisen lainsäädännön varaan. Yksi näistä on esimerkiksi lapsia koskeva ikäraja – asetuksen lähtökohtana on, että alle 16 vuotiaan henkilötietojen käsittelylle tarvitaan vanhempien lupa, mutta jäsenvaltiot voivat alentaa ikärajaa aina 13 vuoteen saakka.
Koskeeko se myös meitä, vaikka olemme vain pieni yritys?
EU:n tietosuoja-asetus tulee sovellettavaksi lähes kaikissa yrityksissä, on vaikea kuvitella modernia liiketoimintaa, johon sitä ei sovellettaisi. Yrityksen koon suhteen ei ole mitään soveltamisrajoituksia. EU:n tietosuoja-asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.
Käytännössä soveltamisalan ulkopuolelle voisi jäädä esimerkiksi fyysinen paperinen sopimusarkisto, joka ei ole järjestetty henkilötietojen perusteella. Muutoinhan on aika selvää, että erilaiset työntekijä-, työnhakija-, markkinointi- ja asiakasrekisterit kuuluvat asetuksen soveltamisalaan.
Asetusta ei kuitenkaan sovelleta yksityishenkilön toimintaan esimerkiksi sosiaalisessa mediassa. Liiketoiminnassa sitä sovelletaan käytännössä kaikkiin yrityksiin, myös “yhden miehen/naisen” palveluyrityksiin. On turvallista lähteä siitä, että asetusta sovelletaan myös sinun yrityksesi toimintaan ja sinun tulisi aloittaa valmistautuminen siihen. Asetus ei ole myöskään mikään “rasti ruutuun” säädös, vaan käytännössä edellyttää sitä, että tietosuoja-asiat ja tietoisuus yksityisyyden suojasta integroidaan kiinteäksi osaksi yrityksen toimintaa.
Henkilötiedolla tarkoitetaan asetuksessa kaikkia tietoja, joiden nojalla henkilö on suoraan tai epäsuorasti tunnistettu tai tunnistettavissa. Esimerkiksi nimen, sähköpostin ja osoitteen lisäksi myös IP-osoite voidaan katsoa henkilötiedoksi. Uusina sensitiivisinä henkilötietoina mainitaan biometriset (esimerkiksi iPhonen sormenjälkitunniste) ja geneettiset tunnistetiedot. Henkilötietojen käsittelyllä taas tarkoitetaan varsin moninaisia asioita, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, poistamista tai tuhoamista.
“Hups, en tiennyt” ei ole peruste olla noudattamatta asetusta
Moni on jo varmasti kuullut mahdollisista sanktioista eli tietosuojaloukkauksista, joista voi muiden seuraamusten ohella seurata yritykselle jopa 20MEUR tai 4% liikevaihdosta suuruinen hallinnollinen seuraamusmaksu, kumpi tahansa on isompi. Suhtautuminen tietosuoja-asetukseen kannattaa kuitenkin kääntää positiiviseksi, laittamalla tietosuoja-asiat viimeistään tässä vaiheessa kuntoon.
Valmistautumalla asetukseen:
- kohotat yrityksesi luotettavuutta ja arvoa
- osoitat välittäväsi asiakkaidesi yksityisyyden suojasta.
Ajattele siis velvoitteiden noudattamista kilpailukeinona. Asetuksella sinänsä on hyvät ja tärkeät tavoitteet tässä digitalisoituvassa maailmassa, jossa ihmisistä kerätään paljon tietoa heidän tietämättäänkin ja varmasti toisinaan hyvin hatarin tarkoitus- tai suojausperustein. Et ui kuiville asetuksen noudattamatta jättämisestä “hups, en tiennyt” toteamuksella, vaan uusi tietosuoja-asetus kääntää näyttötaakan toisinpäin: ei riitä, että noudattaisit velvoitteita, vaan sinun pitää kyetä osoittamaan se.
Velvoitteiden osoittamisella tarkoitetaan käytännössä kouluttautumista, teknisten tietoturvamenetelmien käyttöä ja dokumentointia, sekä tietosuojaperiaatteiden kirjaamista, sopimusten tekemistä alihankkijoiden kanssa sekä tietosuojasta informointia rekisteröidyille, eli esimerkiksi asiakkaille tai työntekijöille. Tämä näyttötaakan kääntyminen tarkoittaa juuri dokumentaatiovelvoitteiden kasvamista. Viranomaisella on nyt myös oikeus tehdä tarkastuksia yrityksiin, aivan kuten esimerkiksi kilpailuviranomainen on voinut tehdä niitä.
Tietosuoja-asetuksen sisältö pähkinänkuoressa
Henkilötiedot
Asetuksen laajemman henkilötietokäsitteen myötä yhä useampi tietojen käsittely tulee tietosuojalainsäädännön soveltamisalan piiriin. Asetus määrittelee myös mitkä ovat oikeutettuja perusteita henkilötietojen käsittelylle ja se mihin yritys nojaa, tulee informoida tietosuojaselosteessa ja kirjata omaan politiikkaan.
Suostumus tietojen käsittelyyn
Asetus asettaa tiukempia vaatimuksia suostumukselle käsittelyperusteena ja myös silloin kun käsittelyperuste on suostumus, on rekisteröidyllä laajemmat oikeudet käytettävissä. Suostumuksen antaminen tulisi olla jäljempänä todistettavissa ja myös yhtä helposti peruutettavissa, kuin se annettiin. Suostumus ei myöskään voi tapahtua valmiiksi täytetyn “rasti ruutuun” -lomakkeen muodossa taikka upotettuna muiden sopimusehtojen hyväksyntään.
Asetus sisältää tuttuja rekisteröidyn oikeuksia kuten suoramarkkinointikielto, mutta tuo myös uusia oikeuksia kuten oikeus tietyssä tilanteessa saada tietonsa poistetuksi (“oikeus tulla unohdetuksi”) ja jopa oikeuden saada tiedot siirrettyä palveluntarjoajalta toiselle sähköisessä muodossa. Asetus lähtee siitä, että näiden oikeuksien toteuttaminen on maksutonta, kun aiemmin useissa jäsenvaltioissa rekisteröidyn pyyntöjen täyttämisestä oli mahdollista veloittaa pieni korvaus.
Tietosuojavastaava ja tietojen käsittelijät
Lisäksi asetus säätää, että niin sanotun korkean riskin tilanteissa tulee ennalta toteuttaa tietosuojavaikutusten arviointi ja mahdollisesti eskaloida sen tulokset viranomaisen arvioitavaksi, ennen käsittelyn aloittamista. Asetus säätää tilanteista, joissa yrityksen tulisi nimittää tietosuojavastaava. Asetus sisältää myös säännöksiä tällaisen henkilön kelpoisuudesta, oikeuksista ja jopa irtisanomissuojasta.
Asetuksen myötä määrätään ensimmäistä kertaa suoria vastuita ja velvoitteita henkilötietojen käsittelijöille (esimerkiksi pilvipalvelujen tarjoaja tai markkinointitoimisto), joten henkilötietojen käsittely rekisterinpitäjän lukuun ei voi olla enää vain “asiakkaan ongelma”. Asetuksessa on siis omia velvoitteita sekä rekisterinpitäjälle että henkilötietojen käsittelijälle. Rekisterinpitäjän ja käsittelijän välillä on myös oltava yksityiskohtainen kirjallinen sopimus.
Asetuksen noudattamisen osoitus
Suuri muutos on periaatteellinen muutos, eli yrityksen tulee kyetä osoittamaan noudattavansa tietosuoja-asetusta, pelkkä noudattaminen ei riitä. Tähän liittyy niin sanottu sisäänrakennettu ja oletusarvoinen tietosuoja, esimerkiksi tietosuoja tulisi ottaa huomioon jo suunniteltaessa uusia tuotteita ja järjestelmiä, ja tietojen keräämisessä tulisi noudattaa tarpeellisuuden vaatimusta, määritellä säilyttämisajat sekä minimioida tiedon tallennuspaikat. Lisäksi asetuksessa määritellään, miten tulee toimia tietosuojaloukkaustilanteissa, asetus asettaa määräaikoja loukkauksista ilmoittamiselle tietosuojaviranomaiselle.
Miten valmistaudut tietosuoja-asetukseen? 8 kohdan tarkistuslista.
1. Tutustu aiheeseen
Asetus edellyttää kouluttautumista ja tietoisuutta, myös ylimmältä johdolta (toimitusjohtaja, johtoryhmä, hallitus), joten aloita aiheeseen tutustuminen. Tutki esimerkiksi tietosuojavaltuutetun laatimaa opasta ja katso YouTubesta englanninkielisiä webinaaritallennuksia haulla “EU GDPR” tai “EU Data Protection Regulation”. Niillä pääset helposti ja edullisesti liikkeelle.
2. Millainen yritys sinulla on?
Tämä on hyvä esittää kysymyksenä itselle heti alkuun. Oletko pilvipalvelun tarjoaja? Mobiilisovellus? Markkinointitoimisto? Teollisuustuotteita valmistava yritys? Fitness-alan toimija? Oletko asetuksen näkökulmasta rekisterinpitäjä vai henkilötietojen käsittelijä? Vai molempia? Näillä vastauksilla on suuri merkitys siihen, mistä näkökulmasta lähestyt omaa valmistautumistasi ja mitä sinulta odotetaan.
Asetus asettaa eri velvoitteita ensinnäkin rekisterinpitäjälle (esimerkiksi markkinoija) ja henkilötietojen käsittelijälle (esimerkiksi markkinointitoimisto). Toiseksi, jos käsittelysi voi aiheuttaa “suurta riskiä” luonnollisen henkilön oikeuksille ja vapauksille, sinun tulisi suorittaa tietosuojavaikutusten arviointi ennen käsittelyä. Tällaisen arvioinnin tekeminen saattaa tulla osaksi projektiasi. Tietyssä tilanteessa tämän arvioinnin lopputulos tulee jopa saattaa vielä viranomaisen arvioitavaksi.
Kolmanneksi, jos käsittelet sensitiivisiä henkilötietoja kuten terveystietoja, asetus asettaa erityisiä vaatimuksia sille, miten suostumus käsittelylle saadaan, dokumentoidaan ja miten sitä hallitaan uusien säännösten nojalla. Tämä voi koskea esimerkiksi fitness-alan palveluja tarjoavaa yritystä.
Mieti alkuun omaa yritystäsi ja mihin “lokeroon” se sopii tietosuoja-asetuksessa. Näin lähdet heti alusta alkaen valmisteluissa oikeille raiteille. Samoin vastaus saattaa vaikuttaa heti siihenkin, että yrityksessäsi tulee nimittää asetuksessa mainittu tietosuojavastaava. Tietyissä tilanteissa se on asetuksen vaatimus ja se määrittelee tällaisen henkilön oikeuksista, vastuista, kelpoisuusedellytyksistä ja jopa irtisanomissuojasta.
3. Analysoi lähtötilanne ja määrittele tavoitteet
Lähde liikkeelle siitä, että analysoit mitä henkilötietoja ja -ryhmiä nyt keräät ja hallinnoit, missä ne sijaitsevat ja mitkä ovat tietovirrat, millä perusteilla ja mihin tarkoitukseen keräät tietoja, tiedon elinkaaret (eli kauanko säilytät tietoja), millaisia ovat nykyiset tietosuoja- ja tietoturvapolitiikkasi sekä nykyisten tietosuojaselosteiden sisällöt.
Varsinkin niissä yrityksissä, joissa ei ole dokumentoitu selkeästi tietojen keräämistä, voi lähtötilanteen analysointi olla isokin tehtävä – jo sen ymmärtäminen, mitä tietoa talossa on ja missä se sijaitsee.
Projektissa tulee ehdottomasti olla mukana markkinoinnin, myynnin, IT:n ja henkilöstöhallinnon ihmiset. Samalla voit määritellä liiketoimintasi kannalta tavoitetilan eli mitä henkilötietoja tarvitset, mihin tarkoitukseen, mitä ovat henkilötietojen ryhmät, millä perusteilla olet oikeutettu käsittelemään henkilötietoja, henkilötietojen säilyttämisajat sekä datan minimisointivaatimusten täyttäminen.
Samoin voit määritellä “accountability” vaatimukset eli mitä dokumentaatiota, sopimuksia ja prosessikuvauksia yrityksessäsi tulisi olla. Tärkeätä on esimerkiksi valita käsittelyperuste oikein, sillä rekisteröidyn käytettävissä olevat oikeudet (esimerkiksi tiedonsiirto toiselle palveluntarjoajalle) riippuu siitä, mihin oikeutusperusteeseen käsittelyssä on nojattu. Varsinkin jos käsittelyperusteena on suostumus, on rekisteröidyllä laajoja oikeuksia käytettävissään, joiden täyttäminen saattaa olla rekisterinpitäjälle haastavaa.
4. Tehtävälista ja projektisuunnitelma
Asetusvalmisteluihin kannattaa suhtautua muutosprojektina. Kun tiedät mistä lähdet liikkeelle ja missä sinun pitäisi olla tulevaisuudessa, saat niin sanotun “GAP-listan”, eli mitkä asiat tällä hetkellä ovat kunnossa ja mitkä edellyttävät tekemistä. Aloita tekeminen helpoista kohteista, niin saat hyvän ja positiivisen startin projektille. Määrittele vaikkapa liikennevaloilla kriittiset ja vähemmän kriittiset tehtävät.
5. Dokumentaation ja prosessien päivittäminen
Tekeminen voi olla paitsi teknisiä ja organisatorisia asioita, mutta myös ja erityisesti dokumentointia, kuten sisäisten prosessien ja tietosuojapolitiikkojen kuvauksia. Joudut kuvaamaan periaatteet, joiden mukaan yrityksessäsi toimitaan tietosuojaloukkaustapauksissa ja miten yrityksessäsi vastataan rekisteröidyn oikeuksien käyttämiseen, kuten tieto- tai tiedonsiirtopyyntöihin.
Asiakasrajapinnassa työskentelevien henkilöiden on hyvä ymmärtää nämä seikat, sillä näiden velvoitteiden täyttämiselle säädetään asetuksessa määräaikoja. Koulutus on tärkeä osa “accountability” -velvoitteiden täyttämistä, eli kouluta henkilöstösi ja muista dokumentoida koulutus.
6. Päivitä tietosuojaselosteet
Uusi asetus edellyttää, että rekisteröityjä informoidaan heidän yksityisyytensä suojaamisesta. Informoinnin tulisi tapahtua selkeällä ja ymmärrettävällä tavalla, juridista jargonia käyttämättä. Samalla asetus edellyttää yksityiskohtaisempaa sisältöä tietosuojaselosteelta. Tietosuojaseloste voidaan toteuttaa “leijeröintinä”, eli kerrotaan pääperiaatteet tiiviisti aluksi ja tarjotaan mahdollisuus syventyä yksityiskohtiin. Symbolien, grafiikan tai jopa videoiden käyttö voi olla hyvä tapa yksityisyyden suojasta informoimiseen.
7. Päivitä sopimukset
Varmuudella voi sanoa, että tietosuojaa koskevat sopimukset menevät uusiksi kaikissa sopimuksissa, joita rekisterinpitäjä (esimerkiksi markkinoija) tekee käsittelijän (esimerkiksi markkinointitoimisto) kanssa koskien henkilötietojen käsittelyä. Asetus edellyttää kirjallista sopimista ja määrittelee yksityiskohtaisesti ne asiat, joista sopimuksen tietosuojaehdoissa tulee sopia. Huomioi tämä jo nyt, jos sinulla on uusi IT-projekti tulossa.
8. Kansainväliset tietojen siirrot
Siirrätkö henkilötietoja EU:n ulkopuolelle? Esimerkiksi pilvitallennusta tarjoavalle taholle? Tai yrityksesi yhteistyökumppanille tai tytäryhtiölle? Siinä tapauksessa muista noudattaa asetuksen kansainvälisiä tiedonsiirtoja koskevia velvoitteita, eli laadi näitä koskeva dokumentaatio tai sopimukset, jotta täytät oikeudelliset perusteet kansainvälisille tiedonsiirroille.
Vieraskynässä tällä kertaa Villy Lindfelt. Villy on lakimies, KTM ja OTM sekä lakipalveluyritys LAKIUS Oy:n perustaja. Ennen LAKIUS Oy:n perustamista Villy toimi useamman vuoden ajan keskisuuren teknologiayrityksen lakijohtajana. Villyn erikoisosaamista on kasvuyrityksen juridiset kysymykset, erityisesti sopimus-, immateriaali-, IT- ja työoikeusasioissa. Villyn intohimona on palvelumuotoilu, hän pyrkii huomioimaan asiakkaansa ja kuulijansa, ja muotoilemaan viestin selkeäksi, ymmärrettäväksi ja innostavaksi. Villyyn voit ottaa yhteyttä sähköpostitse villy.lindfelt@lakius.fi tai puhelimitse 044 2358 211.