Innowise

Mitä GDPR vaatii henkilötietojen käsittelyltä? - Suositukset ja yleisimmät harhaluulot

08.06.2018     Innowise    

GDPR:n eli EU:n yleisen tietosuoja-asetuksen soveltaminen alkoi 25.5.2018. Tietosuoja-asetukseen valmistautumiseen on kuulunut monessa yrityksessä rekisteri- ja tietosuojaselosteiden tai GDPR:n termein selosteen käsittelytoimista ja rekisteröityjen informoinnin päivittäminen. Uudet vaatimukset eivät kuitenkaan siihen lopu. Asiaa ei helpota se, että somekeskusteluissa GDPR:ään liitetään myös paljon harhaluuloja.

Meillä Innowisessa GDPR-kevääseen on kuulunut mm. sopimusten päivittämistä sekä omien ja asiakkaiden ohjelmistojen kehittämistä GDPR:n vaatimusten mukaiseksi. Allekirjoittaneen osalta kalenteria on täyttänyt lisäksi lukuisat GDPR-koulutukset. Kevään koulutusrupeama huipentui kahden päivän GDPR-kurssiin sekä kolmen kerran GDPR-webinaarisarjaan.

Yhteistä GDPR-koulutuksille on se, että a) aika loppuu aina kesken ja b) kysymyksiä ja näkökulmia riittää!

Sanomattakin on selvää, että useimmissa organisaatiossa kaikki ei tullut valmiiksi 25.5.2018 mennessä. Päällimmäisin ja isoin kysymys, johon törmään jatkuvasti uudestaan, on: Mitä GDPR käytännössä vaatii meitä tekemään henkilötietojen käsittelylle?

Siis selosteiden ja informointien päivittämisen jälkeen. Tähän vastaaminen on toisaalta helppoa - lista on pitkä - ja toisaalta vaikeaa, sillä yleispäteviä vastauksia on vähän. Yritän selventää edes jotain.

Aloitetaan siitä pitkästä listasta. Tähän mindmappiin olen koonnut asioita, jotka liittyvät tavalla tai toisella GDPR:n vaatimuksiin valmistautumiseen:

EU:n yleisen tietosuoja-asetuksen vaatimukset henkilötietojen käsittelylle, GDPR:n vaatimuksiin valmistautuminen

En lähde purkamaan koko mindmappia - se kun vaatisi kirjan kirjoittamista. Käydään kuitenkin muutama keskeinen kohta läpi:

Käsiteltävät henkilötiedot

  • Henkilötietojen käsittelyn oikeusperusteet pitää olla selvillä. Käytännössä yrityksissä se on tavallisesti sopimus, suostumus tai rekisterinpitäjän oikeutettu etu. Monesti olisi useampiakin kuin yksi, mutta oikeutettua etua pitäisi käyttää vasta, jos mitään muuta ei ole.
  • Kun henkilötietoja kerätään rekisteröidyltä, tulee häntä informoida henkilötietojen käsittelystä eli esittää tietosuojaseloste tai vastaava. Jos henkilötietoja saadaan muuta kautta, tulee informointi tehdä pääsääntöisesti kuukauden kuluessa.
  • Kyllä, vanhat henkilötiedot tulee poistaa, jos niitä ei tosiaan ole enää tarve käsitellä mitenkään.

Dokumentonti

  • Dokumentointia tarvitaan monessa kohtaa GDPR:n vaatimusten täyttämisessä. Seloste käsittelytoimista ja rekisteröityjen informointi ovat vasta alkua (sivumennen: helmikuussa tekemäni selostemalli on ollut todella suosittu!).
  • Tärkeintä dokumentointi on GDPR:n osoitusvelvollisuuden täyttämiseksi. Lyhyesti: kannattaa dokumentoida kaikki, mikä liittyy henkilötietojen käsittelyyn. Alkaen suunnitelmista, mutta varsinkin työntekijöille tehdyt ohjeistukset ovat todella tärkeitä. Yhteiset pelisäännöt on syytä laatia.
  • GDPR:ssä on pari proseduuria, jotka on asetuksen mukaan dokumentoitava: 1. Jos henkilötietojen käsittely perustuu rekisterinpitäjän oikeutettuun etuun, pitää tehdä tasapainotesti. 2. Jos henkilötietoihin todennäköisesti kohdistuu korkea riski, pitää tehdä vaikutustenarviointi.
  • Tietoturvaloukkaukset - mikä on GDPR:ssä arkikäsitystä laajempi käsite - on pakko dokumentoida. Lähtökohtaisesti niistä pitää myös kertoa rekisteröidyille ja valvontaviranomaiselle.

Tietojärjestelmät

  • Vähänkin laajemmassa henkilötietojen käsittelyssä käytetään jos jonkinlaisia tietojärjestelmiä, minkä takia GDPR asettaa uusia vaatimuksia käytetyille ohjelmistoille. Perusasioita ovat henkilökohtaiset käyttäjätunnukset ja se, että jokainen käyttäjä pääsee käsittelemään vain niitä henkilötietoja, joihin hänellä työtehtäviensä vuoksi on syytä.
  • Riittävät lokitiedot. Tämä lienee yksittäisenä kohtana hankalin. Nimittäin lokitietojen riittävyyden kuten kaikki muutkin "riittävät organisatoriset ja tekniset toimenpiteet", joilla henkilötietoja suojataan ja täytetään GDPR:n muutkin vaatimukset, määrittelee rekisterinpitäjä. Suositukseksi voi ottaa sen, että aina kun joku näkee tai tekee jotain henkilötiedoille, siitä jää lokiin merkintä. Lokit kannattaa tehdä pseudonymisoidusti, mikä säästää vaivaa tietojen putsauksessa aina, kun joku käyttäjätunnus poistetaan.

Suostumusten ja kieltojen hallinta

  • Suostumukset ovat GDPR:ssä peruskauraa: niitä tarvitaan jatkuvasti ja niiden on oltava kunnossa. Kunnossaolo tarkoittaa, että suostumus on yksilöity ja se voidaan osoittaa. Helppoa tämä on, jos suostumus on annettu kirjallisesti. Silloin on hoidettava kuntoon toiminnassa tarvittavat paperi- ja nettilomakkeet ja tallennettava suostumukset. Suostumus voidaan antaa myös suullisesti. Silloin on joka tapauksessa merkittävä johonkin, että mikä suostumus saatiin ja milloin. Jos suostumusta ei ole dokumentoitu, sitä ei GDPR:n mukaan ole.
  • Sama juttu on kieltojen kanssa. Rekisteröidyt voivat antaa periaatteessa mitä tahansa kieltoja henkilötietojensa käytölle - sikäli kun rekisterinpitäjän tai kolmannen osapuolen etu ei mene edelle.
  • Haastavinta suostumusten ja kieltojen osalta on niiden hallinta: se, että ne voidaan ottaa toiminnassa huomioon, olipa toiminta sähköistä tai muuta. Käytännössä tietojärjestelmien on pystyttävä jatkossa myös tähän.

Valmistautuminen pyyntöihin

  • Rekisteröidyillä on GDPR:ssä monenlaisia oikeuksia: tarkastus, korjaus ja poisto nyt ainakin. On suunniteltavat prosessit näitä varten ja informoitava rekisteröityjä, miten oikeuksia voi käyttää.
  • Lisäksi on hieman mörkönäkin esitetty oikeus siirtää tiedot järjestelmästä toiseen. Monessa tapauksessa tämä on turha mörkö, sillä oikeus koskee vain tapauksia, joissa henkilötietojen käsittely perustuu sopimukseen tai suostumukseen ja se koskee vain rekisteröidyn itsensä antamia tietoja. Joten rekisteröidyn itsensä antamat tiedot on merkittävä tai listattava sekä tehtävä toimintamalli tai sähköinen palvelu tietojen antoon rekisteröidylle. Monissa verkkopalveluissa ja tietojärjestelmissä on jo valmiiksi tarvittavat export-toiminnot. Tiedostomuotona voi olla esim. PDF, XHTML, CSV, XML tai JSON. Tämänkin päättää rekisterinpitäjä.
  • Pyyntöihin vastaamiseen on pääsääntöisesti kuukausi aikaa. Hyvästä syystä voi ottaa kaksi kuukautta lisää, mutta siitä pitää kertoa rekisteröidylle kuukauden määräajan kuluessa.
  • Kannattaa myös miettiä, miten pyyntöjen yhteydessä ja muutenkin varmistetaan rekisteröidyn henkilöllisyys.

Tietoturva ja tietojen eheys

  • Kyllä, rekisterinpitäjän pitää tehdä aina riskiarvio henkilötietoihin kohdistuvista uhista. GDPR:ssä tätä kutsutaan riskiperustaiseksi lähestymistavaksi. Ja kyllä: rekisterinpitäjän itse määrittelee, millainen riskiarvio on tarpeen ja mitkä organisatoriset ja tekniset suojatoimet ovat tarpeen. Tämähän se haastavinta on, kun kukaan ei sano valmiita vaatimuksia.
  • Nyrkkisääntönä: riski on sitä suurempi, mitä todennäköisempää tietojen väärinkäyttö on, mitä isompia vahinkoja tietojen väärinkäytöstä voi olla, mitä heikommassa asemassa rekisteröidyt ovat (esim. lapset, sairaat), mitä arkaluonteisempia tiedot ovat (terveys, etnisyys jne.) ja mitä suurempi määrä tietoja on (lukumääräisesti tai lajuudeltaan per henkilö).
  • Samoin nyrkkisääntönä: tavanomaisiin nimi- ja yhteystietoihin kohdistuu hyvin vähäinen riski, yleensä, eri asia, jos henkilö on turvakiellon piirissä. Käytännössä jos samat tiedot löytyvät jo julkisesti jostain, niin riskiä ei ole. Nimittäin jos asiaa katsoo mahdollisen tietomurtajan toimesta, niin miksi hän murtautuisi mihinkään, jos tiedot saa julkisesti toisaalta. Poikkeus on luonnollisesti se, jos jo tietyn henkilön löytyminen rekisteristä on luonteeltaan arkaluonteinen asia.
  • Toimintatavoissa tärkeintä on, että henkilötietoihin pääsee käsiksi ja niitä voi nähdä vain ne henkilöt, joiden työtehtäviin se kuuluu. Henkilötietoja ei pidä koskaan julkaista ilman rekisteröidyn lupaa.
  • Perustason teknisellä tietoturvalla pääsee pitkälle, eli se mitä voi suositella minkä tahansa laitteen tai verkkopalvelun turvalliseen käyttöön, pätee myös henkilötietojen käsittelyn tietoturvaan.
  • Jatkossa rekisterinpitäjien tulee lain mukaan huolehtia varmuuskopioista. Jos joku on keplotellut ilman niitä tähän asti, niin ei käy enää.

Tietojen siirrot ja vastaanotot

  • Yrityksen/organisaation pitää tietää, mitä henkilötietoja siirretään tai vastaanotetaan. Jos tietoja siirretään, siitä on pitänyt informoida rekisteröityjä jo siinä vaiheessa, kun tietoja kerättiin, tai siihen pitää saada suostumus. Jos tietoja vastaanotetaan, pitää olla laillinen oikeusperuste kyseisten henkilötietojen käsittelylle taikka sopimus henkilötietojen käsittelystä.
  • Rautalangasta: kun henkilötietoja siirtyy tavalla tai toisella organisaatiolta toiselle, on kyseessä lähtökohtaisesti tietojen siirto uudelle rekisterinpitäjälle. Paitsi jos on tehty sopimus henkilötietojen käsittelystä, jolloin tietojen vastaanottaja käsittelee niitä luovuttajana olevan rekisterinpitäjän lukuun.
  • Kun tietoja siirretään verkossa esimerkiksi ohjelmistorajapinnan välityksellä palvelusta toiseen, on hyvin suositeltavaa käyttää SSL-suojattua yhteyttä. Tietenkin riippuu tiedoista ja niiden julkisuusasteesta.

Sopimukset

  • Jos organisaationne käsittelee toisen rekisterinpitäjän alaisia henkilötietoja tai jos organisaationne luovuttaa hallitsemiaan henkilötietoja toiselle taholle käsiteltäväksi, niin asiasta pitää olla mustaa valkoisella sopimus henkilötietojen käsittelystä. Muutoin kyse on henkilötietojen siirrosta rekisterinpitäjältä toiselle, josta tulisi olla informoitu rekisteröityä tai saatu siihen suostumus.
  • Jos vastaat organisaatiosi mistään sopimuksista, nyt viimeistään kannattaa lukea GDPR:n 28 artikla henkilötietojen käsittelijöistä. Erittäin todennäköisesti huomaat tarvetta päivittää sopimuspohjianne.
  • Jos organisaationne käyttää pilvipalveluita henkilötietojen käsittelyssä - vaikkapa vain tallentaa niihin henkilötietoja sisältäviä tiedostoja - kannattaa käydä lukemassa ko. palvelujen käyttöehdot tai muut sopimusehdot. Niissä tulisi olla sopimusehdot henkilötietojen käsittelijän asemaan liittyen. Jos tällaista mainintaa ei löydy, tulee tällaisten palvelujen käytöstä henkilötietojen käsittelyssä informoida rekisteröityjä tai saada niihin suostumus.
  • Jos henkilötietojen käsittelyssä käytetään EU:n ulkopuolisia palveluntarjoajia, kannattaa tarkistaa, että ne ovat mukana Privacy Shield -sopimusjärjestelmässä. Silloin ne täyttävät EU-komission mielestä riittävät yksityisyysvaatimukset, joten tietojen siirto/tallennus tällaisiin palveluihin on periaatteessa ok.
  • Sopimuksin ja suostumuksin henkilötiedoilla voidaan tehdä käytännössä mitä tahansa sikäli kun toiminta on muuten laillista. Koko GDPR:n ydin on se, että jokainen henkilö määrää itse henkilötietojensa käytöstä.

 

Ja ne yleisimmät GDPR-harhaluulot...

GDPR:ään liittyen törmää vaikka minkälaisiin vääriin käsityksiin. Ajan (ei tilan) puutteen vuoksi poimin niistä tähän vain muutaman.

"Jokaisesta rekisteristä pitää tehdä oma rekisteriseloste ja julkaista se."

Saa, mutta ei tarvitse. Yksi rekisterinpitäjän seloste käsittelytoimista riittää. Siinä tulee huomioida erilaiset rekisteröityjen ryhmät ja niihin liittyvät henkilötiedot ja henkilötietojen käsittely.

Seloste käsittelytoimista on rekisterinpitäjän organisaation sisäinen dokumentti, käytännössä henkilöstön sisäiseen käyttöön. Sitä ei tarvitse julkaista. Tässä on muutos henkilötietolain aikaan tehtyihin rekisteriselosteisiin.

Se, mikä pitää olla tarvittaessa julkisesti saatavilla, on rekisteröityjen informointiin liittyvät asiakirjat kuten tietosuojaselosteet. Jossakin tapauksessa voidaan kyllä tehdä ratkaisu, että seloste käsittelytoimista ja rekisteröityjen informointi ovat yksi ja sama dokumentti, jota siis käytetään kumpaankin tarkoitukseen, ja joka täyttää kummankin vaatimukset, ja silloin se voidaan julkaista.

"Henkilötietojen käsittelijän pitää tehdä seloste jokaisesta toimeksiantajasta eli rekisterinpitäjästä erikseen.

Saa, mutta ei tarvitse. Sama kuin yllä. Selosteen muoto on vapaa, joten kannattaa miettiä, mikä on toiminnan kannalta kätevin ja tarkoituksenmukaisin muoto.

"Jos työntekijä tekee oman listan tai tiedoston henkilötiedoista, hänen pitää tehdä rekisteriseloste."

Ei tarvitse. Selosteen käsittelytoimista tekee rekisterinpitäjä, joka on käytännössä se oikeushenkilö, joka toiminnasta vastaa, eli työntekijän työnantaja. Yksittäisen työntekijän ei tarvitse tehdä omia selosteitaan, mikäli työnantaja ei ole sellaista antanut työtehtäväksi.

"Kun käsittelen työtehtävissäni henkilötietoja, niin olen henkilötietojen käsittelijä..."

Ei, et ole. Henkilötietojen käsittelijällä ei tarkoiteta organisaation työntekijöitä, vaan se on ulkopuolinen taho, jonka kanssa on tehty sopimus henkilötietojen käsittelystä.

"Kaikelle henkilötietojen käsittelylle pitää saada suostumus."

Ei tarvitse. Suostumus on yksi kuudesta mahdollisesta oikeus- eli käsittelyperusteesta. Muita ovat:  sopimus, jossa rekisteröity osapuolena, lakisääteinen velvollisuus, julkisen tehtävän hoitaminen tai yleinen etu, elintärkeiden etujen suojaaminen, rekisterinpitäjän oikeutettu etu (esim. asiakassuhde, työsuhde, jäsenyys).

"Yritys ei saa tehdä suoramarkkinointia ilman suostumusta."

Tämä on totta yksityishenkilöille tehtävän sähköisen suoramarkkinoinnin (esim. sähköposti ja tekstiviestit) osalta, mutta muuten pääosin ei. Yksityishenkilöillekin voidaan edelleen tehdä perinteistä suoramarkkinointia (puhelimitse ja postitse) ilman ennakkosuostumusta.

Yritysten ja muiden organisaatioiden edustajille on edelleen ok tehdä myös sähköistä suoramarkkinointia ilman suostumusta. Tämä perustuu siihen, että heitä ei lähestytä yksityishenkilöinä, vaan edustamansa tahon yhteyshenkilöinä. Oikeusperusteena markkinoijalla voi tällöin olla rekisterinpitäjän oikeutettu etu.

Suoramarkkinoinnissa tulee aina kertoa, miten vastaanottaja voi kieltää sen kuten esimerkiksi poistua uutiskirjeen vastaanottajista. Lisäksi tulee linkittää informointiin henkilötietojen käsittelystä, esim. linkki tietosuojaselosteeseen.

Lisäksi suostumus vaaditaan aina, jos markkinoinnissa tehdään henkilöön liittyvää profilointia ja automatisoituja päätöksiä.

"GDPR vaatii, että nettisivujen evästeille saadaan käyttäjän lupa."

Välttämättömille evästeille ei tarvitse saada käyttäjän lupaa.

Ei-välttämättömille evästeille (esim. kolmansien osapuolten seurantaevästeet) täytyy saada käyttäjän suostumus.

"Henkilötietoja ei saa lähettää normaalissa suojaamattomassa sähköpostissa."

Tämä on ehkä hauskin... Nimittäin jo lähettäjän ja vastaanottajan sähköpostiosoitteet ovat henkilötietoja, jos kyse on henkilökohtaisista osoitteista.

Joten ei: sähköposti ei muuttunut GDPR:n myötä käyttökelvottomaksi. Tavanomaisia henkilötietoja voi aivan huoletta lähettää sähköpostilla, jos niiden näkyminen/käsittely on muutenkin ok sekä lähettäjälle että vastaanottajalle. Luonnollisesti edellytyksenä on henkilökohtaiset sähköpostiosoitteet ja sähköpostitunnusten perustason tietoturva.

Salattua sähköpostia on suositeltavaa käyttää, jos sähköpostiviesti sisältää arkaluonteisia henkilötietoja tai salassapidettäviä asiakirjoja. Useimmat sähköpostiohjelmat sisältävät tuen viestien salaukselle. Toinen vaihtoehto etenkin yrityksissä on kehittää sähköiseen asiointiin verkkopalveluita, joissa tarvittavat tiedot ovat saatavissa kirjautumisen takana SSL-suojatulla verkkoyhteydellä.

"GDPR:n takia päiväkodin/koulun/yrityksen/järjestön tilaisuudessa ei saa kuvata."

Väärin taas. Julkisessa tilaisuudessa kenellä tahansa on oikeus valokuvata. GDPR ei sisällä mitään sellaista, millä päiväkoti/koulu/yritys/järjestö voisi kieltää yksityishenkilöitä kuvaamasta. Tällainen kielto rikkoo tilaisuuden yleisön yksilönvapauksia.

On erotettava, kuka tekee mitäkin. Tilaisuuden järjestäjä on useinkin rekisterinpitäjän roolissa, johon kuuluu mm. velvollisuus pyytää lupa henkilötietojen mahdolliselle julkaisemiselle, mutta tilaisuuden osallistujat ovat yksityishenkilöitä tai edustamiensa tahojen alaisuudessa.

Toinen asia on sitten se, että hyvien tapojen mukaista on, että myös yksityishenkilöt pyytävät luvan toisista otettujen valokuvien julkaisemiselle - etenkin, jos kyse on lapsista ja/tai selvästi tunnistettavista (lähi-)kuvista. Lisäksi lain mukaan yksityisyyttä ei saa loukata, eli toista henkilöä todennäköisesti loukkaavia kuvia ei saa julkaista. Omaan käyttöön kuvaaminen ja kuvien julkaisu ovat siis kaksi eri asiaa.

"GDPR:n takia WhatsAppia ei saa käyttää henkilötietojen käsittelyssä."

Saa, jos työnantaja ei ole sitä erikseen kieltänyt. WhatsAppin viestit ovat vahvasti päästä päähän salattuja ja siten todella turvallisia. Viestit eivät jää WhatsAppin palvelimelle, vaan ainoastaan lähettäjälle ja vastaanottajille. WhatsApp on mukana Privacy Shieldissä, joten tilanne on siltäkin osin kunnossa.

Mahdollinen ongelma on se, jos WhatsAppia käytetään työasioihin yksityisellä kännykällä, sillä silloin rekisterinpitäjä ei voi valvoa henkilötietojen käsittelyä tältä osin. On kuitenkin rekisterinpitäjän harkittavissa, miten henkilötietoja on sallittua käsitellä. Yksityisten kännyköiden ja muiden laitteiden käytöstä työssä henkilötietojen käsittelyssä on suositeltavaa ohjeistaa.

"Kaikki rikkovat gee-dee-pee-ärrää, koska eivät tee selostetta kännykän osoitekirjasta."

Eivät riko. :-) GDPR:n vaatimukset eivät koske yksityishenkilön yksityiseen käyttöön tarkoitettuja rekistereitä.

Työpuhelimen osoitekirjan tiedot sisältyvät työnantajan rekistereihin, joten ne tulee huomioida työnantajan rekisterinpitäjän selosteessa ja työntekijöille annetuissa ohjeistuksissa.

 

- Harto Pönkä, 8.6.2018