GDPR-opas loppukäyttäjille

EU:n tietosuoja-asetus astuu voimaan jo toukokuusta alkaen. Siirtymäaika ei ole pitkä. Täten onkin syytä omaksua heti tässä oppaassa esiintyvät kohdat osaksi päivittäistä toimintaa ja toiminnan kehittämistä.

 

Henkilötietojen käsittelyssä voidaan nähdä ikään kuin kolme eri elinkaaren vaihetta: vaiheet ennen henkilötietojen käsittelyn aloittamista, toimenpiteet henkilötietojen käsittelyn aikana sekä menettelyt henkilötietojen käsittelyperusteen päätyttyä.

 

tietosuoja

 

 

Ennen henkilötietojen käsittelyn aloittamista on syytä muistuttaa itseään tietosuojan perusperiaatteista. Näitä ovat muun muassa:

 

Henkilötietojen käsittelyn lainmukaisuus, kohtuullisuus sekä läpinäkyvyys.

Eli henkilötietoja on käsiteltävä lain edellyttämällä tavalla sekä asianmukaisesti. Lisäksi tietoja tulee käsitellä rekisteröidyn kannalta läpinäkyvästi.

 

Käyttötarkoitussidonnaisuus.

Tämä tarkoittaa sitä, että henkilötietoja voidaan kerätä vain tiettyä sekä laillista tarkoitusta varten. Myöskään myöhemmin näitä kerättyjä tietoja ei voi käsitellä alkuperäisten tarkoitusten kanssa ristiriitaisella tavalla.

 

Tietojen minimointi ja täsmällisyys.

Kerättyjen henkilötietojen on oltava asianmukaisia ja rajoitettu vain siihen, mikä on tarpeellista. Tietojen tulee olla myös paikkansa pitäviä, joten niitä tulee tarvittaessa päivittää.

 

Tietojen säilytyksen rajoittaminen sekä eheys ja luottamuksellisuus.

Rekisterinpitäjällä on oikeus tunnistaa rekisteröidyt henkilötiedoista vain niin kauan kuin on tarpeen. Kuitenkin henkilötietoja voidaan säilyttää tätä kauemmin, jos ne koskevat yleisen edun mukaisia asioita tai erilaisia tilastollisia tutkimuksia. Luottamuksellisuus on säilyttävä koko henkilötietojen käsittelyn ajan.

 

 

Nämä ehdot täyttyvät helpoiten, kun noudatetaan sisäänrakennettua ja oletusarvoista tietosuojaperiaatetta. Oletusarvoinen tietosuoja tarkoittaa sitä, että tiettyä tarkoitusta varten saa käsitellä vain kyseisen tarkoituksen kannalta tärkeitä henkilötietoja.

 

Sisäänrakennettu tietosuoja tarkoittaa sitä, että yleiset tietosuojaperiaatteet otetaan osaksi kaikkia henkilötietojen käsittelyn vaiheita koskevia toimenpiteitä. Kun menetelmät iskoistaa jo tässä vaiheessa organisaation toimintaan, niin pääsee paljon helpommalla, kuin jos vasta jälkikäteen yrittäisi muuttaa totuttuja toimenpiteitä tai tehdä kalliita muutoksia olemassa oleviin järjestelmiin.

 

Niin kuin jo aiemmassa GDPR-oppaassa yritysjohdolle totesimme, tämän lisäksi rekisterinpitäjän on myös pystyttävä osoittamaan, että näitä tietosuojaperiaatteita noudatetaan.

Tämä edellyttää sitä, että rekisterinpitäjän on tiedettävä, mitä periaatteet tarkoittavat ja miten ne toteutetaan omassa organisaatiossa. Osoitusvelvollisuuden täyttäminen edellyttää siten myös perusteellisempaa suunnittelua ja tarkempaa dokumentointia.

 

 

 

Henkilöstö ja henkilötietojen käsittely

 

Organisaation täytyy huolehtia siitä, että vain sellaiset työntekijät, joiden nimenomaisiin työtehtäviin kuuluu henkilötietojen käsittely, saavat käsitellä henkilötietoja. Organisaation tuleekin ohjeistaa sekä kouluttaa henkilöstöään sen rooleista. Kouluttaminen on myös osa tietosuoja-asetuksen mukaisia organisatorisia suojakeinoja.

 

Myöskin ulkoistettaessa henkilötietojen käsittelyyn sisältyviä tehtäviä, on varmistettava, että myös tämä ulkopuolinen taho noudattaa tietosuoja-asetuksen ehtoja. Nämä ulkopuoliset henkilötietoja käsittelevät toimivat lähes poikkeuksetta rekisterinpitäjän ohjeiden mukaisesti ja alaisena, jolloin rekisterinpitäjällä olisi syytä olla tarkat ohjeet ja neuvot henkilötietojen käsittelyn ulkoistamisesta.

 

Muita teknisiä ja organisatorisia toimenpiteitä henkilöstön koulutuksen ohella ovat muun muassa huolellinen tietoturva ja tietojen salaus sekä toimiva tarkastus- ja valvontajärjestelmä. Rekisterinpitäjän täytyy itse aina tapauskohtaisesti määritellä käytettävät suojatoimet siten, että ne täyttävät asetuksen vaatimukset.

 

 

 

Osoitusvelvollisuuden täyttäminen

 

Myös itse lainsäädäntö on muuttunut vaatimuksenmukaisuudesta osoitusvelvollisuuden noudattamiseen. Enää ei riitä, että asiat tehdään oikein, vaan se on myös pystyttävä osoittamaan eri tavoilla.

 

Osoitusvelvollisuus tässä tietosuoja-asetuksessa koskee henkilötietojen käsittelyn prosesseita sekä edellä mainittujen tietosuojakäytäntöjen toteutumisen dokumentointia. Osoitusvelvollisuuden toteuttamiseksi, rekisterinpitäjän on suoritettava tarvittavat tekniset ja organisatoriset toimenpiteet. Organisaatiot voivat suorittaa myös tiettyjä sertifikaatteja, joiden tarkoitus on näyttää rekisteröidylle, minkälaisessa tilassa organisaation tietosuojan taso on.

 

Osana osoitusvelvollisuutta rekisterinpitäjän ja henkilötietojen käsittelijän on yleensä myös yhdessä pidettävä selostetta heidän vastuullaan olevista tietosuojan käsittelytoimista.

 

 

 

Suostumuksen merkitys henkilötietojen käsittelyssä

 

Täytyy muistaa, että henkilötietoja voidaan käsitellä vain silloin, kun rekisteröidyltä on saatu siihen suostumus. Tietosuoja-asetuksessa on määritelty kriteerit suostumukselle ja sen hallinnalle sekä sille, mitä rekisteröidylle tulee kertoa suostumuksen annon yhteydessä.

Jotta suostumus rekisteröidyltä olisi juridisesti pätevä, sen tulee olla annettu vapaaehtoisesti sekä tietoisesti. Suostumuksen on oltava myöskin yksilöity sekä yksiselitteinen eikä esimerkiksi tulkinnanvarainen.

 

Jos esimerkiksi organisaatio pyytää suostumusta henkilötietojen käsittelyyn osana isompaa asiakokonaisuutta, esim. sopimusta tai käyttöehtoja, tulee suostumusta henkilötietojen keräämiseksi pyytää tässä asiakirjassa erikseen sille varatussa kohdassa, jotta se erottuisi muusta asiayhteydestä selkeästi.

Suostumuksen anto on siten oltava antajan puolelta aktiivinen tapahtuma. Tällöin ei riitä, että esimerkiksi sopimuslomakkeessa olisi organisaation puolesta valmiiksi jo ruksi suostumuksen annon kohdalla, vaan suostujan tulee itse ilmaista tahtonsa antaa suostumus tai olla sitä antamatta.

Annetun suostumuksen pitää olla myös peruttavissa yhtä helposti kuin se on annetukin. Organisaation tulee myös pyytää aina uusi suostumus, mikäli rekisteröidyn henkilötietojen alkuperäinen käyttötarkoitus muuttuu.

 

Suostumuksen oikeaoppisen saamisen lisäksi, rekisterinpitäjän on myös pystyttävä todistamaan suostumuksen olemassaolon tarkoitus sekä se, kuka suostumuksen on antanut sekä miten ja miksi suostumus on annettu.

 

 

 

Tietoturva ja riskienhallinta osana toimivaa tietosuojaa

 

Jatkuvasti muuttuva digitaalinen toimintaympäristö antaa mahdollisuuden myös erimuotoiselle kyberrikollisuudelle, joihin liittyvät esimerkiksi tietojen väärinkäyttäminen sekä valheellisen tiedon tuottaminen ja levittäminen.

Moni organisaatio on jäänyt jopa useamman vuosikymmenen jälkeen tietoturvallisuuden kehittämisessä. Tähän liittyen ollaankin uudistamassa myös tietoturvallisuuteen liittyvää lainsäädäntöä, jolloin erityisesti julkisella hallinnolla olisi tietyt vaatimukset tietoturvan toteuttamisessa.

 

Valtiovarainministeriön VAHTI-pääsihteerin, Kimmo Rouskun, mukaan erilaiset organisaatiot pystyisivät hallitsemaan ja toteuttamaan tietoturvallisuutta hallintajärjestelmän avulla. Hallintajärjestelmä koostuisi kuudesta eri vaiheesta, jossa määritellään aluksi tietoturvan hallinnan ympäristö ja suojattavat kohteet. Tämän jälkeen tunnistetaan ja analysoidaan mahdolliset riskit sekä otetaan käyttöön tarvittavat suojauskeinot. Lopuksi valvotaan riskejä sekä tietoturvaa ja parannetaan niiden hallintaa.

 

Riskienhallinta näyttäytyy eri tavoin. On tärkeää tiedostaa, mitkä ovat organisaatiota uhkaavia jokapäiväisiä riskejä sekä mitä riskejä nimenomaan henkilötietojen käsittelyn toimintaan kohdistuu. Jos henkilötietojen käsittelyyn kohdistuu korkea riski, on sitä varten tehtävä vaikutusten arviointi ja riskien vähentämissuunnitelma. Jos rekisterinpitäjä ei ole tehnyt mitään riskin madaltamiseksi, on sen saatava lupa valvontaviranomaiselta henkilötietojen käsittelyksi ennen käsittelyn aloittamista. Nämä riskit voivat olla esimerkiksi rekisteröityyn kohdistuvia fyysisiä, aineellisia ja aineettomia vahinkoja, mikäli henkilötietojen käsittely johtaa esimerkiksi identiteettivarkauteen, petokseen tai syrjintään.

Jos käytössä on yhteisrekisterinpitäjyys, eli rekisterinpitäjiä on kaksi tai useampia, täytyy myös heidän noudattaa edellä mainittuja ehtoja tietosuojan toteuttamiseksi.

 

 

 

Rekisteröidyn oikeus tulla unohdetuksi sekä oikeus siirtää tiedot järjestelmästä toiseen

 

Rekisteröidyllä on oikeus pyytää henkilötietojensa poistoa lopullisesti, mikäli siihen on jokin pätevä syy asetuksessa. Poistoa ei voi kuitenkaan vaatia tilanteissa, joissa henkilötietoja käsitellään sananvapautta koskevan oikeuden tai lakisääteisen velvoitteen käyttämiseksi tai oikeudellisen vaateen laatimiseksi. Rekisteröidyllä on kuitenkin aina oikeus saada korjata virheelliset tai puutteelliset tiedot.

 

Kun näiden henkilötietojen käsittelyn peruste on päättynyt, niin tietojen hävittämisen sijaan ne voidaan anonymisoida tai pseudonymisoida sekä säilyttää tai arkistoida.

 

Anonymisoinnissa henkilötiedot käsitellään siten, ettei niitä enää missään tilanteessa voi yhdistää tiettyyn henkilöön. Näitä tietoja voidaan hyödyntää esimerkiksi tilastollisessa tutkimuksessa.

 

Henkilötietojen pseydonymisointi on hieman sama asia kuin anonymisointikin mutta pseudonymisoiduissa henkilötiedoissa onkin mahdollista kytkeä yksittäiset henkilötiedot tiettyyn henkilöön edellyttäen erityistä varmistusta tai lisätietoa.

 

Tietosuoja-asetuksen mukaan, henkilötietoja siinä muodossa, jossa rekisteröity on tunnistettavissa, tulee säilyttää vain niin kauan kuin on tarpeen alkuperäistä määriteltyä tarkoitusta varten. Säilytysajan umpeuduttua on tiedot hävitettävä. Tämän jälkeen henkilötietoja voidaan arkistoida vain yleisen edun mukaista tai tieteellistä sekä tutkimuksellista tarkoitusta varten

 

Rekisteröidyllä ei ole oikeutta siirtää tietojaan järjestelmästä toiseen, mikäli ne ovat rekisterinpitäjällä esimerkiksi julkisen vallan käyttämistä varten. Rekisteröidyn oikeus siirtää tiedot järjestelmästä toiseen koskevat tilanteita, joissa rekisteröity on muun muassa itse välittänyt henkilötietonsa rekisterinpitäjälle.

 

GDPR opas

 

Tietosuojan toteutumisen valvonta

 

Kuten jo johdon GDPR-oppaassa totesimme, tietosuoja on jatkuva prosessi ja sitä tulee kehittää ja seurata jatkuvasti.

Valtiovarainministeriön VAHTI-pääsihteeri, Kimmo Rousku, onkin antanut hyvän neuvon organisaation operatiiviselle tasolle tietosuojan toteutumisen seurannaksi. Hän on todennut hyväksi menetelmäksi monista projekteistakin tutun RACI-vastuunjakomatriisin, jossa on selkeästi eritelty, kuka on minkäkin tehtävän vastuullinen, vastuussa oleva, neuvoja sekä tiedotettava. Tällöin ei tule tilannetta, jossa vastuuta pompotellaan taholta toiselle, eikä kukaan loppupeleissä ole ottanut asiasta vastuuta.

 

 

Lue samalla myös GDPR-oppaamme yritysjohdolle!

 

 

 

 

Ota yhteyttä
  • Piispantilankuja 6 a, 02240 Espoo
  • Pitkämäenkatu 11, 20250 Turku
  • Vaihde: 09 86773500
Asiakaspalvelu
Twiitit