Digiarjessa-blogi

Vielä kerran – tällaisia muutoksia GDPR tuo käytännössä yrityksille

GDPR astuu voimaan toukokuussa. Anne Honkaranta tiivistää kirjoituksessaan muutoksen pääkohdat verrattuna Suomen Henkilötietolakiin.

gdpr.jpg

Uusi EU:n laajuinen henkilösuoja-asetus astuu jäsenmaissa voimaan ensi toukokuussa. Kaikkien jäsenmaiden henkilösuoja harmonisoituu näin kerralla. Mutta mikä Suomessa muuttuu suhteessa nykyiseen Henkilötietolakiin?

Pähkinänkuoressa voidaan sanoa, että konkreettisia muutoksia Suomen nykyiseen Henkilötietolakiin ei ole paljoa.

Tarkennuksia rekisteröidyn suojaan ja tietojen käsittelyyn

Henkilön eli rekisteröidyn suojaan on tullut tarkennuksia niin, että henkilöllä on oikeus saada omat tietonsa digitaalisessa muodossa, ja erityisesti lasten oikeuksia suojellaan. Henkilötiedon tulisi sijaita EU:n alueella. Datan siirrosta tai kopioinnista EU:n ulkopuolelle tulee pääsääntöisesti tehdä erilliset klausuulit ja selvittää sekä varmentaa henkilötiedon suoja ja turvaaminen myös kohdelokaatiossa (nk. PrivacyShield käytäntö USA:n kanssa on poikkeus tähän)

Henkilötiedon käsittelyssä painotetaan entistä enemmän käsittelyn läpinäkyvyyttä ja käsittelyn oikeellisuutta. Läpinäkyvyys tarkoittaa, että käsittelyseloste tulee saada tietoon niin halutessaan. Oikeellisuuden todentaminen tehdään tyypillisesti teknisesti tarkastamalla, että käytönseuranta (lokitus) järjestelmissä on riittävä ja tarjoaa asianmukaista tietoa. Tähän liittyy myös lokitiedon turvaaminen, johon kannattaa kiinnittää viimeistään nyt huomiota. Joissain maissa on tulkittu, että tiedon oikeellisuus ja läpinäkyvyys, sekä sisäänrakennettu tietosuoja edellyttää, että henkilötietojen käsittelystä tehdään aina nk. vaikutustenarviointi. Suomessa vaikutustenarviointi on ohjeistettu tekemään vain, jos henkilötiedon käsittelyyn ajatellaan liittyvän riskejä.

Uutena asiana voimaan tulee varsin vahva sanktio asetuksen rikkomisesta. Käytännössä rikkominen ilmenee todennäköisesti tietovuototilanteen yhteydessä. Sanktio on 2-tasoinen, ja enimmillään 4 % liikevaihdosta tai 20 M€ sakkoja, riippuen siitä, kumpi on suurempi.

Sanktion määrää voidaan sovitella, ja ensisijaisesti sanktio koskee rekisterinpitäjää. Rekisterin käsittelijälle voi koitua osa sanktiosta, eritoten jos käsittelijä ei ole hoitanut käsittelyvelvoitettaan rekisterinpitäjän ohjeiden mukaisesti, tai hyvän tiedonhallintatavan ja tyypillisesti käytössä olevien tietoturva- ja suojamenettelyiden mukaisesti, tai soveltanut aineiston sensitiivisyyteen nähden riittäviä tietoturva- ja suojamenettelyitä (Art. 32)

Tietosuoja osana järjestelmien ja palveluiden suunnittelua

Sisäänrakennettua ja oletusarvoista tietosuojaa painotetaan aiempaa enemmän. Käytännössä tietosuojan voidaan ajatella olevan sisäänrakennettua ja oletusarvoista, jos järjestelmiä ja palveluita suunniteltaessa otetaan jo valmiiksi tietosuoja huomioon. Huomiointi voidaan todentaa esim. tekemällä vaikutustenarviointi (Privacy Impact Assesment).

Esimerkiksi Iso-Britannian tietosuojavaltuutettu ohjeistaa tekemään aina vaikutustenarvioinnin (myös olemassa oleville järjestelmille, jos sitä ei ole tehty). Vaikutustenarvioinnilla ja siinä syntyvällä dokumentaatiolla voidaan todentaa, että tietosuojan tarve, riskit, ja tarvittavat menettelyt on huomioitu, ja tarpeelliset (mahdollisuuksien rajoissa olevat) toimet on tehty sen turvaamiseksi.

Suomen tietosuojavaltuutettu on tulkinnut asian toisin, ja ohjeistaa tekemään vaikutustenarvioinnin, jos käsiteltävä henkilötieto on luonteeltaan laajaa, sisältää erityistä (sensitiivistä) henkilötietoa, sitä käsitellään poikkeuksellisen paljon (suhteessa esim. omaan liiketoimintaan), ja käsittelyssä käytetään esimerkiksi automaattista profilointia.

Teknologian kehittyessä (henkilö)tietoa voidaan automaattisesti kerätä ja analysoida aiempaa helpommin ja monipuolisemmin. Uutena näkökulmana tuleekin mukaan henkilöiden automaattinen profilointi, joka nostaa henkilötiedon käsittelyn riskiä niin, että profilointi rinnastetaan käytännössä yhtä riskialttiiksi kuin erityisen (sensitiivisen, esim. uskonto, rotu, aatteellisiin liikkeisiin kuuluminen, sukupuoli, jne.) tiedon käsittelyyn. Myös keksit (engl. cookie) on huomioitu mahdollisena henkilötiedon keräämismekanismina. Tuleva asetuksen ePrivacy-tarkkenne/laajennus tulee ottamaan enemmän ja tarkemmin kantaa näiden automaattisten analysointi- ja tiedonkeruutyökalujen käyttöön.

Kaiken kaikkiaan on lopulta kyse periaatteesta, että kaikilla henkilöillä on oikeus siihen, että hänen tietojaan käsitellään asianmukaisesti ja huolella.

Aika harva meistä haluaisi, että tiedoistamme ei pidetä asianmukaista huolta.

 

Lue myös aiempi blogikirjoitus "EU:n tietosuojamörön matka liitukaudelta nykyaikaan">>


tietoturva


Tilaa blogikirjoitukset sähköpostiisi