PK-yrityksen valmistautuminen EU:n tietosuoja-asetukseen

Vieraskynässä tällä kertaa kirjoittaa Villy Lindfelt. Villy on lakimies, KTM ja OTM sekä lakipalveluyritys LAKIUS Oy:n perustaja.

Mikä ihmeen EU:n tietosuoja-asetus?

Uusi 25.5.2018 voimaan tuleva EU:n tietosuoja-asetus (tuttavallisesti GDPR) korvaa aiemman henkilötietodirektiivin ja koska se on oikeudelliselta muodoltaan EU:n asetus, tulee se suoraan sovellettavaksi sellaisenaan kaikissa jäsenvaltioissa, myös Suomessa. Direktiivithän edellyttävän aina kansallista implementointia, eli direktiivit eivät velvoita suoraan sellaisenaan yksityishenkilöitä. Asetuksessa tosin on tiettyjä poikkeuksia, joiden osalta mainitaan, että asia voidaan jättää kansallisen lainsäädännön varaan. Yksi näistä on esimerkiksi lapsia koskeva ikäraja – asetuksen lähtökohtana on, että alle 16 vuotiaan henkilötietojen käsittelylle tarvitaan vanhempien lupa, mutta jäsenvaltiot voivat alentaa ikärajaa aina 13 vuoteen saakka.

Koskeeko se myös meitä, vaikka olemme vain pieni yritys?

EU:n tietosuoja-asetus tulee sovellettavaksi lähes kaikissa yrityksissä, on vaikea kuvitella modernia liiketoimintaa, johon sitä ei sovellettaisi. Yrityksen koon suhteen ei ole mitään soveltamisrajoituksia. EU:n tietosuoja-asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa. Käytännössä soveltamisalan ulkopuolelle voisi jäädä esimerkiksi fyysinen paperinen sopimusarkisto, joka ei ole järjestetty henkilötietojen perusteella. Muutoinhan on aika selvää, että erilaiset työntekijä-, työnhakija-, markkinointi- ja asiakasrekisterit kuuluvat asetuksen soveltamisalaan. Asetusta ei kuitenkaan sovelleta yksityishenkilön toimintaan esimerkiksi sosiaalisessa mediassa. Mutta liiketoiminnassa sitä sovelletaan käytännössä kaikkiin yrityksiin, myös “yhden miehen/naisen” palveluyrityksiin. Eli on turvallista lähteä siitä, että asetusta sovelletaan myös sinun yrityksesi toimintaan ja sinun tulisi aloittaa valmistautuminen siihen. Asetus ei ole myöskään mikään “rasti ruutuun” säädös, vaan käytännössä edellyttää sitä, että tietosuoja-asiat ja tietoisuus yksityisyyden suojasta integroidaan kiinteäksi osaksi yrityksen toimintaa.

Henkilötiedolla tarkoitetaan asetuksessa kaikkia tietoja, joiden nojalla henkilö on suoraan tai epäsuorasti tunnistettu tai tunnistettavissa. Esimerkiksi nimen, sähköpostin ja osoitteen lisäksi myös IP-osoite voidaan katsoa henkilötiedoksi. Uusina sensitiivisinä henkilötietoina mainitaan biometriset (esim. vaikka iPhonen sormenjälkitunniste) ja geneettiset tunnistetiedot. Henkilötietojen käsittelyllä taas tarkoitetaan varsin moninaisia asioita, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, poistamista tai tuhoamista.

“Hups, en tiennyt” ei ole peruste olla noudattamatta asetusta

Moni on jo varmasti kuullut mahdollisista sanktioista, eli tietosuojaloukkauksista voi muiden seuraamusten ohella seurata yritykselle jopa 20MEUR tai 4% liikevaihdosta suuruinen hallinnollinen seuraamusmaksu, kumpi tahansa on isompi. Suhtautuminen tietosuoja-asetukseen kannattaa kuitenkin kääntää positiiviseksi, laittamalla tietosuoja-asiat viimeistään tässä vaiheessa kuntoon, kohotat yrityksesi luotettavuutta, yrityksen arvoa ja osoitat välittäväsi asiakkaidesi yksityisyyden suojasta. Ajattele siis velvoitteiden noudattamista kilpailukeinona. Asetuksella sinänsä on hyvät ja tärkeät tavoitteet tässä digitalisoituvassa maailmassa, jossa ihmisistä kerätään paljon tietoa heidän tietämättäänkin ja varmasti toisinaan hyvin hatarin tarkoitus- tai suojausperustein. Et ui kuiville asetuksen noudattamatta jättämisestä “hups, en tiennyt” toteamuksella, vaan uusi tietosuoja-asetus kääntää näyttötaakan toisinpäin, sillä ei riitä, että noudattaisit velvoitteita, vaan sinun pitää kyetä osoittamaan se. Tämä tarkoittaa käytännössä kouluttautumista, teknisten tietoturvamenetelmien käyttöä ja dokumentointia, sekä tietosuojaperiaatteiden kirjaamista, sopimusten tekemistä alihankkijoiden kanssa sekä tietosuojasta informointia rekisteröidyille, eli esimerkiksi asiakkaille tai työntekijöille. Tämä näyttötaakan kääntyminen tarkoittaa juuri dokumentaatiovelvoitteiden kasvamista. Viranomaisella on nyt myös oikeus tehdä tarkastuksia yrityksiin, aivan kuten esimerkiksi kilpailuviranomainen on voinut tehdä niitä.

e-laskutus

Tietosuoja-asetuksen sisältö pähkinänkuoressa

Asetuksen laajemman henkilötietokäsitteen myötä yhä useampi tietojen käsittely tulee tietosuojalainsäädännön soveltamisalan piiriin. Asetus määrittelee myös mitkä ovat oikeutettuja perusteita henkilötietojen käsittelylle ja se mihin yritys nojaa, tulee informoida tietosuojaselosteessa ja kirjata omaan politiikkaan. Asetus asettaa tiukempia vaatimuksia suostumukselle käsittelyperusteena ja myös silloin kun käsittelyperuste on suostumus, on rekisteröidyllä laajemmat oikeudet käytettävissä ja tämä suostumuksen antaminen tulisi olla jäljempänä todistettavissa ja myös yhtä helposti peruutettavissa, kuin se annettiin. Suostumus ei myöskään voi tapahtua valmiiksi täytetyn “rasti ruutuun” lomakkeen muodossa taikka upotettuna muiden sopimusehtojen hyväksyntään.

Asetus sisältää myös tuttuja rekisteröidyn oikeuksia, kuten suoramarkkinointikielto, mutta tuo myös uusia oikeuksia kuten oikeus tietyssä tilanteessa saada tietonsa poistetuksi (“oikeus tulla unohdetuksi”) ja jopa oikeuden saada tiedot siirrettyä palveluntarjoajalta toiselle sähköisessä muodossa. Asetus lähtee myös siitä, että näiden oikeuksien toteuttaminen on maksutonta, kun aiemmin useissa jäsenvaltioissa rekisteröidyn pyyntöjen täyttämisestä oli mahdollista veloittaa pieni korvaus.

Lisäksi asetus säätää, että ns. korkean riskin tilanteissa tulee ennalta toteuttaa tietosuojavaikutusten arviointi ja mahdollisesti eskaloida sen tulokset viranomaisen arvioitavaksi, ennen käsittelyn aloittamista. Asetus myös säätää tilanteista, joissa yrityksen tulisi nimittää tietosuojavastaava. Asetus sisältää myös säännöksiä tällaisen henkilön kelpoisuudesta, oikeuksista ja jopa irtisanomissuojasta.

Lisäksi asetus ensimmäistä kertaa määrää suoria vastuita ja velvoitteita henkilötietojen käsittelijöille (esim. pilvipalvelujen tarjoaja tai markkinointitoimisto), joten henkilötietojen käsittely rekisterinpitäjän lukuun ei voi olla enää vain “asiakkaan ongelma”. Asetuksessa on siis omia velvoitteita sekä rekisterinpitäjälle että henkilötietojen käsittelijälle. Rekisterinpitäjän ja käsittelijän välillä on myös oltava yksityiskohtainen kirjallinen sopimus.

Suuri muutos on myös se periaatteellinen muutos, eli yrityksen tulee kyetä osoittamaan noudattavansa tietosuoja-asetusta, eli pelkkä noudattaminen ei riitä. Tähän liittyy myös ns. sisäänrakennettu ja oletusarvoinen tietosuoja, eli esimerkiksi tietosuoja tulisi ottaa huomioon jo suunniteltaessa uusia tuotteita ja järjestelmiä ja tietojen keräämisessä tulisi noudattaa tarpeellisuuden vaatimusta, määritellä säilyttämisajat sekä esimerkiksi minimioida tiedon tallennuspaikat. Lisäksi asetuksessa määritellään miten tulee toimia tietosuojaloukkaustilanteissa, asetus asettaa myös määräaikoja loukkauksista ilmoittamiselle tietosuojaviranomaiselle.

Miten valmistaudun tietosuoja-asetukseen? 8 kohdan tarkistuslista.

1. Tutustu aiheeseen

Asetus jo muutenkin edellyttää kouluttautumista ja tietoisuutta, myös ylimmältä johdolta (toimitusjohtaja, johtoryhmä, hallitus), joten aloita aiheeseen tutustuminen. Aloita vaikkapa tietosuojavaltuutetun laatimasta oppaasta ja katso myös YouTubesta varsinkin englanninkielisiä webinaaritallennuksia haulla “EU GDPR” tai “EU Data Protection Regulation”. Niillä pääset helposti ja edullisesti liikkeelle.

2. Missä bisneksessä olet?

Tämä on hyvä esittää kysymyksenä itselle heti alkuun. Oletko pilvipalvelun tarjoaja? Appi-liiketoimintaa? Markkinointitoimisto? Teollisuustuotteita valmistava yritys? Fitness-alan toimija? Oletko asetuksen näkökulmasta rekisterinpitäjä vai henkilötiedon käsittelijä? Vai molempia? Näillä vastauksilla on suuri merkitys siihen, mistä näkökulmasta lähestyt omaa valmistautumistasi ja mitä sinulta odotetaan, eli asetus asettaa eri velvoitteita ensinnäkin rekisterinpitäjälle (esim. markkinoija) ja henkilötietojen käsittelijälle (esim. markkinointitoimisto). Toiseksi, jos käsittelysi voi aiheuttaa “suurta riskiä” luonnollisen henkilön oikeuksille ja vapauksille, sinun tulisi suorittaa tietosuojavaikutusten arviointi ennen käsittelyä. Joten tällaisen arvioinnin tekeminen saattaa tulla osaksi projektiasi. Tietyssä tilanteessa tämän arvioinnin lopputulos tulee jopa saattaa vielä viranomaisen arvioitavaksi. Kolmanneksi, jos käsittelet esimerkiksi sensitiivistä henkilötietoa, kuten vaikkapa terveystietoja, niin asetus asettaa erityisiä vaatimuksia sille, miten suostumus käsittelylle saadaan, dokumentoidaan ja miten sitä hallitaan uusien säännösten nojalla. Tämä voi koskea esimerkiksi fitness-alan palveluja tarjoavaa yritystä. Niinpä mieti alkuun oma bisneksesi ja mihin “lokeroon” se istuu tietosuoja-asetuksessa, ja lähdet heti alusta alkaen valmisteluissa oikeille raiteille. Samoin vastaus saattaa vaikuttaa heti jo siihenkin, että yrityksessäsi tulisi nimittää asetuksessa mainittu tietosuojavastaava, sillä tietyissä tilanteissa se on asetuksen vaatimus ja asetus myös määrittelee tällaisen henkilön oikeuksista, vastuista, kelpoisuusedellytyksistä ja jopa irtisanomissuojasta.

3. Analysoi lähtötilanne ja määrittele tavoitteet

Lähde liikkeelle siitä, että analysoit mitä henkilötietoja ja -ryhmiä nyt keräät ja hallinnoit, missä ne sijaitsevat ja mitkä ovat tietovirrat, millä perusteilla ja mihin tarkoitukseen keräät tietoja, tiedon elinkaaret (eli kauanko säilytät tietoja), millaisia ovat nykyiset tietosuoja- ja tietoturvapolitiikkasi sekä nykyisten tietosuojaselosteiden sisällöt. Varsinkin niissä yrityksissä joissa ei olla dokumentoitu selkeästi tietojen keräämistä, voi lähtötilanteen analysointi olla isokin tehtävä. Jo sen ymmärtäminen, mitä tietoa talossa on ja missä se sijaitsee. Projektissa tulee ehdottomasti olla mukana mm. markkinoinnin, myynnin, IT:n ja henkilöstöhallinnon ihmiset. Samalla voit myös sitten jo määritellä liiketoimintasi kannalta tavoitetilaa eli mitä henkilötietoja tarvitset, mihin tarkoitukseen, mitä ovat henkilötietojen ryhmät, millä perusteilla olet oikeutettu käsittelemään henkilötietoja, henkilötietojen säilyttämisajat sekä esimerkiksi data minimisointivaatimusten täyttäminen. Samoin voit määritellä ne “accountability” vaatimukset, eli mitä dokumentaatiota, sopimuksia ja prosessikuvauksia yrityksessäsi tulisi olla. Tärkeätä on esimerkiksi valita oikein käsittelyperuste, sillä rekisteröidyn käytettävissä olevat oikeudet (esim. tiedonsiirto toiselle palveluntarjoajalle) riippuu siitä, mihin oikeutusperusteeseen käsittelyssä on nojattu. Varsinkin jos käsittelyperusteena on suostumus, on rekisteröidyllä laajoja oikeuksia käytettävissään, joiden täyttäminen saattaa olla rekisterinpitäjälle haastavaa.

4. Tehtävälista ja projektisuunnitelma

Asetusvalmisteluihin kannattaa suhtautua muutosprojektina. Kun tiedät mistä lähdet liikkeelle ja missä sinun pitäisi olla tulevaisuudessa, saat ns. “GAP-listan”, eli mitkä asiat tällä hetkellä ovat kunnossa ja mitkä edellyttävät tekemistä. Aloita tekeminen helpoista kohteista, niin saat hyvän ja positiivisen startin projektille. Määrittele vaikkapa liikennevaloilla kriittiset ja vähemmän kriittiset tehtävät.

5. Dokumentaation ja prosessien päivittäminen

Tekeminen voi olla paitsi teknisiä ja organisatorisia asioita, mutta myös ja erityisesti dokumentointia, kuten sisäisten prosessien ja tietosuojapolitiikkojen kuvauksia. Joudut myös kuvaamaan periaatteet, miten yrityksessäsi toimitaan tietosuojaloukkaustapauksissa ja miten yrityksessäsi vastataan rekisteröidyn oikeuksien käyttämiseen, kuten tieto- tai tiedonsiirtopyyntöihin. Asiakasrajapinnassa olevien henkilöiden on hyvä ymmärtää nämä seikat, sillä näiden velvoitteiden täyttämiselle säädetään asetuksessa määräaikoja. Koulutus on myös tärkeä osa “accountability” velvoitteiden täyttämistä, eli kouluta henkilöstösi ja muista myös dokumentoida koulutus.

6. Päivitä tietosuojaselosteet

Uusi asetus edellyttää, että rekisteröityjä informoidaan heidän yksityisyytensä suojaamisesta. Informoinnin tulisi tapahtua selkeällä ja ymmärrettävällä tavalla, juridista jargonia käyttämättä. Samalla asetus edellyttää myös yksityiskohtaisempaa sisältöä tietosuojaselosteelta, joten siinä on kerrottava enemmän ja yksityiskohtaisemmin asioista. Tietosuojaseloste voidaan myös toteuttaa “leijeröintinä”, eli kerrotaan pääperiaatteet tiiviisti aluksi ja tarjotaan mahdollisuus syventyä yksityiskohtiin. Myös symbolien, grafiikan tai jopa videoiden käyttö voisi olla hyvä tapa yksityisyyden suojasta informoimiseen.

7. Päivitä sopimukset

Varmuudella voi sanoa, että tietosuojaa koskevat sopimukset menevät uusiksi kaikissa sopimuksissa, joita rekisterinpitäjä (esim. markkinoija) tekee käsittelijän (esim. markkinointitoimisto) kanssa koskien henkilötietojen käsittelyä. Asetus edellyttää kirjallista sopimista ja myös määrittelee yksityiskohtaisesti ne asiat, joista sopimuksen tietosuojaehdoissa tulee sopia. Huomioi tämä jo nyt, jos on uusi IT-projekti tulossa.

8. Kansainväliset tietojen siirrot

Siirrätkö henkilötietoja EU:n ulkopuolelle? Esimerkiksi vaikkapa pilvitallenusta tarjoavalle taholle? Tai yrityksesi yhteistyökumppanille tai tytäryhtiölle? Siinä tapauksessa muista noudattaa asetuksen kansainvälisiä tiedonsiirtoja koskevia velvoitteita, eli laadi näitä koskeva dokumentaatio tai sopimukset, jotta täytät oikeudelliset perusteet kansainvälisille tiedonsiirroille.

Infograafi valmistaudu tietosuoja-asetukseen

Vieraskynässä tällä kertaa Villy Lindfelt. Villy on lakimies, KTM ja OTM sekä lakipalveluyritys LAKIUS Oy:n perustaja. Ennen LAKIUS Oy:n perustamista Villy toimi useamman vuoden ajan keskisuuren teknologiayrityksen lakijohtajana. Villyn erikoisosaamista on kasvuyrityksen juridiset kysymykset, erityisesti sopimus-, immateriaali-, IT- ja työoikeusasioissa. Villyn intohimona on myös palvelumuotoilu, ja hän pyrkii huomioimaan asiakkaansa ja kuulijansa ja muotoilemaan viestin selkeäksi, ymmärrettäväksi ja innostavaksi. Villyyn voit ottaa yhteyttä sähköpostitse villy.lindfelt@lakius.fi tai puhelimitse 044 2358 211.

Zervant tarjoaa helpon laskutusohjelman

Kymmenet tuhannet yrittäjät käyttävät Zervant-palvelua laskutukseen.