Tampere
15 Jan, Friday
-19° C

Proakatemian esseepankki

GDPR, kärpänen vai härkänen?



Kirjoittanut: Outi Kattelus - tiimistä Evision.

Esseen tyyppi: Yksilöessee / 2 esseepistettä.
Esseen arvioitu lukuaika on 4 minuuttia.

1  JOHDANTO

GDPR – tuo ihanalta kuulostava kirjainyhdistelmä, jota on edes hankala muistaa. Mikä se oikein on ja mitä sillä tarkoitetaan? Oma ajatukseni tällä hetkellä on se, että kaikki periaatteessa tietävät, mutta sitten eivät kuitenkaan tiedä, kun pitäisi jotain faktoja sanoa asioihin liittyen. Kun kysytään, että miten teillä toteutuu GDPR, mitä vastaat? Itse ainakin myönnän olevani täysin hukassa asian suhteen ja siksi haluankin paneutua aiheeseen.

 

2  MIKÄ ON GDPR?

GDPR on Euroopan Unionin yleinen tietosuoja-asetus, jota on alettu soveltaa 25.5.2018. Se koskee henkilötietojen keräämistä, säilytystä ja hallinnointia ja niihin liittyy tarkkojakin vaatimuksia, joita yritysten ja organisaatioiden täytyy huomioida. Nämä toimet koskevat EU:n alueella asuvien henkilötietoja ja sillä ei ole väliä, onko henkilötietoja keräävä yritys EU:n jäsen vai ei. (Yleinen tietosuoja-asetus 2020.)

Henkilötietoihin kuuluvat normaalien yhteystietojen lisäksi muun muassa henkilökortin tai passin numero, tulot, kulttuurinen profiili, IP-osoite ja sairaalan tai lääkärin hallussa olevat tiedot. On kuitenkin myös sellaisia henkilötietoja, joita ei voi käsitellä ollenkaan. Näitä tietoja ovat muun muassa sukupuolinen suuntautuminen, etninen alkuperä, uskonnollinen vakaumus, poliittinen suuntautuminen ja ammattiliittoon kuuluminen. (Yleinen tietosuoja-asetus 2020.)

Henkilötietoja on monenlaisia, mutta varmasti kaikkien kannalta järkevintä on kerätä vain sellaisia henkilötietoja, joita oikeasti tullaan tarvitsemaan. Tämä nimitäin tulee vähentämään huomattavasti kaikkea työmäärää. Mikäli sinulle esimerkiksi riittää ainoastaan asiakkaan sähköpostiosoite, miksi et pyytäisi vain sitä. Jos asiakas koskee esimerkiksi webinaarin linkin lähettämistä, et tarvitse muita tietoja kuin sähköpostiosoitteen. Terveystietoja varten tarvitaan heti huomattavan paljon enemmän tietoja, mutta ne ovat tarkoituksenmukaisia siihen liittyvään toimintaan nähden.

 

3  HENKILÖTIETOJEN KÄSITTELY JA VALVONTA

Henkilötietojen käsittelyä varten yrityksillä tulisi olla kaksi vastaavaa, joista rekisterinpitäjä päättää henkilötietojen käyttötarkoituksesta ja -tavasta. Tietojenkäsittelijä puolestaan säilyttää ja käsittelee tiedot rekisterinpitäjän puolesta. (Yleinen tietosuoja-asetus 2020.)

Sen lisäksi, että yrityksessä on mahdollista käsitellä henkilötietoja, niin niiden käsittelyä täytyy kuitenkin myös valvoa. Tätä varten on erikseen nimettävä tietosuojavastaava, joka valvoo ja neuvoo henkilötietoja käsitteleviä henkilöitä sekä on yhteyshenkilö tietosuojaviranomaisten ja yksityishenkilöiden välillä. Tietosuojavastaavaa ei kuitenkaan aivan jokaisessa tapauksessa tarvita, sillä jos yritys esimerkiksi lähettää asiakkailleen markkinointisähköpostia kerran vuodessa niin sitä ei tarvita. Tietosuojavastaava voi olla joko yrityksen työntekijä, mutta se voidaan palkata myös ulkopuolelta. (Yleinen tietosuoja-asetus 2020.)

Hienot tittelit saavat rekisterinpitäjän, tietojenkäsittelijän ja tietosuojavastaavan kuulostamaan pelottavilta titteleiltä. Monessa yrityksessä näistä asioista on kuitenkin joku huolehtinut jo ennen GDPR:n voimaan astumista. Nimikkeen takana oleva konkreettinen tekeminen on varmasti muuttunut ja sitä on tullut lisääkin, mutta itse titteliä ei varmasti ole syytä pelätä kunhan vain kirkastaa itselleen, mitä nämä asiat pitävät sisällään.

 

4  MILLOIN TIETOJA SAA KÄSITELLÄ?

Henkilötietoja saa käsitellä vain siihen tarkoitukseen, kun tiedot on kerätty ja niitä tulee käsitellä vain lain mukaisesti ja laillista tarkoitusta varten. Henkilötietojen käsittelyä varten vähintään yhden seuraavista ehdoista tulee täyttyä.

  • Yritys on saanut asianomaisen suostumuksen
  • Yrityksellä täytyy olla sopimusvelvoite henkilön kanssa
  • Yritys tarvitsee tietoja laillisen velvoitteen täyttämiseksi
  • Yritys tarvitsee henkilötietoja suojellakseen henkilön elintärkeitä etuja
  • Yritys tarvitsee henkilötietoja yleisen edun mukaisen tehtävän suorittamiseksi
  • Yritys voi käsitellä henkilötietoja, mikäli henkilön omat edut eivät ohita yrityksen etuja

(Yleinen tietosuoja-asetus 2020.)

Henkilön täytyy myös suostua häntä koskevien henkilötietojen käyttöön ja hänen täytyy myös ymmärtää mihin on suostumassa. Suostumus tulee antaa rastittamalla ruutu, verkkosivuilla tai allekirjoituksella ja nämä toimet tulee tehdä vapaaehtoisesti, yksiselitteisesti, yksilöidysti ja tietoisesti. Toistona vielä, että henkilötietoja voidaan käyttää vain siihen tarkoitukseen, mihin on annettu suostumus. Myös syy henkilötietojen käyttämiseen täytyy olla henkilölle selvä. Mikäli henkilötiedot koskevat lapsia, tarvitaan ensin vanhempien suostumus. Lapsen ikä riippuu maasta, mutta vaihteluväli on 13-16. (Yleinen tietosuoja-asetus 2020.)

Henkilötietojen käsittelyyn tuntuu olevan monenlaisia syitä ja yksi helpommin käsiteltävistä on varmasti se, että henkilö on itse antanut suostumuksensa johonkin asiaan. Itsekin tulee napsuteltua ruutuja sinne sun tänne aina välillä, tarkemmin katsomatta mihin sitä nyt onkaan lupautumassa. Itselläni on myös se käsitys, että mikäli suostumuksia ei anna joihinkin asioihin, niin jonkin asian tapahtuminen evätään kokonaan. Mutta toki, onhan loogista, että mikäli olen kiinnostunut jostakin asiasta ja haluan lisätietoa esimerkiksi lataamalla yrityksen materiaalia internetistä niin minua pidetään potentiaalisena asiakkaana ja näin kerätään yhteystietoni samalla markkinointia varten.

 

5  HENKILÖN OIKEUS OMIIN TIETOIHINSA

Jokaiselle tulee taata pääsy omiin tietoihinsa ja tämän täytyy tapahtua maksuttomasti. Henkilö voi myös pyytää palauttamaan tai siirtämään omat henkilötietonsa toiselle yritykselle. Mikäli henkilötiedot ovat virheelliset, puutteelliset tai epätarkat niin niihin on saatava oikaisu tai tarkennus viipymättä. Henkilöllä on myös oikeus kieltää henkilötietojensa käyttämistä tiettyyn tarkoitukseen liittyen. Mikäli yrityksen etu kuitenkin menee yksilön edun edelle niin tätä kieltämistä ei voida hyväksyä. Henkilötietojen käyttöä voidaan myös rajoittaa, mikäli joudutaan selvittämään, meneekö yrityksen vai henkilön etu edelle. Myös henkilötietojen poisto on joissain tapauksissa mahdollista ja ne voidaan ns. unohtaa. (Yleinen tietosuoja-asetus 2020.)

Henkilötietojen asianmukainen kerääminen ja säilytys on varmasti vielä yksinkertainen prosessi ja vähäinen työmäärä verrattuna siihen, että henkilöt alkaisivat sankoin joukoin omia tietojaan kyselemään yrityksiltä. Se on myös tietyllä tavalla pois yrityksen omasta toiminnasta, sillä olettaisin, että ainakaan pienissä yrityksessä ei ole resursoitu tähän käytettävää työaikaa.

 

6  HENKILÖTIETOJEN DOKUMENTOINTI

Yrityksen tehtävä on osoittaa toimivansa tietosuoja-asetuksen mukaisesti. Tämä tulee tehdä erityisesti tietosuojaviranomaisen pyynnöstä tai sen suorittamassa tarkastuksessa. Tähän auttaa rekisterin pitäminen seuraavista tiedoista.

  • Tietojenkäsittelyyn osallistuvan nimi ja yhteystiedot
  • Syy henkilötietojen käsittelyyn
  • Kuvaus henkilötietojen tarjoajien ryhmästä
  • Organisaatioryhmät, jotka saavat henkilötietoja
  • Henkilötietojen siirto toiseen maahan tai organisaatioon
  • Henkilötietojen säilytysjakso
  • Kuvaus henkilötietojen käsittelyssä käytettävistä turvatoimenpiteistä

(Yleinen tietosuoja-asetus 2020.)

PK-yrityksillä on kuitenkin helpotuksia henkilötietoihin liittyen, sillä heidän ei tarvitse pitää rekisteriä käsittelytoimista, mikäli se ei tee käsittelytoimia säännöllisesti, ei toteuta toimia, jotka vaikuttavat henkilön oikeuksiin ja vapauksiin tai ei käsittele arkaluontoisia tietoja tai rikosrekisteriä. (Yleinen tietosuoja-asetus 2020.)

Nämä ovat niitä tietoja, jotka tulevat tietosuojaselosteeseen. Useampia tietosuojaselosteita tarkasteltuani havaitsin, että tämän selosteen tekeminen ei todellakaan ole mitään rakettitiedettä. Täytyy vain huolehtia, että yllä mainittuja kohtia käsitellään selosteessa. Yhtenä tärkeänä kohtana kuitenkin se, että asiat on myös kirjattu tietosuojaselosteeseen laillisesti oikein.

 

7  RIKKOMUKSET JA SEURAAMUKSET

Yleisen tietosuoja-asetuksen rikkominen johtaa yritykselle merkittäviin kuluihin. Sakko tällaisista toimista voi olla jopa 20 miljoonaa euroa. Useimmiten sakko kuitenkin määräytyy yrityksen liikevaihdon perusteella ja siitä laskettuna se on 4%. Myös muita seuraamuksia voi olla, sillä tietosuojaviranomainen voi vaatia henkilötietojen käsittelyn lopettamisen.

Itse en ole huomannut, että mediassa olisi nostettu esiin yritysten tekemiä rikkomuksia yleisen tietosuoja-asetuksen suhteen. Joko näitä rikkomuksia ei ole tarkastetuilla yrityksillä ollut tai tarkastukset eivät ole vielä lähteneet kunnolla vauhtiin. Toivomme tietenkin ensimmäistä, mutta uskon myös, että näitä rikkomuksia tulee tulemaan ennemmin tai myöhemmin.

 

8  POHDINTA

GDPR:ään nyt enemmän perehdyttyäni huomasin, että asiat eivät välttämättä ole aivan niin mahdottoman vaikeita, miltä ne on saatu aikaisemmin kuulostamaan. Nämä puheet liittynevät muutoksesta, ja kuten tiedetään, muutoksella on usein myös vastarintansa. En myöskään tiedä, onko henkilötietojen käsittelyyn tullut aiemmin näin suuria muutoksia, jotka koskevat käytännössä kaikkia, joten keskustelua kahvipöydissä on varmasti riittänyt. Toivottavasti yritykset ovat kuitenkin ottaneet rohkeasti härkää sarvista ja taklanneet esteet yksi kerrallaan. Isona GDPR-möykkynä asia on varmasti tuntunutkin kamalalta, mutta pienemmäksi pilkottuna toivottavasti vähintäänkin kohtuulliselta.

Tästä viisastuneena onkin aika ottaa härkää sarvista myös HIGHLEVELissä ja hoitaa kaikki asiat kuntoon, niin voi hyvällä omallatunnolla olla asiakkaiden kanssa tekemisissä. Ja jos asiakas kysyy, että miten meillä hoidetaan GDPR niin on selvät sävelet siitä, miten se menee. Toki, käytännön toteutukseen täytyy edelleen perehtyä, mutta nyt on tiedossa jo perusteet, millä henkilötietoja kerätään. Ei muuta kuin tuulta purjeisiin ja vauhdilla eteenpäin!

 

 

LÄHTEET:

Euroopan Unioni. 2020. Yleinen tietosuoja-asetus. Tarkastettu 14.4.2020. EU. Luettu 17.4.2020. https://europa.eu/youreurope/business/dealing-with-customers/data-protection/data-protection-gdpr/index_fi.htm

 

 

Kommentoi

Add Comment
Loading...

Cancel
Viewing Highlight
Loading...
Highlight
Close