EU:n yleinen tietosuoja-asetus koskee jokaista toimivaa yritystä

Voimaantulon siirtymäaika päättyy 25.5.2018 – Rikkomuksista voi seurata tuntuva sakko

Tietosuoja perusoikeutena

Henkilötietojen kerääminen laajoina massoina ja niiden hyödyntäminen on tehokkaan digitaalisen tiedonkäsittelyn ja halvan muistikapasiteetin aikana helpompaa, edullisempaa ja näin kannattavampaa kuin koskaan aikaisemmin. Lukuisat päivittäin suorittamamme toimet jättävät muistijäljen: osto- ja maksutapahtumat, toimet tietoverkoissa ja erilaisissa sovelluksissa. Tietojen kerääminen, tallentaminen, yhdistely ja edelleen luovuttaminen on vaivatonta, nopeaa ja halpaa.
Tietosuoja-asetuksella pyritään palauttamaan henkilölle valtaa kontrolloida itseään koskevien tietojen käsittelyä. Tavoitteena on mahdollisimman yhtenäinen ja kattava oikeustila EU:n alueella. Sääntely on toteutettu asetuksena. Se velvoittaa kaikkia Euroopan Unionin alueella toimivia.
Asetus vahvistaa tietosuojaa itsenäisenä ja yksityisyyden suojasta erillisenä perusoikeutena. Esimerkiksi Euroopan Neuvoston ihmisoikeussopimus ei sisällä itsenäistä tietosuojaa koskevaa perusoikeutta. Sitä on ihmisoikeustuomioistuimen käytännössä suojattu osana yksityisyyden suojaa. Suomen perustuslaissakin tietosuoja on liitetty yksityisyyden suojaan. Euroopan Unionin perusoikeuskirjassa henkilötietojen suoja on mainittu itsenäisenä. Unionin tuomioistuin on edelleen linjannut tietosuojaa selkeämmin itsenäisenä perusoikeutena.

Asetuksen soveltamisala on kattava

Henkilötietoja ovat kaikki tiedot, joista henkilö voidaan tunnistaa joko suoraan tai yhdistettynä muihin tietoihin. Esimerkiksi puhelinnumero, valokuva tai auton taikka veneen rekisterinumero ovat henkilötietoja. Asetus koskee kaikkea henkilötietojen automaattista käsittelyä. Tällaisena pidetään vaikkapa tallentavan kameravalvonnan tietoja. Soveltamisalan ulkopuolelle jäävät lähinnä yksityishenkilöt, jotka käsittelevät henkilötietoja vain yksityisessä harrastus ym. toiminnassaan.

Henkilötietojen käsittely edellyttää aina asetuksessa mainittua perustetta

Henkilötietojen käsittely on laillista vain niin kauan, kuin sille on jokin asetuksessa mainittu peruste. Käsittelyä on esimerkiksi tietojen kerääminen, tallettaminen, luovuttaminen ja jopa vain niiden säilyttäminen. Jos perustetta ei enää ole, henkilötiedot on hävitettävä. Tämä on tehtävä tietosuoja säilyttäen ja myös dokumentoitava. Henkilörekisterin pitäjän on voitava osoittaa, että on lopettanut tietojen käsittelyn, kuten säilyttämisen.
Keskeinen käsittelyn peruste on rekisteröidyn henkilön oma suostumus. Rekisterinpitäjän on kyettävä näyttämään saaneensa suostumuksen. Se on pyydettävä selkeästi. Sitä ei voida olettaa, päätellä tai johtaa joistakin muista ilmaisuista tai suostumuksista. Suostumuksen on oltava vapaaehtoinen. Ongelmallista on, jos suostumusta edellytetään vaikkapa osana sopimusta, jonka täyttäminen ei edellytä sellaista henkilötietojen käsittelyä, johon suostumusta on edellytetty. Tämä ei tietenkään estä suostumuksen antamista vaikkapa sähköiseen suoramarkkinointiin muun kuin sitä koskevan sopimuksen yhteydessä. Oleellista on, että henkilötietojen käsittelystä on voitava tehokkaasti myös kieltäytyä. Suostumus on vapaaehtoinen vain silloin, kun on ollut todellinen mahdollisuus myös jättää se antamatta. Suostumus myös voidaan milloin tahansa peruuttaa. Tämän on oltava yhtä helppoa kuin suostumuksen antaminen. Kun suostumus on peruutettu, henkilötietojen käsittely ei enää voi perustua siihen. Peruuttamista edeltänyttä tietojen käsittelyä peruuttaminen ei tee laittomaksi, mutta jos käsittelyä jatketaan, sille on oltava muu peruste.
Henkilötietojen käsittelyyn oikeuttaa myös rekisteröidyn kanssa tehdyn sopimuksen täyttäminen tai rekisteröidyn pyynnöstä myös tätä edeltävät toimet. Perusteeksi käy myös laissa määrätyn velvollisuuden täyttäminen. Tällaisena voidaan pitää vaikkapa tuoretta ja niin ikään EU-lähtöiseen sääntelyyn perustuvaa rahanpesun ja terrorismin torjuntaan tähtääviä tietojen keruuta ja analysointia.
Peruste, joka tulee olemaan yksi eniten sovellettavia ja joka on myös yksi tulkinnanvaraisimpia, on muun kuin rekisteröidyn oikeutettu etu. Sen perusteella esimerkiksi suoramarkkinointia voidaan edelleen määrätyin edellytyksin harjoittaa. On kuitenkin syytä muistaa, että luonnolliseen henkilöön kohdistettu sähköinen suoramarkkinointi, esimerkiksi sähköpostina tai tekstiviestinä, edellyttää jo voimassa olevan lain mukaan tämän etukäteistä suostumusta. Yrityksiin voidaan sähköistäkin suoramarkkinointia kohdentaa edelleen ja myös henkilötietoja käsitellä tätä varten, mutta samalla on ilmoitettava selkeästi kielto-oikeudesta. Tämä on tehtävä, kun rekisteröityyn ollaan ensimmäistä kertaa yhteydessä. Vielä valmisteilla on EU:n sähköisen viestinnän tietosuoja-asetus, jossa on tarkoitus säädellä muun muassa juuri suoramarkkinointia.

Rekisteröidyn oikeuksia

Jokaisella on oikeus saada tietoa omien henkilötietojensa käsittelystä ja niiden käsittelyn perusteesta. Epätarkat ja virheelliset tiedot on oikeus saada oikaistua. Määrätyin edellytyksin henkilö voi vaatia itseään koskevien tietojen poistamista tai niiden käsittelyn rajoittamista. Jos tietoja käsitellään oikeutetun edun perusteella, rekisteröidyllä henkilöllä on käsittelyn vastustamisoikeus. Tietojen käsittely on tällöin lopetettava, ellei siihen ole asetuksessa mainittua huomattavan tärkeää syytä. Esimerkiksi suoramarkkinointi on lopetettava, jos sen kohteena ollut henkilö ilmoittaa sitä vastustavansa.

Rekisterinpitäjän velvollisuuksia

Rekisterinpitäjän vastuulla on, että rekisteröidyn oikeudet voidaan tehokkaasti toteuttaa. Henkilöitä on selkeästi ja ymmärrettävästi informoitava heitä koskevien tietojen käsittelystä. Tietojen suojaamisesta ja salassapidosta on huolehdittava niin teknisesti organisatorisesti kuin sopimuksellisestikin. Käsittely tulee rajoittaa vain kulloisenkin tarkoituksen kannalta tarpeellisiin tietoihin. Tiedot, joita ei tarvita tai joiden käsittelyn peruste on lakannut, tulee hävittää. Mahdolliset tietoturvaloukkaukset on lähtökohtaisesti raportoitava tietosuojavaltuutetun toimistolle

Oikeustila täsmentyy vielä

Asetuksessa on annettu jäsenvaltioille oikeus säätää kansallisia poikkeuksia ja lievennyksiä. Näitä, samoin kuin lukuisia täsmennyksiä tullaan Suomessa saattamaan voimaan uudella tietosuojalailla. Se on toistaiseksi valmisteluvaiheessa. On luultavaa, että kansallinen laki ei ole voimassa vielä siirtymäajan päättyessä. Oikeustila määrittyy siinä tapauksessa vain asetuksen perusteella siihen asti, kunnes kansallinen laki tulee voimaan.

Rikkomuksista seuraa sakko ja vahingonkorvaus

Rekisteröidylle asetuksen säännöksiä rikkomalla aiheutettu vahinko on korvattava. Lisäksi asetuksessa on määrätty sakoista. Niille on asetettu ylärajaksi 4% yrityksen tai konsernin maailmanlaajuisesta liikevaihdosta, tai 20 miljoonaa euroa. Suurempi soveltuu.

Mitä nyt on tehtävä?

Siirtymäajan päättyminen lähestyy. Aikaa on enää runsaat kaksi kuukautta. Jokaisen toimivan yrityksen on saatettava henkilötietojen käsittely ja niiden suojaaminen asetuksen vaatimalle tasolle. Erityisen tärkeää on valmius tiedottaa rekisteröidyille näiden omien henkilötietojen käsittelystä. Tietojen suojaaminen ja myös tietojen hävittäminen on dokumentoitava.

______________________________________________________________

Jokaisen yrityksen on kyettävä vastaamaan kysymyksiin:

– Kenen henkilötietoja käsitellään?

– Kuka niitä käsittelee ja millä perusteella?

– Miten tiedot suojataan oikeudettomalta käsittelyltä ja tietomurroilta?

Kaikki tämä on kyettävä myös osoittamaan.

______________________________________________________________

Tietosuojaseloste

Yrityksen tulee laatia tietosuojaseloste. Sen pohjana voi käyttää voimassa olevan henkilötietolain mukaista rekisteriselostetta. Tähän tulee merkinnät ainakin käsiteltävien henkilötietojen lajista. Niitä voivat olla henkilöstö, asiakastiedot, yhteistyökumppanit, markkinointiin suostumuksensa antaneet ja muut markkinoinnin kohteet. Selosteeseen sisällytetään henkilötietojen käsittelyn tavat, käsittelijät ja käsittelyn peruste sekä suojaustoimenpiteet. Suositeltavaa on lisäksi laatia tietoturvasta vuosittainen raportti. Sen ylläpidosta on hyvä tehdä jatkuva prosessi. Tähän on luontevaa kirjata muun muassa tietojen hävittäminen, mahdolliset tietoturvaloukkaukset ja toimet niiden johdosta sekä kaiken tämän dokumentaatio tai selostus siitä.

Käytä asiantuntijaa

Tietosuojan saattaminen asetuksen edellyttämälle tasolle edellyttää niin teknistä kuin oikeudellistakin osaamista. Molemmissa on syytä käyttää asiantuntijaa. Tietoturvan ja suojausten kattavuuden ja riittävyyden turvaaminen, valmiudet informoida rekisteröityjä sekä näitä koskevan dokumentaation varmistaminen on hyvä käydä läpi tähän erikoistuneen asiantuntijan kanssa. Tietojen käsittelyn perusteen oikeudellinen arviointi, käsittelyn laillisuus, rekisteröidyn oikeuksien turvaaminen ja rekisterinpitäjän velvollisuuksien täyttäminen on niin ikään syytä käydä läpi asiantuntijan kanssa. Heikkilä & Co on tässäkin mielihyvin palveluksessanne.

Pekka Vainio

010 289 9401

OTK, LL.M., KTL

Lakiasiaintoimisto Heikkilä & Co Oy

Jätä yhteydenottopyyntö

Kenttä on validointitarkoituksiin ja tulee jättää koskemattomaksi.