GDPR

GDPR (General Data Protection Regulation) eli EU tietosuoja-asetus

"Uusi" GDPR tietosuoja-asetus tuli voimaan jo keväällä 2016, mutta tällä hetkellä elämme siirtymävaihetta. Uutta lakia aletaan soveltamaan 25.5.2018 alkaen - siihen mennessä jokaisella yrityksellä tulisi olla edes jonkinmoinen käsitys uudesta tietosuoja-asetuksesta, sen rajoitteista ja ennenkaikkea sen oikeanlaisesta noudattamisesta. Tähän kirjoitukseen olen nostanut joitakin yksittäisiä pääperiaatteita esille. Eniten tämä tietosuoja-asetus vaikuttaa isoihin organisaatioihin ja tiettyihin aloihin kuten terveysalaan, jolla on valtava määrä herkkäluontoista informaatiota isosta joukosta ihmisiä. Tämä ei kuitenkaan sulje pois sitä, että myös pk-yrityksen kannattaa harkita tarkkaan mitä tietoa se kerää ja miten sitä säilytetään.
(Kursivoidut tekstit suoria lainauksia Suomen Oikeusministeriön selvityksestä)

Tietosuoja- periaatteita ovat:

  • −  käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
  • −  käyttötarkoitussidonnaisuus
  • −  tietojen minimointi
  • −  tietojen täsmällisyys
  • −  tietojen säilytyksen rajoittaminen
  • −  tietojen eheys ja luottamuksellisuus
  • −  rekisterinpitäjän osoitusvelvollisuus

Rekisterinpitäjän on huolehdittava siitä, että tietosuojaperiaatteita noudatetaan kaikissa henkilötietojen käsittelyvaiheissa. Rekisterinpitäjää koskevan osoitusvelvollisuuden johdosta rekisterinpitäjän on pystyttävä myös osoittamaan, että periaatteita noudatetaan.

Oletusarvoisen tietosuojan periaate merkitsee, että rekisterinpitäjän tulee oletusarvoisesti käsitellä vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja.
Kaksi yllä olevaa kappaletta tarkoittavat mm. sitä että "turhaa tietoa" ei saisi kerätä vain tiedon takia (Oletusarvoinen tietosuojan periaate), vaan sinun tulee osoittaa että tiedon kerääminen on tarpeellista, tulee kyetä osoittamaan mihin kerättyä tietoa käytetään ja ennenkaikkea tulee kyetä osoittamaan, että tietoja kohdellaan ja säilytetään oikein (Osoitusvelvollisuus)
Riskiperusteinen lähestymistapa tarkoittaa, että tietosuoja-asetuksen velvoitteet ja asianmukaiset suojatoimet on suhteutettava henkilötietojen käsittelystä rekisteröidyn oikeuksille ja vapauksille aiheutuvaan riskiin.

Toisin sanoen, mitä herkempää ja tärkeämpää tietoa säilytät (eli mitä suurempia vahinkoja seuraisi, jos kyseiset tiedot vuotaisivat), sen suuremmat tulee varotoimenpiteet ja suojaus olla. Riskejä nostavat esim. tarkat henkilötiedot kuten henkilötunnukset sekä esim. lapsia koskevat tiedot. Riski on korkealla myös jos arvioidaan ihmisen henkilökohtaisia ominaisuuksia henkilöprofilointia varten (mm. seksuaalisuutta, vartaloa, poliittisia tai ideologisia suuntaumuksia). Alle 16-vuotiaille suunnattujen palvelujen tarjoajat kuten kerhot ja harrastetoiminta vaativat uuden säädöksen mukaan vanhempainvastuunkantajan suostumusta - yleensä tämä toteutuu luonnostaan mm. harrastusten maksujen yhteydessä, mutta tähän on syytä kiinnittää kuitenkin huomiota.

Osana henkilötietojen käsittelyä koskevan toiminnan arviointia on myös huomioitava, ulkoistetaanko tietojen käsittelyyn liittyviä tehtäviä henkilötietojen käsittelijälle.Tällä tarkoitetaan esimerkiksi tietojen säilytys- ja analysointipalveluiden ostamista toiselta organisaatiolta.
Toisin sanoen, jos organisaatio ulkoistaa esim. asiakasrekisterinsä markkinointitoimenpiteitä tarjoavalle organisaatiolle, on myös asiakkaan eli rekisterin pitäjän vastuulla tietää, että myös ulkoistettu organisaatio eli henkilötietojen käsittelijä noudattaa uusia (ja vanhoja) vaatimuksia.
Tässä vain muutamia yksittäisiä pointteja koskien tietosuoja-asetusta. Olethan valmis kuin lakia aletaan soveltamaan, ei pelkästään lainsäädännön takia vaan myös niiden puolesta, joista tietoa keräät.
Lisätietoa GDPR tietosuoja-asetuksesta: Suomen Oikeusministeriö