Päi­vi­tet­ty 15.12.2017

EU:n uusi tie­to­suo­ja-ase­tus eli GDPR (Gene­ral Data Pro­tec­tion Regu­la­tion) astuu voi­maan 25.5.2018. Sil­loin kah­den vuo­den mit­tai­nen siir­ty­mä­vai­he päät­tyy, ja ase­tus alkaa vel­voit­taa EU-alu­eel­la toi­mi­via hen­ki­lö­tie­to­ja kerää­viä yri­tyk­siä, jär­jes­tö­jä ja viran­omai­sia. Monel­le on vie­lä epä­sel­vää, mikä tie­to­suo­ja-ase­tus on, miten se vai­kut­taa ja ketä se kos­ket­taa. Lis­ta­sim­me tähän uudis­tuk­sen avain­koh­dat:

Vai­kut­taa käy­tän­nös­sä kaik­kiin

Tie­to­suo­ja-ase­tuk­ses­sa puhu­taan “hen­ki­lö­tie­to­ja sisäl­tä­vis­tä rekis­te­reis­tä” ja “rekis­te­rin­pi­tä­jis­tä”, mikä voi monen kor­vis­sa kuu­los­taa hämää­vän etäi­sel­tä. Käy­tän­nös­sä kui­ten­kin muu­tos vai­kut­taa lähes jokai­seen yri­tyk­seen ja muu­hun orga­ni­saa­tioon, sil­lä ne mil­tei kaik­ki kerää­vät aina­kin jon­kin­lai­sia hen­ki­lö­tie­to­ja.

Ase­tuk­sen tar­koit­ta­mia hen­ki­lö­re­kis­te­rei­tä voi­vat olla esi­mer­kik­si yri­tyk­sen kerää­mä pape­ri­nen arkis­to asia­kas­tie­dois­ta, Excel-tau­luk­ko, johon on lis­tat­tu työn­te­ki­jöi­den perus­tie­dot tai verk­ko­si­vuil­ta kerä­tyt yksi­löi­tä­vät kävi­jä­tie­dot. Rekis­te­rin­pi­tä­jik­si las­ke­taan siis kaik­ki, jot­ka itse tai jon­kun väli­tyk­sel­lä kerää­vät hen­ki­lö­tie­to­ja.

Rik­ko­mi­ses­ta voi seu­ra­ta kovia sank­tioi­ta

GDPR-ase­tuk­sen nou­dat­ta­mis­ta val­vo­vat viran­omai­set voi­vat antaa tie­to­suo­ja­rik­ko­muk­sis­ta huo­mau­tuk­sia, mää­rä­tä rik­ko­jan kor­jaa­maan puut­teet tai rajoit­taa hen­ki­lö­tie­to­ja vaa­ran­ta­vaa toi­min­taa. Pahim­mil­laan rik­ko­muk­sis­ta voi saa­da kovat sakot, joi­den suu­ruus voi olla jopa 4 pro­sent­tia edel­tä­vän tili­kau­den lii­ke­vaih­dos­ta, kui­ten­kin enin­tään 20 mil­joo­naa euroa. Lisäk­si ihmi­set voi­vat vaa­tia kor­vauk­sia lai­min­lyön­nin heil­le aiheut­ta­mis­ta vahin­gois­ta.

Pyr­ki­myk­se­nä vas­ta­ta glo­baa­lei­hin haas­tei­siin

Tie­to­suo­ja-ase­tuk­sel­la pyri­tään tor­ju­maan glo­ba­li­saa­tion ja tek­no­lo­gian nopean kehi­tyk­sen hen­ki­lö­tie­doil­le aset­ta­mia uhkia. Samal­la tie­to­suo­jan taso eri EU-mai­den välil­lä saa­daan yhden­mu­kais­tet­tua.

Tar­koi­tuk­se­na on myös teh­dä hen­ki­lö­tie­to­jen käsit­te­lys­tä läpi­nä­ky­väm­pää ja antaa ihmi­sil­le enem­män mah­dol­li­suuk­sia vai­kut­taa sii­hen, miten hei­dän hen­ki­lö­tie­to­jaan käsi­tel­lään.

Ase­tuk­sen astut­tua voi­maan yri­tyk­sil­le tulee van­ho­jen tie­to­suo­ja­vel­voit­tei­den rin­nal­le lukui­sia uusia. Tii­vis­tim­me rekis­te­rin­pi­tä­jil­tä jat­kos­sa vaa­di­tut asiat yhdek­sään sään­töön.

1. Ole peril­lä miten hen­ki­lö­tie­to­ja käsi­tel­lään yri­tyk­ses­sä­si

Orga­ni­saa­tioi­den täy­tyy tie­tää, mitä hen­ki­lö­tie­to­ja heil­lä on hal­lus­saan ja miten nii­tä käsi­tel­lään. Rekis­te­rin­pi­tä­jän tulee olla peril­lä, miten rekis­te­rin tie­to­suo­ja­pe­ri­aat­teet on otet­tu huo­mioon sekä miten ris­kien­hal­lin­ta ja tie­to­tur­va on hoi­det­tu. Kar­toit­ta­mal­la kun­nol­la mil­lai­nen hen­ki­lö­tie­to­jen käsit­te­lyn nyky­ti­lan­ne yri­tyk­ses­sä­si on, pys­tyt hel­pom­min sel­vit­tä­mään mitä muu­tok­sia sinun on teh­tä­vä.

Tie­to­jen­kä­sit­te­lys­tä voi laa­tia niin sano­tun tie­to­ti­lin­pää­tök­sen. Sii­nä ker­ro­taan miten orga­ni­saa­tio huo­leh­tii tie­to­suo­jan toteu­tu­mi­ses­ta. Tie­to­ti­lin­pää­tök­sen avul­la esi­mer­kik­si yri­tyk­sen työn­te­ki­jät pysy­vät sel­vil­lä, miten hei­dän on toi­mit­ta­va tie­to­suo­ja-asioi­den kans­sa.

Monet rekis­te­rin­pi­tä­jät ulkois­ta­vat tie­to­jen­kä­sit­te­ly­ään esi­mer­kik­si osta­mal­la ulko­puo­lis­ta pal­ve­lua kuten pil­vi­pal­ve­lua tie­to­jen säi­lyt­tä­mi­seen, tai palk­kaa­mal­la ulko­puo­li­sen tahon ana­ly­soi­maan tie­to­ja. Täl­löin pal­ve­lun­tar­joa­jan kans­sa on laa­dit­ta­va kir­jal­li­nen tie­to­jen­kä­sit­te­ly­so­pi­mus, jos­sa sovi­taan muun muas­sa mitä tie­to­ja käsi­tel­lään ja kuka on vas­tuus­sa mis­tä­kin.

2. Osoi­ta nou­dat­ta­va­si tie­to­suo­ja­mää­räyk­siä

Jat­kos­sa pelk­kä tie­to­suo­ja­mää­räys­ten nou­dat­ta­mi­nen ei rii­tä, vaan rekis­te­rin­pi­tä­jän on myös pys­tyt­tä­vä osoit­ta­maan nou­dat­ta­van­sa nii­tä. Tämä tar­koit­taa tie­to­jen­kä­sit­te­lyn ja tie­to­suo­jan tark­kaa doku­men­toin­tia. Rekis­te­rin­pi­tä­jäl­lä on olta­va ajan­ta­sal­la ole­va rekis­te­ri­se­los­te, jos­ta käy­vät ilmi muun muas­sa mitä tie­to­ja rekis­te­riin on kerät­ty ja mihin tar­koi­tuk­seen.

3. Käsit­te­le vain tar­peel­li­sia tie­to­ja

Läh­tö­koh­tai­ses­ti hen­ki­lö­tie­to­ja saa käsi­tel­lä vain tie­tyn tar­koi­tuk­sen vaa­ti­mal­la taval­la. Tämä sään­tö kos­kee niin hen­ki­lö­tie­to­jen mää­rää, säi­ly­ty­sai­kaa ja saa­ta­vuut­ta kuin nii­den käsit­te­lyn laa­juut­ta­kin. Tie­to­ja ei esi­mer­kik­si voi säi­löä “var­muu­den vuok­si” loput­to­miin tai kerä­tä sel­lais­ta tie­toa, jota ei oikeas­ti tar­vi­ta.

Hyvä­nä nyrk­ki­sään­tö­nä voi pitää sitä, että kan­nat­taa kerä­tä vain nii­tä hen­ki­lö­tie­to­ja, jot­ka ovat vält­tä­mät­tö­miä sen kan­nal­ta mitä teet. Kun tie­dot lak­kaa­vat ole­mas­ta tar­peel­li­sia, ne kan­nat­taa pois­taa.

4. Var­mis­ta, että sinul­la on oikeus kerä­tä ja käsi­tel­lä tie­to­ja

Tie­to­suo­ja-ase­tuk­ses­sa sää­de­tään ehto­ja sil­le, että hen­ki­lö­tie­to­jen kerää­mi­nen yli­pään­sä on sal­lit­tua. Var­ma tapa pitää huol­ta, että hen­ki­lö­tie­to­jen käsit­te­ly var­mas­ti on lail­lis­ta, on pyy­tää asian­omai­sel­ta lupa hänen tie­to­jen­sa käyt­töön. Toi­nen ylei­nen oikeu­tus on tie­to­jen­kä­sit­te­lyn vält­tä­mät­tö­myys – esi­mer­kik­si sil­loin, kun yri­tys tar­vit­see asiak­kaan hen­ki­lö­tie­to­ja voi­dak­seen nou­dat­taa hänen kans­saan sol­mit­tua sopi­mus­ta.

Jos oikeu­tus tie­to­jen käy­töl­le perus­tuu hen­ki­löl­tä saa­tuun eril­li­seen suos­tu­muk­seen, kan­nat­taa huo­mioi­da sen aiem­paa tiu­kem­mat kri­tee­rit. Jat­kos­sa asian­omai­sen täy­tyy ilmais­ta suos­tu­muk­se­na aktii­vi­ses­ti ja yksi­se­lit­tei­ses­ti, esi­mer­kik­si ras­tit­ta­mal­la valin­ta­ruu­tu asias­ta. Monel­le rekis­te­rin­pi­tä­jäl­le voi tul­la ikä­vä­nä yllä­tyk­se­nä, ettei hei­dän aiem­min hank­ki­mi­aan hen­ki­lö­tie­to­ja vält­tä­mät­tä voi uudis­tuk­sen jäl­keen enää käyt­tää, jos nii­hin ei ole saa­tu sel­ke­ää suos­tu­mus­ta.

Tie­don­ke­rää­mi­sen luval­li­suu­teen kan­nat­taa kiin­nit­tää todel­la tark­kaa huo­mio­ta sil­loin, kun kysees­sä on eri­tyi­sen hen­ki­lö­koh­tais­ta tai arka­luon­tois­ta tie­toa, kuten ihmis­ten ter­veys­tie­dot.

Jos laa­ja­mit­tai­nen arka­luon­tois­ten hen­ki­lö­tie­to­jen käsit­te­ly on rekis­te­rin­pi­tä­jän ydin­toi­min­taa, hänen pitää nimit­tää eri­tyi­nen tie­to­suo­ja­vas­taa­va val­vo­maan tie­to­jen­kä­sit­te­lyä. Tie­to­suo­ja­vas­taa­va tar­vi­taan myös jul­ki­sen sek­to­rin toi­mi­joil­le, tai jos ihmis­ten hen­ki­lö­tie­to­jen sään­nöl­lis­tä ja jär­jes­tel­mäl­lis­tä seu­ran­taa on tar­koi­tus teh­dä laa­jem­min.

5. Tee ris­kiar­vio ja toi­mi sen mukaan

GDPR-ase­tus­ta laa­dit­taes­sa on pyrit­ty vält­tä­mään mata­la­ris­ki­sen toi­min­nan tur­haa sää­te­lyä niin sano­tun ris­ki­pe­rus­tei­sen lähes­ty­mis­ta­van kaut­ta. Tämä tar­koit­taa, että rekis­te­rin­pi­tä­jän pitää arvioi­da mil­lai­sia ris­ke­jä hen­ki­lö­tie­to­jen käsit­te­lys­tä aiheu­tuu ja suh­teut­taa sen mukaan, mil­lai­sia toi­mia tie­to­suo­jaan tar­vi­taan.

Ris­ke­jä voi syn­tyä esi­mer­kik­si las­ten tie­to­suo­jan koh­dal­la, tai kun käsi­tel­lään suur­ta mää­rää hen­ki­lö­tie­to­ja. Jos ris­ki on kor­kea, rekis­te­rin­pi­tä­jän pitää myös teh­dä arvio, mil­lai­sia vai­ku­tuk­sia tie­to­jen­kä­sit­te­lyl­lä voi olla ja ottaa ne huo­mioon toi­min­nas­saan.

Yri­tä poh­tia kuin­ka toden­nä­köis­tä on, että kerää­mä­si hen­ki­lö­tie­dot voi­vat pää­tyä vää­rin­käy­te­tyik­si ja mie­ti mil­lais­ta vahin­koa sii­tä seu­rai­si.

6. Ota huo­mioon nii­den oikeu­det, joi­den tie­to­ja keräät

Tie­to­suo­ja-uudis­tuk­sen tuo­mat muu­tok­set anta­vat ihmi­sil­le aiem­paa enem­män oikeuk­sia hei­dän hen­ki­lö­tie­to­jen­sa käsit­te­lyn suh­teen, mikä puo­les­taan aset­taa lisä­vel­voit­tei­ta rekis­te­rin­pi­tä­jil­le.

Rekis­te­riä pitä­vän tahon täy­tyy ilmoit­taa ihmis­ten hen­ki­lö­tie­to­ja saa­des­saan näil­le muun muas­sa kuka tie­to­ja kerää ja mihin tar­koi­tuk­seen tie­to­ja kerä­tään. Ihmi­sil­lä on myös oikeus saa­da näh­dä mitä tie­to­ja heis­tä on kerät­ty. Jos tie­to­ja ei ole kerät­ty hen­ki­löl­tä itsel­tään, hänel­le on ker­rot­ta­va mis­tä ne ovat peräi­sin.

GDPR-ase­tuk­sen myö­tä rekis­te­ris­sä ole­vat voi­vat myös vaa­tia hen­ki­lö­tie­to­jen­sa siir­toa rekis­te­rin­pi­tä­jäl­tä toi­sel­le. Sii­nä tapauk­ses­sa tie­dot, jot­ka hen­ki­lö on anta­nut rekis­te­riä var­ten täy­tyy lähet­tää hänel­le jos­sain hel­pos­ti koneel­li­ses­ti luet­ta­vas­sa muo­dos­sa. Asian­omai­sen pyyn­nös­tä tie­dot voi­daan myös siir­tää suo­raan toi­sel­le rekis­te­rin­pi­tä­jäl­le.

7. Ole val­mis kor­jaa­maan tai pois­ta­maan tie­dot tar­vit­taes­sa

Rekis­te­rin­pi­tä­jän täy­tyy oikais­ta vir­heel­li­set tai epä­tar­kat hen­ki­lö­tie­dot, jos asian­omai­nen niin pyy­tää. Ihmi­set voi­vat myös vaa­tia, että hei­dän hen­ki­lö­tie­to­jen­sa käsit­te­lyä rajoi­te­taan. Täl­lai­nen rajoi­tus­pyyn­tö voi tul­la vas­taan esi­mer­kik­si sil­loin, kun hen­ki­lö kiis­tää hän­tä kos­ke­vien tie­to­jen paik­kan­sa­pi­tä­vyy­den.

Kun tie­to­jen käsit­te­lyä jol­lain perus­teel­la rajoi­te­taan, kyseis­ten tie­to­jen käsit­te­ly pitää pis­tää jäi­hin, kun­nes ongel­ma on saa­tu sel­vi­tet­tyä. Tie­dot saa säi­lyt­tää, mut­ta niil­le ei muu­toin saa teh­dä mitään. Ennen kuin rajoi­tus pois­te­taan, asian­omai­sel­le pitää ilmoit­taa asias­ta.

GDPR-ase­tus antaa ihmi­sil­le tie­tyis­sä tapauk­sis­sa mah­dol­li­suu­den myös vas­tus­taa hen­ki­lö­tie­to­jen­sa käsit­te­le­mis­tä, jol­loin tie­to­jen käyt­tä­mi­nen pitää lopet­taa koko­naan. Hyvä esi­merk­ki täs­tä on mah­dol­li­suus kiel­tää pro­fi­loin­ti tai suo­ra­mark­ki­noin­ti. Rekis­te­rin­pi­tä­jien täy­tyy myös ker­toa täs­tä vas­tus­ta­mis­mah­dol­li­suu­des­ta asian­omai­sil­le.

Tie­to­suo­ja-ase­tus sisäl­tää myös niin sano­tun “oikeu­den tul­la unoh­de­tuk­si”. Tämä tar­koit­taa, että ihmi­set voi­vat vaa­tia hei­tä kos­ke­vien tie­to­jen pois­ta­mis­ta muun muas­sa sil­loin, kun nii­tä ei enää tar­vi­ta sii­hen tar­koi­tuk­seen, johon ne alun­pe­rin kerät­tiin, tai kun asian­omai­nen halu­aa peruut­taa hen­ki­lö­tie­to­jen käsit­te­lyl­le anta­man­sa suos­tu­muk­sen.

8. Huo­leh­di tie­to­tur­vas­ta ja val­mis­tau­du tie­to­tur­va­louk­kauk­siin

Rekis­te­rin­pi­tä­jä­nä on sinun vas­tuul­la­si var­mis­taa, että tie­to­tur­va­si on ajan tasal­la. Tie­to­tur­vaa toteu­tet­taes­sa täy­tyy huo­mioi­da hen­ki­lö­tie­to­jen käsit­te­lyn arvioi­dut ris­kit ja tie­to­tur­va­louk­kaus­ten ole­te­tut vai­ku­tuk­set, ja vali­ta käy­te­tyt suo­ja­rat­kai­sut sen mukai­ses­ti.

Käsi­tel­tä­vien tie­to­jen tur­val­li­suus täy­tyy ottaa huo­mioon koko pro­ses­sin ajan. Tämä käsit­tää esi­mer­kik­si tie­to­jen kerää­mi­sen, jär­jes­tel­mien vika­sie­toi­suu­des­ta huo­leh­ti­mi­sen, tie­to­jen­kä­sit­te­lyn jat­ku­van val­von­nan ja tar­vit­taes­sa tie­to­jen asial­li­sen hävit­tä­mi­sen.

Mikä­li tie­to­tur­va­louk­kaus kui­ten­kin tapah­tuu ja ihmis­ten hen­ki­lö­tie­dot saat­ta­vat olla vaa­ras­sa, asias­ta täy­tyy ilmoit­taa val­von­ta­vi­ran­omai­sil­le. Jos louk­kaus vai­kut­taa ris­kialt­tiil­ta tai vaka­val­ta, sii­tä täy­tyy infor­moi­da myös hen­ki­löil­le, joi­den tie­dot ovat vaa­ran­tu­neet. Var­si­nais­ten tie­to­vuo­to­jen tai -mur­to­jen lisäk­si tie­to­tur­va­louk­kauk­sek­si las­ke­taan hen­ki­lö­tie­to­jen taha­ton tai tahal­li­nen perus­tee­ton tuhoa­mi­nen, hävit­tä­mi­nen, muut­ta­mi­nen tai luo­vut­ta­mi­nen vää­ril­le tahoil­le.

9. Päi­vi­tä verk­ko­si­vusi tie­to­suo­ja-ase­tuk­sen mukai­sek­si

Tie­to­suo­ja-ase­tuk­sen myö­tä myös verk­ko­si­vuil­la käy­te­tyt eväs­teet, käyt­tä­jien IP-osoit­teet ja muu vas­taa­va infor­maa­tio las­ke­taan hen­ki­lö­tie­doik­si, jos tie­to­ja voi­daan käyt­tää ihmis­ten tun­nis­ta­mi­seen. Näin ollen myös nämä tie­dot on suo­jat­ta­va.

Sivus­tol­ta täy­tyy löy­tyä ajan­ta­sai­nen tie­to­suo­ja­se­los­te, jos­sa ker­ro­taan muun muas­sa miten ja mik­si tie­to­ja kerä­tään. Käyt­tä­jäl­le pitää sel­keäs­ti ker­toa myös eväs­tei­den käy­tös­tä. Tämä mai­nin­ta on help­po lisä­tä esi­mer­kik­si tie­to­suo­ja­se­los­tee­seen.

Eväs­tei­den käy­tös­tä tul­laan sää­tä­mään tar­kem­min EU:n ePri­vacy-ase­tuk­ses­sa, joka on par­hail­laan työn alla. Ase­tuk­sel­la on tar­koi­tus päi­vit­tää yksi­tyi­syy­den suo­jan peli­sään­nöt säh­köi­ses­sä vies­tin­näs­sä.

Net­ti­si­vuil­le tär­keä suo­jaus hoi­tuu näp­pä­räs­ti hank­ki­mal­la sivus­tol­le SSL-ser­ti­fi­kaat­ti. SSL-salaus suo­jaa lii­ken­teen sivun­käyt­tä­jän ja sivus­ton välil­lä, jot­ta ulko­puo­li­set eivät pää­se vakoi­le­maan yhteyt­tä. Monet net­ti­se­lai­met varoit­ta­vat jo nyt käyt­tä­jiä sivus­tois­ta, joil­ta SSL-var­men­ne puut­tuu.

Käsit­te­lem­me SSL-suo­jaus­ta ja tie­to­suo­ja­se­los­teen laa­ti­mis­ta tar­kem­min kah­des­sa seu­raa­vas­sa artik­ke­lis­sam­me.