GDPR (General Data Protection Requlation) on EU:n asettama yleinen tietosuoja-asetus, joka on tullut voimaan vuoden 2016 keväällä. Asetusta aletaan soveltaa 25.5.2018 alkaen, jolloin se korvaa EU:n jäsenvaltioiden kansalliset henkilötietolait, kuten Suomen vuoden 1999 henkilötietolain. Yleisesti voidaan todeta, että kyseessä on todella iso muutos yrityksille, jonka seurauksena tietosuoja-asiat tulevat kiinteäksi osaksi yritysten liiketoimintaa.
– Voidaan ennustaa, että vuonna 2017 tämä tulee olemaan monen yrityksen yksi merkittävimmistä investointikohteista, Hannu Kumpula kertoo.
Investointi kuitenkin kannattaa, sillä uhkasakot GDPR-asetusten rikkomisesta ovat suorastaan huimat. Maksimirangaistus asetuksen velvollisuuksien rikkomisesta voi olla jopa 20 miljoonaa euroa, tai 4% yrityksen edellisen tilikauden globaalista liikevaihdosta.
Sanktiomalli on ideoitu suoraan suurten toimijoiden ja monikansallisten yhtiöiden huomion herättämiseksi, Marko Lenkkeri uskoo. Asetukseen lopulta päätyneet sanktiot kohtasivat suurta vastustusta ja lobbausyrityksiä niiden lieventämiseksi etenkin amerikkalaisten it-jättien taholta asetuksen laadintavaiheessa.
Lenkkeri ja Kumpula ohjelmistotalo Geniem Oy:stä sekä Ville Vainio Liikejuridiikkaan erikoistuneesta Applex Oy:stä ovat valmistautuneet GDPR:n voimaantuloon ja he ovat luvanneet avata uudistuksen tärkeimmät kohdat ite wikin lukijoille.
Mistä GDPR:ssä on kyse?
Kyse on yleisestä tietosuoja-asetuksesta, jonka tarkoitus on suojata kaikkien EU-kansalaisten henkilökohtainen tietosuoja ja varmistaa, että EU:n ulkopuolella toimivat tahot huomioivat EU:n tietosuoja-asetuksen. Toinen merkittävä tavoite on luoda EU:n laajuiset tietosuojapelisäännöt yrityksille digital single marketin edistämiseksi. Näin useassa EU-maassa toimittaessa yritykset voivat huomioida EU:n tietosuojalainsäädäntö eri jäsenmaiden keskenään ristiriitaisten kansallisten lakien sijaan.
Kaikki toimijat, jotka operoivat EU-alueella, tai joilla on käyttäjiä EU-alueelta, joutuvat siis toimimaan asetuksen mukaisesti. Uudistus koskettaa sekä yksityisiä, julkisia että kolmannen sektorin toimijoita, pienin eroin.
”Kaikki toimijat, joilla on käyttäjiä EU-alueelta, joutuvat toimimaan asetuksen mukaisesti”
– Tietosuoja-asetus ottaa kantaa ennen kaikkea siihen, miten ja keneltä dataa saa kerätä.
173 johdantokohtaa sekä 99 artiklaa käsittävässä GDPR:ssä on aika paljon lakiteknistä tekstiä mukana ja verkkopalveluiden toteuttajille asetuksen ydin on se, miten vaatimusten tekniseen puoleen lähdetään vastaamaan, Kumpula avaa Geniemin tulokulmaa.
Asetusta ja sen asettamia vaatimuksia ja velvoitteita onkin hankala sisäistää ilman teknistä osaamista, jollaista vain harvalta juristilta löytyy.
Itse lakiteksti on pitkä ja monimutkainen ja se miten sitä lopulta tullaan tulkitsemaan, ei tule olemaan ihan hetkeen selvää. EU:n jäsenvaltioiden tietosuojaviranomaisten muodostama työryhmä, Article 29 Working Party, on jo julkistanut ensimmäiset tulkintaohjeet asetuksen soveltamista koskien.
Mitkä ovat tietosuoja-asetuksen keskeisimmät vaatimukset, joihin yritysten tulee varautua? Koostimme yhteen 8 keskeistä uudistusta, jotka yritysten täytyy huomioida jatkossa digitaalisissa palveluissa rekistereitä kerätessään.
1. Henkilötietojen kerääminen alaikäisiltä rajoitettua
Lapsilta saa kerätä henkilötietoja vain rajoitetusti. Asetuksen mukaan 16 vuotta on alaikäraja, mutta valtiot voivat laskea tätä aina 13 ikävuoteen saakka. Tiedon käsittelyyn ja keräämiseen vaaditaan vanhemman lupa, mutta miten lupa katsotaan annetuksi, on avoinna. Ei myöskään tiedetä vielä, mihin tämä ikäraja tulee Suomessa asettumaan.
– Esimerkiksi peliteollisuuden ja verkkosivustojen täytyy huomioida tämä ja moni saattaa kärsiäkin uudistuksesta, Lenkkeri kuvaa.
2. Käyttäjiltä tulee olla suostumus henkilötietojen keräämiseen
Useilla sivustoilla tulee vastaan hyväksymistoiminto, jossa käyttäjän pitää antaa suostumus henkilötietojen keräämiseen. Tyypillinen tapa suostumuksen pyytämiseen on todeta ehdoissa, että jatkamalla käyttöä hyväksyt ehdot. Tämä ei käy enää jatkossa.
– Jos sivustolla on lomake kirjautumiseen, loppukäyttäjän tulee klikata check-boxia, jossa hän hyväksyy ehdot. Ei voi olla enää opt-out hyväksyntää, vaan sen täytyy olla opt-in, Kumpula kertoo. Käyttäjän pitää myös pystyä helposti perumaan antamansa luvan, jolloin henkilötietojen kerääminen pitää lopettaa kyseisen käyttäjän osalta.
3. Oikeus tulla unohdetuksi
Internet-palvelun käyttäjällä täytyy olla jatkossa mahdollisuus kaikkien henkilötietojen poistamiseen silloin, kun henkilötietojen käsittely perustuu käyttäjän suostumukseen tai sopimukseen. Toisin sanoen kaikilla täytyy olla oikeus tulla unohdetuksi.
– Se, miten tätä voidaan valvoa on hyvä kysymys. Jos pystytään näyttämään toteen, ettei näin ole tapahtunut, asiasta voi reklamoida viranomaisten kautta. Google on edelläkävijä tämän toiminnon kehittämisessä, sillä Googlesta voi katsoa tarkkaan, mitä tietoja sinusta on ja tietoja pystyy myös poistamaan, Kumpula kertoo.
GDPR:n mukaan tietojen poistaminen tulee tehdä ilman kohtuutonta tai tarpeetonta viivästystä. Automatisoidun prosessin luominen tuo siis säästöjä, etenkin jos tietojen poistopyyntöjen määrä nousee korkeaksi.
4. Käyttäjällä on oikeus nähdä mitä tietoa hänestä on kerätty sekä oikeus siirtää omat tietonsa toiseen järjestelmään
Jokaisella käyttäjällä on jo nyt oikeus tutustua järjestelmän hänestä keräämiin tietoihin ja hänellä pitää olla myös mahdollisuus muuttaa tai poistaa hänestä kerättyä tietoa. Lisäksi käyttäjän pitää voida tilapäisesti tai pysyvästi rajoittaa henkilötietojensa käsittelyä ja pystyä siirtämään omat tietonsa koneluettavassa muodossa itselleen ja mahdollisesti muihin järjestelmiin.
– Näin esimerkiksi terveyspalveluiden kentässä kuluttajan voisi olla helpompi vaihtaa palveluntarjoajaa, Kumpula heittää esimerkin.
Toinen kenttä, joihin asetus vaikuttaa varmasti, ovat Facebookin tapaiset sosiaaliset palvelut.
– Näillä yrityksillä on suuri määrä asiakasdataa ja tietosuoja-asetus pakottaa ne huomioimaan jatkossa käyttäjien tietojen siirtämisen palvelusta toiseen, Kumpula jatkaa.
– Mikä osa kunkin palvelun datasta on henkilötietoa, onkin tärkeä kysymys palvelun ylläpitäjille. Henkilötietoa on kaikki, mistä henkilön voi tunnistaa. Palveluissa on valtava määrä dataa, mistä pystyy tunnistamaan, kuka on käyttänyt palvelua kullakin hetkellä, Lenkkeri toteaa.
-Esimerkiksi ansaintatiedot ovat tietysti henkilötietoa, mutta mihin asti tämä ulottuu, on vielä hämärän peitossa. Jos kykenet tunnistamaan henkilön kuvasta, niin silloin puhutaan henkilötiedosta. IP-osoite on henkilötieto. Mutta missä menee tunnistettavuuden raja? Kukaan ei vielä tiedä tarkalleen, miten lakia tullaan tulkitsemaan.
5. Yrityksen täytyy kyetä osoittamaan, että se on noudattanut GDPR:ää
Käyttäjä- tai asiakasrekisterin ylläpitäjän täytyy asetuksen myötä kyetä osoittamaan tarvittaessa, että heidän tietojenkäsittelyssään noudatetaan GDPR:ää.
Tämä osoitusvelvollisuus merkitsee suurta eroa verrattuna asetusta edeltävään Suomen henkilötietolakiin, kertoo Asianajotoimisto Applexin juristi Ville Vainio.
– Aiemmin on riittänyt, että rekisterinpitäjä on noudattanut tietosuojalainsäädäntöä. Jatkossa asetus edellyttää, että rekisterinpitäjän on pystyttävä osoittamaan se, että henkilötietojen käsittelyä koskevia periaatteita on noudatettu.
Asetuksen vaatimaan osoitusvelvollisuuteen on syytä valmistautua yrityksissä alkuvaiheessa kartoittamalla henkilötietojen käsittelyn nykytilanne sekä suunnittelemalla henkilötietojen käsittelyä koskevia toimintamalleja ja sisäistä ohjeistusta. Esimerkiksi henkilötietojen käsittelyä koskevat yrityksen päätökset on hyvä dokumentoida kirjallisesti, jotta myöhemmin yritys voi tarvittaessa osoittaa noudattaneensa asetuksen vaatimuksia.
Eikö ratkaisuksi sitten riitä pyydetyn tietokannan tulostaminen Excel-muotoon? Käytännössä asia ei ole näin yksinkertainen, sillä dataa jää roikkumaan tietojärjestelmän eri tasoille ja sen tulee olla noudettavissa ja putsattavissa.
– Tietokantojen lisäksi järjestelmissä on yleensä välimuistipalveluita, backup-järjestelmiä, eri tasoisia kehitysympäristöjä, kehittäjien koneiden backupit, lokitiedostot, erinäköiset ulkoiset palvelut, joita järjestelmä käyttää ja niiden taltioinnit. Rekisterin pitäjänä olet vastuussa tästä kaikesta, Lenkkeri sanoo.
6. Tietyn kokoisissa yrityksissä tulee olla nimetty tietosuojavaltuutettu
Mikäli organisaation ydintehtävät edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa tai laajamittaista erityisten henkilötietoryhmien käsittelyä (kuten potilastietoja, poliittisia mielipiteitä tai uskonnollisia näkemyksiä sisältäviä tietoja), on organisaation nimitettävä tietosuojavastaava. Tietosuojavastaava antaa ohjeita henkilötietojen käsittelystä ja varmistaa organisaation noudattavan asetusta. Asetus edellyttää, että tietosuojavastaava raportoi suoraan organisaation ylimmälle johdolle.
Tietosuojavastaava voi olla yrityksen oma työntekijä tai tietosuojavastaava voi olla ulkopuolinen konsultti, joka suorittaa tehtäviään palvelusopimuksen perusteella.
7. Tietoturvan loukkausilmoitus
Eräs asetuksen huomattavimmista velvollisuuksista koskee ilmoitusvelvollisuutta tietoturvaloukkausten johdosta.
– Jos yritys tai organisaatio joutuu tietoturvaloukkauksen kohteeksi, asetus asettaa tiukat aikarajat loukkauksista ilmoittamiseksi. Ulkoistamissopimuksen perusteella rekisterinpitäjän puolesta henkilötietoja käsittelevän tahon on ilmoitettava asiasta viipymättä henkilötietojen keräämisen tarkoitukset ja keinot määrittävälle rekisterinpitäjälle. Rekisterinpitäjän on puolestaan ilmoitettava loukkauksesta tietosuojaviranomaiselle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa loukkauksen ilmitulosta. Jos loukkaus aiheuttaa korkean riskin luonnollisen henkilön yksityisyyden suojalle, on loukkauksesta ilmoitettava heillekin, eli tavallisesti palvelun käyttäjille ja yrityksen asiakkaille, kertoo Applexin Vainio.
– Yritykset ovat yhtälailla ilmoitusvelvollisia asiakkailleen, joiden tietosuojaan hyökkäys kohdistuu, Lenkkeri sanoo.
– jos loukkauksista jätetään kertomatta, niin vahingonkorvauspotentiaali on aika iso. Vastaavasti ilmoitusmenettelyllä halutaan patistaa yrityksiä tietosuojavelvoitteiden noudattamiseen – tietoturvaloukkauksista ilmoittaminen käyttäjille ja asiakkaille voi aiheuttaa maineriskin yrityksille.
8. Selkeyttä käyttöehtoihin
Tietosuoja-asetuksen myötä pitkät EULA-tyyppiset käyttöehdot eivät saa enää olla ainoa tapa selvittää kuluttajalle, mihin tietoja käytetään ja miten, vaan ne pitää olla tiiviissä, yleisesti ymmärrettävässä muodossa. Tämä tulee huomioitavaksi erityisesti yhdessä lapsiin kohdistuvien henkilötietojen käsittelytoimien yhteydessä – käyttöehdot tulisi kirjoittaa siten, että lapsikin ne ymmärtää.
Kuluttajaa ei voi enää kiusata 40 sivulla tekstiä, jonka lopussa klikataan “I agree”, Kumpula havainnollistaa.
Miten eteenpäin?
GDPR:ään valmistautuminen on merkittävä investointi, joka yritysten on pakko tehdä. Tämä voi tuntua raskaalta ja liiotellultakin, mutta geniemillä ja Applexilla ajatellaan, että tilanteen voi kääntää myös kilpailueduksi.
– Mitä läpinäkyvämmäksi teet tietojen katselun, siirtämisen ja poistamisen, sitä paremmin käyttäjä luottaa palveluusi. Yksityisyydensuoja-asioiden paino asiakkaiden sydämeltä kevenee, kun asiaa aletaan hallitsemaan järkevästi, Lenkkeri linjaa.
-Nyt on oikea aika pohtia asiaa ja valmistautua muutokseen, sillä sanktiot ovat isot. Osa asetuksen vaatimuksista ovat jo aiemminkin olleet laeissa määriteltyjä, mutta nyt on lisätty sanktiot asetuksien ja lakien rikkomisesta.
”Mitä läpinäkyvämmäksi teet tietojen katselun, siirtämisen ja poistamisen, sitä paremmin käyttäjä luottaa palveluusi”
Verkkopalveluiden kehitykseen erikoistuneessa ohjelmistotalossa ja asianajotoimistossa on alettu valmistautumaan tietosuoja-asetuksen voimaan astumiseen, jotta asiakasyritykset voidaan viedä onnistuneesti uuden asetuksen aikakauteen.
– Koska asetettujen velvollisuuksien ja vastuiden sisäistäminen ja henkilötietojen käsittelyn saattaminen asetuksen vaatimalle tasolle edellyttää juridiikan ohella myös syvällistä teknisen puolen taitamista, on asetukseen valmistautuessa hyvä konsultoida molempien alojen asiantuntijoita, Vainio summaa.
Osana juridisen ja teknisen osaamisen yhdistämistä, sekä tietoisuuden levittämiseksi palveluita kehittäviin yrityksiin Geniem ja Applex järjestävät aamiaistilaisuudet sekä Tampereella että Helsingissä otsikolla “Miten uudistuvaan tietosuoja-asetukseen tulee varautua?”
Tapahtuma järjestetään Tampereella perjantaina 3.2.2017 klo 8.00–10.30 Technopolis yliopistonrinteessä. Tapahtuma on täynnä, mutta voit ilmoittautua varasijalle tämän linkin kautta:
Lue lisää aiheesta ja ilmoittaudu Tampereen maksuttomaan tilaisuuteen
Helsingin tilaisuus järjestetään 3.3.2017 klo 8.45-11.00 Asianajotoimisto Applexin Helsingin toimistolla (Mannerheimintie 16 A, 00100 Helsinki). Voit ilmoittautua tilaisuuteen tästä:
Lue lisää aiheesta ja ilmoittaudu Helsingin maksuttomaan tilaisuuteen
Geniemin kotisivut
Geniemin ite wiki-profiili
Applexin kotisivut
Lisätiedot
Tuomas Kumpula, CEO, Geniem Oy tuomas.kumpula at geniem.fi 0400 535 498
Ville Vainio, Asianajotoimisto Applex Oy, 050 326 4454
Lue myös: EU:n tietosuoja-asetus GDPR tulee, tässä kaikista tärkein toimenpide tehtäväksi!
Semantiikkaa: Korjaisitko kohtaan ”6. Tietyn kokoisissa yrityksissä tulee olla nimetty tietosuojavaltuutettu” valtuutetun tilalle vastaavan, käsittääkseni esim. Suomessa ei ole kuin yksi valtuutettu :-).