Henkilötietojen käsittely - Varmista että nämä 10 asiaa ovat kunnossa

  • helmikuuta 10, 2020

EU:n tietosuoja-asetus (GDPR) tuli sovellettavaksi toukokuussa 2018 koskien kaikkia EU-alueella toimivia organisaatioita, jotka keräävät, käsittelevät ja säilyttävät henkilötietoja. GDPR:ään on syytä suhtautua vakavasti, sillä siihen liittyvien rikkomusten hallinnollinen sakko voi maksimissaan olla 20 miljoonaa euroa tai 4 % organisaation edellisen vuoden liikevaihdosta, riippuen siitä kumpi näistä on suurempi.

Seuraavassa 10 täsmävinkkiä asioista, joista on (vähintään) syytä huolehtia, kun henkilötietoja käsitellään.

 

1. Mitä henkilötietoja kerätään? 
Henkilötietoja ovat monet muutkin asiat kuin nimi, henkilötunnus ja yhteystiedot. Henkilötietoa kertyy yritykselle monella eri tapaa (esimerkkinä vaikkapa yrityksen nettisivut, jotka keräävät paljon erilaisia tietoja kävijöistä). Kannatta muistaa, että EU:n tietosuoja-asetus koskee myös työntekijöiden henkilötietoja.

 

2. Miten henkilötietoja säilytetään?
Kun on selvitetty, mitä kaikkea henkilötietoa kerätään, on syytä selvittää säilyttämisen menetelmät. Miten asiakkaiden sekä työntekijöiden henkilötietoja säilytetään? Missä henkilötietoja säilytetään? Kuinka pitkään henkilötietoja säilytetään?

Kannattaa muistaa, että nyttemmin jo kumottu henkilötietolaki vaati näiden asioiden selvittämistä. Asiakkailla on esimerkiksi jo aiemmin ollut oikeus tarkistaa, mitä henkilötietoja hänestä on talletettu yrityksen järjestelmiin. Miten on varauduttu, jos yksittäinen asiakas pyytää saada tietää, mitä henkilötietoja hänestä on kerätty ja taltioitu?

 

3. Varmistaminen, että tietosuoja on kunnossa

Mikä voisi olla tietosuojan kannalta pahin mahdollinen skenaario mitä voisi tapahtua? Tähän kannattaa valmistautua. Ratkaisu voisi olla esimerkiksi henkilötietoja sisältävän materiaalin laittaminen lukkojen taakse aina kun sitä ei käsitellä.

 

4. Kun henkilötietoja käsitellään, täytyy olla asetuksen mukainen käsittelyperuste

Tietosuoja-asetuksessa määritellään käsittelyperusteet, joiden mukaan henkilötietojen käsittely on laillista. Vähintään yksi asetuksen antamista edellytyksistä tulee täyttyä. Henkilötietoja voidaan käsitellä rekisteröidyn suostumuksella, oikeutetun edun perusteella (jäsenyys tai asiakkuus), sopimuksen, lakisääteisen velvollisuuden, elintärkeän edun tai yleisen edun perusteella.

 

5. Tietosuojaa koskevan vaikutustenarvioinnin selvittäminen

Mikäli tietojenkäsittely aiheuttaa korkean riskin luonnolliselle henkilölle, rekisterinpitäjän tulee laatia vaikutustenarviointi. Vaikutustenarvioinnin tarkoituksena on tunnistaa, arvioida ja hallita henkilötietojen käsittelyyn liittyviä riskejä.

 

6. Informointi ja dokumentointi, kuinka rekisteröityjen informointi toteutetaan

Henkilötietojen käsittelyn tulee olla läpinäkyvää ja rekisteröityjä tulee informoida, kuinka heitä koskevia tietoja kerätään ja kuinka niitä käytetään. Tiedot tulee antaa tiiviisti, yksinkertaisella ja selkeällä kielellä. Kuvaus henkilötietojen käsittelystä tulee pitää rekisteröityjen saatavilla. Rekisteröityjen informoinnin tulee olla maksutonta.

 

7. Sopimus henkilötietojen käsittelyn ulkoistamisesta

Yritys voi ulkoistaa henkilötietojen käsittelytoimia. Tilanteita, joissa henkilötietoja siirtyy palveluntarjoajalle eli henkilötietojen käsittelijälle, on esimerkiksi pilvipalvelun käyttöönotto, johon siirretään henkilötietoja, työntekijöiden palkanmaksun ulkoistaminen tai ulkopuolisen it-tuen käyttö, jolla on pääsy henkilötietoihin. Tietosuoja-asetus velvoittaa laatimaan kirjallisen sopimuksen henkilötietoja ulkoistettaessa ennen henkilötietojen käsittelyn aloittamista.

 

8. Seloste käsittelytoimista

Tietosuoja-asetus velvoittaa yrityksen tekemään selosteen käsittelytoimista, jos henkilötietoja käsitellään useammin kuin satunnaisesti. Selosteen tarkoitus on palvella yrityksen omaa henkilötietojen dokumentointia. Tietosuojaviranomainen voi pyytää tätä dokumenttia nähtäväkseen. Selosteen avulla rekisterinpitäjä voi osoittaa toimineensa tietosuoja-asetuksen mukaisesti.

 

9. Turhan tiedon kerääminen

Henkilötietoja on luvallista kerätä ainoastaan siinä laajuudessa, joka on kyseistä tarkoitusta varten tarkoituksenmukaista. Kun tehdään vaikkapa nettiajanvaraus parturiin, käytettävä sovellus saattaa automaattisesti kerätä varaajan päätelaitteelta muutakin itse varauksen kannalta täysin epäolennaista tietoa. Tällöin ei täyty tietojen minimoinnin vaatimus, joten menettely on asetuksen vastaista.

 

10. Varautuminen tietoturvaloukkauksiin

Mikäli henkilötietoja tuhoutuu, häviää, muuttuu, niitä luovutetaan luvattomasti tai niihin pääsee käsiksi taho ilman käsittelyoikeutta, kyseessä on henkilötietojen tietoturvaloukkaus. Rekisterinpitäjän ja henkilötietojen käsittelijän tulee suojata henkilötiedot niin, että suojaustoimenpiteet vastaavat henkilötietojen käsittelyn riskin mukaisesti. Tietoturvaloukkaustilanteita varten on varauduttava laatimalla toimintaohjeet.

 

Tietosuojavastaavan ei tarvitse olla kaikissa tapauksissa täysipäiväinen tehtävä, eikä etenkään olla organisaation oma henkilö. Ulkoistettu tietosuojavastaava voi toimia yritysjohdon ja henkilötietoja käsittelevien henkilöiden tukena varmistaen tietosuojan korkean tason koko organisaatiossa.