Sanahirviö GDPR tulee – tätä se tarkoittaa: Näin henkilötietojasi suojellaan
Yritysten täytyy kertoa kansalaiselle tarkasti, mitä tietoja ne keräävät ja mihin tarkoitukseen.
Lapset saavat GDPR:ssä erityisaseman. Yritykset tarvitsevat vanhempien luvan alle 16-vuotiaiden tietojen käsittelyyn.
Euroopan unionin yleistä tietosuoja-asetusta eli GDPR:ää aletaan soveltaa 25. toukokuuta 2018.
Asetus antaa kansalaisille lisää oikeuksia henkilötietojensa käsittelyn suhteen ja rekisterinpitäjille lisää velvollisuuksia. Sen tavoitteena on yhtenäistää ja ajantasaistaa tietosuojaa koskevat yleissäännöt Euroopassa.
Mitä tietosuojasääntöjen yhtenäistäminen ja ajantasaistaminen tarkoittaa?
Tietosuojasäännöt on otettu käyttöön ennen nykyaikaisia verkkopalveluita. Sääntelyä pitää päivittää, jotta se vastaisi henkilötietojen käsittelyn mittakaavaa: sosiaalisen median sivustot, sijaintitietoa hyödyntävät sovellukset ja pilvipalvelut puljaavat valtavan datamäärän kanssa.
Vuonna 1995 säädettyä henkilötietodirektiiviä on toimeenpantu jäsenmaissa eri tavoilla. Yleisen tietosuoja-asetuksen tavoitteena onkin yhtenäistää EU:n tietosuojasääntelyä.
Toisin kuin direktiivi, joka on lainsäädäntäohje, asetus tulee sellaisenaan voimaan jäsenmaissa. GDPR tulee sanoista General Data Protection Regulation.
Mitä oikeuksia kansalainen saa?
Yksi muutoksista on oikeus saada pyynnöstä omat henkilötietonsa rekisteristä.
Suomessa saman on tosin voinut tehdä henkilötietolakiin perustuen jo vuodesta 1999. Tässä tapauksessa Suomessa muuttuu tietojen toimitus: jatkossa ne saa sähköisesti.
Uudistuksen myötä kansalaiset saavat niin sanotun oikeuden unohtamiseen, eli omat henkilötietonsa saa poistaa rekisteristä.
Paitsi jos on rikostutkinta käynnissä. Tai on veloissa. Tai pitää maksaa veroja.
Lakisääteinen velvollisuus ajaa kansalaisen oikeuksien yli.
Unohtamisoikes on alisteinen myös julkiselle edulle. Poliitikot eivät saa jatkossakaan lakaistua maton alle omia julkisia törttöilyjään.
Tietojen poistamisen lisäksi omat tietonsa saa siirtää palvelusta toiseen. Sen lisäksi omat virheelliset tietonsa saa oikaista.
Omien tietojen käsittelyn saa estää esimerkiksi suoramarkkinoinnissa. Tämä on ollut aiemminkin mahdollista, mutta nyt yrityksillä on enemmän syytä kunnioittaa sääntöjä.
Mitä velvollisuuksia rekisterinpitäjät saavat?
Asetuksen merkittävimpiä vaikutuksia on se, että yritykset joutuvat selvittämään, mitä dataa niillä on ja mihin sitä käytetään. Kansalaisen yksityisyyden suoja paranee, kun tieto on hallinnassa eikä missä sattuu.
Yritykset eivät saa myöskään kerätä tietoa, josta ei ole niille hyötyä. Vaikkapa osoitetta ei pitäisi kysyä turhan päiten. Hyvä syy kotiosoitteiden keräämiseen on esimerkiksi nappulaliigalla, jonka tarvitsee saada kyyditykset järjestettyä.
Tietoja ei saa käyttää muuhun tarkoitukseen kuin mihin ne on kerätty. Uutta tarkoitusta varten pitää aina pyytää lupa.
Kaiken lisäksi yritysten täytyy kertoa kansalaiselle tarkasti, mitä tietoja ne keräävät ja mihin tarkoitukseen.
Yritykset ovat vastuussa tietomurroista tiedottamisesta, mikä on uutta myös Suomessa. Asiakkaille pitää antaa ilmoitus hyökkäyksestä 72 tunnin kuluessa.
Miksi yritykset kunnioittaisivat rekisteröityjen oikeuksia ja omia velvollisuuksiaan?
Sääntöjen rikkomisesta voi tulla sakkoa jopa 4 prosenttia yrityksen kansainvälisestä liikevaihdosta tai 20 miljoonaa euroa, kumpi vain on suurempi summa.
Siinä on kannustinta yllin kyllin.
Mitä kaikkea määritellään henkilötiedoiksi?
Henkilötieto määritellään asetuksessa laveasti. Se on mitä tahansa tietoa, jonka voi liittää tunnistettavaan henkilöön, kuten valokuvat ja sosiaalisen median postaukset.
Mitä syitä tietojen käsittelyyn on?
Tietojen käsittelyyn on määritelty kuusi erilaista syytä.
Ensiksikin on suostumus. Jos lataa sovelluksen kännykälle, on yleensä suostuttava joidenkin henkilötietojensa käsittelyyn.
Alle 16-vuotiailla on kuitenkin erityisasema: heidän tietojaan saa käsitellä vain vanhempien suostumuksella.
Tietoja voi käsitellä myös sopimuksen mukaan: esimerkiksi Otavamedia ei voi toimittaa tilaajalle Seura-lehteä ilman osoitetietoja.
Oikeutettu etu syntyy esimerkiksi asiakkuuden tai työsuhteen myötä.
Lakisääteisiä syitä riittää. Esimerkiksi yhdistyslaki vaatii pitämään rekisteriä yhdistyksen jäsenistä.
Yleinen etu ja julkinen tehtävä ovat myös syitä henkilötietojen käsittelyyn. Esimerkiksi epidemian leviämisen ehkäisemiseksi voi tarvita henkilötietoja.
Koskeeko laki myös Facebookia? Sehän on yhdysvaltalainen yritys
Kyllä. Lainsäädäntö koskee ketä tahansa toimijaa, joka kerää henkilötietoja eurooppalaisista. Sen vuoksi yritykset ympäri maailman joutuvat päivittämään tietosuojakäytäntöjään yhdenmukaiseksi lain kanssa. Tietyllä tapaa kyseessä onkin globaali lainsäädäntö.
Eli tietonsa voi poistaa Facebookista kokonaan?
Kyllä, kunhan tietojen käsittelylle ei ole mitään perusteltua syytä. Esimerkiksi rikostutkinta voi estää tietojen poiston.
Käytän kuntosalipalvelua. Voinko vaatia yritystä poistamaan henkilötietoni ja jatkaa palvelun käyttöä?
Jos kyseessä on asiakkuus, jossa luovutetaan henkilötietoja sopimuksen luontihetkellä, tietojen käsittelyyn ei tarvita erillistä lupaa. Jos et halua yrityksen käsittelevän tietojasi, salijäsenyytesi tosiallisesti lakkaa.
Miten uudistus käytännössä näkyy kansalaisen arjessa?
Kansalaiset huomaavat asetuksen vaikutuksen arjessa siitä, että palveluiden suostumusehdot muuttuvat selkeämmiksi. Jos niitä siis pysähtyy lukemaan.
Tavanomaisestihan sovellusten käyttöehdot klikkaillaan läpi niihin tarkemmin perehtymättä. Toisaalta ne ovat yleensä olleet vaikeaselkoisia.
Tärkeää on myös, että kansalaisen pitää aktiivisesti suostua asioihin.
Esimerkiksi kännykkäsovelluksen ylimääräiset, yksityisyydensuojaa kaventavat ominaisuudet pitää erikseen kytkeä päälle – eikä niin päin, että niistä pitää päästä eroon.
Yritykset eivät myöskään voi vaatia suostumusta käsitellä sellaisia tietoja, jotka eivät ole välttämättömiä palvelulle.
Yksityisyydensuojan tulee olla järjestelmissä sisäänrakennettuna eikä vain jälkikäteen lisättynä ominaisuutena.
Tällainen puljaus on tullut tutuksi Facebookin skandaalien yhteydessä, kun vääriä tietoja on päätynyt väärien toimijoiden käsiin ja palvelua on jälkikäteen fiksailtu.
Mitä pienen yrityksen tulee ottaa huomioon, jos ei ole tähän mennessä vielä tehnyt mitään GDPR:n suhteen?
Ensin pitää varmistaa, että henkilötietojen käsittelylle on jokin peruste – oli se sitten asiakkuus tai jäsenyys.
Toiseksi on tärkeää käsitellä tietoja asetuksen mukaisesti: käytännössä siihen tarkoitukseen, johon ne on alun perin kerätty.
Kolmanneksi pitää laatia tarvittavat selosteet ja dokumentit, esimerkiksi sisäinen seloste käsittelytoimista.
Yrityksen kannattaa myös selvittää, tarvitseeko se tietosuojavastaavaa. Jos liiketoimissa käsitellään arkaluonteisia tietoja ja tietojen käsittely on laajaa, tarve todennäköisesti täyttyy.
Viimeiseksi kannattaa arvioida pahimmat mahdolliset riskit henkilötietojen tietoturvan osalta, valmistautua niitä varten sekä pyrkiä estämään niiden toteutuminen.
Mitä seuraavaksi?
GDPR:n sulateltuaan voi valmistautua ePrivacyn saapumiseen. Se on yleistä tietosuoja-asetusta tukeva mutta rajatumpi asetus, joka määrittelee sähköisen viestinnän yksityisyydensuojaa.
Tarkoituksena on varmistaa että ”uudet pelaajat” kuten WhatsApp, Facebook ja Skype antavat kansalaisille saman yksityisyydensuojan kuin perinteisemmät teleoperaattorit.
Miten asetus vaikuttaa Seuran tilaajiin?
Tietosuoja-asetus muuttaa aikakauslehtien toimintatapoja erityisesti läpinäkyvyyden ja osoittamisvelvollisuuden kannalta.
Henkilötietojen käsittelyä koskevien sääntöjen kannalta muutos vanhaan henkilötietolakiin ja jo omaksuttuihin hyviin käytäntöihin nähden ei ole kovin suuri.
Tilaajasuhteiden kannalta tuleva ePrivacy-asetus on merkittävämpi, sillä siinä tullaan säätelemään muun muassa suoramarkkinoinnin eri muodoista ja evästeiden käytöstä.
Juttua varten on haastateltu Aikakausmedian liittojohtajaa Mikko Hoikkaa, Suomen yrittäjien asiantuntijaa, varatuomaria Petri Holopaista sekä Electronic Frontier Finlandin hallituksen jäsentä Raoul Plommeria.
© ISTOCKPHOTO