Siirry pääsisältöön Siirry päävalikkoon Siirry alatunnisteen valikkoon

GDPR-muistilista ja peruskäsitteet: näin valmistaudut tulevaan EU:n tietosuoja-asetukseen

0
GDPR-muistilista ja peruskäsitteet: näin valmistaudut tulevaan EU:n tietosuoja-asetukseen
Jaa

Mitä jokaisen markkinoijan ja viestijän olisi hyvä tietää EU:n uudesta tietosuoja-asetuksesta eli GDPR:stä? Vaikka aihe on nyt pinnalla ja siitä on saatavilla paljon tietoa, voi olennaisten asioiden hahmottaminen valtavasta tietomäärästä olla haastavaa.

Tämän takia koostimme GDPR:stä tiiviin tietopaketin, jossa käymme läpi asetuksen keskeisiä sisältöjä ja käsitteitä. Teimme myös asetukseen valmistautumisesta muistilistan, jonka avulla voit tarkistaa, oletteko varautuneet kaikkiin asetuksen tuomiin muutoksiin riittävän huolella.

GDPR – mistä on kyse?

GDPR (General Data Protection Regulation) tulee EU:n jäsenvaltioiden – eli myös Suomen – sovellettavaksi toukokuussa 2018. Asetuksen tarkoituksena on yhdenmukaistaa EU:n tietosuojakäytäntöjä ja parantaa EU:n kansalaisten yksityisyydensuojaa.

Asetus koskee kaikkia niitä Suomessa toimivia organisaatioita, jotka keräävät, säilyttävät ja käsittelevät henkilötietoja, olipa kyseessä sitten iso pörssiyritys, säätiö, yhdistys tai julkishallinnon organisaatio. Koska lähes kaikissa organisaatioissa ylläpidetään jonkinlaista henkilörekisteriä (mm. asiakas- tai jäsenrekisteriä), on asetuksen soveltamisala varsin laaja.

GDPR:ään on syytä suhtautua vakavasti, sillä siihen liittyvien rikkomusten hallinnollinen sakko on maksimissaan 20 miljoonaa euroa tai 4 % yhtiön edellisen vuoden kokonaisliikevaihdosta, riippuen siitä kumpi näistä on suurempi.

GDPR:n peruskäsitteitä

Ennen kuin syvennymme tarkemmin asetuksen sisältöihin, käydään läpi siihen liittyviä keskeisiä käsitteitä:

Henkilötieto: Kaikki sellainen tieto, jolla voidaan tunnistaa ja yksilöidä henkilöitä. Näitä tietoja ovat muun muassa nimi, osoite, henkilötunnus, sähköpostiosoite sekä verkkotunnistetiedot.

Henkilörekisteri: Henkilötietoja sisältävä jäsennelty tietojoukko, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla taikka joka on järjestetty kortistoksi, luetteloksi tai muulla näihin verrattavalla tavalla siten, että tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta.

Rekisterinpitäjä: Luonnollinen henkilö, yhteisö, virasto, säätiö tai joku muu, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä.

Henkilötietojen käsittelijä: Luonnollinen henkilö, viranomainen, virasto tai joku muu, joka käsittelee henkilötietoja rekisterinpitäjän lukuun, esimerkiksi uutiskirjetyökalun toimittaja.

Rekisteröity: Rekisterissä oleva tunnistettava tai tunnistettavissa oleva henkilö.

Opt-in: Henkilön itsensä antama suostumus henkilötietojensa keräämiseen ja käsittelyyn.

GDPR:n tuomat oikeudet, velvollisuudet ja vastuut

GDPR:n myötä rekisteröityjen oikeudet kasvavat samalla, kun henkilötietojen rekisterinpitäjien vastuut ja velvollisuudet lisääntyvät. Uuden asetuksen mukaisesti rekisteröidyt voivat pyytää organisaatioilta tietoja omista henkilötiedoistaan ja niiden käytöstä. Lisäksi heillä on oikeus siirtää ja poistaa omia tietojaan sekä vastustaa tietojensa käsittelyä.

Rekisterinpitäjien on huolehdittava siitä, että ne kykenevät toimittamaan rekisteröidyille näiden pyytämät tiedot sekä vastaamaan pyyntöihin tietojen poistamisesta. Lisäksi rekisterinpitäjiä koskee osoitusvelvollisuus, jonka mukaan niillä on oltava laillinen oikeusperuste henkilötietojen keräämiselle ja käsittelylle. Henkilötietojen käsittelyn suhteen rekisterinpitäjien on vuorostaan noudatettava GDPR-asetuksen antamia vaatimuksia.

Uuteen asetukseen liittyy keskeisesti oletusarvoisen ja sisäänrakennetun tietosuojan periaate (privacy by design and default). Tämä tarkoittaa sitä, että organisaatioilla on velvollisuus ottaa tietoturva-asiat huomioon järjestelmiensä, palveluidensa ja toimintamalliensa suunnittelussa, jos ne liittyvät jollain tapaa henkilötietojen käsittelyyn (privacy by design). Organisaatioiden tulee myös huolehtia siitä, että ne keräävät ja käsittelevät vain asianmukaisia henkilötietoja, joiden käyttö on perusteltua (privacy by default).

Käytännössä GDPR tuo henkilötietojen keräämiseen ja käsittelyyn lisää läpinäkyvyyttä ja turvallisuutta. Aikaisemmin esimerkiksi tavallinen kuluttaja saattoi joutua itse nostamaan metelin siitä, jos organisaation tietoturva oli pettänyt ja hänen henkilötietojaan oli käytetty vääriin tarkoituksiin. Nyt henkilörekisterien rekisterinpitäjien on huolehdittava ja osoitettava, että ne noudattavat tietosuoja-asetusta henkilötietoja käsitellessään ja huolehtivat henkilötietojen tietoturvasta.

GDPR-muistilista – näin valmistaudut tietosuoja-asetukseen:

1. Tunnista roolisi – oletko rekisterinpitäjä vai henkilötiedon käsittelijä?

Tee itsellesi selväksi, mikä on organisaationne rooli henkilötietojen käsittelyssä: toimitteko rekisterinpitäjänä, henkilötietojen käsittelijänä vai molempina? Rooli vaikuttaa keskeisesti siihen, millaisia velvollisuuksia ja vastuita teillä on.

2. Tarkista henkilötietojen käsittelyn laillisuus

  • Kartoita, mitä henkilötietoja organisaatiossanne kerätään, miten tietoja käsitellään ja missä järjestelmissä ne sijaitsevat. Ota huomioon mahdolliset henkilötietojen käsittelyn ulkoistukset.
  • Varmista, että käsittelet henkilötietoja GDPR-periaatteiden mukaisesti, ja päivitä tarvittaessa toimintatapojasi. Tarkista myös, onko sinun helppo noudattaa näitä periaatteita kaikissa niissä järjestelmissä, joissa henkilötietoja käsitellään lukuunne (esimerkiksi uutiskirjetyökalu).
  • Varmistu siitä, että rekisterissäsi olevat henkilöt ovat antaneet luvan rekisterin keruuseen, tai että henkilötietojen käsittelylle on joku muu GDPR:n laillinen oikeusperuste.
  • Jos kaikille rekistereissäsi säilötyille henkilötiedoille ei löydy yksiselitteistä laillista perustetta, pohdi, voitko kerätä rekisteröidyiltä suostumuksia (opt-in). Varaudu tarkistamaan toimintatapojasi ja mahdollisesti luopumaan ”harmaalla alueella” olevista rekistereistäsi. Huomioi, että Suomen GDPR:ää täsmentävä ja täydentävä lainsäädäntötyö on vielä kesken.

3. Huomioi rekisteröidyn oikeudet

  • Varaudu toimittamaan rekisteröidyille tiedot heidän omista henkilötiedoistaan ja niiden säilytyksestä elektronisessa muodossa. Tietojen tulisi olla tiiviisti esitetyssä ja helposti ymmärrettävässä muodossa.
  • Tarkista, että rekisteröidyillä on mahdollisuus siirtää itseään koskevia tietoja sekä poistaa tiedot kokonaan rekistereistä.
  • Jos henkilörekisteriä säilytetään EU:n ulkopuolella, varmista, että rekisteröidyiltä on saatu lupa tietojen siirtoon EU:n ulkopuolelle.


Twitter on pyytänyt palvelun käyttäjiä hyväksymään uudet yksityisyyskäytännöt. Näissä kerrotaan, että palvelun käyttäjien tietoja säilytetään myös EU:n ulkopuolella. 

4. Huolehdi tietoturvasta

  • Varmista, että henkilötietojen tietoturvasta on huolehdittu asianmukaisesti, ja tee riskiarviointi mahdollisista uhkatilanteista. Dokumentoi organisaationne tietoturvakäytännöt omaan tietoturvadokumenttiin, jossa vastaat ainakin seuraaviin kysymyksiin: miten henkilötietoja käsitellään ja millä perustein, miten tietoturvasta huolehditaan, miten mahdollisen tietomurron aikana toimitaan ja ketkä ovat tekemisissä henkilötietojen kanssa.
  • Selvitä, miten järjestelmätoimittajasi ovat valmistautuneet tietoturva-asioihin. Pyydä heiltä tieto kirjallisena dokumenttina, jonka voit tallentaa itsellesi.

5. Päivitä rekisteriselosteet ja sopimusehdot

  • Huolehdi, että kaikista henkilörekistereistä on olemassa rekisteriseloste, ja että selosteet ovat helposti saatavilla.
  • Lisää tietoturvakäytänteet osaksi sopimusehtoja. Tarkista sopimustilanne asiakkaiden, palvelutuottajien, alihankkijoiden sekä järjestelmätoimittajien kanssa. Huomioi, että henkilötietojen käsittelijä ei saa käsitellä henkilötietoja ilman rekisterinpitäjän kanssa solmittua kirjallista sopimusta (tai muuta oikeudellista asiakirjaa). Sopimuksen tulee sisältää kaikki GDPR-asetuksen artiklan 28 edellyttämät tiedot.
  • Varmista, että henkilötietojen käyttöä ja käytäntöjä koskeva sisältö on sopimuksissa kohdemaan tietosuojalainsäädännön mukainen. Erillisillä tietosuojasopimuksilla varmistat, että kaikki osapuolet huolehtivat tietosuoja-asetuksen tuomista vastuista ja velvollisuuksista.

6. Nimeä tietosuojavastaava

Tietosuojavastaavan nimittäminen on pakollista, jos henkilötietojen käsittelyä suorittaa viranomainen tai julkishallinnon elin. Lisäksi vastaava tulee olla nimitettynä, mikäli rekisterinpitäjän tai henkilötietojen käsittelijän ydintoimintoihin kuuluu arkojen henkilötietojen tai laajojen henkilötietorekistereiden käsittelyä. Lisätietoa tietosuojavastaavan nimittämisestä löytyy EU:n tietosuoja-asetuksen artiklasta 37 sekä Tietosuojavaltuutetun ohjeista.

7. Kouluta henkilöstöä

Tarjoa henkilötietoja käsittelevälle henkilöstölle aiheeseen liittyvää koulutusta, jotta he ovat perillä tietosuoja-asetuksen tuomista muutoksista.

Haluatko keskustella tarkemmin GDPR:n vaikutuksista digitaaliseen markkinointiinne? Pyydä asiantuntijamme käymään, niin jutellaan lisää.

Artikkelin käsitteiden määrittelyssä on hyödynnetty Suomen henkilötietolain määritelmiä.

Artikkeli on julkaistu 27.10.2017 ja päivitetty 6.3.2018.
Artikkelin sisältöä ei tule ymmärtää juridisena neuvontana.

Kommentti

Kommentit

Ei kommentteja