Viime vuoden toukokuussa GDPR, eli yleinen tietosuoja-asetus, astui voimaan. Tietosuoja-asetus on EU:n laatima asetus, jolla säädetään siitä, miten yksityishenkilön dataa saa ja voi käsitellä. Asetuksen säätämistarkoitus on johdettavissa Euroopan unionin perusoikeuskirjan 8 artiklan mukaisesta jokaisen yksilön oikeudesta henkilötietojen suojaan. Suomessa voimassa oleva tietosuojalaki täydentää yleistä tietosuoja-asetusta. Kenellä tahansa yksityishenkilöllä on oikeus mm. saada tietoa hänestä kerättävästä tai kerätystä tiedosta ja sen käsittelystä. Tiukasti yksilön näkökulmasta GDPR vaikuttaa siis oikein hyvältä, mutta koska yhden oikeus on toisen vastuu, GDPR luo etenkin yrittäjille uusia ja useita velvollisuuksia.
GDPR perustuu ajatukselle, että jonkun kerätessä yksityishenkilöstä tietoa hänelle syntyy erityinen vastuu tietojen säilyttämisestä oikealla tavalla. Mitä siis tarkoitetaan tiedon keräämisellä ja mitä on sen säilyttäminen? Ensinnäkin, tietojen keräämiseen on oltava peruste. Tämä tarkoittaa käytännössä luvan pyytämistä ellei tietojen kerääminen perustu automaattisesti nimenomaisesti lakiin. Toiseksi, kun kerätty tieto antaa mahdollisuuden siihen, että joku voi tunnistaa tietyn ihmisen kerätyn tiedon perusteella, muodostaa tämä tietosuoja-asetuksen tarkoittaman rekisterin. Tällainen rekisteri synnyttää rekisterinpitäjälle vastuu tietojen säilyttämisestä oikealla tavalla. Asetus ei tee eroa sen suhteen, säilytetäänkö tietoa ruutupaperilla vai tietokoneella. EU-tuomioistuin on muun muassa todennut, että Jehovan todistajien keräämä ja pitämä luettelo kierretyistä taloista oli vastoin lakia, sillä listaan merkityiltä henkilöiltä ei oltu pyydetty suostumusta listalle merkitsemiseen.
Edellä kuvattua vastuuta ei synny yksityishenkilölle jos hänen tiedonkeruunsa koskee vain hänen henkilökohtaisia toimia. Yrittäjä tai yritys ei voi käyttää kyseistä poikkeusta. Mikäli yritykselläsi on esimerkiksi sovellus, jota yritys hallinnoi, kaikki tämän sovelluksen keräämä ja teille lähettämä data muodostaa yrityksellesi vastuun tietojen oikeasta käsittelystä ja säilyttämisestä. Näin on myös tilanteessa, jossa kaupallasi on luettelo hyvistä kanta-asiakkaista, tai asiakkaista ylipäänsä. Tai esimerkiksi silloin, mikäli yritykselläsi on nettisivusto, joka kerää listaa vierailijoistaan (mikä on hyvin tavanomaista nettisivustoille). Nykypäivän yrittäjän on vaikea paeta uuden tietosuoja-asetuksen asettamaa vastuuta.
Yritykselläsi on siis henkilökohtaista dataa luonnollisista henkilöistä, mitä tämä tarkoittaa? Kaiken perustana on edellä todetun mukaisesti kysymys siitä, onko tiedon keräämiseen olemassa perustetta. Tiedon keräämiselle on erilaisia laissa todettuja perusteita, joista selkein on suostumus. Usein riittää siis, että kysyt saako tietoa kerätä. Tämä on kuitenkin raaka yksinkertaistus, jonka soveltaminen riippuu tilanteesta. Jo ennen tiedon keräämistä on henkilölle kerrottava, miten ja mihin tarkoituksiin tietoa kerätään. Lisäksi on henkilölle on kerrottava miten ja kuinka kauan tietoa säilytetään sekä kenellä on pääsy tietoon. Nämä vastuut yritys voi täyttää laatimalla tietosuojaselosteen, jonka myös tulee olla vapaasti ja helposti saatavilla. Tietosuojaseloste on hyvä laatia huolella, sillä sen vajavaisuus tai siitä poikkeaminen on lain vastaista. Koska laki säätelee dataa koskevia sen koko “elinkaarella”, myös sen säilyttäminen on säänneltyä. Dataa ei kannata esimerkiksi säilyttää tai siirtää Euroopan ulkopuolelle, sillä sen turvallisuus on silloin hyvin hataralla pohjalla. Datan turvallisuus on myös sen säilyttäjän vastuulla. Jos datalle tapahtuu jotain yllättävää tai väärä henkilö pääsee siihen käsiksi, on säilyttäjä lähtökohtaisesti vastuussa ongelmatilanteesta. Suuri osa rekisterinpitäjän vastuusta liittyy henkilön (jolta tietoja on kerätty) omiin oikeuksiin vaatia tietojensa käsittelijää muuttamaan, poistamaan, siirtämään, korjaamaan tai estämään käsittelyä, johon lähtökohtaisesti rekisterinpitäjän on reagoitava. Kaikesta edellä mainitusta täytyy myös henkilöä (jolta tietoja on kerätty) aktiivisesti tiedottaa ja ylläpitää.
Lainsäädännön muodostama vastuu voi siis muodostua ajoittain hyvinkin suureksi. On luonnollista kysyä, että kuka näitä asioita hoitaa ja pitääkö näihin tehtäviin erikseen joku palkata? Yleinen tietosuoja-asetus vaatii yritystä nimeämään itselleen tietosuojavastaavan hoitamaan kyseisiä tehtäviä. Tietosuojavastaavan ei täydy välttämättä olla kukaan erikseen tehtävään palkattu, vaan hänet voidaan nimetä myös yrityksen sisältä. Kuitenkin tehtävän vaatima asiantuntijuus ajaa useat yritykset esimerkiksi hankkimaan ulkoistetun tietosuojavastaavan asiantuntijapalveluita. Tämä on erityisesti hyvä ratkaisu pienille ja keskisuurille yrityksille, joiden tarpeet ja budjetti eivät välttämättä riitä oman tietosuojavastavan palkkaukseen.
Kaiken edellä mainitun vastuun jälkeen on järkevää ajatella mahdollisia rikkomuksia. Suomessa yleisen tietosuoja-asetuksen noudattamista valvoo tietosuojavaltuutetun toimisto, jota johtaa kansallinen tietosuojavaltuutettu. Toimisto ohjeistaa, tarpeen tullessa jakaa huomautuksia mahdollisista tai pienistä rikkeistä ja viime kädessä määrää hallinnollisia seuraamuksia eli kansankielellä sakkoja. Koska kyseessä on Euroopan unionin perusoikeuksien turvaamisesta, tietosuojavaltuutetun määräämät sakot voivat olla hyvinkin suuret. Tietosuoja-asetuksen mukaan yläraja seuraamuksille / sakoille on joko kaksikymmentä miljoonaa euroa (20 000 000) tai neljä prosenttia edeltävän tilikauden liikevaihdosta riippuen kumpi on suurempi. Tietosuojavaltuutetun toimisto ei ole vielä langettanut Suomessa sakkoja, vain muistutuksia erityisesti siitä syystä, että laki on vielä uudenkarhea ja sen soveltaminen on vaikeaselkoista.
Tietosuoja-asiat ovat osa yrityksen riskienhallintaa. Paikoittain hyvin pienellä panostuksella ulkopuolisen asiantuntijan apuun voidaan välttää riskien ja seuraamusten realisoituminen. Tietosuoja vaatii yrityksiltä jatkuvaa huolenpitoa ja ajantasaisuutta, jolloin aiheelliseksi voi tulla tietosuojavastaavan palkkaaminen. Erikoistuneena yritysten riskienhallintaan, kuten Autio Attorneysin puoleen, kannattaa kääntyä oli kyseessä sitten tietosuojaselosteen laatiminen tai sakosta valittaminen.
Jalmari Männistö
Associate Trainee