Mitä kansainvälisesti toimivien yritysten tulee tietää uudesta EU:n tietosuoja-asetuksesta?

Paljon puhuttua EU:n yleistä tietosuoja-asetusta aletaan soveltaa jo reilun puolen vuoden päästä. Viimeistään tässä vaiheessa kannattaakin tarkistaa, että yrityksen toiminta täyttää uuden tietosuoja-asetuksen vaatimukset.


Käsitteistön selkeyttämiseksi on hyvä muistaa, että tietosuojallahan tarkoitetaan yksilön perusoikeutta yksityisyyteen tämän henkilötietoja käsiteltäessä. Henkilötiedot voivat taas olla mitä tietoja tahansa, joista voidaan suoraan tai epäsuorasti tunnistaa tietty luonnollinen henkilö. Esimerkiksi nimen ja valokuvan lisäksi, IP-osoite, sähköpostiosoite, palkkatiedot, some-päivitys yms. ovat henkilötietoja.

Henkilötietojen käsittely tarkoittaa mitä tahansa henkilötietoihin kohdistuvaa toimenpidettä, kuten tietojen keräämistä, tallettamista, järjestämistä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, poistamista jne. Toisin sanoen suojattavaa on paljon – ja aikaa vähän. Dilemman ratkaisemiseksi olisi hyvä lähteä liikkeelle periaatetasolta. Näin siksi, että hyvin suunniteltuhan on puoleksi tehty ja siihen henkilötietojen käsittelyssä noudatettavat periaatteet tähtäävät. Nämä periaatteet on lueteltu uuden tietosuoja-asetuksen 5 artiklassa ja ne ovat:

  • lainmukaisuus, kohtuullisuus ja läpinäkyvyys
  • käyttötarkoitussidonnaisuus
  • tietojen minimointi
  • täsmällisyys
  • säilytyksen rajoittaminen
  • eheys ja luottamuksellisuus.

Yritysten arvioitava prosessejaan

Viime kädessä asetus edellyttää, että yritys voi osoittaa noudattavansa kyseisiä periaatteita. Mitä tämä siis käytännössä tarkoittaa? Jatkossa yrityksen on toisin sanoen pystyttävä omalla dokumentoinnillaan todistamaan, että se ei esimerkiksi kerää asiakkaistaan ja työntekijöistään tarpeettomia henkilötietoja. Tähän velvoittavat muun muassa käyttötarkoitussidonnaisuuden ja tietojen minimoinnin periaatteet. Lisäksi henkilötietojen säilyttämisaikoja on rajoitettu siltä osin kuin niiden säilyttämiselle ei ole perusteltua syytä, kuten esimerkiksi jo aiemmin todettu tietojen minimoinnin sekä säilytyksen rajoittamisen periaatteet edellyttävät. Yrityksen tulisikin ensin lähteä arvioimaan, soveltaako se kyseisiä periaatteita työntekijä- ja asiakastietojen käsittelyprosesseihin ja miltä osin on tarvetta muutoksille.

Kansainvälisesti toimivan yrityksen kohdalla periaatteet konkretisoituvat esimerkiksi uuden tietosuoja-asetuksen vaatimuksissa, jotka koskevat henkilötietojen siirtoa EU:n ulkopuolelle eli kolmansiin maihin. Konkreettisia siirtotilanteita ovat esimerkiksi asiakastietojen tai työntekijätietojen hallinnointiin tarkoitetun pilvipalvelun ostaminen EU:n ulkopuoliselta palveluntarjoajalta. Tällöin henkilötietoja helposti siirtyy EU:n ulkopuolelle. Mikäli henkilötietoja siirtyy kolmansiin maihin, tulee tarkistaa, että siirto täyttää tietosuoja-asetuksen vaatimukset.

Asetus lähtökohtaisesti kieltää henkilötietojen siirrot EU:n ulkopuolelle, mikäli vastaanottajamaa ei tarjoa riittävää tietosuojan tasoa. Sellaiseen kolmanteen maahan, jossa tietosuojan taso ei ole riittävä, voidaan tietoja kuitenkin siirtää asetuksessa säädetyin poikkeusperustein. Näihin poikkeusperusteisiin sisältyy komission alue- ja sektorikohtainen riittävyysarviointi, jonka perusteella tiettyjä tietoja voi siirtää tiettyihin maihin. Lisäksi henkilötietoja voidaan siirtää komission mallisopimuslausekkein (standard contractual clauses ”SCC”), jolloin kyseiset sopimusehdot sisällytetään palveluntarjoajan kanssa tehtävään palvelusopimukseen.

Globaalisti toimivan yrityksen sisällä henkilötietojen siirto kolmansiin maihin voidaan myös toteuttaa sisällyttämällä sitovat yrityssäännöt (binding corporate rules ”BCR”) osaksi yrityksen toimintaa. Edellä mainittujen lisäksi siirto on mahdollista toteuttaa yritysten laatimien, asianmukaiset suojatoimet takaavien käytännesääntöjen (codes of conduct ”COC”) avulla.

Yleinen tietosuoja-asetus edellyttää yrityksiltä huomattavasti aiempaa kattavampaa raportointia, informointia ja dokumentointia henkilötietojen käsittelyssä. Tämä tulee huomioida myös siirrettäessä henkilötietoja kolmansiin maihin. Mahdollisia siirtotilanteita silmällä pitäen yritysten tulee ennen kaikkea arvioida tekemiään sopimuksia, joiden perusteella yritysten keräämiä henkilötietoja siirtyy kolmannelle, esimerkiksi ulkopuoliselle palveluntarjoajalle. Näin siksi, että uuden tietosuoja-asetuksen johdosta vastuu henkilötietojen lainmukaisesta käsittelystä on paitsi rekisterinpitäjällä (eli sillä, joka henkilötiedot on kerännyt), myös henkilötietojen käsittelijällä (eli sillä, jolle rekisterinpitäjä on henkilötietoja luovuttanut esimerkiksi säilyttämistä ja hallinnointia varten).

Henkilötietojen käsittelijöiden velvollisuuksia ja vastuita uuden tietosuoja-asetuksen valossa olemme käsitelleet aiemmassa blogipostauksessamme.

Silja Järvinen
Noora Rissanen

Siljan ja Nooran avaus päättää tällä erää GDPR-blogikirjoitustemme sarjan, jossa asiantuntijamme ovat käytännönläheisellä tavalla ja eri näkökulmista avanneet, mitä EU:n uusi tietosuoja-asetus tarkoittaa ja miten yritysten tulisi valmistautua sen 25.5.2018 voimaantuloon.

Lue tietosuoja-sarjamme aiemmat kirjoitukset:

Jannica Boucht: Sanoista tekoihin henkilötietojen suojaamisessa 28.9.2017

Riitta Sedig ja Maiju Kurvi: Tietosuoja-asetus + HR = ? 24.8.2017

Terhi Karjala ja Jari Piittinen: Tietosuoja-asetus tulee voimaan ensi keväänä, onko yrityksesi sopimukset jo kartoitettu? 15.6.2017

Timo Valonen: Miten tikku-ukkopiirustukset auttavat kehittämään tietosuojaa? 24.5.2017

Kirsi Putkonen: EU:n uusi tietosuoja-asetus lisää kansalaisten oikeuksia ja yrityksen velvollisuuksia – miten aloittaa valmistautuminen yrityksessäsi? 27.4.2017


EY - Silja JärvinenSilja Järvinen

email


EY - Noora RissanenNoora Rissanen

email


 

Legal Counsel Silja Järvinen ja Associate Legal Counsel Noora Rissanen työskentelevät juristeina EY:n lakipalveluissa, erityisesti yksityisyyden suojaa ja tietosuojaa koskevien kysymysten parissa. Lisäksi Silja ja Noora työskentelevät immateriaali- ja sopimusoikeudellisten sekä informaatio- ja teknologiaoikeudellisten tehtävien parissa.



Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out / Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out / Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out / Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out / Muuta )

Muodostetaan yhteyttä palveluun %s