Päivitetty: 20.5.2024
Tietosuoja on projekti
Tarua.
Moni organisaatio valmistautui tietosuoja-asetukseen jonkinlaisen projektin kautta. Projekti on usein hyvä aloitus tietosuojatyölle, ja sen kautta voi saavuttaa selkeitä lopputuloksia, kuten analyysin organisaation tietosuojan nykytilasta tai tiettyjä vaatimustenmukaisuuden kannalta keskeisiä dokumentteja, kuten tietojenkäsittelysopimus- tai vaikutustenarviointimallin.
Projekteilla on kuitenkin päätepiste, kun taas tietosuojatyön tulisi olla jatkuvaa systemaattista kehittämistoimintaa – siis prosessi. Erityisesti dataintensiivistä liiketoimintaa harjoittavat yritykset luovat kokeillen uusia palveluita sekä muuttavat usein käyttämiään teknologioita, kumppaneita ja datan käsittelytapoja. Tämä edellyttää jatkuvaa uusien elementtien arviointia sekä henkilöstön kouluttamista. Lisäksi tulee monitoroida sitä, että aiemmin määriteltyjä käytäntöjä noudatetaan ja alati muuttuviin tietoturvauhkiin on asianmukaisesti varauduttu.
Työkalu tai sertifikaatti varmistaa, että tietosuoja-asetusta noudattaa 100 %:sti
Tarua.
Kuten yllä todettiin, tietosuoja edellyttää jatkuvaa kehitystyötä. Jos joku kauppaa sinulle palvelua, jonka luvataan varmistavan 100 % vaatimustenmukaisuus, viittaa sille kintaalla. Yksi teknologia tai tuote ei ole autuus onneen, vaan kyse on systemaattisesti työstä, jota teknologia ja erilaiset digitaaliset palvelut voivat tukea.
Tietosuoja-asetus kannustaa erilaisten sertifiointimekanismien, tietosuojasinettien ja käytännesääntöjen käyttöönottoa, ja niitä voidaan käyttää osoittamaan asetuksen velvoitteiden noudattamista. Varsinaisia GDPR:n tarkoittamia sertifiointeja ei kuitenkaan ole vielä olemassa. Kannattaa siis tarkistaa, mihin konsulttien myyntipuheissa kuullut sertifioinnit viittaavat ja mitkä ovat olleet edellytykset niiden saamiselle. GDPR:n sertifiointi voidaan myöntää vain organisaatiolle, ei yksityishenkilölle.
Suhtaudu myös skeptisesti siihen, että joku organisaatio väittää olevansa ”100% GDPR compliant”. Lainsäädäntö on hyvin periaatteellista ja avointa tulkinnalle sekä nykyiset tiedonkäsittely-ympäristöt monimutkaisia, joten on hyvin vaikea kuvitella, että joku voisi saavuttaa tällaisen teoreettisen maksimin. Mitä enemmän tietosuojasta tietää, sitä selvemmäksi käy, että organisaatiolla on edessään loppumaton lista pienempiä tai suurempia tehtäviä tietosuojan ylläpitämiseksi tai parantamiseksi.
Tietosuoja rajoittaa sananvapautta
Useimmiten tarua.
Tietosuoja-asetus ja vuoden alusta voimaan tullut tietosuojalaki määrittävät henkilötietojen suojan ja sananvapauden yhteensovittamista. Uusi sääntely ei tuo merkittäviä muutoksia aiempaan oikeustilaan, vaan tietosuojasääntely soveltuu edelleen henkilötietojen käsittelyyn toimituksellisia tarkoituksia varten vain osittain. Jos kyse on tietojen, mielipiteiden ja ajatusten ilmaiseminen yleisölle, eikä esimerkiksi yksittäisten ihmisten uteliaisuuden tyydyttämisestä, henkilötietojen käsittely on varsin vapaata. Esimerkiksi verotustietojen julkaisua puoltaa se, että verotustietoihin sisältyy yhteiskunnallisesti merkityksellisiä tietoja, joiden avulla kansalaiset voivat seurata tuloerojen kasvua ja veropolitiikan oikeellisuutta.
Journalismia sekä taiteellisen ja kirjallisen ilmaisun tarkoituksia tulkitaan laajasti. Journalismipoikkeuksia sovelletaan perinteisten joukkotiedotusyritysten lisäksi kaikkia journalismia harjoittavia henkilöihin. Tämä on vahvistettu myös tammikuussa 2019 annetussa Euroopan unionin tuomioistuimen ratkaisussa.
Suurin uhka on massiiviset sakot
Tarua.
Tietosuoja-asetus ei ole ensisijaisesti keino sakottaa. Sen pääasiallinen tarkoitus on suojata meidän jokaisen yksityisyyttä. Tietosuojaviranomaisilla on käytössään sakkojen lisäksi myös muita keinoja, kuten varoitusten tai huomautusten antaminen taikka käsittelykiellon määrääminen. Näistä jälkimmäisellä voi olla yritykselle paljon sakkoja suurempia vaikutuksia, samoin kuin sillä, että rikkomuksen myötä menetetään asiakkaiden luottamus. Nämä seuraamukset voivat murentaa koko liiketoiminnan.
On myös huomattava, että vastuullisuus liiketoiminnassa on kasvava trendi. Yhä useampi työntekijä ja sijoittaja hakee kohdetta, jonka yritystoiminnan luonne ja perustoiminnot ovat eettisiä. Yksityisyyden suojaaminen on yksi vastuullisen liiketoiminnan elementti, jolla voidaan vaikuttaa yrityksen houkuttavuuteen, brändiin ja lopulta arvoon.
GDPR on kuin Y2K – paljon melua tyhjästä
Tarua.
Vaikka suomalaisten yritysten arjessa tietosuojaviranomaisten toimet näyttävät vielä vähäisiltä, on muistettava, että kansallinen tietosuojalaki, jolla tietosuojavaltuutettu sai tarvittavan toimivallan, tuli voimaan vasta vuoden 2019 alussa. Euroopan laajuisesti viranomaisilla on ollut tutkittavana yli 200 000 juttua ja sakkoja on annettu yli 55 miljoonaa euroa (lähde). Odotettavissa on, että ratkaisuja saadaan kiihtyvällä tahdilla.
Lisätietoja murretuista myyteistä antaa:
Anna Paimela
Osakas
+358 40 164 8626
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Päivitetty: 20.5.2024
Organisaatiot ovat soveltaneet tietosuoja-asetusta (GDPR) lähes vuoden. Periaatteisiin nojautuva lainsäädäntö johtaa ymmärrettävästi erilaisiin tulkintoihin ja mielipiteisiin. Osa näistä tulkinnoista näyttäytyy tietosuojajuristin silmiin kuitenkin väärinkäsityksiltä, joita on syytä oikaista. Esittelen alla niistä muutaman.
Henkilötietojen käsittelyyn pyydettävä rekisteröidyn suostumus
Useimmiten tarua.
Vaikka tätä myyttiä on sinnikkäästi pyritty kumoamaan, se nousee ajoittain esille. Suostumuksen ohella käsittely voi perustua esimerkiksi sopimukseen, rekisterinpitäjän oikeutettuun etuun tai lakisääteisen velvoitteen noudattamiseen. Esimerkiksi verkkopalveluun rekisteröityvältä käyttäjältä ei tarvitse pyytää suostumusta palvelun tarjoamiseen tai asiakasviestinnän lähettämiseen, mutta voi olla paikallaan pyytää käyttäjältä suostumus sähköiseen suoramarkkinointiin erityisesti, kun se koskee muita kuin palveluntarjoajan omia tuotteita. Se, että käyttäjä klikkaa palveluun rekisteröityessään lausetta ”annan suostumukseni henkilötietojeni käsittelylle tietosuojaselosteen mukaisesti”, ei ole suostumus. Se on korkeintaan (harhaanjohtavaa) informointia henkilötietojen käsittelystä.
Suostumuksen ei tarvitse aina olla nimenomainen, rasti ruutuun -tyyppinen suostumus (”explicit consent”). Tällaista nimenomaista suostumusta voidaan edellyttää, jos organisaatio käsittelee esimerkiksi erityisiä tietoryhmiä (arkaluonteisia henkilötietoja), kuten terveydentilatietoja. Muutoin suostumus voi olla myös muunlainen toimi, jolla rekisteröity ilmaisee suostumuksensa joko lausuman tai aktiivisen toimenpiteen kautta. Tärkeää on, että toimenpide on jälkikäteen todennettavissa.
Muista kuitenkin, ettei passiivisuus tai ennakolta rastitetut ruudut muodosta pätevää suostumusta, eikä suostumuksen antamatta jättämiseen tai peruuttamiseen saa liittyä haitallisia seuraamuksia. Tämän osalta on syytä olla tarkkana, sillä tähän mennessä suurimmat tietosuojasakot (Google, 50 MEUR) liittyvät osittain siihen, että suostumuspyyntö oli toteutettu väärin.
Lasten henkilötietojen käsittely perustuu huoltajan suostumukseen
Mahdollisesti tarua.
GDPR:n ja kansallisen tietosuojalain mukaan huoltajan tulee antaa suostumus alle 13-vuotiaan lapsen henkilötietojen käsittelyyn, jos kyse on: 1) tietoyhteiskunnan palveluiden tarjoamisesta, 2) suoraan lapselle, ja 3) käsittely perustuu suostumukseen.
Tietoyhteiskunnan palveluissa on kyse vastaanottajan henkilökohtaisesta pyynnöstä tavallisesti korvausta vastaan toimitettavasta sähköisestä etäpalvelusta, kuten sovelluksista tai sosiaalisen median palveluista. Jos kyse ei ole tällaisesta palvelusta, ko. säännös ei siis sovellu. Kun taas arvioidaan sitä, tarjotaanko palvelua ”suoraan lapselle”, on syytä tarkastella, millaista sisältöä palvelussa on, miten ja mille kohderyhmälle sitä markkinoidaan ja miten palveluntarjoaja on käyttöehdoissaan palvelun käytön määrittelyt (esim. ehto siitä, että palvelua saa käyttää vain täysi-ikäiset). Jos palvelu on muodollisesti ja tosiasiallisesti suunnattu aikuisille, ei ko. säännös sovellu, vaikka jotkut alaikäiset sattuisivatkin palvelua käyttämään.
Vaikka kyse olisi tietoyhteiskunnan palvelusta, ei lapsen henkilötietojen käsittely välttämättä perustu suostumukseen. Tietosuojavaltuutetun mukaan lapsi voi esimerkiksi käyttää neuvonta- ja tukipalveluja sekä ennalta ehkäiseviä palveluja ilman huoltajan suostumusta. Muihin käsittelyperusteisiin – kuten sopimukseen tai oikeutettuun etuun – vedottaessa on kuitenkin muistettava lapsen ikä, mahdollisuudet tehdä oikeustoimia ja oikeus erityiseen suojeluun. Se, että alaikäinen voi pätevästi tehdä vain merkitykseltään vähäisiä ja olosuhteisiin nähden tavanomaisia oikeustoimia, rajoittaa mahdollisuuksia käyttää sopimusta käsittelyperusteena. Toisaalta myös tasapainostesti, joka liittyy oikeutettuun etuun, voi johtaa siihen, että käsittelyn katsotaan olevan ristiriidassa lapsen perusoikeuksien ja -vapauksien kanssa. Selvää on, että lasten henkilötietojen käsittely edellyttää aina erityistä huolellisuutta.
Tietosuoja-asetus ei koske ”non-PII” dataa
Useimmiten tarua.
Varsinkin Pohjois-Amerikassa on käytetty termiä ”personally identifiable information” ("PII"), jolla viitataan karkeasti ottaen henkilötietoon, jolla voidaan tunnistaa rekisteröity. Esimerkiksi adtech-kumppanin tarjoamassa sopimusmallissa saatetaan todeta, että EU:n tietosuojasääntely ei sovellu sen suorittamaan käsittelyyn, sillä kyse on erilaisista tunnisteista, joiden avulla ei voida tunnistaa rekisteröityä ("non-PII”). Määritelmästä ei ole täyttä yksimielisyyttä: useat tahot antavat non-PII esimerkeiksi eväste- tai laitetunnisteet ja IP-osoitteet, kun taas Federal Trade Commission on viitannut siihen, että laitetunnisteet, MAC-osoitteet, evästeet ja staattiset IP-osoitteet voivat olla kohtuudella rekisteröityyn liitettävissä ja siten henkilötietoja.
Tietosuoja-asetuksen määrittelemä henkilötieto, ”personal data”, ja Yhdysvaltojen ”personally identifiable information” eivät täysin vastaa toisiaan, jolloin data, jota kumppani kuvaa termein ”non-PII”, voi olla tietosuoja-asetuksen tarkoittamaa henkilötietoa. Määritelmä voi usein täyttyä esimerkiksi digitaalisessa mainonnassa ja markkinoinnissa, jossa profiloidaan käyttäjiä käyttäen ei-sessiopohjaisia tunnisteita, kuten eväste- tai laitetunnisteita.
Se, että sinulla tai kumppanillasi ei ole käyttäjän nimeä, henkilötunnusta, puhelinnumeroa tai sähköpostiosoitetta, ei vielä vapauta teitä tietosuoja-asetuksen velvoitteista. Vain anonyymi tai anonymisoitu data – eli data, jota ei voida missään tilanteessa (edes jonkun toisen hallussa olevan tiedon avulla) yhdistää luonnolliseen henkilöön – on tietosuojasääntelyn ulkopuolella.
Tietosuojamyyttien kumoaminen jatkuu ensi viikolla ilmestyvässä toisessa osassa.
Lisätietoja antaa:
Anna Paimela
Osakas
+358 40 164 8626
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Päivitetty: 7.6.2023
Tietosuoja-asetukseen valmistauduttiin kuumeisesti. Kuluttajina saimme lukuisia GDPR:stä informoivia sähköpostiviestejä yrityksiltä, joiden kanssa olemme joskus asioineet, ja klikkasimme verkkosivustoilla satoja bannereita, joissa pyydettiin lupaa evästeiden asettamiselle. Yrityksissämme panostimme GDPR:n voimaantuloon mm. uudistamalla dokumentaatiota, prosesseja ja tietojärjestelmiä sekä kouluttamalla henkilöstöämme. Nyt emme kuule mitään. Ei uutisia suurista hallinnollisista sakoista tai vahingonkorvauksista, ei pelottavia esimerkkejä datan käytön kieltämisestä. Kansallisen tietosuojalain puuttuessa Suomessa ei ole edes viranomaista, jolla olisi toimivaltaa valvoa tietosuoja-asetuksen soveltamista.
Vaikka saattaa tuntua siltä, että GDPR on kuin vuosituhannen vaihteen Y2K, ilmassa on jo merkkejä siitä, että tietosuoja-asetus tulee edelleen ottaa tosissaan:
Kuluttajat ovat aktivoituneet tietosuojan suhteen Suomessa ja muualla
Ratkaisuja on jo saatu mm. Saksassa, Iso-Britanniassa, Ranskassa ja Itävallassa
Irlannin tietosuojaviranomainen on ilmoittanut aloittavansa tutkinnan Facebookin 50 miljoonaa käyttäjää koskeneesta tietoturvaloukkauksesta
Iso-Britannian ja Irlannin tietosuojaviranomaiset ovat saaneet kantelun siitä, kuinka ohjelmallisessa mainonnassa rikotaan tietosuoja-asetusta
Euroopan tietosuojavaltuutetun mukaan sakkoja on odotettavissa viimeistään loppuvuonna
Erään yhtiön toimitusjohtajaa ja talousjohtajaa vastaan nostettiin kanne perustuen siihen, että yhtiö olisi antanut harhaanjohtavia tietoja osakkeenomistajille yhtiön GDPR-valmiudesta
Yritysten ei siis ole syytä lopettaa tietosuojatyötä, vaan mm. viimeistellä tietojenkäsittelysopimuksia koskevat neuvottelut kumppaneiden kanssa, varmistaa, että tietosuoja on oletusarvoisesti mukana kehitetyissä tuotteissa ja palveluissa sekä varmistaa, että mainonnassa käytettävä data on laillisesti ja läpinäkyvästi kerätty. Vielä ei todellakaan ole valmista: EY:n tutkimuksen mukaan 56 % yrityksistä ei oman ilmoituksensa mukaan täytä tietosuoja-asetuksen vaatimuksia, ja Gartner ennustaa, että yksityisyydensuoja ja digitaalinen etiikka ovat vuoden 2019 merkittävimpiä strategisia trendejä.
Vaikka edellä viitattiin erityisesti tietosuoja-asetuksen täytäntöönpanoon – kuluttajien valituksiin, viranomaistutkimuksiin, sakkoihin – niin on myös muistettava, että sakkoja todennäköisesti pahempi asia on asiakkaiden luottamuksen tai datan menettäminen taikka kokonaisen liiketoimintamallin kieltäminen. Sen sijaan, että ajateltaisiin, että sakkojen puuttuessa voi tehdä mitä tahansa, tulisi ajatella, että panostamalla tietosuojaan voi esimerkiksi parantaa digitaalista asiakaskokemusta. Tekemällä asiat alusta saakka oikein voi varmistaa, että toimintamalli sekä palvelee asiakkaita että kestää viranomaistarkastelun.
Työssä kannattaa pitää mielessä myös se, että Euroopan unioni valmistelee parhaillaan tietosuoja-asetusta täydentävää sähköisen viestinnän tietosuoja-asetusta. Asetuksen valmistelu on ollut niin hidasta, että siihen ovat tuskastuneet niin poliitikot kuin tietosuojavaltuutetut, mutta Euroopan parlamentin keväisten vaalien vuoksi asetuksen voimaantulo saattaa lykkääntyä yhä useilla kuukausilla. Voimme siis vielä yrittää vaikuttaa siihen, miltä sähköisen viestinnän tietosuoja-asetus näyttää sekä erityisesti siihen, millaisena asetuksen näemme: johtaako tahtotila kieltää vakoiluun perustuva mainonta arvioiden mukaisesti mediatalojen kaatumiseen vai onko tuleva sääntely mahdollisuus kehittää digitaalista mainontaa ja luoda uusia liiketoimintamalleja.
Vaikka ePrivacy antaa odotuttaa itseään, GDPR ei ole uusi Y2K – se tapahtuu nyt ja oikeasti.
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.