GDPR kilpailuvalttina – muistutus tietosuojalainsäädännön noudattamisen tärkeydestä

Laura Jaatinen

Artikkelit

20.02.2019

EU:n tietosuoja-asetus eli GDPR tuli voimaan toukokuussa 2018 ja kansallista tietosuojalakia on sovellettu Suomessa vuodenvaihteesta lähtien. Uusi tietosuojalainsäädäntö luo yhteiset pelisäännöt kaikille. GDPR:ää sovelletaan aina, kun EU:n kansalaisen henkilötietoja käsitellään, riippumatta siitä, missä itse käsittely tapahtuu. 

Tarkoitukseni on tällä artikkelilla muistuttaa säännösten peruslähtökohdista ja siitä, että tietosuojalainsäädännön noudattamisen tulisi olla yritysten normaalia arkea.

Mahdollisuus toimia luotettavasti
Tietosuojalainsäädäntö antaa yrityksille oikeuden ja velvollisuuden käsitellä ihmisten henkilötietoja mahdollisimman luotettavasti ja läpinäkyvästi. Miksi puhun oikeudesta ja velvollisuudesta? Siksi, että tietosuojalainsäädäntöä ei tule nähdä liiketoiminnan esteenä, vaan ennen kaikkea kilpailuvalttina. Ihmiset tulevat enenevissä määrin arvostamaan yrityksiä, jotka ottavat yksityisyyden vakavasti. Yritysten tulisi nähdä oikeutena se, että ihmiset luottavat henkilötietonsa yritysten käsiin. Toisaalta lainsäädäntö kuitenkin edellyttää yrityksiltä tiettyjä toimia, jotta ne voivat saavuttaa asemansa arvostettuina yksityisyyden turvaajina. Tietosuojalainsäädäntö antaa yrityksille mahdollisuuden olla ihmisten luottamuksen arvoisia. GDPR:ssä yrityksille säädetään velvollisuudeksi sisäänrakennettu tietosuoja. Tämä tarkoittaa sitä, että tietosuoja ei ole vain pakollinen paha, vaan myös tietosuojan ja tietoturvan tulisi olla yrityksessä osa päivittäistä toimintaa ja jatkuvan kehityksen alaista.

Soveltamisalasta
GDPR:ää sovelletaan henkilötietojen käsittelyyn. Henkilötieto on kaikkea tunnistettuun tai tunnistettavissa olevaan henkilöön liittyvää tietoa. Henkilötietojen käsittely on teknologianeutraalia ja asetus koskeekin paitsi henkilötietojen automaattista käsittelyä, myös manuaalista käsittelyä silloin, kun henkilötiedot sisältyvät tai ne on tarkoitus sisällyttää johonkin rekisteriin. Asetusta ei kuitenkaan sovelleta yksityisen henkilön suorittamaan henkilötietojen käsittelyyn, jos käsittely tapahtuu yksinomaan henkilökohtaista tai kotitaloutta koskevaa toimintaa varten eikä ole näin sidoksissa mihinkään ammatilliseen tai kaupalliseen toimintaan. On kuitenkin tärkeää huomata, että lähes kaikki yrityksissä tapahtuva henkilötietojen käsittely kuuluu asetuksen soveltamisalaan. Hälytyskellojen tulisikin soida aina, kun yrityksessä käsitellään henkilötietoja.

Muista rekisteröidyn oikeudet
Asetuksessa on annettu paljon erilaisia oikeuksia rekisteröidylle eli henkilölle, jonka henkilötietoja käsitellään. Viimeistään siinä vaiheessa, kun rekisteröity pyytää yritykseltä kaikki itseään koskevat tiedot nähtäväksi, joka on eräs rekisteröidylle annetuista oikeuksista tietosuoja-asetuksessa, tulisi yrityksen herätä ja muistaa velvollisuutensa. Rekisteröityjen oikeuksia tarvitaan, jotta henkilöt voivat säilyttää luottamuksensa yrityksiin. Oikeuksia tarvitaan, jotta yritykset tietävät, että rekisteröity voi koska tahansa tulla ovelle koputtamaan ja pyytämään tietoja siitä, miten hänen henkilötietojaan käsitellään. Rekisteröity voi menettää luottamuksensa syystä tai toisesta ja varmistaa yritykseltä, että hänen henkilötietojaan käsitellään oikein ja lainmukaisesti. Nämä rekisteröityjen oikeudet tulee ottaa kaikissa yrityksissä vakavasti, riippumatta toimialasta.

Ennen kaikkea mahdollisuus, ei uhka
Juristina aina toivoo, että yritykset pystyisivät hyödyntämään uutta lainsäädäntöä mahdollisimman hyvin ja näkisivät uuden lainsäädännön tuovan ennen kaikkea uusia mahdollisuuksia liiketoiminnalle. Myös tietosuojalainsäädäntö tulee nähdä mahdollisuutena. Se on myös välttämätöntä, jotta henkilötietojen käsittelylle saadaan kaikille yhteiset pelisäännöt; niin rekisteröidyille, rekisterinpitäjille kuin viranomaisillekin. Vaikka hallinnollisilla seuraamusmaksuilla ei saa eikä tarvitse pelotella, on kuitenkin huomattava, että ne ovat mahdollisia. Viranomainen voi määrätä hallinnollisia seuraamusmaksuja, jotka voivat olla isojakin yrityksen koosta riippuen. Viimeistään tämän pitäisi olla viimeinen niitti yrityksille noudattaa tietosuojalainsäädäntöä, jos muut tässä artikkelissa mainitsemani seikat eivät jo olleet tarpeeksi kannustavia. Ranskan tietosuojaviranomainen määräsi Googlelle vuoden alussa 50 miljoonan euron hallinnollisen seuraamusmaksun, sillä sen toiminta ei ollut GDPR:n mukaista. Tietosuojaviranomainen muun muassa huomautti, että Google ei ollut kerännyt rekisteröityjen suostumuksia GDPR:n mukaisesti: rekisteröidyn suostumus tulee saada kaikkiin käsittelyn tarkoituksiin erikseen eikä yleistä suostumusta useaa tarkoitusta varten voida antaa.

Lopuksi
Vietin vuoden alussa kaksi päivää GDPR-workshopissa Wroclawissa, Puolassa. Tilaisuus oli EU:n rahoittama ja Wroclawin yliopiston järjestämä. Tilaisuuteen oli kerääntynyt juristeja ympäri Eurooppaa. Tilaisuuden kantavana teemana oli se, että henkilötietojen käsittelyyn tulee olla jokin GDPR:ssä mainituista oikeudellisista perusteista. Henkilötietoja tulee käsitellä lainmukaisesti ja tiettyyn tarkoitukseen eikä niitä voi säilyttää niin kauan kuin haluaa. Kimmokkeeni tätä artikkelia varten oli juuri kyseinen workshop. On tärkeää, että kaikki jäsenvaltiot tiedostavat henkilötietojen suojaamisen merkityksen. Näin saadaan rakennettua Euroopan unioniin hyvät tietosuojakäytänteet sekä lainsäädäntö, joita kaikki osapuolet noudattavat.