Muista tietosuoja-asetus tehdessäsi sopimuksia

Edelle

Blogit

03.10.2016

Tietosuoja on kaikessa abstraktiudessaan vaikea mutta erittäin ajankohtainen aihe. EU:n uusi tietosuoja-asetus ja sen sanamuoto on hyväksytty sekä Euroopan parlamentin että Neuvoston puolesta ja se astuu lopullisesti voimaan siirtymäajan jälkeen 25.5.2018. Uudistus tuo mukanaan monenlaisia täsmennyksiä myös Suomessa voimassaolevaan ja uuden asetuksen kanssa jossakin määrin samankaltaiseen henkilötietolakiin. Suurin periaatteellinen muutos asettaa kuitenkin myös suomalaisille uusia käytännön vaatimuksia: yritysten on vastedes sakon uhalla kyettävä vaadittaessa todistamaan toimivansa oikein, vaikka tietosuojaloukkausta ei olisi vielä edes tapahtunut. Asetus määrittelee siis uuden ennakollisen osoitusvelvollisuuden henkilörekisterin pitäjälle.

Pähkinänkuoressa henkilötiedoilla tarkoitetaan mitä tahansa tietoa, jonka avulla henkilö voidaan tunnistaa tai yksilöidä. Tieto voi kuvata henkilön ominaisuuksia, elinolosuhteita tai vaikkapa hänen mieltymyksiään, mutta myös epäsuora tieto, kuten valvontakamerakuva, josta henkilö voidaan tunnistaa ja kohdentaa johonkin aikaan ja paikkaan, on henkilötietoa. Henkilötieto voi olla arvokasta, koska sen avulla voidaan esimerkiksi kohdentaa henkilön tahtomatta tai tietämättä markkinointia ja vielä pahempaa, tehdä identiteettivarkauksiin tai muuhun henkilötietojen väärinkäyttöön nojautuvia rikoksia. Huolimattomasti hoidettu henkilörekisteri tarjoaakin pitkäkyntisille oivan rikoksentekovälineen.

Suuri osa yrityksistä käyttää tai käsittelee toiminnassaan henkilötiedoksi luokiteltavaa aineistoa. Asiakasrekisterit, tilauskirjat tai vastaavat ovat ilmeisiä esimerkkejä, mutta myös valvontakameratallenteet tai vaikkapa perinteisesti tuotteiden promootiokampanjoihin liittyvät arvonnat saattavat aivan vahingossa synnyttää yrityksellesi henkilörekisterin. Terveysalan toimijoiden osalta on helppo mieltää, että toiminnassa käsitellään henkilötietoja, mutta yhtä hyvin myös parturikampaamon varauskirja voi sisältää tietoa, joka voidaan katsoa henkilötiedoksi. Yrityksen velvollisuus on tunnistaa kaikki henkilörekisterinsä ja myös pystyä osoittamaan niiden asianmukainen käsittely.

Mitä sitten pitäisi tehdä? Viimeistään tässä vaiheessa tulisi jokaisen henkilötietoja käsittelevän yrityksen alkaa perehtyä tietosuoja-asetuksen tuomiin uusiin velvoitteisiin, kuten velvollisuuteen tehdä tietoturvaloukkausilmoitus, mahdolliseen velvollisuuteen nimittää tietosuojavaltuutettu ja velvollisuuteen tehdä tietosuojaa koskeva vaikutusten arviointi, muutamia mainitakseni. Jokaisella yrityksellä on käytössään tietojärjestelmiä, joiden arviointi tietosuojaloukkausten näkökulmasta on nyt erittäin ajankohtaista, mutta myös kaikki perinteisemmätkin toimintamallit pitää arvioida mahdollisten tietosuojariskien varalta. Onko esimerkiksi yrityksesi keskukselle annettu ohjeet minkälaista tietoa puhelimessa voidaan ulkopuoliselle luovuttaa?

Mutta entä jos yritys ei itse käsittele henkilötietoja? Tällaisessakaan tilanteessa ei välttämättä voi huokaista helpotuksesta, koska suurin osa yrityksistä on ulkoistanut joitakin toimintansa osia, kuten logistiikkaan tai vaikkapa palkanmaksuun liittyviä toimintoja. Henkilötietorekisterin pitäjäksi nimittäin katsotaan se taho, jonka toimintaan liittyen tietoja käsitellään. Ulkoistamalla henkilötietojen käsittelyn ei automaattisesti vältä vastuuta, vaan pahimmassa tapauksessa voi joutua vastaamaan myös ulkoistuskumppanin huolimattomuudesta.

Tietosuoja-asetuksen myötä kiristyvän sanktiolinjan ja ennakollisen osoitusvelvollisuuden vuoksi tuleekin entistä tärkeämmäksi tunnistaa tietosuojariskit myös sopimussuhteissa. Tunnistettujen riskien käsitteleminen sopimustekstissä on sopimusjuristin eräs olennaisimmista tehtävistä, niin myös tietosuojaan liittyen. Minimissään tulisi sopimuksella huolehtia, että sopimuskumppanin toiminta vastaa tietosuoja-asetuksen vaatimuksia, ja mikäli tietosuojaloukkaus tapahtuu, että sopimuskumppani vastaa kaikista vahingoista tietosuojaloukkauksiin liittyen. Toisaalta, tällaisen vastuun ottamista saatetaan vastaavasti ehdottaa yrityksellesi: oletko varma, että jatkossakin tiedät mitä lupaat ottaessasi täyden vastuun tietosuojalainsäädännön asettamista velvoitteista?