Huomioithan, että teksti antaa vain suuntaviivoja GDPR:n perusteista, eikä sitä ole tarkoitettu juridiseksi ohjenuoraksi.
Mikä on henkilödataa?
GDPR-kontekstissa henkilödatalla tarkoitetaan kaikkea tietoa, joka liittyy tai on liitettävissä luonnolliseen henkilöön (data subject). Henkilö- ja demografiatietojen lisäksi tällaista voivat olla esimerkiksi tietojärjestelmien ID:t, sijaintidata sekä osa selainten evästedatasta.
Anonyymi data ei lähtökohtaisesti ole GDPR:n vaikutuksen alla. Esimerkiksi perustasoinen web-analytiikka, joka on toteutettu niin, että sitä ei voida yhdistää luonnollisiin henkilöihin eri tietolähteitä yhdistelemälläkään.
Mikä muuttuu?
Maantieteelliset erot hälvenevät
EU:n ulkopuoliset yritykset saivat aiemmin käsitellä dataa vapaammin. Nyt GDPR on voimassa aina, kun henkilötietojen kohde (data subject) on EU:n jäsenvaltion kansalainen tai henkilötietojen käsittely tapahtuu EU:ssa.
GDPR korvaa jäsenvaltioiden omat asetukset, jotka liittyvät henkilötietojen käsittelyyn. Yritysten tarvitsee jatkossa ottaa huomioon vain yksi henkilötietojen käsittelyyn liittyvä laki.
Rangaistukset
GDPR:n käyttöönottoa tehostetaan tuntuvilla rangaistuksilla, joissa törkeimmistä väärinkäytöksistä voi joutua maksamaan sakkoa 20 miljoonaa euroa tai 4 % yrityksen globaalista liikevaihdosta (korkeamman mukaan).
Sakko on kuitenkin ns. viimeinen keino. Sitä ennen toimijan tulee osoittaa tehneensä kaikkensa. Ennen sakkoa tulee varoitus todennäköisestä lainvastaisuudesta, sitten huomautus asetuksen vastaisesta käsittelystä ja lopulta toimenpidemääräykset.
Luvanvaraisuus
Henkilötietojen keräämiseen tarvittavan luvan pyytäminen pitää olla selkeää. Yritykset eivät voi enää kätkeä toimintaansa kymmenien sivujen pituisten lakitekstien alle. Lisäksi lupaa kysyessä pitää tehdä selväksi tietojen käyttötarkoitukset – piilottamatta niitäkään jättimäisen EULAn keskelle.
Henkilötietojen käsittelykäytänteiden muuttuessa pitää saada uusi lupa. Lisäksi luvan peruminen pitää tehdä yhtä helpoksi kuin sen antaminenkin.
Lapset eivät voi antaa lupaa henkilötietojensa käyttöön. Lapseksi luokittelun yläikäraja on 13-16 vuotta, riippuen jäsenvaltion määrityksestä.
On hyvä huomioida, että GDPR-kontekstissa on erityyppisiä ”luvanvaraisuustasoja”, joista sopimus, suostumus ja oikeutettu etu koskevat todennäköisimmin markkinoijaa. Sopimus on näistä ehkä selkein tapaus ja esimerkiksi asiakkuuteen liittyvän tiedon käsittelyn osalta useimmiten suositeltavin peruste.
Suostumus puolestaan kattaa monet jo ennen GDPR:ää kerätyt käsittelyluvat, kunhan ne on hankittu ”vapaaehtoisesti, yksilöidysti, tietoisesti ja yksiselitteisesti”. Suostumukseksi ei esimerkiksi lasketa valmiiksi rastitettua ruutua ja se on voitava perua milloin tahansa. Datan kerääjän on myös kyettävä osoittamaan, että suostumus on todella annettu. Jälkimmäinen vaatimus voi synnyttää mielenkiintoisia tilanteita digimaailmassa, kun muistetaan, että ennen luvan antamista käyttäjästä ei saa kerätä yksilöityä, tähän yhdistettävissä olevaa dataa.
Oikeutettu etu viittaa tilanteeseen, jossa käyttäjä voi olettaa datan kerääjän käyttävän kerättyä tietoa esimerkiksi konsernin sisäiseen käyttöön ollessaan esimerkiksi tunnistettu asiakas.
Liikesalaisuudet turvassa
Yritysten ei jatkossakaan tarvitse antaa liikesalaisuuden piiriin luettavissa olevaa tietoa ulos. Esimerkiksi mainonnan profilointi- ja kohdennusperusteita ei tarvitse avata tarkalla tasolla. Huomionarvoista on myös se, että jotta data olisi GDPR:n piirissä, on henkilön oltava selvästi tunnistettavissa; esimerkiksi pelkkä laitetyypin (iPhone X, Samsung S8) kerääminen ei ole tunnistamista.
Privacy by design
GDPR:n myötä privacy by design -konsepti tulee pakolliseksi eri tietojärjestelmiä suunniteltaessa.
Privacy by design -konseptilla tarkoitetaan tapaa suunnitella ja kehittää tietojärjestelmiä, joissa tietoturva on järjestelmän ydinvaatimus. Monissa hankkeissa tietosuoja on jäänyt helposti vain ”päälle liimatuksi”, kun tekeminen on fokusoitunut liiketoimintakriittisiin toiminnallisuuksiin.
Yksityishenkilön oikeudet:
Oikeus kuulla tietosuojarikkomuksista 72 h sisällä
Mikäli henkilötietoihin liittyvä tietovuoto ilmenee, pitää sen ilmoittaa viimeistään 72 h sisällä huomaamisesta.
Oikeus saada kaikki tallennetut henkilötiedot
Oikeus tulla unohdetuksi
Datan kohde voi pyytää (tietyin ehdoin Artikla 17) haltijaa poistamaan kaikki henkilötiedot, esimerkiksi tilanteessa, jossa tietojen alkuperäinen käyttötarkoitus ei ole enää validi.
Datan liikuteltavuus
Kerätyn datan kohde voi jatkossa jakaa keräämääsi dataa myös muille toimijoille – kuten kilpailijoillesi. Siirrettävyys ei koske oikeutetun edun perusteella käsiteltyä dataa. Suoraa pääsyä kolmannelle osapuolelle ei tarvitse antaa.
Kotiläksyjä:
Kouluta ja valmenna:
Tästä on hyvä aloittaa, sillä mahdolliset toimenpiteet on helpompi toteuttaa, kun kaikki tietävät miksi muutoksia tehdään.
Asennemuutos on usein tarpeellinen, sillä GDPR:n kannalta kriittinen selvitystyö tehdään monien mielestä ”tylsien” materiaalien – kuten it-arkkitehtuurikuvausten ja juridisten tekstien – avulla. Asennemuutoksella myös varmistetaan, että GDPR:n vaatimukset eivät jää kertaluonteiseksi selvitysprojektiksi, vaan niitä noudatetaan jokapäiväisessä tekemisessä.
Kartoita:
- Mitä henkilödataa käsittelette ja säilötte?
- Missä järjestelmissä henkilödata sijaitsee?
- Miten henkilödata liikkuu organisaationne sisällä järjestelmien ulkopuolella, entä kumppanien kesken?
- Miten hyödynnätte keräämäänne dataa ja onko teillä perusteet datan keräämiselle?
- Missä pyydätte yksityishenkilön lupaa datan käsittelyyn ja tallentamiseen?
- Onko kyse sopimuksesta vai suostumuksesta?
Esimerkiksi suostumusta tulisi käyttää vain sellaisissa tilanteissa, joissa rekisterinpitäjän käytössä ei ole muita tapoja. - Onko organisaatiollanne jo ennalta määritelty GDPR-viestintäsuunnitelma. Missä, milloin ja millä tavoin informoitte muutoksista?
Rakenna ja testaa toimintamallit:
- Miten organisaatiosi selviytyy skenaariosta, jossa teille tulee pyyntö poistaa kaikki henkilötiedot? Mitäpä, jos asiakas haluaa kopion kaikista hänestä kerätyistä tiedoista? Tilanne, jossa vastavanlaisia pyyntöjä tulee massoittain, on mahdollinen.
- Onko kopioitavien tietojen joukossa liiketoimintakriittistä materiaalia, joka ei missään nimessä saa valua kilpailijoillenne?
- Onko organisaatiossanne kriisiviestintäsuunnitelma tietomurron varalta?
Testauksen perusteella kannattaa automatisoida mahdolliset kipukohdat:
- Mieti skenaario, jossa esimerkiksi 10 % käsittelemiesi henkilötietojen haltijoista haluaa kopion tiedostaan lyhyen ajan sisällä. Kuinka paljon lisäkuluja tästä voi syntyä? Voisiko prosessia automatisoida?