Lakimuutoksia luvassa - osa 1/2 2017
Tässä kaksiosaisessa artikkelisarjassa tutustumme General Data Protection Regulation -tietosuoja-asetukseen, joka tuo mukanaan merkittäviä muutoksia kaikille verkossa toimiville yrityksille. Asetus koskee henkilötietojen käsittelyä nimistä ja osoitteista lähtien ja koskee siten melko vaatimatontakin toimintaa.
Asiasta on kirjoitettu paljon ja monenlaisissa blogeissa ja me Drontilla kannamme kortemme kekoon tuomalla esille otteita tuosta melko massiivisesta asetuksesta. Näin olevat ja tulevat asiakkaamme pystyvät itsekin näkemään mitä oikein on meneillään.
Henkilötietoja kerätään paljon ja ne alkavat olla arvotavaraa muillekin kuin puhelinmyyjille. Helpon nykyteknologian ansiosta sekä yksityiset, yritykset että viranomaiset voivat käyttää toiminnassaan henkilötietoja ennennäkemättömän laajasti.
“Tämän kehityksen vuoksi unionissa tarvitaan vahva ja johdonmukaisempi tietosuojakehys, jota tuetaan tehokkaalla täytäntöönpanolla, sillä on tärkeää rakentaa luottamusta, jonka pohjalta digitaalitalous voi kehittyä koko sisämarkkinoiden alueella. Luonnollisten henkilöiden olisi voitava valvoa omia henkilötietojaan. “
Edellinen lainaus on suoraan Euroopan parlamentin ja neuvoston asetuksesta 2016/679, joka löytyy myös suomeksi. Perustelut jatkuvat:
“…tarvitaan asetus, jolla taataan oikeusvarmuus ja läpinäkyvyys talouden toimijoille, kuten mikroyrityksille sekä pienille ja keskisuurille yrityksille, annetaan luonnollisille henkilöille kaikissa jäsenvaltioissa samantasoiset, oikeudellisesti täytäntöönpanokelpoiset oikeudet ja rekisterinpitäjille ja henkilötietojen käsittelijöille velvollisuudet ja vastuut, joilla varmistetaan henkilötietojen käsittelyn yhdenmukainen valvonta ja samantasoiset seuraamukset…”
Tulevat muutokset koskevat siis kaikenlaisia yrityksiä sekä yhdistysten asiakas- ja jäsenrekistereitä. Niiden noudattamatta jättämisellä tulee olemaan jonkinmoiset seuraukset, vaikkakin sanktioita voidaan säätää oman jäsenvaltion alueella.
“…henkilöiden suojelun olisi oltava teknologianeutraalia eli se ei saisi riippua käytetystä tekniikasta. Luonnollisten henkilöiden suojelun olisi koskettava myös henkilötietojen automaattista käsittelyä sekä niiden manuaalista käsittelyä…”
Verkkokauppa tai yhdistyksen sivut - pääseekö sivustosi käyttäjä ylipäänsä kirjautumaan sivustollesi (ja keräät näin ollen tietoja)?
Tässä vaiheessa alkaa viimeistään selviämään miksi kirjoitamme aiheesta verkkosivustojakin rakentavan softatoimiston blogissa - ihan ensimmäisenä blogipostauksenamme. Eräällä asiakkaallamme on noin 20 000 käyttäjää verkkopalvelussaan ja kyseessä on melko tavallinen suomalainen vähän pidempään toiminut verkkokauppa. Luonnollisia henkilöitä käyttäjistä on suunnilleen kaksi kolmasosaa eli rapiat 13 000 henkilöä, muut ovat firmoja. Uusi tietosuoja-asetus koskee kaikkien näiden 13 000:n asiakkaan tietoja. Se koskee periaatteessa myös kaikesta tiedosta otettuja kopioita kuten varmuuskopioita ja tietokantakopioita. Se koskee käyttäjien seuranta-analytiikkaa ja ylipäänsä kaikkea henkilötietojen käsittelyä.
“…Tätä asetusta ei sovelleta luonnollisen henkilön suorittamaan henkilötietojen käsittelyyn toiminnassa, joka on yksinomaan henkilökohtaista tai kotitaloutta koskevaa toimintaa - - - Asetusta sovelletaan kuitenkin rekisterinpitäjiin tai henkilötietojen käsittelijöihin, jotka tarjoavat keinot tällaiseen henkilökohtaiseen tai kotitaloutta koskevaan henkilötietojen käsittelyyn.”
Omia tietojaan saa toki huoletta itsekseen käsitellä ja perheenkin kotitalouden piirissä, mutta loppujen lopuksi melkein kaikki tavanomaisten verkkosivujen läpi menevä asiakas- ja jäsentieto on tämän tietosuojan piirissä. Poikkeuksena ovat lähinnä ne yritykseltä yritykselle, yhteisölle tms. palveluja tai tuotteita toimittavat tahot, joiden asiakkaina ei ole koskaan luonnollisia henkilöitä.
“ Tietosuojaperiaatteita olisi sovellettava kaikkiin tietoihin, jotka koskevat tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä. - - - Jotta voidaan määrittää, onko luonnollinen henkilö tunnistettavissa, olisi otettava huomioon kaikki keinot, joita joko rekisterinpitäjä tai muu henkilö voi kohtuullisen todennäköisesti käyttää mainitun luonnollisen henkilön tunnistamiseen suoraan tai välillisesti - - - Luonnolliset henkilöt voidaan yhdistää heidän käyttämiensä laitteiden, sovellusten, työkalujen ja protokollien verkkotunnistetietoihin, kuten IP-osoitteisiin, evästeisiin tai muihin tunnisteisiin, esimerkiksi radiotaajuustunnisteisiin.”
Pitkiä lainauksia, mutta vain jotta näiden asetusten kattavuus kävisi selväksi.
Luonnollisen henkilön antamasta suostumuksesta mainitaan mm. seuraavaa:
“Suostumus olisi annettava selkeästi suostumusta ilmaisevalla toimella - - - Toimi voisi esimerkiksi olla se, että rekisteröity rastittaa ruudun vieraillessaan internetsivustolla - - - että hän hyväksyy henkilötietojensa käsittelyä koskevan ehdotuksen. Suostumusta ei sen vuoksi pitäisi voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta. - - - Jos käsittelyllä on useita tarkoituksia, suostumus olisi annettava kaikkia käsittelytarkoituksia varten.”
KEITÄ ASETUS KOSKEE
Asetus koskee verkkopalveluja toki systeeminä, mutta entäpä henkilötasolla?
“... Olisi vahvistettava rekisterinpitäjän vastuu tämän suorittamasta tai rekisterinpitäjän puolesta suoritetusta henkilötietojen käsittelystä.”
Laajasti ottaen asetus siis koskee henkilötietoja jollain tavalla käsittelevän verkkopalvelun toteuttajaa, ylläpitäjää sekä tilaajaa (jos tämä on rekisterinpitäjä millään tasolla), kaikkia ainakin jossain vaiheessa.
MILLOIN
Tämä saattaa yllättää, mutta tietosuoja-asetus on astunut voimaan jo keväällä 2016. Tosin sen soveltaminen alkaa vasta ensi vuoden keväänä, joten siksi aihe nousee pinnalle juuri nyt. Tämä vuosi on aikaa käydä läpi omaa verkkojärjestelmäänsä ja miettiä mitä tulisi tehdä toisin. Uusissa hankkeissa GDPR-näkökulma pitäisi huomioida jo luonnosteluvaiheessa. Tässä tietosuoja-asetuksessa sanktiot ollaan hilattu niin koviksi, että on syytä uskoa niitä myös toteutettavan jossain vaiheessa. Henkilötietosuoja kun on melkoinen talouspoliittinenkin kuuma peruna.
MITÄ MUUTA
Erikseen säädetään monenmoista terveystietojen käsittelystä ja ne säännökset ovat lähinnä tiukennoksia ja täsmennöksiä muuhun henkilötiedonkäsittelyyn. Myös lasten henkilötietoja tulee erityisesti suojata, mikä on otettava huomioon tavanomaisillakin sivuilla esim. käyttäjäprofiileissa. Paljon myös vatvotaan sitä missä rekisterin pitäjän päätoimipaikka sijaitsee ja käsitelläänkö tai tallennetaanko tietoja vain EU:n alueella. Viimeksi mainitussa tulee muuten ottaa huomioon tiedon kulku käsittelyn jokaisessa vaiheessa, mukaanlukien automaattisen seurantadatan. Tästä syystä Drontin käyttämät palvelimet ovat jo lähes kaikki Suomessa ja loputkin EU:ssa.
Seuraavat vaatimukset saattavat aiheuttaa päänvaivaa etenkin toteutukseltaan sekavissa palveluissa:
“Rekisteröidyllä olisi oltava oikeus saada pääsy henkilötietoihin, joita hänestä on kerätty, sekä mahdollisuus käyttää tätä oikeutta vaivattomasti ja kohtuullisin väliajoin, jotta hän voi pysyä perillä käsittelyn lainmukaisuudesta ja tarkistaa sen. - - - Rekisteröidyllä olisi erityisesti oltava oikeus siihen, että hänen henkilötietonsa poistetaan ja ettei niitä käsitellä sen jälkeen kun henkilötietoja ei enää tarvita niitä tarkoituksia varten, joita varten ne kerättiin - - - rekisteröidyn olisi myös voitava saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä, koneellisesti luettavassa ja yhteentoimivassa muodossa ja siirtää ne toiselle rekisterinpitäjälle.”
RISKEJÄ & TARKENNUKSIA
“Läpinäkyvyyden periaatteen mukaisesti kyseisten henkilötietojen käsittelyyn liittyvien tietojen ja viestinnän on oltava helposti saatavilla ja ymmärrettävissä ja niissä on käytettävä selkeää ja yksinkertaista kieltä. Tämä periaate koskee erityisesti rekisteröityjen tietoja rekisterinpitäjän identiteetistä ja käsittelyn tarkoituksista - - -, sekä heidän [loppukäyttäjien] oikeuttaan saada vahvistus ja ilmoitus heitä koskevien henkilötietojen käsittelystä. Luonnollisille henkilöille olisi tiedotettava henkilötietojen käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista - - - Henkilötietojen olisi oltava riittäviä ja olennaisia ja rajoituttava siihen, mikä on välttämätöntä niiden käsittelyn tarkoitusten kannalta. Tämä edellyttää erityisesti sitä, että henkilötietojen säilytysaika on mahdollisimman lyhyt. - - - Rekisterinpitäjän olisi asetettava määräajat henkilötietojen poistoa tai niiden säilyttämisen tarpeellisuuden määräaikaistarkastelua varten - - - ehkäistään luvaton pääsy henkilötietoihin tai niiden käsittelyyn käytettyihin laitteistoihin sekä tällaisten tietojen tai laitteistojen luvaton käyttö.
Jotta henkilötietojen käsittely olisi lainmukaista, sen olisi perustuttava asianomaisen rekisteröidyn suostumukseen tai muuhun oikeutettuun perusteeseen, josta säädetään lainsäädännössä, joko tässä asetuksessa tai [jne] - - - Kun tietojenkäsittely perustuu rekisteröidyn suostumukseen, rekisterinpitäjän olisi voitava osoittaa, että rekisteröity on antanut suostumuksensa käsittelytoimiin.”
Kaikki tämä vaatii verkkosivutoteutukselta huolellisuutta sekä mainittujen tietojen hallittavuuden parantamista. Toisaalta asetusta lukiessa on mahdollista muodostaa tarkituslista, jonka voi esittää vaikkapa ihan loppukäyttäjälle asti.
Kaikki asetuksen seikat eivät silti ole ihan helposti täytettävissä:
“Suostumusta ei voida pitää vapaaehtoisesti annettuna, jos rekisteröidyllä ei ole todellista vapaan valinnan mahdollisuutta ja jos hän ei voi myöhemmin kieltäytyä suostumuksen antamisesta tai peruuttaa sitä ilman, että siitä aiheutuu hänelle haittaa.”
Uh? Osa tekstistä on niin laveasti ilmaistua, että asetukset tarkentunevat niiltä osin vasta aikaa myöten. Yllä mainittu kuitenkin saattaa koskea joiltain osin verkkokauppoja, mutta jäämme odottamaan.
Seuraava blogipostaus koittaa kattaa edes jotenkuten sen 5/6 asetuksesta, joka nyt jäi käsittelemättä.