Tietosuojalainsäädäntö on tehty noudatettavaksi

Tietosuojalainsäädäntö on tehty noudatettavaksi

Tekstiä päivitetään uusien seuraamusmaksupäätösten myötä. Tekstiin on lisätty riskienhallintaan liittyvä kappale 2.6.2020 ja tasapainotestiin liittyvä kappale 5.6.2020. Artikkelin lopusta löydät linkit tietosuojaviranomaisten tiedotteisiin ja päätöksiin, joihin tässä tekstissä viitataan.

Suomessa on kirjoitettu ensimmäiset sakot tietosuoja-asetuksen noudattamisen puutteista. Kirjoitin yhteenvedon Apulaistietosuojavaltuutetun nyt antamista henkilötietoihin liittyvistä päätöksissä, jotta voisimme kaikki ottaa opiksi kyseisistä tapauksista. Tarkoitus ei ole käsitellä jokaista tapausta yksittäisenä, vaan vetää yhteen pääasiat. Tarkoitus ei ole myöskään analysoida rangaistuksia tai käsitellä niiden yksityiskohtia, vaan olen pyrkinyt nostamaan esiin ne tietosuojaan liittyvät asiat, jotka ovat olennaisia suomalaisen pk-yrityksen näkökulmasta näiden tapausten myötä.

Lain velvoitteiden selvittämättä jättäminen katsotaan tuottamuksellisuudeksi. Tietosuojalainsäädäntö on melko yksinkertainen laki, jonka soveltamisesta on paljon seikkaperäistä ohjeistusta saatavilla. Annettujen sakkopäätösten perusteluista näkyi, että tietosuojalainsäädäntö on ollut voimassa vuosia ja asioista tietämättömyys on tapauksissa katsottu laiminlyönniksi ja rikkomukset pitkäkestoisiksi. Tietosuojan osalta olisi myös hyvä muistaa, että kaikessa ei voi olla itse asiantuntija. Joten, jos omat resurssit eivät riitä tietosuojalainsäädäntöön tutustumiseen ja henkilötietojen suojaamiseen, täytyy pyytää apua alan asiantuntijoilta. Siksi mekin omassa yrityksessä ostamme kirjanpitopalvelut yritykseltä, joka tuntee kirjanpitolainsäädännön. Tietosuojalainsäädännön noudattamatta jättämisen peruste ei siis voi olla tietämättömyys tai resurssien puute.   

Tietosuoja-asetuksen noudattamatta jättämisellä on seurauksia. Monet ovat epäilleet, ettei meillä Suomessa saisi sakkoja tietosuojalainsäädännön noudattamatta jättämisestä tai sakkoja saisi vain ”oikeasti” arkaluonteisten tietojen väärinkäytöstä. Päätösten myötä huomattiin, että varsin tavanomaisten henkilötietojen vääränlaisella käsittelyllä on seurauksia.

Tietosuojaan liittyvän toiminnan tulee olla ennakoivaa ja osa kaikkea toimintaa. Tietosuoja täytyy kyetä huomioimaan jo muutos- ja suunnitteluvaiheissa. Oli kyse sitten liiketoiminnan kehittämisestä, järjestelmähankinnoista tai muista muutoksista, jonkun täytyy kysyä heti alkuvaiheessa: “Miten tämä vaikuttaa meillä henkilötietojen käsittelyyn ja sisältääkö se riskejä henkilötietojen osalta?”. Henkilötietoihin liittyvät riskit tulisi siis aina arvioida, käsitellä ja kirjata. 

Tietosuojan osalta on kyettävä osoittamaan noudattavansa lakia. Tietosuojalainsäädännön osoitusvelvollisuus edellyttää asioiden jatkuvaa kehittämistä ja kirjaamiskäytäntöjä. Esimerkiksi pelkkä tietoturvaohje ei ole vielä näyttö siitä, että henkilötietoihin liittyviä toimintaohjeita noudatetaan. Tietosuojan osalta täytyy varmistaa, että henkilökunta on myös perehdytetty ja koulutettu ja asiat on viety käytäntöön saakka. 

Muita huomioita tietosuojasakkoihin liittyvistä tapauksista

Muutama yksittäinen asia näkyi myös nyt annetuista päätöksistä. Ne ovat sellaisia asioita, joihin olen usein itsekin tietosuojaan liittyvissä toimeksiannoissa törmännyt. 

Rekisteröidyille informointi ja tiedottaminen. Tiedottamisen tulee olla aktiivista. Tietosuoja-asetuksessa on käskymuodossa todettu, että ihmisille on toimitettava kaikki olennainen tieto heidän tietojensa käsittelystä. Pelkkä selosteen laatiminen ja sen sijoittaminen nettisivuille ei siis ole tietojen toimittamista. Se on passiivista selosteen saataville asettamista ja usein myös selosteen saatavuus ja luettavuus kärsii siksi, että seloste on vaikeasti löydettävissä ja siinä on yritetty kattaa kaikki mahdolliset asiat. 

Seloste käsittelytoimista. Jokaiselta suomalaiselta yritykseltä ja organisaatiolta tulee löytyä seloste henkilötietojen käsittelytoimista. Tämä koskee kaikkia. Jokainen yritys käsittelee usein vähintään työntekijöiden ja asiakkaiden tietoja säännöllisesti eikä liikevaihdon tekeminen satunnaisella henkilötietojen käsittelyllä ole monellakaan alalla edes mahdollista. 

Tietosuojaa koskeva vaikutustenarviointi. Etenkin henkilötietojen käsittelyyn liittyvät ulkoistukset, hankinnat ja järjestelmäkehitys sisältävät usein sellaisia tekijöitä, jotka laukaisevat velvoitteen suorittaa tietosuojan vaikutustenarvioinnin. Etenkin, jos henkilötietojen käsittelyn yhteydessä käsitellään esimerkiksi työnantajan direktio-oikeuden vuoksi heikommassa asemassa olevia työntekijöitä. Jos tietosuojaa koskevaa vaikutustenarviointia ei tehdä järjestelmähankinnan yhteydessä, siitä täytyy kirjata päätös perusteluineen. Ja, vaikka tällainen päätös olisi täysin oikea, sitä ei voida myöhemmin osoittaa oikeaksi ilman dokumentointia. Pahimmassa tapauksessa oikeallakin ratkaisulla voi siis olla negatiivisia seurauksia. Etenkään IT-maailmassa mikään ei ole vuoden kuluttua sitä, miltä se ennen käyttöönottoa on vaikuttanut. 

Riskienhallinta (lisätty tekstiin 2.6.2020). Taksi Helsinkiä koskevan seuraamusmaksun päätöksen osalta oli tarkasti perusteltu riskienhallintaan liittyviä odotuksia. Usein yritysten riskiarviot ovat hyvin yleisluontoisia ja niissä viitataan vain toimialan yleisiin riskeihin. Samoin liitos jokapäiväiseen elämään jää niissä usein löyhäksi. Nyt annetuissa Apulaistietosuojavaltuutetun päätöksen perusteluissa oli hyvin avattu sitä, että riskeillä tarkoitetaan konkreettisia tosielämän skenaarioita tai tapahtumia, joiden seurauksia ja todennäköisyyksiä tulisi arvioida osana riskienhallintaa. Tämä on välttämätöntä myös tehokkaiden riskien hallintakeinojen suunnittelemiseksi. Riskilistojen kopiointi yleisistä oppaista ei juuri auta, koska jokainen organisaatio on erilainen ja riskeihin varautuminen pitää suunnitella juuri omaan konkreettiseen ja tosiasialliseen henkilötietojen käsittelyyn.

Tasapainotesti (lisäys 5.6.2020). Taksi Helsingin asiassa monelle tuli uutena asiana velvoite suorittaa tasapainotesti käytettäessä henkilötietojen käsittelyn lainmukaisuusperusteena rekisterinpitäjän oikeutettua etua. Tietosuoja-asetuksen johdantoteksti luettelee suoramarkkinoinnin kohdalla yhtenä henkilötietojen käsittelyn perusteena oikeutetun edun, joten aina tulee tehdä tasapainotesti, jos suoramarkkinointi perustuu oikeutettuun etuun. Sähköisessä suoramarkkinoinnissa käytetyt keinot voivat olla usein hyvinkin tunkeilevia tai asiakkaiden näkökulmasta odottamattomia, joten rekisterinpitäjän vastuulla on arvioida kirjallisesti oikeutetun edun perusteet. Tulisi arvioida esimerkiksi, onko oman organisaation etu tosiaan suurempi kuin asiakkaiden oikeus yksityisyyteen ja missä määrin. Ja, onko henkilötietojen käsittelyssä jotain sellaista, joka voisi olla odottamatonta ja josta olisi syytä informoida. Tietosuojavaltuutetun sivustolta löytyy ohje tasapainotestin tekemiseen.  

Täältä voit tutustua tietosuojavaltuutetun toimiston tiedotteisiin tehdyistä seuraamusmaksupäätöksistä (tiedotteista pääset myös tehtyihin päätöksiin):

Jari Ala-Varvi
IT-joukkueen pelaaja #679
tietosuojavastaava