-osioon:
Tietosuojalainsäädäntö on tehty noudatettavaksi

Tietosuojalainsäädäntö on tehty noudatettavaksi

Tekstiä päivitetään uusien seuraamusmaksupäätösten myötä. Viimeksi päivitetty 8.2.2022.

Suomessa on kirjoitettu ensimmäiset sakot tietosuoja-asetuksen noudattamisen puutteista. Kirjoitin yhteenvedon Apulaistietosuojavaltuutetun nyt antamista henkilötietoihin liittyvistä päätöksissä, jotta voisimme kaikki ottaa opiksi kyseisistä tapauksista. Tarkoitus ei ole käsitellä jokaista tapausta yksittäisenä, vaan vetää yhteen pääasiat. Tarkoitus ei ole myöskään analysoida rangaistuksia tai käsitellä niiden yksityiskohtia, vaan olen pyrkinyt nostamaan esiin ne tietosuojaan liittyvät asiat, jotka ovat olennaisia suomalaisen pk-yrityksen näkökulmasta näiden tapausten myötä.

Lain velvoitteiden selvittämättä jättäminen katsotaan tuottamuksellisuudeksi. Tietosuojalainsäädäntö on melko yksinkertainen laki, jonka soveltamisesta on paljon seikkaperäistä ohjeistusta saatavilla. Annettujen sakkopäätösten perusteluista näkyi, että tietosuojalainsäädäntö on ollut voimassa vuosia ja asioista tietämättömyys on tapauksissa katsottu laiminlyönniksi ja rikkomukset pitkäkestoisiksi. Tietosuojan osalta olisi myös hyvä muistaa, että kaikessa ei voi olla itse asiantuntija. Joten, jos omat resurssit eivät riitä tietosuojalainsäädäntöön tutustumiseen ja henkilötietojen suojaamiseen, täytyy pyytää apua alan asiantuntijoilta. Siksi mekin omassa yrityksessä ostamme kirjanpitopalvelut yritykseltä, joka tuntee kirjanpitolainsäädännön. Tietosuojalainsäädännön noudattamatta jättämisen peruste ei siis voi olla tietämättömyys tai resurssien puute.   

Tietosuoja-asetuksen noudattamatta jättämisellä on seurauksia. Monet ovat epäilleet, ettei meillä Suomessa saisi sakkoja tietosuojalainsäädännön noudattamatta jättämisestä tai sakkoja saisi vain ”oikeasti” arkaluonteisten tietojen väärinkäytöstä. Päätösten myötä huomattiin, että varsin tavanomaisten henkilötietojen vääränlaisella käsittelyllä on seurauksia.

Tietosuojaan liittyvän toiminnan tulee olla ennakoivaa ja osa kaikkea toimintaa. Tietosuoja täytyy kyetä huomioimaan jo muutos- ja suunnitteluvaiheissa. Oli kyse sitten liiketoiminnan kehittämisestä, järjestelmähankinnoista tai muista muutoksista, jonkun täytyy kysyä heti alkuvaiheessa: “Miten tämä vaikuttaa meillä henkilötietojen käsittelyyn ja sisältääkö se riskejä henkilötietojen osalta?”. Henkilötietoihin liittyvät riskit tulisi siis aina arvioida, käsitellä ja kirjata. 

Tietosuojan osalta on kyettävä osoittamaan noudattavansa lakia. Tietosuojalainsäädännön osoitusvelvollisuus edellyttää asioiden jatkuvaa kehittämistä ja kirjaamiskäytäntöjä. Esimerkiksi pelkkä tietoturvaohje ei ole vielä näyttö siitä, että henkilötietoihin liittyviä toimintaohjeita noudatetaan. Tietosuojan osalta täytyy varmistaa, että henkilökunta on myös perehdytetty ja koulutettu ja asiat on viety käytäntöön saakka. 

Huomioita tietosuojasakkoihin liittyvistä tapauksista

Muutama yksittäinen asia näkyi myös nyt annetuista päätöksistä. Ne ovat sellaisia asioita, joihin olen usein itsekin tietosuojaan liittyvissä toimeksiannoissa törmännyt. 

Rekisteröidyille informointi ja tiedottaminen. Tiedottamisen tulee olla aktiivista. Tietosuoja-asetuksessa on käskymuodossa todettu, että ihmisille on toimitettava kaikki olennainen tieto heidän tietojensa käsittelystä. Pelkkä selosteen laatiminen ja sen sijoittaminen nettisivuille ei siis ole tietojen toimittamista. Se on passiivista selosteen saataville asettamista ja usein myös selosteen saatavuus ja luettavuus kärsii siksi, että seloste on vaikeasti löydettävissä ja siinä on yritetty kattaa kaikki mahdolliset asiat. 

Seloste käsittelytoimista. Jokaiselta suomalaiselta yritykseltä ja organisaatiolta tulee löytyä seloste henkilötietojen käsittelytoimista. Tämä koskee kaikkia. Jokainen yritys käsittelee usein vähintään työntekijöiden ja asiakkaiden tietoja säännöllisesti eikä liikevaihdon tekeminen satunnaisella henkilötietojen käsittelyllä ole monellakaan alalla edes mahdollista. 

Tietosuojaa koskeva vaikutustenarviointi. Etenkin henkilötietojen käsittelyyn liittyvät ulkoistukset, hankinnat ja järjestelmäkehitys sisältävät usein sellaisia tekijöitä, jotka laukaisevat velvoitteen suorittaa tietosuojan vaikutustenarvioinnin. Etenkin, jos henkilötietojen käsittelyn yhteydessä käsitellään esimerkiksi työnantajan direktio-oikeuden vuoksi heikommassa asemassa olevia työntekijöitä. Jos tietosuojaa koskevaa vaikutustenarviointia ei tehdä järjestelmähankinnan yhteydessä, siitä täytyy kirjata päätös perusteluineen. Ja, vaikka tällainen päätös olisi täysin oikea, sitä ei voida myöhemmin osoittaa oikeaksi ilman dokumentointia. Pahimmassa tapauksessa oikeallakin ratkaisulla voi siis olla negatiivisia seurauksia. Etenkään IT-maailmassa mikään ei ole vuoden kuluttua sitä, miltä se ennen käyttöönottoa on vaikuttanut. 

Riskienhallinta (lisätty tekstiin 2.6.2020). Taksi Helsinkiä koskevan seuraamusmaksun päätöksen osalta oli tarkasti perusteltu riskienhallintaan liittyviä odotuksia. Usein yritysten riskiarviot ovat hyvin yleisluontoisia ja niissä viitataan vain toimialan yleisiin riskeihin. Samoin liitos jokapäiväiseen elämään jää niissä usein löyhäksi. Nyt annetuissa Apulaistietosuojavaltuutetun päätöksen perusteluissa oli hyvin avattu sitä, että riskeillä tarkoitetaan konkreettisia tosielämän skenaarioita tai tapahtumia, joiden seurauksia ja todennäköisyyksiä tulisi arvioida osana riskienhallintaa. Tämä on välttämätöntä myös tehokkaiden riskien hallintakeinojen suunnittelemiseksi. Riskilistojen kopiointi yleisistä oppaista ei juuri auta, koska jokainen organisaatio on erilainen ja riskeihin varautuminen pitää suunnitella juuri omaan konkreettiseen ja tosiasialliseen henkilötietojen käsittelyyn.

Tasapainotesti (06/2020). Taksi Helsingin asiassa monelle tuli uutena asiana velvoite suorittaa tasapainotesti käytettäessä henkilötietojen käsittelyn lainmukaisuusperusteena rekisterinpitäjän oikeutettua etua. Tietosuoja-asetuksen johdantoteksti luettelee suoramarkkinoinnin kohdalla yhtenä henkilötietojen käsittelyn perusteena oikeutetun edun, joten aina tulee tehdä tasapainotesti, jos suoramarkkinointi perustuu oikeutettuun etuun. Sähköisessä suoramarkkinoinnissa käytetyt keinot voivat olla usein hyvinkin tunkeilevia tai asiakkaiden näkökulmasta odottamattomia, joten rekisterinpitäjän vastuulla on arvioida kirjallisesti oikeutetun edun perusteet. Tulisi arvioida esimerkiksi, onko oman organisaation etu tosiaan suurempi kuin asiakkaiden oikeus yksityisyyteen ja missä määrin. Ja, onko henkilötietojen käsittelyssä jotain sellaista, joka voisi olla odottamatonta ja josta olisi syytä informoida. Tietosuojavaltuutetun sivustolta löytyy ohje tasapainotestin tekemiseen.  

Suoramarkkinointi (08/2020). Seuraamuskollegion viimeisin päätös (23.7.2020) on hyvä muistutus siitä, että henkilötietojen käsittelyä Suomessa ohjaa muukin lainsäädäntö kuin tietosuoja-asetus. Vaikka sakkojen taustalla oli myös laiminlyöntejä tietosuoja-asetuksen kanssa, kuten rekisteröidyn oikeuksien käyttöpyyntöjen laiminlyönti ja suostumuksen keruu, oli taustalla myös viestintäpalvelulaki (917/2014). Sen mukaan suoramarkkinointia voi kohdentaa luonnollisiin henkilöihin vain ennalta saadun suostumuksen perusteella.

Usein yritysten henkilöstöä pidetään ns. “vapaana riistana” suoramarkkinoinnin osalta, joten tämän päätöksen myötä kannattaa huomata, että rekisterinpitäjän tulee varmistua siitä, että kohteena on todella yhteisö, eikä yksityinen henkilö. Aika monella suomalaisella on yrityksen maksama tai omistama puhelinliittymä ja se voi silti olla henkilökohtaisessa käytössä. Lisäksi kannattaa huomioida, että myös yhteisöillä on oikeus vastustaa suoramarkkinointia.

Ihmisten tarkkaileminen ja tietojen keruu heistä ilman lainmukaisuusperustetta ja riittävää informointia on myös kielletty. Informoinnin osalta tulee muistaa myös 12 artiklan sanamuoto (katso yllä kohta reksiteröidyille informointi, 08/2021).

Henkilötietojen käsittelysopimukset eivät ole riittäviä, jos niissä käytetään vain vakioliitteitä. Sopimuksella tulee tietosuoja-asetuksen mukaan vahvistaa käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät. Tämä edellyttää melko yksityiskohtaista sopimusta esim. tietojärjestelmässä sen käyttötavasta ja tarkoituksista. Sen vuoksi useiden vakiosopimusten ohjeissa kehotetaankin sopimaan näistä aina erikseen tarkemmin (esim. IT2020 tai JIT2015, 08/2021).

Vastuut ja seuraamukset eivät aina kohdennu vain laiminlyöntiin syyllistyneeseen oikeushenkilöön. Sakkopäätöksessä joulukuulta 2021 tietoturvallisuuden laiminlyöntien osalta sakko kohdennettiin koko konserniin siitä huolimatta, että kyse oli vain yhtä osakeyhtiötä koskevasta laiminlyönnistä. Seuraamuskollegio katsoi tässä tapauksessa yritysten muodostavan sekä keskittyneen päätök-sentekovallan, että toisiaan taloudellisessa mielessä täydentävän palvelukokonaisuuden vuoksi taloudellisen yksikön ja kohdensi seuraamusmaksun kaikille kolmelle konserniyhtiölle.

Täältä voit tutustua tietosuojavaltuutetun toimiston tiedotteisiin tehdyistä seuraamusmaksupäätöksistä (tiedotteista pääset myös tehtyihin päätöksiin):

Jari Ala-Varvi
IT-joukkueen pelaaja #679
tietosuojavastaava