Tietosuoja-asetuksen top 3: aloita valmistautuminen jo nyt

Tietosuojaan liittyvät asiat tulevat muuttamaan lähestulkoon jokaista vähänkin aktiivista verkkosivustoa seuraavan kahden vuoden aikana, riippumatta siitä onko sivusto EU:ssa vai ei.

Uusi EU:n tietosuoja-asetus tulee voimaan kahden vuoden kuluttua. Suomessa voimaantulo hoidetaan erittäin mittavalla lakiuudistuksella, jonka valmistumisaikataulu on vielä hieman avoinna.

Tietosuoja-asetus sääntelee henkilötietojen käsittelyä. Henkilötietoja ovat mitkä tahansa henkilöön liitettävissä olevat tiedot, kuten nimi, puhelinnumero, sähköpostiosoite, ip-osoite ja kuva. Siksi tietosuoja-asetuksen vaikutus verkossa liikkumisen, työskentelyn ja toimimisen arkeen on käsittämättömän laaja. Kuka tahansa joka ylläpitää verkkosivuja tai esimerkiksi uutiskirjettä on asetuksen vaikutuksen piirissä.

Mitä sitten tapahtuu? Alla oma top 3 lista asioista, jotka jokainen verkkosivuston ylläpitäjä (mukaan lukien minä blogini ylläpitäjänä) joutuu ainakin tarkistamaan.

  1. Suostumus tietojen käsittelyyn.
    • Aiemmin: Asiakas tai käyttäjä antoi palvelun ylläpitäjälle suostumuksen henkilötietojensa käsittelyyn tuhansiin eri tarkoituksiin. Suostumus oli haudattu jonnekin syvälle verkkosivuston kilometrejä pitkiin käyttöehtoihin, joihin käyttäjä automaattisesti suostui ryhtyessään käyttämään palvelua
    • Miten muuttuu: Palvelun ylläpitäjän on kysyttävä varsin tarkasti ja erikseen käyttäjältä lupa tietojen käsittelyyn muuhun kuin pelkästään palvelun tarjoaamiseen. Annettava suostumus on pystyttävä erittelemään eli jos tietoja käytetään palvelun tuottamisen lisäksi esimerkiksi suoramarkkinointiin, siihen on saatava erillinen suostumus, “yleisluontoinen” suostumus ei riitä. Tietojen edelleenluovutukseen suostuminen ei saa olla palvelun käytön ehdoton edellytys eli käyttäjän pitäisi pystyä käyttämään palvelua ilman, että hänen tietojaan luovutetaan muille osapuolille. On mahdollista että palvelujen ylläpitäjien (kuten esimerkisi tämän blogin Automatticin ehdot) yleiset ehdot eivät aina riitä vaan saatat joutua laatimaan lisäksi omat ehdot tietojen käsittelyllesi.
  2. Tiedottaminen henkilötietojen käytöstä.
    • Aiemmin: Varsin yleisluonteiset vaatimukset siitä, mitä käyttäjille pitää kertoa heidän henkilötietojensa käsittelystä. Ympäripyöreät ja epäselvät ehdot katsottiin usein “riittäviksi”
    • Miten muuttuu: Vaatimukset tietojen käsittelyn “läpinäkyyvyden” kasvavat merkittävästi. Esimerkiksi aiempaa selkeämmin on kerrottava siitä, mihin tarkoitukseen tietoja käytetään ja miten kauan tietoja säilytetään. Lisäksi käyttäjille on kerrottava että heillä on oikeus siirtää omat henkilötietonsa, pyytää ne poistettavaksi ja rajoittaa niiden käyttöä. Käyttäjälle on myös kerrottava minne he voivat valittaa, jos he eivät ole tyytyväisiä tietojen käsittelyyn.
  3. Tietojen siirtäminen EU:n ulkopuolelle
    • Aiemmin: Yleisluontoinen viittaus “tietojen turvallisesta siirrosta” EU:n ulkopuolelle oli riittävä.
    • Miten muuttuu: Käyttäjälle on kerrottava, mitä tietoja luovutetaan EU:n ulkopuolelle ja miten luovutus on suojattu. Lisäksi ilmeisesti myös tarvittaessa on annettava käyttäjän nähtäväksi kopiot tällaisista sopimuksellisista järjestelyistä, kuten esimerkiksi EU:n mallilausekkeista, ns. BCR-sopimuksista tai Safe Harbor/Privacy Shield-järjestelystä. Siis pelkästään toteamus, että näitä keinoja käytetään, ei olisi ilmeisesti riittävä, vaan käyttäjälle tulisi tarvittaessa antaa myös tietoja itse sopimuksen sisällöstä

Ylläolevat kohdat ovat varsin yleisluontoisia ja koskevat siis verkkosivuja, Tämän lisäksi uusi tietosuoja-asetus vaikuttaa monella tavalla yrityksen tai toimijan velvollisuuksiin ja tietojen käsittelyyn. Ja niitä tarkastellaan seuraavissa postauksissa.

Valtionvarainministeriön asettama valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmän (VAHTI) julkaisi hiljattain raportin jossa annetaan hyvä kuvaus tulevasta tilanteesta sekä varsin hyviä suosituksia siitä, miten organisaatioiden tulisi valmistautua uuden EU:n tietosuoja-asetuksen tuomiin muutoksiin. Kyseiset suositukset ovat hyvin “organisaatiolähtöisiä” ja osoittavat selvästi sen asennemuutoksen, jonka tietosuojan “uusi tuleminen” vaatii.

Published by

Panu Pökkylä

Blogger, enterpeneur and a senior legal counsel at Nordea. Certified Information Privacy Professional / Europe (CIPP/E). I write in Finnish about technology and law, public procurement and privacy. All opinions are mine

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s