Henkilötietoja käsittelevät sopimukset on aika laittaa kuntoon – EU:n tietosuoja-asetus tuo velvoitteita yrityksille

Henkilötietoja käsittelevien yritysten toiminta muuttuu 25. toukokuuta, kun Euroopan unionin uusi tietosuoja-asetus, EU GDPR (General Data Protection Regulation), astuu voimaan Suomessa. Koodia Suomesta ry:n yrityksistä suurin osa käsittelee henkilötietoja.

Yritysten pitää olla merkittävästi huolellisempia henkilötietojen käsittelyssä kuin ennen. Myös riittävästä tietoturvasta henkilötiedon suojelemiseksi pitää huolehtia.

Tämä blogi antaa lisätietoa siitä, miten henkilötietoja pitää jatkossa käsitellä ja dokumentoida sekä miten yritykset voivat tehdä GDPR:n mukaisia sopimuksia yhteistyökumppaniensa kanssa.

Mikä on EU GDPR on?
Henkilötietojen käsittelyn pitää olla yleisen tietosuoja-asetuksen mukaista toukokuussa 2018. GDPR:n tarkoituksena on lisätä henkilötietojen käsittelyn avoimuutta ja parantaa henkilöiden mahdollisuutta valvoa omien henkilötietojen käsittelyä.

Tällä hetkellä sovellettavan kansallisen henkilötietolain pääperiaatteet säilyvät yleisessä tietosuoja-asetuksessa. Uudessa EU:n laajuisessa asetuksessa Yleisessä tietosuoja-asetuksessa on kuitenkin uusia velvoitteita rekisterinpitäjälle ja tiedon käsittelijöille sekä nykyistä laajemmat oikeudet rekisteröidylle.

Milloin yritys saa käsitellä ja kerätä henkilötietoja?
Yrityksen pitää tunnistaa, millaisessa tilanteessa se kerää ja käsittelee henkilötietoja. Tietosuoja-asetuksen mukaisesti on viisi hyväksyttyä tapaa kerätä henkilötietoja:

  1. Henkilö on antanut suostumuksen tietojen käsittelyyn (oltava todiste suostumuksesta, esimerkiksi Privacy policy -hyväksyntä verkkosivustolla)
  2. Sopimukseen perustuva (rekisteröitävä henkilö on sopimuksen osapuolena, esimerkiksi osto ja myynti tai muu transaktio, kirjallinen sopimus)
  3. Rekisterinpitäjällä on lakiin perustuva velvoite (tietojen kerääminen viranomaistarkoituksiin)
  4. Rekisterinpitäjä suorittaa yleistä etua vaativaa tehtävää tai käyttää julkista valtaa (esimerkiksi tuotteen takaisinvetoon liittyvät toimet)
  5. Käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen etujen toteuttamiseksi (esimerkiksi kanta-asiakas tahtoo black listata oman sähköposti osoitteensa estolistalle)

Useimmissa tapauksissa yrityksissä on kyseessä kohdan 1, 2 tai 5 mukainen tarkoitus.

Kohdan 1 mukaisen suostumukseen perustuvan tavan ongelma yritykselle on se, että jos henkilötietoja käsitellään suostumuksen perusteella, henkilöllä on oikeus perua antamansa lupa ja vaatia tietojensa poistamista. Tämä saattaa aiheuttaa yritykselle ylimääräistä työtä ja kustannuksia.

Sopimukseen perustuva tietojen kerääminen eli kohdan 2 mukainen käsittely on monissa tilanteissa käyttökelpoinen tapa käsitellä tietoja. Sopimukseen perustuvassa tapauksessa rajoittava tekijä on se, että yritys saa käyttää tietoja vain sopimuksen täyttämiseksi – ei esimerkiksi testidatan käyttöön tai lisäpalvelujen luomiseksi.

Onko yritys käsittelijä vai rekisterinpitäjä?
Suurin osa Koodia suomesta ry:n jäsenyrityksistä on sekä henkilötiedon käsittelijöitä että henkilötiedon rekisterinpitäjiä. Mikä näiden kahden ero on?

Yritys on henkilötietojen käsittelijä, kun se kerää, tallentaa, siirtää, luovuttaa ja/tai poistaa henkilötietoja. Yritys on henkilötiedon rekisterinpitäjä, kun se ylläpitää henkilötietoihin perustuvaa rekisteriä. Tällainen rekisteri voi muodostua esimerkiksi asiakasdatasta. Rekisterin perustana voivat olla monet syyt: verkkosivuilla käyneet potentiaaliset asiakkaat, ostohistorian perusteella luokitellut asiakkaat tai esimerkiksi kanta-asiakkaat.

Sanktiot laiminlyönnistä suuret, asiakkaan oikeudet laajat
Jos henkilötietoja keräävä yritys ei noudata EU GDPR:n periaatteita, sanktiot voivat olla varsin mittavat. Asetuksen laiminlyönnistä tuomittava sakko voi olla jopa 20 miljoonaa euroa tai neljä prosenttia yrityksen globaalista liikevaihdosta.

GDPR:n laiminlyönnistä voidaan tuomita sakkoihin tai vahingonkorvauksiin. Mahdollinen yrityksen brändiin tuleva lommo ei ole aina edes mitattavissa rahassa.

Kun yritys huolehtii henkilötietojen käsittelystä asianmukaisesti ja huolehtii riittävästä dokumentoinnista, riski korvausvaateisiin on merkittävästi pienempi mahdollisen tarkastuksen osuessa kohdalle. Henkilötietojen tietoturva pitää olla riittävää, tietojen käsittely pitää dokumentoida ja suunnitella. Tietoturvaloukkauksista pitää ilmoittaa.

Erityisesti asiakkaaseen liittyvää sensitiivistä dataa – uskontoon, terveydentilaan, rotuun liittyvää tietoa – pitää käsitellä tarkasti. Tällaisen datan käsittelyn ja luovuttaminen pitää perustua aina asiakkaan suostumukseen, joka pitää aina dokumentoida. Alaikäisen lapsen henkilötietoon tarvitaan aikuisen suostumus.

GPDR vahvistaa myös asiakkaan oikeuksia omaan dataansa. Asiakas saa vaatia itselleen häntä koskevat rekisterissä olevat tiedot ja ne pitää toimittaa hänelle 30 päivän sisällä. Asiakas voi vaatia tietojensa poistamista, kieltää niiden käytön tai perua suostumuksensa (consent).

Facebook joutui myrskyn silmään, kun yhtiö oli luovuttanut asiakastietoja analytiikkayhtiö Cambridge Analyticalle. CA käytti yhdysvaltalaisten Facebook-käyttäjien tietoja maan presidentinvaalin yhteydessä tehdyssä markkinoinnissa. Käyttäjät eivät tietoja luovuttaessaan tienneet mihin kaikkeen tietoa käytetään. GDPR edellyttää, että käyttäjälle kerrotaan, mihin tietoa käytetään.

Mitä yritykseni nyt pitää tehdä?
Tässä blogissa esitettyihin GDPR:n mukaisiin toimintatapoihin kannattaa tarttua heti, sillä lakia aletaan soveltaa Suomessa 25. toukokuuta.

Henkilötietoa käsittelevien tai sitä säilyttävien yritysten pitää solmia GDPR-sopimukset sellaisten yhteistyökumppaniensa kanssa, joilta henkilötietoja saadaan tai joille niitä luovutetaan. Sopimusten kanssa kannattaa olla aloitteellinen – tämä antaa kuvan, että yritys ottaa liiketoimintansa vakavasti. Kun lähettää sopimuksen itse, säästää arvokasta aikaa, kun ei joudu lukemaan kaikkien yhteistyökumppaniensa lähettämiä sopimuksia ja vertailemaan niitä omiin sopimuspohjiinsa.

Ennen sopimusten tekoa erilaiset henkilötiedot kannattaa jakaa loogisiin kokonaisuuksiin eli henkilötietorekistereihin. Rekisterille voi antaa omia attribuutteja – esimerkiksi asiakasdata, nettisivulla käyneet potentiaaliset asiakkaat, kanta-asiakkaat. Lisäksi näille ryhmille voidaan luoda attribuutteja siitä, mitä dataa luovutetaan eteenpäin, kuinka pitkän aikaa dataa säilytetään, mitä tietoturvakontrolleja käytetään.

Esimerkki kanta-asiakasohjelman datasta:

Tämän jälkeen yrityksen yhteistyökumppanit (joille kerättyä dataa luovutetaan) voidaan jakaa ryhmiin sen mukaan, mitä dataa millekin yhteistyökumppanille luovutetaan.

Sopimuksista pitää selvitä mitä tietoa siirretään tai luovutetaan, mihin ja kenelle tietoa siirretään, missä tarkoituksessa tietoa käsitellään, miten tiedot säilytetään tietoturvallisesti ja kuinka kauan tietoja säilytetään. Myös alihankkijat, jotka ovat tiedon kanssa tekemisissä, pitää tuoda esiin.

Dealsign on palvelu, jonka avulla sopimuksia voi neuvotella yhteistyökumppanien kanssa verkossa. Palvelussa on erityisesti Koodia Suomesta ry:n jäsenille laadittu EU:n tietosuoja-asetuksen mukaiseen henkilötietojen käsittelyyn ja säilyttämiseen liittyvä tietoturvasopimuspohja, jonka on tehnyt kansainvälinen asianajotoimisto Bird & Bird. Palvelussa on saatavilla myös Dealsignin asianajotoimistokumppaneiden laatimia tietoturvasopimuspohjia. Sopimuspohjia voi käyttää sekä henkilötietoa käsittelevät että rekisterejä ylläpitävät yritykset. Yrityksillä on myös mahdollisuus käyttää muita omia sopimuspohjiaan Dealsignissa.

Suomalaisen Dealsignin sopimusneuvottelutyökaluun voi tutustua osoitteessa www.dealsign.io.

EU GDPR tietosuoja-asetuksesta saa lisätietoa muun muassa osoitteista tietosuoja.fi/fi ja tietosuojatesti.fi/

Teemu Marttinen
Dealsign
www.dealsign.io