EU:n tietosuoja-asetus ja henkilötietojen käsittelyperusteet

Tiedätkö, millaisilla perusteilla saatte jatkossa käsitellä mm. asiakkaidenne, jäsentenne, potentiaalisten asiakkaidenne ja henkilöstönne henkilötietoja? Tässä kirjoituksessa kuvataan lyhyesti uudet EU:n tietosuoja-asetuksen mukaiset perusteet, joilla henkilötietoja saa käsitellä keväästä 2018 alkaen.

EU:n tietosuoja-asetus, englanniksi General Data Protection Regulation (GDPR) astuu velvoittavana voimaan 25.5.2018. Sitä ennen myös suomalaisten yritysten, järjestöjen ja viranomaisten eli rekisterinpitäjien on analysoitava henkilörekisterinsä ja tunnistettava, löytyykö henkilötietojen käsittelylle uudistuvan lain mukaisia perusteita.

Kuvaan tietosuoja-asetukseen varautumista usein kerrostalon rakentamisena. Kivijalan muodostaa tunnistamistyö: minkälaisia henkilötietoja yhteisöllemme kertyy eri kanavista ja millä perusteilla saamme niitä käsitellä? Kun pohja on kunnossa, on helpompi rakentaa yläkerrokset eli mm. päivittää tietosuojaselosteet ja muu tietojen käsittelyyn liittyvä informaatio, sekä ottaa organisaatioissa käyttöön uudenlaisia arjen toimintatapoja.

Teknologian kehitys on johtanut siihen, että yrityksillä ja muilla yhteisöillä olisi teknisesti saatavilla jatkuvasti kasvava määrä henkilötietoja ja muuta dataa ihmisiin liittyen.

Osaatteko pysähtyä kysymään itseltänne, onko meillä oikeus ottaa tämä kaikki saatavilla oleva tieto vastaan ja alkaa käsitellä sitä omassa toiminnassamme?

Alla olevat tietosuoja-asetuksen linkit johtavat www.privacy-regulation.eu sivustolla olevaan hyvään suomenkieliseen koosteeseen, jossa on sekä artiklat sanasta sanaan auki kirjoitettuna että linkitys artiklaa koskeviin tietosuoja-asetuksen perusteluteksteihin eli ns. resitaaleihin.

Tietosuoja-asetuksessa on tyhjentävä luettelo perusteista, joilla ihmisten henkilötietoja saa käsitellä. Mikäli luettelosta ei löydy tilanteeseenne soveltuvaa perustetta, ei sellaista henkilötietojen käsittelyä saa tehdä.

Onko teidän organisaatiossa jo käynnistetty tunnistamistyö sen osalta, millä perusteilla jatkossa käsittelette erilaisia henkilötietoja?

Käsittely on tietosuoja-asetuksen 6 artiklan mukaan lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:

1. Suostumus (Art 6 kohta 1 a)

”Käsittely on lainmukaista, kun rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten.”

Vaikka suostumus on lain listassa ensimmäisenä, suosittelen harkitsemaan huolella tilanteet, joissa henkilötietojen käsittely perustetaan rekisteröidyltä pyydettävän suostumuksen varaan. Mikäli lainsäädännöstä löytyy muita perusteita, suosittelen vahvasti analysoimaan ensin niiden soveltuvuuden tilanteeseenne. Tietosuojavaltuutettu Reijo Aarnio on samalla kannalla blogikirjoituksessaan, suostumuksen tulisi olla viimesijainen peruste, ellei tietosuoja-asetuksesta muuta perustetta löydy.

Suostumuksen voi aina peruuttaa. Rekisterinpitäjän oikeus jatkaa henkilötietojen käsittelyä riippuu rekisteröidyn päätöksestä: annanko suostumukseni olla voimassa vai peruutanko sen?

Lisäksi asetuksen 7 artikla nostaa suostumuksen pyytämistavalle asetettavat kriteerit aiempaa tiukemmiksi eli suostumuksen pätevyys pitää selvittää huolella.

2. Sopimuksen toteuttamiseen liittyvä tarve (Art 6 kohta 1 b)

”Käsittely on lainmukaista, kun käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä.”

Suuri määrä asiakkaiden, jäsenten, henkilöstön sekä potilaiden henkilötietojen käsittelystä menee listan kakkoskohdan alle: osapuolten välillä on sopimus tai sopimusneuvottelut menossa, ja rekisterinpitäjällä on tarve käsitellä rekisteröidyn henkilötietoja hoitaakseen omat sopimusvelvoitteensa.

On tärkeää huomata, ettei sopimuksen syntyminen edellytä rahan liikkumista rekisterinpitäjän ja rekisteröidyn välillä. Esimerkiksi Facebook-tilin avaamisessa syntyy tietosuoja-asetuksen tarkoittama sopimus, jonka perusteella Facebook voi käsitellä tilin avaajan henkilötietoja.

3. Lakisääteinen velvoite (Art 6 kohta 1 c)

”Käsittely on lainmukaista, kun käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi.”

Tämän kohdan perusteella esimerkiksi viranomaiset voivat käsitellä kansalaisten henkilötietoja.

4. Elintärkeiden etujen suojaaminen (Art 6 kohta 1 d)

”Käsittely on lainmukaista, kun käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi.”

Tähän kohtaan voidaan perustaa henkilötietojen käsittelyä mm. epidemioiden ja niiden leviämisen seuraamiseksi tai humanitaarisissa hätätilanteissa, erityisesti luonnonkatastrofien ja ihmisen aiheuttamien katastrofien yhteydessä.

5. Yleiseen etuun tai julkiseen valtaan liittyvä peruste (Art 6 kohta 1 e)

”Käsittely on lainmukaista, kun käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi.”

Tämän kohdan mukaisia perusteita löytyy esimerkiksi kansanterveyden ja sosiaalisen suojelun alalta, terveydenhuoltopalvelujen hallinnosta sekä luottotietotoiminnasta.

6. Oikeutettu etu (Art 6 kohta 1 f)

”Käsittely on lainmukaista, kun käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.”

Oikeutettu etu on konseptina uusia ja määritelmältään melko tulkinnanvarainen. Yrityksillä ja muilla yhteisöillä on erilaisia oikeutettuja etuja, joiden perusteella ne voivat kerätä ja käsitellä ihmisten henkilötietoja silloin, kun käsittely ei perustu sopimussuhteeseen tai rekisteröidyn antamaan suostumukseen. Tällaisia oikeutettuja etuja voi liittyä mm. seuraaviin toimintoihin: suoramarkkinointi, asiakaspalvelu, konserninsisäinen henkilötietojen käsittely, väärinkäytösten selvittäminen (esim. kameravalvonta), tuote- ja palvelukehitys, puhelujen taltiointi sekä lokirekisteritoiminta.

***

Henkilötietojen uusiin käsittelyperusteisiin pureuduttiin konkreettisesti loppuvuonna 2017 järjestämäni tietosuojaseminaarisarjan ensimmäisessä osassa. Seminaarin tallenteet nyt ostettavissa, 100 % seminaarisarjaan osallistuneista palautteen antajista suositteli koulutuksia muille! Verkkokauppaan: https://tietosuojaseminaari.fi

 

Jos organisaationne valmistautuminen tietosuoja-asetuksen voimaan astumiseen tarvitsee lähes 20 vuoden kokemuksella varustettua, juristijargonia puhumatonta asiantuntijaa, minut tavoittaa sähköpostilla elina@elinakoivumaki.com ja puhelimitse 040 555 35 79.

Kirjoitan myös LinkedInissä ja Twitterissä ajankohtaisia tietosuoja-asioita, tervetuloa kontaktoitumaan niiden kautta!

Liity sähköpostiyhteisööni

Liittymällä sähköpostiyhteisööni saat:

  • ilmoituksen uusista blogijulkaisuista
  • kutsuja tapahtumiin
  • silloin tällöin muita osaamisalueisiini (juridiikka, asiakaskokemus, yrittäminen) liittyviä infoviestejä