GDPR lähestyy, oletko valmis? - Zoner.fi

Katso myös

GDPR lähestyy, oletko valmis?

Toukokuun 25. päivä on tärkeä päivämäärä kaikille toimijoille, jotka käsittelevät henkilötietoja sähköisesti. Tällöin astuu voimaan koko Euroopan Unionin laajuinen General Data Protection Regulation -asetus, joka on sellaisenaan voimassa olevaa lainsäädäntöä myös Suomessa.

Tässä kirjoituksessa tutustumme hieman GDPR:n tavoitteisiin ja vaatimuksiin yritysten, kuten verkkokaupan näkökulmasta.

General Data Protection Regulation

gdpr-asetus
Alkuun lienee hyvä selventää, mikä tämä puhuttu GDPR oikein on ja miksi se on laadittu?

Asetuksen tarkoituksena on siis yhtenäistää henkilötietoja käsittelevä lainsäädäntö koko EU:n alueella, sillä aiemmin käytäntö on ollut hyvin kirjavaa eri maissa. Tavoitteena on myös nykyaikaistaa lainsäädäntöä aikana, jolloin henkilötiedot ovat monien suurten kansainvälisten yritysten, kuten Facebookin ja Googlen toiminnan kulmakiviä.

Ketä ja mitä asetus koskee?

general data protection regulation
Tuleva asetus koskee kaikkia tahoja, jotka käsittelevät Euroopan Unionin asukkaiden henkilötietoja. Asetus ja vaatimukset koskevat myös EU:n ulkopuolisia yrityksiä. Tarkennuksena, että asetuksella säädellään nimenomaan luonnollisten henkilöiden henkilötietojen käsittelyä.

Asetus ei siis koske oikeushenkilöiden ja erityisesti oikeushenkilön muodossa perustettujen yritysten henkilötietojen käsittelyä, kuten oikeushenkilön nimeä, oikeudellista muotoa ja yhteystietoja.

Puhtaasti B2B-toimintaan keskittyvien yritysten ei silti kannata vielä huokaista helpotuksesta. Yksityiset elinkeinonharjoittajat eivät ole erillisiä oikeushenkilöitä, joten oman käsitykseni mukaan heidän tietoja suojaa samat määräykset kuin yksityishenkilöitäkin. Kotisivut ja muut liiketoiminnan prosessit voivat myös hyvin tallentaa ja käsitellä asetuksen alaisia tietoja, myös muiden satunnaisten käyttäjien osalta.

Mikä lasketaan henkilötiedoksi?

Henkilötietoja ovat lähtökohtaisesti kaikki tiedot, joiden avulla voidaan yksilöidä yksittäinen käyttäjä. Selkeiden nimi, osoite- ja yhteystietojen lisäksi henkilötiedoiksi voidaan laskea myös erilaiset asiakasnumerot sekä IP-osoitteet, sijainti- ja evästetiedot, joita kerätään ja tallennetaan kotisivujen kautta.

Termit haltuun!

Rekisterinpitäjä, käsittelijä, rekisteröity… Kerrataan lyhyesti keitä sopassa on mukana.

Rekisterinpitäjä on henkilötietorekisteristä vastuullinen taho, eli esimerkiksi verkkokauppaa harjoittava yritys. Käsittelijä taas on sellainen taho, joka käsittelee toiminnassaan kyseisen verkkokaupan asiakasdataa, kuten vaikkapa verkkokaupan kirjanpitäjä tai palvelintilan tarjoaja, kuten Zoner, jonka palvelimille tieto tallentuu. Rekisteröity taas tarkoittaa luonnollista henkilöä, jonka tietoja rekisterissä käsitellään.

Lisäksi yritys voi joutua nimittämään / vapaaehtoisesti nimittää erillisen Tietosuojavastaavan, jolle on myös säädetty erilaisia vastuita ja tehtäviä henkilötietorekisterin osalta.

Vaatimuksia, oikeuksia ja uhkasakkoja

Tuleva asetus sisältää paljon tiukennuksia ja vaatimuksia tietojenkäsittelyn osalta. Vaikka monet vaatimuksista ovat haastavia ja osin tulkinnanvaraisiakin, on asetuksen perusperiaate selkeä ja ymmärrettävä. Yritysten tulisi kerätä ja käsitellä vain sellaisia henkilötietoja, joita toiminnan osalta tarvitaan ja joihin asiakkailta on myös suostumus.

Oikeus henkilötietojen käsittelyyn

Selkeä vaatimus on, että henkilötietojen käsittelyyn täytyy olla oikeus. Oikeus voi muodostua esimerkiksi tilatun palvelun osalta, eli tietoja tarvitaan palvelun toimittamista varten. Oikeus käsittelyyn voi myös muodostua rekisteröidyn erillisestä selkeästä suostumuksesta. Esimerkiksi rekisteröity tilaa yrityksen uutiskirjeen erillisen lomakkeen kautta. Oikeus voi muodostua myös jonkin muun lain osalta. Esimerkiksi .fi verkkotunnuksia käsittelevään lakiin, Tietoyhteiskuntakaareen, on kirjattu, että .fi verkkotunnuksen välittäjällä on automaattisesti oikeus käsitellä verkkotunnuksen haltijan henkilötietoja.

Kerättyjä henkilötietoja ei kuitenkaan voi käyttää aivan mihin tahansa, vaan juurikin siihen tarkoitukseen, johon niiden osalta on oikeus muodostunut. Mikäli tämä oikeus myöhemmin poistuu, ei henkilötietoja enää saisi käsitellä tai säilyttää.

Rekisterinpitäjällä on myös osoitusvelvollisuus siitä, että GDPR-asetusta noudatetaan. Tämä tarkoittaa, että erilaiset prosessit, kuten tietojen keruu, säilyttäminen ja poistaminen dokumentoidaan.

Rekisteröidyn oikeudet

gdpr oikeudet
Isoimmat muutokset toimintaan tulevat rekisteröityjen oikeuksien osalta. Oikeuksia ovat:

  • Oikeus saada tallennetut tiedot nähtäväksi
  • Oikeus saada tietoja muutetuksi
  • Oikeus saada tietonsa itselleen koneellisesti luettavassa muodossa
  • Oikeus vastustaa ja rajoittaa asiakastietojen käsittelyä
  • Oikeus tulla unohdetuksi
  • Oikeus tulla informoiduksi tietosuojan rikkoutumisesta

Sakot ja sanktiot

Suurin uutisoitu huomio on kiinnitetty luonnollisesti sanktioihin, joista on myös asetuksessa säädetty. Suurimmillaan yritys voidaan tuomita rikkomuksista sakkoihin, jotka vastaavat 4% yrityksen liikevaihdosta maksimissaan 20 miljoonaan euroon asti. Luonnollisesti ennen sakotusta on käytössä myös pehmeämpiä keinoja, kuten varoituksia, huomautuksia sekä velvoittavia määräyksiä.

Mitä jokaisen yrityksen olisi hyvä alkuun tehdä

Tässä vaiheessa on hyvä jo kartoittaa ja sisäistää tärkeimpiä asioita henkilötietojen keruun ja käsittelyn osalta. Muun muassa Tietosuojavaltuutetun Toimisto on julkaissut ohjeistuksia GDPR-asetukseen valmistautumiseen:
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf

Zoner ja GDPR

Koska Zoner toimii myös asiakkaidensa asiakasdatan käsittelijänä, olemme erityisen kiinnostuneita aiheesta. Selvitämme ja työstämme parhaillaan asiantuntijoiden kanssa, kuinka GDPR tullaan huomioimaan omassa toiminnassamme.

Tulemme päivittämään ja tiedottamaan vielä lähempänä h-hetkeä, minkälaisia muutoksia Zonerilla asetuksen seurauksena tullaan tekemään. Esimerkiksi asiakkaidemme kanssa voidaan solmia erillinen DPA-sopimus / nykyisiin sopimusehtoihin lisäyksenä GDPR-liite, joka osaltaan auttaa asiakkaitamme täyttämään oman dokumentointivelvollisuutensa.

Lukijalle:

Huomioithan, että kirjoittaja ei ole alaan erikoistunut lakimies, joten kirjoituksessa voi olla myös virheellisiä tulkintoja. Kirjoitusta saatetaan myös täydentää ja muokata sitä mukaa, kun asetuksesta saadaan tarkempia tietoja. Kirjoitusta ei kannata sellaisenaan käyttää omaa toimintaa ohjaavana vaan herätyksenä tutustumaan ja selvittämään GDPR-asetukseen liittyviä velvoitteita ja toimenpiteitä.

Lue General Data Protection Regulation suomeksi

Mikäli tiukka lakiteksti ei pelota ja haluat tutustua aiheeseen syvemmin, suosittelen tutustumaan asetukseen Euroopan Unionin virallisesta lehdestä. Koko GDPR-asetus on luettavissa Suomeksi täältä:
http://eur-lex.europa.eu/legal-content/FI/TXT/PDF/?uri=CELEX:32016R0679&from=en

, , ,

Zoner Oy on osa Hosting Group -konsernia.