12. tammikuuta 2021 | Max Atallah

tietosuoja & uutishuone

Euroopan tietosuojaneuvoston ohjeet sisäänrakennetusta ja oletusarvoisesta tietosuojasta

Euroopan tietosuojaneuvoston (jäljempänä ”EDPB”) ohjeet EU:n tietosuoja-asetuksen artiklan 25 sisäänrakennetusta ja oletusarvoisesta tietosuojasta hyväksyttiin 20.10.2020.  Ohjeissa pyritään konkretisoimaan kyseisen artiklan velvoitteita, jotka ovat toistaiseksi jääneet melko vähäiselle huomiolle muihin tietosuojavelvoitteisiin verrattuna. Tämä on lisännyt harmaita hiuksia etenkin pienemmillä resursseilla operoiville pk-yrityksille, ja tähän liittyen ohjeet sisältävätkin aiheesta erillisiä suosituksia pk-yrityksille.

Sisäänrakennetulla ja oletusarvoisella tietosuojalla tarkoitetaan ylätasolla puhuttaessa erinäisiä teknisiä ja organisatorisia keinoja, joilla rekisterinpitäjän tulee varmistaa henkilötietojen käsittelytoimiensa jatkuva vaatimustenmukaisuus. Kuten edellä lausutusta käy ilmi, koskee artiklan 25 velvoitteet ainoastaan rekisterinpitäjiä, joskin niiden noudattaminen on oiva keino myös käsittelijöille taata riittävä tietosuoja.

Käsittelemme alla tarkemmin sisäänrakennettua ja oletusarvoista tietosuojaa sekä pk-yrityksille annettuja suosituksia aihetta koskien.

Sisäänrakennettu tietosuoja

Sisäänrakennetulla tietosuojalla tarkoitetaan tarkemmin kuvattuna tietosuoja-asetuksen artiklan 25 mukaista velvoitetta, jonka nojalla rekisterinpitäjän tulee varmistaa, että tietosuojan vaatimustenmukaisuus toteutuu sisäänrakennetulla tavalla – rekisterinpitäjän tulee siis rakentaa liiketoimintansa eri toiminnot tietosuojavelvoitteet huomioiden.

Sisäänrakennettua tietosuojaa voi toteuttaa esim. siten, että henkilöstön työtietokoneet suojataan aina virustorjuntaohjelmilla ja yrityksen tietosuoja arvioidaan säännöllisesti ulkopuolisen asiantuntijan toimesta yrityksen tietosuojapolitiikan mukaisesti. Velvoitteiden laajuus perustuu tietosuojalle tyypilliseen tapaan tapauskohtaiseen arviointiin.

Esimerkiksi rekisterinpitäjä A noudattaa sisäänrakennettua tietosuojaa tilanteessa, jossa A:n tietosuoja arvioidaan kerran vuodessa sille etukäteen laaditun tietosuojapolitiikan mukaisesti. 

Oletusarvoinen tietosuoja

Oletusarvoisella tietosuojalla tarkoitetaan tarkemmin kuvattuna tietosuoja-asetuksen artiklan 25 mukaista velvoitetta, jonka nojalla rekisterinpitäjän tulee varmistaa, että se oletusarvoisesti käsittelee vain tarpeellisia henkilötietoja – rekisterinpitäjän tulee siis rakentaa henkilötietojen keräämisen prosessi siten, että lähtökohtaisesti rekisteröidystä kerätään vain tarpeelliseksi arvioidut henkilötiedot.

Oletusarvoista tietosuojaa voi toteuttaa esim. siten, että rekisterinpitäjän sovellus kerää rekisteröidystä henkilötietoja vain tiettyjen rajattujen viestikenttien avulla (esim. nimi, osoite, puhelinnumero jne.). Velvoitetta voi noudattaa niin ikään siten, että yrityksen työntekijät keräävät rekisteröidyistä ainoastaan niitä henkilötietoja, jotka on yrityksen tietosuojapolitiikassa arvioitu tarpeelliseksi. Tässäkin kohtaa velvoitteiden laajuus perustuu tietosuojalle tyypilliseen tapaan tapauskohtaiseen arviointiin.

Esimerkiksi rekisterinpitäjä A noudattaa oletusarvoista tietosuojaa tilanteessa, jossa A on rakentanut vaatteiden myyntiä koskevan verkkokauppansa ostolomakkeen siten, että asiakkaasta kerätään vain kaupanteon kannalta välttämättömät tiedot, jotka tiedot A on valikoinut arvioinnin perusteella.

EDPB:n ohjeiden mukaiset suositukset pk-yrityksille

Kuten johdannossa todettiin, EDPB:n ohjeet sisältävät listan suosituksista, joiden avulla pk-yritykset voivat paremmin noudattaa sisäänrakennetun ja oletusarvoisen tietosuojan vaatimuksia:

  • arvioi riskit ajoissa
  • aloita toiminta pienemmistä henkilötietojen käsittelytoimista, ja laajenna toimintaasi vasta myöhemmin
  • tarkista alihankkijoidesi vaatimustenmukaisuus tietosuojan osalta, esim. pätevien sertifikaattien ja käytännesääntöjen avulla
  • käytä vain hyvämaineisia yhteistyökumppaneita
  • pyydä apua tietosuojaviranomaisilta
  • tutustu tietosuojaviranomaisten ja EDPB:n tietosuojaohjeisiin
  • noudata käytännesääntöjä, mikäli se on mahdollista
  • käytä asiantuntijoiden apua tietosuojan vaatimustenmukaisuuden noudattamisessa

Päällimmäiset ajatukset pk-yrityksille annetuista suosituksista

Suositukset ovat yleisten tietosuojavelvoitteiden näkökulmasta oikein järkeenkäypiä, joskin sisäänrakennetun ja oletusarvoisen tietosuojan toteuttamisessa niiden käytännön arvon voinee kyseenalaistaa. Suositusten ollessa varsin geneerisiä tietosuojaa yleisesti koskevia kehotuksia, moni jäänee kaipaamaan suosituksilta konkretiaa nimenomaan sisäänrakennetun ja oletusarvoisen tietosuojan toteuttamiseen.

Lisäksi suosituksista ihmetystä varmaankin herättää se, että pk-yrityksen tulisi ennen laajempien toimintojen aloittamista keskittyä pienempiin henkilötietojen käsittelytoimiin. Logiikka suosituksen takana on sinänsä validi, sillä henkilötietoja tulisi käsitellä vain sillä tavalla kuin tietosuojalakeja kyetään noudattamaan. Tämä sanottua, suosituksen voi ymmärtää kärjistetysti siten, että pk-yritysten tulisi keskittyä ennemmin tietosuojaan kuin liiketoiminnan kehittämiseen. Tämä taas ei voi olla suosituksen tarkoitus, sillä myös pk-yritykset voivat toteuttaa vaatimustenmukaista tietosuojaa laajempien toimintojen yhteydessä, ja tietosuoja-asetuksen tavoite on mahdollistaa liiketoimintaa eikä niinkään rajoittaa sitä tietosuojan perusteella.

Tärkeimpänä suosituksena nostamme esiin kehotuksen käyttää tietosuoja-asiantuntijoita sisäänrakennetun ja oletusarvoisen tietosuojan toteuttamisessa. Konseptin ollessa lakisääteisyyden lisäksi hyvin vaikeaselkoista, on asiantuntijan apu tässäkin kullanarvoista niin ajallisesti kuin rahallisestikin.

12.01.2021 MAX