25. maaliskuuta 2019 | Max Atallah

Tietosuoja & Corporate

Lyhyestä virsi kaunis - Tietosuoja-asetus soveltuu kaikkiin yrityksiin

Tämän artikkelin tarkoitus on lisätä yleistä tietoisuutta tietosuojaan liittyen, sillä olemme huomanneet, että tietosuoja-asetuksen soveltumisesta yritysten liiketoimintaan on liikkeellä monenlaisia mietteitä. 

Perustelemme tässä artikkelissa kysymysten ja yleisten toteamusten avulla, miksi tietosuoja-asetus soveltuu tavalla tai toiselle jokaisen yrityksen liiketoimintaan, ja mitä tietosuojatarpeita sen johdosta syntyy. Mikäli et jaksa tai ehdi lukea koko artikkelia, hyppää suoraan lopussa olevaan yhteenvetoon!

Milloin tietosuoja-asetus soveltuu yrityksen liiketoimintaan?

Tietosuoja-asetuksen mukaisesti tietosuoja-asetus tulee sovellettavaksi, kun yritys käsittelee henkilötietoja.

Mitä ovat ”henkilötiedot”?

Tietosuoja-asetuksen mukaisesti henkilötietoja ovat kaikki tunnistettuun tai tunnistettavissa olevaan ihmiseen (eli rekisteröityyn) liittyvät tiedot. Kuten huomataan, henkilötietoja voi olla käytännössä kaikki mahdolliset rekisteröityyn liittyvät tiedot, kuten esimerkiksi nimi, sijaintitieto, IP-osoite, terveystieto tai vaikkapa kengän koko.

Henkilötietojen käsitettä ei siten ole rajattu esimerkiksi vain yrityksen asiakkaisiin, vaan myös yrityksen työntekijöiden henkilötietojen käsittely on henkilötietojen käsittelyä tietosuoja-asetuksen mukaisesti.

Mitä tarkoittaa henkilötietojen ”käsittely”?

Tietosuoja-asetuksen mukaisesti henkilötietojen käsittelyllä tarkoitetaan toimintaa, joka kohdistetaan henkilötietoihin joko automaattisesti tai manuaalisesti. Henkilötietojen käsittelyä ovat siten esimerkiksi henkilötietojen kerääminen, tallentaminen, järjestäminen, säilyttäminen, muokkaaminen, hakeminen tai tuhoaminen.

Kuten huomataan, henkilötietojen käsittely tarkoittaa yrityksen näkökulmasta käytännössä kaikkea henkilötietoihin liittyvää toimintaa. Ehkä havainnollistavin esimerkki henkilötietojen käsittelystä yrityksen näkökulmasta on se, että henkilötietojen käsittelyä on jo pelkkä työntekijöiden yhteystietojen säilöminen.

Yrityksesi siis käsittelee henkilötietoja tavalla tai toisella.

”Ok, mutta yllä lausutusta huolimatta tietosuoja-asetus ei voi soveltua meihin, koska me emme kerää henkilötietoja kotisivuiltamme…”

Tietosuoja-asetus on hyvin yksiselitteinen siitä, että kaikenlainen henkilötietojen käsittely johtaa tietosuoja-asetuksen soveltumiseen. Tietosuoja-asetus ei siis koske vain sähköisesti tai automaattisesti kerättäviä henkilötietoja, vaan kaikkia mahdollisia henkilötietojen käsittelytoimia.

Mainittakoon myös, että nykyisellään harvalta yritykseltä puuttuu kotisivuilta yhteydenottolomake. Tällä tarkoitamme sitä, että yhteydenottolomakkeen kautta kerätyt ja säilötyt henkilötiedot tarkoittavat henkilötietojen käsittelyä, jonka seurauksena tietosuoja-asetus tulee sovellettavaksi.

”Ok, tietosuoja-asetus soveltuu myös meidän yritykseemme… mutta mitä se käytännössä tarkoittaa?”

Tietosuoja-asetuksen nojalla yrityksillä on mm. velvoitteita ja tarpeita liittyen:

  • tietosuojadokumentaatioon;
  • rekisteröityjen informointiin;
  • sopimussuhteisiin;
  • tietosuojatoimenpiteiden tosiasialliseen toteuttamiseen; ja
  • sen osoittamiseen, että tietosuojalakeja tosiasiassa noudatetaan.

Yrityksen tietosuojavelvoitteiden määrä ja laatu määräytyy viime kädessä yrityksen roolin (rekisterinpitäjä vs. käsittelijä), henkilötietojen käsittelytoimien ja koon perusteella.

”Ok… mutta mitä käytännössä meidän tulisi tehdä?”

Ensinnäkin olisi hyvä selvittää oletteko te ainoastaan rekisterinpitäjä vai myös käsittelijä, sillä rekisterinpitäjän ja käsittelijän tietosuojatarpeet eroavat toisistaan.

Tietosuoja-asetuksen mukaisesti rekisterinpitäjä on taho, joka määrittää henkilötietojen käsittelyn tarkoitukset ja keinot. Täten jokainen yritys on siis vähintään rekisterinpitäjä, sillä jokainen yritys määrittää ainakin sen henkilöstön henkilötietojen käsittelyn tarkoitukset ja keinot.

Tietosuoja-asetuksen mukaisesti henkilötietojen käsittelijä taas on taho, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Tyypillinen esimerkki käsittelijästä on tietojensäilytyspalvelua tarjoava yritys, sillä siinä yritys käsittelee henkilötietoja sen asiakkaiden lukuun, kun asiakkaat tallettavat henkilötietoja tietojensäilytyspalveluun. Samaten esimerkiksi ulkoistettua rekrytointipalvelua tarjoava yritys on tyypillinen esimerkki henkilötietojen käsittelijästä, sillä kyseistä palvelua tarjoava yritys käsittelee työnhakijoiden henkilötietoja sen asiakkaiden lukuun, kun se pyrkii rekrytoimaan asiakkaalleen uusia työntekijöitä.

”Me olemme ainoastaan rekisterinpitäjä. Mitä nyt?”

Rekisterinpitäjän tietosuojatarpeiden lähtökohdaksi voidaan perustellusti asettaa tietosuojadokumentaation laadinta, sillä dokumentaatio toimii yrityksen ohjenuorana siitä, kuinka sen tulee käsitellä henkilötietoja toiminnassaan. Asianmukaisen dokumentaation avulla yritykset siis pystyvät noudattamaan tietosuoja-asetuksen vaatimuksia. Tietosuoja-asetus vaatii rekisterinpitäjältä mm. seuraavia tietosuojadokumentteja:

  • tietosuojailmoitukset (ts. privacy notice);
  • rekisterinpitäjän seloste; ja
  • sisäiset manuaalit osoitusvelvollisuuden periaatteen toteuttamiseksi.

Tietosuojailmoitusten tarkoituksena on informoida rekisteröityjä tavoista, joilla rekisterinpitäjä käsittelee heidän henkilötietojaan ennen kuin rekisterinpitäjä kerää heidän henkilötietojaan. Rekisterinpitäjän seloste taas on periaatteessa kattavampi versio tietosuojailmoituksista, jonka avulla rekisterinpitäjä pysyy ns. paremmin kartalla siitä, kuinka ja mitä henkilötietoja tämä käsittelee. Rekisterinpitäjän selosteella rekisterinpitäjä pysyy myös osittain noudattamaan tietosuoja-asetuksen osoitusvelvollisuuden periaatteen vaatimuksia. Sisäisillä manuaaleilla rekisterinpitäjä pyrkii varmistamaan, että se varmasti noudattaa osoitusvelvollisuuden periaatetta.

”Me olemme myös käsittelijä. Entäs nyt?”

Myös käsittelijän tietosuojatarpeiden lähtökohdaksi voidaan samoin perustein perustellusti asettaa tietosuojadokumentaation laadinta. Tietosuoja-asetus vaatii käsittelijältä mm. seuraavia tietosuojadokumentteja:

  • tietosuojasopimus rekisterinpitäjän kanssa; ja
  • käsittelijän seloste.

Tietosuojasopimuksella tarkoitetaan tietosuoja-asetuksen vaatimusten mukaan laadittavaa sopimusta käsittelijän ja rekisterinpitäjän välillä tavoista, joilla käsittelijä saa käsitellä rekisterinpitäjän lukuun henkilötietoja. Mainittakoon myös selvyyden vuoksi, että jos rekisterinpitäjä käyttää käsittelijöitä, kuuluu tietosuojasopimuksen laadinta myös rekisterinpitäjältä vaadittavaan dokumentaatioon. Käsittelijän seloste taas tarkoittaa dokumenttia, jossa käsittelijä mm. listaa kaikki rekisterinpitäjät, joiden lukuun tämä käsittelee heidän vastuullansa olevia henkilötietoja.

Yhteenveto

Koska jokainen yritys käsittelee henkilötietoja tavalla tai toisella, tietosuoja-asetus soveltuu jokaiseen yritykseen. Yritysten tietosuojatarpeet voidaan tiivistää seuraaviin pääpointteihin:

  1. laadi asian- ja lainmukainen tietosuojadokumentaatio;
  2. toteuta yrityksen tietosuojadokumentaation käsittelytoimet käytännössä; ja
  3. arvioi tietosuojan käsittelytoimien riittävyys säännöllisesti.

Mikäli et ole vielä huomioinut tietosuoja-asetuksen mukaisia vaatimuksia tai et ole varma yrityksesi tietosuojan lainmukaisuudesta ja kaipaat apua, autamme yritystäsi mielellämme.

25.03.2019 MAX

Nordic LawWeb3- ja Fintech-oikeuden pioneeri