EU:n yleisen tietosuoja-asetuksen (”GDPR”) voimaantulosta tuli toukokuussa kolme vuotta. Vaikka GDPR:n mukanaan tuomat uudet velvoitteet ovat yrityksille pääsääntöisesti tuttuja, osoittavat tietosuojavaltuutetun suomalaisille yrityksille antamat huomautukset ja sakot näiden velvoitteiden toteuttamisessa olevan yhä parantamisen varaa.

Vaikka yritys olisikin hoitanut tietosuojaa koskevat käytänteensä vastaamaan GDPR:n vaatimuksia parhaan kykynsä mukaan kolme vuotta sitten, ei sen toiminta välttämättä enää vastaa tietosuojalainsäädännön vaatimuksia. Viranomaiset ovat näiden kolmen vuoden aikana antaneet GDPR:n tulkintaa ohjaavia päätöksiä ja muuta ohjeistusta, joiden valossa yrityksen tietosuojakäytänteitä tulisikin tarkastella uudelleen.

Käyn tässä kirjoituksessa läpi sitä, miksi tietosuojan tason riittävyyttä tulisi tarkastella säännöllisesti ja miksi yrityksen tulee huolehtia siitä, että sen tietosuojakäytänteet ovat lainmukaisia ja vastaavat päivitettyjä ohjeistuksia ja tulkintoja. Tällaista tietosuojan riittävän tason tarkastusta kutsutaan jäljempänä tietosuoja-auditiksi.

Sakkoja ja huomautuksia riittämättömästä tietosuojan tasosta

Sakko tietosuojarikkomuksesta voi olla suuruudeltaan jopa 20 miljoonaa euroa tai neljä prosenttia yrityksen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. Tietosuojaviranomaiset ovat GDPR:n voimaantulon jälkeen antaneet sakkoja lähinnä läpinäkyvyyden tai lainmukaisten käsittelyperusteiden puuttumisen sekä tietoturvapuutteiden vuoksi. Tähän mennessä määrättyjen sakkojen suuruudet Suomessa ovat vaihdelleet 12 500 ja 100 000 euron välillä. Sakkojen lisäksi tietosuojaviranomainen voi määrätä esimerkiksi henkilötietojen käsittelyn lopetettavaksi tai vaihtoehtoisesti muita, korjaavia toimenpiteitä.

Sakkojen ja huomautusten lisäksi tulee muistaa, että tietosuojan riittämätön taso voi olla yritykselle merkittäväkin maineriski. Mahdollisten riskien tai puutteiden tunnistaminen ja niihin reagoiminen asianmukaisesti auttavat auditoitavaa yritystä keskittymään ydinliiketoimintansa kehittämiseen.

Tietosuojan auditointi toteuttaa osoitusvelvollisuuden periaatetta

Tietosuojalainsäädännön mukaan jokaisen yrityksen on pystyttävä osoittamaan, että se noudattaa tietosuojalainsäädäntöä henkilötietoja käsitellessään. Tietosuoja on tästä syystä ymmärrettävä jatkuvana velvoitteena.

Osoitusvelvollisuus toteutetaan 1) laatimalla lainsäädännön vaatima dokumentaatio tietosuojaan liittyen, 2) implementoimalla dokumentaation mukaiset tietosuojatoimet käytäntöön ja 3) auditoimalla tietosuojan taso säännöllisesti.

Tietosuoja tulee siis huomioida jatkuvana velvoitteena ja tietosuojan riittävä taso varmistaa säännöllisin väliajoin. Näin pidetään huolta osoitusvelvollisuuden periaatteen toteutumisesta. Lisäksi on tavallista, että yritysten väliset henkilötietojen käsittelyä koskevat sopimukset (ns. data processing agreements) sisältävät ehtoja, joiden mukaisesti toisella yrityksellä on oikeus teettää sopimuskumppania koskevia auditointeja kuten tarkastuksia, joilla varmistetaan sopimuskumppanin noudattavan tietojenkäsittelyä koskevia sopimusehtoja.

Tietosuojaa koskevia velvoitteita syntyy näin ollen lainsäädännön lisäksi myös sopimusperusteisesti. Suositeltavaa on, että tietosuoja-audit, jossa tietosuojan tila tarkastetaan sekä lainsäädännön että sopimussuhteiden kannalta, suoritettaisiin tietosuoja-ammattilaisen toimesta vähintään kerran vuodessa.

Tietosuoja-auditin sisältö ja vaiheet

Tietosuoja-audit lähtee liikkeelle selvittämällä, mitä henkilötietoja yritys toiminnassaan käsittelee ja mihin tarkoituksiin näitä henkilötietoja käytetään. Tämän jälkeen tarkastellaan yrityksen toimintatapoja henkilötietoihin liittyen ja tarkastetaan muun muassa yrityksen tietosuojadokumentaatio: kuinka käsittelystä ollaan rekisteröidylle informoitu, mikä on käsittelylle määritelty peruste, kuinka rekisteröityjen oikeuksien toteutuminen on varmistettu ja kuinka kauan käsiteltäviä tietoja säilytetään.

Tietosuoja-auditissa tarkastellaan erityisesti sitä, noudatetaanko henkilötietojen käsittelyssä tietosuojalainsäädännön mukaisia tietosuojaperiaatteita ja voiko yritys näyttää noudattavansa näitä periaatteita (ns. osoitusvelvollisuuden toteutuminen). Tietosuojaperiaatteiden mukaan henkilötietoja on

  • käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi
    (lainmukaisuus, asianmukaisuus ja läpinäkyvyys)
  • kerättävä ja käsiteltävä tiettyä, nimenomaista ja laillista tarkoitusta varten (käyttötarkoitussidonnaisuus)
  • kerättävä vain tarpeellinen määrä henkilötietojen käsittelyn tarkoitukseen nähden (tietojen minimointi)
  • päivitettävä aina tarvittaessa: epätarkat ja virheelliset henkilötiedot on poistettava tai oikaistava viipymättä (tietojen täsmällisyys)
  • säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten (säilytyksen rajoittaminen)
  • käsiteltävä luottamuksellisesti ja turvallisesti (luottamuksellisuus ja turvallisuus).

Tarkastuksen perusteella voidaan todeta, ovatko yrityksen henkilötietojen käsittely ja siihen liittyvät käytänteet GDPR:n vaatimalla tasolla. Mikäli puutteita huomataan, esitetään yritykselle toimenpide-ehdotuksia ja esimerkiksi päivitetään tai ohjeistetaan päivittämään tietosuojaa koskevia käytänteitä.

Meillä Fennossa on vahvaa tietosuojaosaamista, mikäli tarvitset apua tietosuojasi riittävän tason varmistamiseen!

Mirka Eliasson
juristi