Tietosuojan kuumat ja vähän haaleammatkin perunat
Käytännön toiminnassa on muistettava henkilötietojen käsittelyn perusasiat ja velvollisuudet ihan joka päivä.
Moni muistaa, kun joitakin vuosia sitten EU:n tietosuoja-asetus, se kuuluisa GDPR, oli kaikkien huulilla. Jopa paikka paikoin kyllästymiseen asti.
Asetuksen perusvaatimuksia käytiin silloin läpi lähes yrityksessä kuin yrityksessä, kussakin miettien muun muassa omien prosessien toimivuutta ja dokumentaation tilaa. Mitä kaikkia henkilötietoja käsitellään, missä kaikkialla ja onkohan se laillista? Mitä osoitusvelvollisuus tarkoittaa? Sopimuspohjia ja muita mallidokumentteja päivitettiin, tietosuojaryhmät kokoontuivat ahkerasti, ja henkilötietojen käsittelyn perusteita ja tarkoituksia harkittiin keskittyneesti.
Sittemmin keskustelun sävy on muuttunut rauhallisempaan suuntaan ja enemmän kulloinkin yksittäisiin tietosuojateemoihin painottuvaksi, ja esimerkiksi syntyvä oikeuskäytäntö määrittelee pitkälti, mitkä teemat nousevat nyt hallitseviksi aiheiksi yleisessä keskustelussa.
Esimerkiksi sakkokäytäntö kiinnostaa monia, ja onkin tyypillistä tarkastella yrityksen tietosuoja-asioiden tilaa erityisen tarkasti silloin, kun oikeuskäytännön kautta tulee tärkeä linjaus. Käytännön toiminnassa on kuitenkin muistettava henkilötietojen käsittelyn perusasiat ja velvollisuudet ihan joka päivä, ja toisinaan parantamisen varaa löytyykin ihan sieltä perusprosessien puolelta asioita hieman perkaamalla.
Jos henkilötietoasiat ovat jääneet omassa organisaatiossasi viime aikoina kenties GDPR-projektien aikaa pienempään rooliin ja esimerkiksi vakiintuneiden prosessien varaan rullaamaan, voi olla erityisen hyvä pysähtyä hetkeksi miettimään aiheeseen liittyviä jokapäiväisiä kysymyksiä. Alla muutama, joista vaikkapa aloittaa!
Esimerkki. Rekisterinpitäjän roolissa oleva yritys on valinnut joidenkin henkilötietojen käsittelyperusteeksi oikeutetun edun. Henkilötietojen käsittely voi olla rekisterinpitäjän oikeutetun edun mukaista esimerkiksi silloin, kun tämän ja rekisteröidyn välillä on jokin merkityksellinen suhde, kuten vaikkapa asiakassuhde. Käsittelyperuste ei kuitenkaan ole automaattisesti soveltuva tai aina mahdollinen.
Onko yritys esimerkiksi ennen käsittelyperusteen valintaa arvioinut tasapainotestillä, että voiko se käyttää oikeutettua etua perusteena henkilötietojen käsittelylle? Ja onko testistä laadittu asianmukainen kirjallinen kuvaus, jota on tarvittaessa päivitetty? Vai onko aikoinaan vedetty mutkat suoriksi muiden kiireiden vuoksi, ja asian harkinta on jäänyt puolitiehen?
Esimerkki. Yrityksessä on laadittu malliprosessi siihen, miten toimitaan henkilötietojen tietoturvaloukkaustilanteessa. Onko prosessi muistettu jalkauttaa, ja osaako henkilöstö varmasti toimia prosessin mukaisesti tiukan paikan tullen? Henkilötietoasioissa henkilöstön kouluttamisen merkitys korostuu.
Esimerkki. Yrityksessä on laadittu informointilausekkeet, joiden avulla rekisteröidyille kerrotaan heidän henkilötietojen käsittelystään. Yritys on mahdollisesti aikoinaan huolellisesti harkinnut informointilausekkeiden sisällön ja tarkistanut niitä asiantuntijan kanssa. Onko informointilausekkeita kuitenkaan muistettu päivittää tarpeen mukaan? Kuka vastaa yrityksessä näistä?
Jos yrityksessä on tietosuojavastaava tai tietosuojaryhmä, niin usein asioiden tosiasialliseen tilaan pääsee nopeastikin sisälle juttelemalla heidän kanssaan. Myös ulkopuolisen asiantuntija-avun käyttämistä on hyvä harkita tarpeen mukaan.
Kirjoittaja on kokenut liikejuridiikan ammattilainen, joka neuvoo työssään päivittäin yrityksiä erityisesti erilaisissa sopimusasioissa, immateriaalioikeuskysymyksissä ja riidanratkaisussa. Hän on työskennellyt useita vuosia in house -juristina teknologiayhtiössä ja viimeiset nelisen vuotta asianajopuolella.
Kalliolaw Asianajotoimisto on Ohjelmisto- ja e-business ry:n kumppani.
