Toukokuun lopussa voimaan astunut EU:n yleinen tietosuoja-asetus GDPR oli kevään vilkkain puheen ja paniikin aihe. Yritysten tietosuojadokumentaatiosta vastaavat henkilöt ovat huhkineet kevään ja toivottavasti moni sai urakkansa määräajassa valmiiksi. Onpa asetukseen valmistautuminen saatu hoidettua määräaikaan mennessä tai ei, varmaa on, että elämää on GDPR:n voimaanastumisen jälkeenkin.
Myyteistä huolimatta GDPR:n voimaanastumisen jälkeen(kin):
- Henkilötietoja saa edelleen kerätä ja käsitellä. Käsittelyllä tulee olla lainmukainen käsittelyperuste.
- Henkilötietoja saa edelleen lähettää sähköpostitse ja esimerkiksi työntekijöiden työhön liittyviä henkilötietoja saa olla näkyvillä organisaatioiden nettisivuilla.
- Markkinointisähköpostia saa edelleen lähettää, eikä sen ainoana perusteena tarvitse olla suostumus (mikäli tämä kiinnostaa tarkemmin, tarkista asetuksen 6. artiklan edellytykset a-f).
Suhtaudu siis kriittisesti omituiselta kuulostaviin GDPR-huhuihin. Järjenkäyttö on edelleen suotavaa ja sallittua.
Mikä muuttui?
Enää ei riitä, että asetusta noudattaa, vaan on pystyttävä dokumentoidusti osoittamaan asetuksen säännösten olevan osa jokapäiväistä toimintaa. Näin ollen kaikenlaisen henkilötiedon käsittelyyn ja erityisesti sensitiivisen henkilötiedon käsittelyyn tulee suhtautua ajatuksella ja toiminnan tulee olla dokumentoitua ja lainmukaista.
Muutoksen taustalla ja tavoitteena on yksilön oikeuksien laajentuminen. Asetuksen mukaan yksilön oikeuksia nykyisin ovat omia henkilötietoja koskeva tiedonsaantioikeus, oikeus tietojen oikaisuun ja poistamiseen, oikeus tulla unohdetuksi sekä oikeus vastustaa tietojen käsittelyä. Lisäksi asetuksessa säädetään rekisterinpitäjien (eli tietojenkäsittelystä vastaavien) velvollisuudesta antaa rekisteröidyille avoimia ja helposti saatavia tietoja heidän tietojensa käsittelystä.
Yksilön oikeuksista luonnollisesti seuraa velvollisuuksia yksilön henkilötietoja käsitteleville organisaatioille. Yksilön oikeuksien toteutumiseksi käsittelyprosessien ja toimintaperiaatteiden tulee olla läpinäkyviä: sekä rekisteröidyn, viranomaisen että henkilötietoja käsittelevän henkilöstön tulee voida selvittää, miten henkilötietoja kyseisessä organisaatiossa käsitellään.
Miten selvitä elämästä GDPR:n ajassa?
GDPR koskee jokaista eurooppalaista organisaatiota, joten asetuksen velvoitteita ja vaikutuksia ei sovi vähätellä. Dokumentaatio ja lain edellyttämät organisatoriset ja tekniset toimenpiteet tulisi olla jo pitkälle tehtynä, joten tässä kolme asiakokonaisuutta GDPR-ajassa selviytymiseen:
1) Selvitä tiedätkö ja tietääkö muu henkilöstö, mitä ovat henkilötiedot ja miten niitä tulee käsitellä
Ovatko henkilötietoryhmät luokiteltuja ja onko henkilötietojen käsittelylle sekä esimerkiksi sensitiivisten henkilötietojen lähettämiseen ja säilyttämiseen luotu ohjeistuksia. Mikäli henkilöstön keskuudessa ilmenee epätietoisuutta, on syytä tarkistaa organisaation tietosuoja- ja henkilötietojen käsittelyä koskeva dokumentaatio ja perehdytyksen ajantasaisuus.
2) Mahdollista lainmukainen henkilötietojen käsittely
Toimintaohjeistuksien lisäksi hanki tarvittaessa välineet henkilötietojen lainmukaiseen käsittelyyn ja yritysviestintään: esimerkiksi salattu sähköposti, tiedostojen jakopalvelu tai muu luotettava tapa sensitiivisten henkilötietojen liikutteluun, varastointiin ja käyttöoikeuksien hallintaan.
3) Ole valppaana ja korjaa huomaamiasi asioita ja toimintatapoja yksi kerrallaan
On selvää, ettei yksikään organisaatio ole GDPR:n kanssa koskaan täysin valmis, sillä toiminnan myötä esimerkiksi uusia henkilörekistereitä, uusia käsittelijöitä ja jopa uusia täsmennyksiä lakiin varmasti tulee. Lainvastaisen henkilötietojen käsittelyn tai tietomurron ilmetessä, viranomaistakin kiinnostaa, miten mahdollisiin muutoksiin ja tietosuojatoiminnan kehittämiseen varauduttu.