Organisaation prosesseja on hyvä tarkastella säännöllisesti tietosuojan näkökulmasta ja varmistaa, että tietosuojavaatimukset on huomioitu asianmukaisella tavalla kaikessa toiminnassa, johon liittyy henkilötietojen käsittelyä. Tietosuoja koskettaa käytännössä jokaista yritystä, sillä henkilötietojen käsittelyltä on mahdotonta välttyä niin kauan kuin yrityksellä on asiakkaita ja omia työntekijöitä. Alle olemme koonneet muutamia ajankohtaisia ja käytännönläheisiä vinkkejä tietosuojan toteuttamiseen. Mukaan on myös poimittu havainnollistavia esimerkkejä viimeaikaisesta Tietosuojavaltuutetun toimiston ratkaisukäytännöstä.
Muista määritellä henkilötietojen säilytysajat
Rekisterinpitäjällä on oikeus säilyttää henkilötietoja vain niin kauan kuin henkilötietojen säilyttäminen on tarpeen sitä tarkoitusta varten, johon henkilötiedot on kerätty. Hyvänä muistutuksena säilytysaikojen asianmukaisen määrittämisen tärkeydestä ja tarpeettomaksi käyneiden tietojen poistamisesta toimii tuore Tietosuojavaltuutetun toimiston seuraamuskollegion ratkaisu, jolla Verkkokauppa.com Oyj:lle määrättiin 856 000 euron hallinnollinen seuraamusmaksu henkilötietojen säilytysaikoja koskevien velvoitteiden laiminlyömisestä yhdessä toisen rikkomuksen kanssa (päätös ei ole vielä lainvoimainen). Tapauksessa Verkkokauppa.com oli jättänyt kokonaan määrittelemättä säilytysajat asiakastileille kerättyjen henkilötietojen osalta, ja siten tietojen poistaminen jäi käytännössä asiakkaan omalle vastuulle.
Nyt on siis viimeistään hyvä hetki tarkistaa, että organisaatiossanne on määritetty asianmukaiset henkilötietojen säilytysajat sekä varmistaa, että säilytysaikoja noudatetaan tosiasiallisesti ja henkilötiedot poistetaan, kun niiden säilyttämisen tarve päättyy. Säilyttämisaikojen määrittämisessä tulee huomioida kunkin tietoryhmän käyttötarkoitus, mikä myös tarkoittaa, että eri tietoryhmiin saattaa soveltua eripituisia säilytysaikoja. Tietojen minimoinnin periaate edellyttää käytännössä mahdollisimman lyhyiden säilytysaikojen määrittämistä. Lainsäädäntö saattaa kuitenkin edellyttää rekisterinpitäjää noudattamaan tiettyjä vähimmäissäilytysaikoja. Tällaisia tietojen vähimmäissäilytysaikoja liittyy esimerkiksi vero- ja kirjanpitosääntelyyn.
Henkilötunnuksen käsittelyyn liittyy erityispiirteitä
Muistathan, että henkilötunnuksen käsittely on sallittu vain rajatuissa tilanteissa eikä henkilötunnusta tule käsitellä tarpeettomasti. Henkilötunnuksen käsittely edellyttää, että henkilötunnuksen käsittelystä on säädetty laissa. Henkilötunnuksen käsittely voi myös olla sallittua, mikäli rekisteröity on antanut henkilötunnuksen käsittelyyn suostumuksensa. Lisäksi henkilötunnusta saa tietyissä tilanteissa käsitellä, mikäli rekisteröidyn ja hänen henkilötietojensa yksiselitteinen erottaminen muista rekisteröidyistä ja heidän henkilötiedoistaan sitä vaatii. Huomioithan kuitenkin, ettei henkilötunnusta ole tarkoitettu asiakkaiden tunnistamista varten, eikä asiakkaiden tunnistamisen tule tapahtua yksinomaan nimen ja henkilötunnuksen perusteella.
Apulaistietosuojavaltuutetun tuoreessa päätöksessä katsottiin, että terveydenhuollon palveluntarjoajan menettely, jossa palveluntarjoaja oli lähettänyt asiakkailleen laboratoriokäyntejä koskevia automatisoituja tekstiviestejä, joihin oli merkitty asiakkaan henkilötunnus, ei ollut tietosuojasääntelyn mukainen (päätös ei ole vielä lainvoimainen). Päätöksessä katsottiin, ettei henkilötunnuksen merkitsemistä tekstiviesteihin voitu pitää hyväksyttävänä sillä perusteella, että tarkoituksena olisi ollut erottaa samannimiset henkilöt toisistaan ja estää tietojen ohjautuminen väärälle henkilölle, koska henkilötunnuksen merkitseminen ei tosiasiallisesti estänyt tekstiviestin ohjautumista väärälle henkilölle. Henkilötunnusta ei siis olisi tullut merkitä tekstiviesteihin. Päätöksessä katsottiin, että jos henkilötunnuksen käsittely oli ollut välttämätöntä asiakkaan yksilöimisen kannalta, olisi se ollut mahdollista tehdä taustajärjestelmässä ennen viestin lähettämistä.
Tallennetaanko yrityksessänne asiakaspuheluita?
Mikäli organisaatiossanne tallennetaan asiakaspuheluita, on hyvä hetki tarkistaa, että henkilötietojen käsittelyn vaatimuksia noudatetaan puhelutallenteiden osalta. Puhelutallenteelle tallennettu ääni luokitellaan henkilötiedoksi, joten puheluiden tallentaminen ja tallenteiden käsittely on henkilötietojen käsittelyä, ja vaatii siksi hyväksyttävän käsittelyn oikeusperusteen. Puhelutallenteiden kohdalla käsittelyperusteena kyseeseen voi tulla esimerkiksi rekisterinpitäjän ja rekisteröidyn välisen sopimuksen täyttäminen, mikäli osapuolten välillä on asiakassuhde ja puheluiden tallentaminen on perusteltua. Käsittelyperusteena voi tulla kyseeseen myös esimerkiksi rekisterinpitäjän lakisääteisen velvoitteen noudattaminen, mikäli lainsäädäntö edellyttää rekisterinpitäjää tallentamaan puhelut. Oikean käsittelyperusteen määrittäminen edellyttää toiminnan luonteen huomioon ottamista.
Rekisterinpitäjän tulee myös aina kertoa puheluiden tallentamisesta rekisteröidylle ennen tallentamisen aloittamista. Pelkkää yrityksen verkkosivuilla olevaa mainintaa puheluiden tallentamisesta ei ole katsottu riittäväksi informoinniksi, sillä tällöin tieto ei välttämättä tavoita kaikkia henkilöitä.
Vastaa rekisteröityjen pyyntöihin ajallaan
Rekisteröidyillä eli niillä henkilöillä, joiden henkilötietoja käsitellään, on useita oikeuksia suhteessa heidän henkilötietojensa käsittelyyn. Rekisteröidyllä on oikeus tutustua hänestä kerättyihin henkilötietoihin sekä oikeus oikaista hänestä kerätyt virheelliset tiedot. Rekisteröidyllä on myös tietyissä tilanteissa oikeus henkilötietojen poistamiseen, oikeus rajoittaa tai vastustaa henkilötietojen käsittelyä sekä oikeus siirtää henkilötiedot järjestelmästä toiseen. Lisäksi rekisteröidyllä on oikeus olla joutumatta automaattisen päätöksenteon kohteeksi. Huolehdithan siitä, että rekisteröityjen pyynnöt käsitellään organisaatiossanne asianmukaisesti. Rekisterinpitäjän tulee vastata rekisteröidyn pyyntöön ilman aiheetonta viivytystä, kuitenkin lähtökohtaisesti kuukauden kuluessa pyynnön vastaanottamisesta. Muistathan myös, ettei rekisteröidyltä saa lähtökohtaisesti periä maksua yllä lueteltujen oikeuksien käyttämisestä.
Rekisteröidyn pyyntöön vastaamatta jättäminen tai puutteellinen rekisteröidyn oikeuksien toteuttaminen aiheuttaa helposti ärtymystä ja voi potentiaalisesti johtaa siihen, että rekisteröity tekee henkilötietojen käsittelystä valituksen tietosuojaviranomaiselle. Siksi rekisteröityjen pyyntöihin on syytä suhtautua asianmukaisella huolellisuudella.
Huolehdi käyttöoikeuksien hallinnasta ja henkilötietojen käsittelyn valvonnasta
Tietosuojavaltuutetun toimiston äskettäin julkaiseman tarkistussuunnitelman mukaan Tietosuojavaltuutetun toimisto tulee keskittymään vuonna 2024 tarkastuksissaan käyttöoikeuksien hallintaan ja henkilötietojen käsittelyn valvontaan. Nyt on siis hyvä aika varmistaa, että käyttöoikeudet organisaation materiaaleihin ja tietovarantoihin on jaettu tarkoituksenmukaisella tavalla siten, että pääsy henkilötietoihin on lähtökohtaisesti vain niillä työntekijöillä, jotka käsittelevät kyseisiä tietoja osana työtehtäviään. Rekisterinpitäjän on myös hyvä varmistaa, että sillä on käytössään asianmukaiset prosessit, joilla valvotaan henkilötietojen käsittelyä. Tietosuojan toteutumisen kannalta avainasemassa on myös henkilöstön säännöllinen kouluttaminen henkilötietojen käsittelyn periaatteista.
Sonja Laamanen
HH Partners hoitaa laaja-alaisesti erilaisia tietosuojaan liittyviä toimeksiantoja: autamme asiakkaita esimerkiksi tietosuojasääntelyn noudattamisen kehittämisessä, GDPR-kartoituksissa, vaikutustenarvioinneissa sekä muun tietosuojadokumentaation laatimisessa.
Kirjoittaja:
Sonja Laamanen työskentelee HH Partnersilla juristina painopistealueinaan tietosuoja- ja IPR-asiat. Sonjalla on kokemusta esimerkiksi tietosuojadokumentaation laatimisesta, tietosuojasääntelyn noudattamiseen liittyvistä kysymyksistä ja kansainvälisistä henkilötietojen siirroista. Sonja on avustanut tietosuojakysymyksissä useilla eri toimialoilla toimivia organisaatioita, esimerkkeinä media, jälleenmyynti, kuluttajakauppa, ja lääketeollisuus.