Mitä jokaisen kuuluu tietää EU:n uudesta tietosuoja-asetuksesta GDPR?

EU on luonut uuden yhtenäisen tietosuoja-asetuksen, joka astuu voimaan 25. toukokuuta 2018. Tässä käymme läpi, mitä jokaisen yrityksen ja organisaation pitää tietää GDPR:stä. Tiivistimme suomalaisten kannalta tärkeimmät asiat direktiivistä tähän.

Sisällysluettelo

Perustiedot

General Data Protection Regulation, eli GDPR, on EU:n uusi tietosuoja-asetus. Asetus korvaa ja yhtenäistää eri maiden nykyiset säännöt. Se määrittelee, miten henkilötietoja saa käsitellä EU:ssa. Virallisesti asetus tunnetaan nimellä Asetus (EU) 2016/679. Koko direktiivi on varsin pitkä ja sisältää paljon jo nyt Suomessa voimassa olevia säännöksiä. Tässä kirjoituksessa keskitymme uuden direktiivin keskeisimpiin muutoksiin suomalaisesta näkökulmasta.

Uusi tietosuoja-asetus on annettu 27 huhtikuuta 2016 ja kahden vuoden siirtymäajan jälkeen se astuu voimaan 25 toukokuuta 2018. Tällöin kaikkien yritysten ja organisaatioiden on noudatettava uutta asetusta tuntuvien sakkojen uhalla. Asetus herättää huomattavasti kysymyksiä siitä, mitä tulee tehdä. Koko alueen kattava yhtenäistetty toimintapolitiikka tarkoittaa kuitenkin sitä, että kaikki ovat samojen sääntöjen edessä.

Asetuksen keskeiset asiat

Direktiivi pohjautuu osin nyt voimassa olevaan vuonna 1995 voimaan tulleeseen direktiiviin. Uudessa asetuksessa on kuitenkin selkeitä eroja, selkeämpiä vaatimuksia ja asioita, jotka vaativat uusia toimintatapoja ja valmiuksia. Tarkoituksena on tuoda kuluttajille enemmän valtaa henkilötietojensa hallintaan sekä harmonisoida EU-alueen käytäntöjä. Yksi asetuksen merkittävimmistä asioista on henkilön oikeus saada rekisterin tiedot itselleen ja tulla unohdetuksi.

Seuraavaksi listaamme asetuksen keskeisimmät asiat ja nostamme viittauksena esiin asetuksen tarkan sanamuodon myös.

Kattavuus

Uusi direktiivi koskettaa sekä EU:n sisäisiä, että ulkopuolisia yrityksiä, jotka käsittelevät EU:lla olevien henkilötietoja.

(22) “noudatettava kaikessa henkilötietojen käsittelyssä -- riippumatta siitä, tapahtuuko itse käsittely unionin alueella”
(24) “sovellettava myös unionin alueella olevien rekisteröityjen henkilötietojen käsittelyyn, jos sitä suorittava rekisterinpitäjä tai henkilötietojen käsittelijä ei ole sijoittautunut unioniin”

Aikataulu

Asetus on annettu 27 päivänä huhtikuuta 2016 ja sitä sovelletaan kahden vuoden siirtymävaiheen jälkeen 25. toukokuuta 2018.

Artikla 99 “sovelletaan 25 päivästä toukokuuta 2018 -- asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.”

Rangaistukset

Yritykset, jotka eivät noudata direktiiviä, voivat saada merkittävät sakot - jopa 20milj € tai 4% globaalista liikevaihdosta.

Artikla 83 kohta 5. “20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi”

Tietosuojavastaava

Organisaatiolla on jatkossa oltava tietosuojavastaava ja henkilö on ilmoitettava valvontaviranomaisten tietoon. Hänen tehtäviinsä kuuluu mm. varmistaa, että organisaatiossa noudatetaan asetusta ja toimia kontaktina valvontaviranomaiseen mahdollistaen toimiva yhteistyö.

Artikla 37 “Rekisterinpitäjän ja henkilötietojen käsittelijän on nimitettävä tietosuojavastaava -- on julkistettava tietosuojavastaavan yhteystiedot ja ilmoitettava ne valvontaviranomaiselle”
Artikla 39 “seurata, että noudatetaan tätä asetusta -- tehdä yhteistyötä valvontaviranomaisen kanssa”

Henkilökohtaisten tietojen määritelmä

Direktiivi ei suoraan määrittele, mikä on henkilötietoa, vaan kuvailee kaiken henkilöä yksilöivän kerätyn tiedon olevan direktiivin alaista. Tämä tarkoittaa käytännössä, että nimen, osoitteen ja henkilötunnisteen lisäksi myös muut henkilöä yksilöivät tiedot, kuten IP osoitteet, luottokorttinumerot, puhelinnumerot ja MAC osoitteet voidaan kaikki tulkita olevan henkilötietoa.

Huomaa, että direktiivi ei myöskään määrittele mikä tallennustapa on. Tämä tarkoittaa, että direktiivi kattaa kaikki henkilötiedot riippumatta siitä, onko tallennettu rakenteellisena tietokantaan, Word dokumentin sisällä tai vaikka tulostettuna paperille.

Direktiivi määrää kuitenkin selvästi, että anonymisoitu tieto ei kuitenkaan ole direktiivin alaista.

Artikla 4 “kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön -- liittyviä tietoja -- voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella”
Artikla 26 “Tietosuojaperiaatteita olisi sovellettava kaikkiin tietoihin, jotka koskevat tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä. Pseudonymisoidut henkilötiedot, jotka voitaisiin yhdistää luonnolliseen henkilöön lisätietoja käyttämällä, olisi katsottava tiedoiksi, jotka koskevat tunnistettavissa olevaa luonnollista henkilöä. -- ei tämän vuoksi pitäisi soveltaa anonyymeihin tietoihin eli tietoihin, jotka eivät liity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, tai henkilötietoihin, joiden tunnistettavuus on poistettu siten, ettei rekisteröidyn tunnistaminen ole tai ei ole enää mahdollista.”

Lupa henkilötietojen kerääminen

Ellei rekisterinpitäjä joudu lakisääteisen velvoitteen noudattamiseksi keräämään henkilötietoa, henkilöltä on saatava suostumus henkilötietojensa käsittelyyn. Tällöin rekisterinpitäjän pitää kyetä todistamaan, että henkilö on antanut suostumuksensa tietonsa käyttöön. Lisäksi oikeus on peruutettavissa, eli henkilöllä on oikeus tulla unohdetuksi. Luvan antaminen on myös oltava ymmärrettävä luvan antajalle.

Käytännössä tämä tarkoittaa sitä, että helpoin tapa varmistaa laillinen tietojen kerääminen on pyytää lupa lomakkeella, jossa käyttökohde on selvästi kuvattu ja henkilö joutuu erikseen valitsemaan, että hän antaa suostumuksensa tietojen keräämiseen.

Jos henkilö on alle 16-vuotias, lupa on saatava lapsen vanhemmalta.

Artikla 7 “rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn.”
Artikla 32 “Suostumus olisi annettava selkeästi suostumusta ilmaisevalla toimella, kuten kirjallisella, mukaan lukien sähköisellä, tai suullisella lausumalla, josta käy ilmi rekisteröidyn vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla hän hyväksyy henkilötietojensa käsittelyn.”

Tietoturvaloukkauksista ilmoittaminen

Jos organisaatio, asetuksenmukaisen henkilörekisterin suojaamisesta ja käsittelystä huolimatta, altistuu tietoturvaloukkaukselle, tulee tämä ilmoittaa tietoturvaloukkauksesta tietosuojaviranomaiselle ja asianosaselle asiasta mahdollisimman pian. Käytännössä tämä tarkoittaa, että ilmoitus pitää antaa 72 tunnin sisällä, sillä tämän jälkeen myöhästymisestä on perusteltava.

Artikla 33 “Jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivytystä ja -- 72 tunnin kuluessa sen ilmitulosta 55 artiklan mukaisesti toimivaltaiselle valvontaviranomaiselle -- Jos ilmoitusta ei anneta 72 tunnin kuluessa, rekisterinpitäjän on toimitettava valvontaviranomaiselle perusteltu selitys.”
Artikla 34 "rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä”

Oikeus siirtää tiedot järjestelmästä toiseen

Yksi direktiivin merkittävimpiä muutoksia on rekisterinpitäjän velvollisuus toimittaa rekisteröidylle henkilölle hänen pyynnöstään rekisterissä olevat tiedot, selkeässä ja jäsennellyssä muodossa sekä siirtää nämä tiedot rekisterinpitäjältä toiselle mahdollisimman esteettömästi näin pyydettäessä.

Artikla 20 “Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu”
Artikla 12 “kaikki 15–22 ja 34 artiklaan perustuvat tiedot ja toimenpiteet ovat maksuttomia”

Tämä vaatimus yhdistettynä määritelmään henkilötiedoista vaatii monissa organisaatioissa teknisiä valmiuksia, joita ei ole ollut olemassa ennen tätä direktiiviä.

Käsittelemme alla tarkemmin miten Findwise lähestyy tätä asiaa.

Oikeus tulla unohdetuksi

Toinen merkittävä muutos aikaisempaan on oikeus saada tietonsa poistettua, varsinkin siinä tilanteessa, jossa henkilö peruuttaa suostumuksensa tietojen käsittelyyn. Tämä muuttaa oletettavasti tapaa, miten yritykset käyttävät henkilötietoja, ja vaatii sen, että henkilö tuntee saavansa vastinetta siitä, että hän edelleen antaa suostumuksensa tietojensa käsittelyyn. Lisäksi, tämä vaatii tietoteknisiä valmiuksia siihen, että voidaan varmistua siitä, että henkilötietoja ei jää ilman lupaa erinäisiin järjestelmiin - kuten lokitiedostoihin, varmuuskopioihin ja tulosteisiin.

Artikla 17 “Rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, ja rekisterinpitäjällä on velvollisuus poistaa henkilötiedot ilman aiheetonta viivytystä”

Oikeus tietojen oikaisemiseen

Tietojen siirtämisen ja poistamisen lisäksi, rekisteröidyillä henkilöillä on myös oikeus oikaista väärät tiedot hänestä.

Artikla 16 “Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot.”


Nämä olivat GDPR:n tärkeimmät muutokset edelliseen lainsäädäntöön. Seuraavaksi paneudumme siihen, mitä haasteita GDPR täytäntöönpano tuo organisaatioille ja miten täytäntöönpanosta voi hyötyä.

Haasteet organisaatioille

Tietosuoja-asioiden tila eri yrityksissä on hyvin kirjava ja toiset suoriutuvat siinä paremmin kuin toiset. Tähän mennessä motivaatio toimia yhtenäisesti ei ole ollut suuri, mutta uusi direktiivi ja lainsäädäntö motivoivat harmonisoiviin uudistuksiin, jotka koskettavat jokaista organisaatiota. Suurimpia haasteita suomalaisessa yrityskentässä lainsäädännön kannalta ovat:

Lupa tiedon keräykseen puuttuu

Yrityksesi tulee kyetä näyttämään, että tallentamasi tiedot on kerätty henkilön suostumuksella. Aikaisemmat sopimukset eivät yleensä ole sisältäneet mainintaa tietojen keräämisestä ja vielä 2017 vallitseva tapa kerätä tietoja verkkovierailijoista ei ole lainmukainen GDPR:n astuttua voimaan. Jos yrityksellä ei ole lupaa tietojen keräämiseen, tietoja pitää poistaa ennen GDPR:n voimaantuloa.

Henkilötietojen hallinta ontuu

Informaation hallinta organisaation järjestelmien yli on monelle ollut haastavaa jo pidemmän aikaa. Usein samoja tietoja on tallennettu ja hallittu useissa järjestelmissä ja tiedoissa on eroavaisuuksia. GDPR:n myötä hallitsemattomuus henkilötietojen osalta ei ole sallittua enää. Henkilö voi koska vain pyytää tietojaan ja yrityksen on vastattava tähän asianmukaisesti - riippumatta siitä onko tiedot hajallaan kymmenissä järjestelmissä vai ei.

Rakenteeton tieto unohtuu

Findwisen kokemuksen mukaan monet toimijat ovat aloittaneet GDPR työnsä siten, että he käyvät läpi mitä tietoja on tallennettuna rakenteellisina erinäisiin tietokantoihin, kuten asiakasrekistereihin. Valtaosa yritysten tiedoista - yli 80% - on kuitenkin hajallaan rakenteettomissa tiedoissa. Tietoa on Word ja PDF dokumenteissa levyjaoilla, lokitiedostoissa, tekstikentissä intranetissä ja sisäisissä järjestelmissä, kuvien sisällä tai jopa paperiarkistoissa. Kaikki tämä on myös GDPR:n alaista henkilötietoa ja tietoturvan kannalta myös hyvin merkittävässä roolissa.

Lähivuosina BigData termiä on usein käytetty kuvaamaan, että yhdessä järjestelmässä on paljon tietoa. Vallalla olevan määritelmän mukaan (volume, variety and velocity - ehkä jopa veracity) BigData tarkoittaa kuitenkin jotain enemmän ja nimenomaan rakenteettoman tiedon analysointi erottaa BigData toimijoita perinteisistä BI/DW toimijoista. GDPR:n suhteen pätee sama asia. GDPR valmiuksia kannattaa rakentaa huomioiden kaikki tiedot - myös 80% rakenteeton osuus.

Sisäinen järjestäytyminen

Nopeat reagoinnit ja uudet toimintatavat vaativat enemmän kuin teknisiä ratkaisuja. Organisaatioiden tulee panostaa henkilöihin ja prosesseihin, joilla varmistetaan, että tietojen käsittely on lainmukaista, turvallista ja nopeaa. Oma henkilöstö on tiedettävä, miten jatkossa kuuluu toimia. Suosittelemme pohtimaan, jos anonymisoitua dataa voi käyttää yhä useimmissa tilanteissa. Prosesseja tullaan varmasti testaamaan ja kehittämään viranomaisten ja yksityishenkilöiden pyyntöjen avulla.

Tietoturva-asiat

Tietoturva-asiat ovat useilla suomalaisilla yrityksillä jo nyt hyvässä kunnossa. Tämä on kuitenkin asia, joka vaatii jatkuvaa huomiota varsinkin, kun yhä useimmissa tilanteissa käytetään kolmansia osapuolia ja pilvipalveluita.

Hyödyt organisaatioille

GRPR:n täytäntöönpano ei ole pelkkä kustannus, vaan askel kohti useita hyötyjä. On myös hyvä muistaa, että samat säännöt koskevat jatkossa kaikkia organisaatioita. Nopeat toimijat ovat tietysti etulyöntiasemassa ja voivat saada aikaisesta täytäntöönpanosta huomattavaa kilpailuetua.

GDPR:n noudattaminen

Luonnollinen seuraus asetuksen noudattamisesta sakkojen välttämisen lisäksi on yrityskuvan vahvistaminen vastuullisena yhteiskunnallisena toimijana. Toimijat, jotka noudattavat GDPR:ää, voidaan nähdä asiakkaidensa yksityisyydestä välittävinä ja lakia tarkasti noudattavana, joka lisää luottamusta.

Customer 360

Asetuksen mukanaan tuoma tarve pitää tieto järjesteltynä, helposti käsiteltävänä ja ajantasaisena mahdollistaa myös paremman asiakasdatan analysoinnin ja trendien tulkinnan. Itse asiassa, useat toimijat ovat jo ottaneet aikaisemmin samanlaisia kehitysaskelia Customer 360 -projekteissaan. GDPR:n myötä jokaisen yrityksen pitää rakentaa sellaisia teknisiä valmiuksia, joita myös tarvitaan Customer 360-projekteissa. Luonnollisesti samoja valmiuksia kannattaa myös käyttää asiakkaiden parempaan palvelemiseen!

Kustannussäästöt

Tietojen hyvä hallinta ja turhan tiedon poistaminen voi tuoda huomattavia kustannussäästöjä. Vaikka tallennuskapasiteetin hinta on laskenut paljon, on tiedon määrä kuitenkin kasvanut vielä nopeammin. Suurin kustannussäästö tulee kuitenkin siitä, että ajantasaista tietoa käytetään tehokkaasti organisaatiosiilojen yli. Organisaatio ei siis tee päätöksiä vanhentuneiden tai vaillinaisten tietojen pohjalta tai hukkaa aikaa tietojen metsästämiseen. Tämä on ollut yksi Enterprise Search -projektien peruspilari.

GDPR:n teknisten vaatimusten ja Enterprise Search välillä on selviä yhteneväisyyksiä. Gartner tosin käyttää nykyän mieluummin termiä Insight Engine. Tällä muutoksella Gartner on halunnut korostaa, että hakuratkaisuja ei käytetä vain Googlen tyyppiseen tiedonhakuun. Tiedon analysointi ja henkilötietojen tunnistaminen tekstimassasta tai kuvista osana GDPR projektia on hyvä esimerkki haun käyttämisestä muuhun, kun perinteiseen hakuun.

Valtaosa GDPR:n teknisistä vaatimuksista voidaan siis toteuttaa samoilla ratkaisuille kuin mitä yrityksillä on jo käytössä Enterprise Search tai Insight Engine -projektien myötä. GDPR projektien tekstianalyysikomponentteja kannattaa myös käyttää laajemmin parantaakseen yritysten omaa hakua.

Lisäksi, GDPR:n tuomat prosessikehitykset henkilötietojen osalta kannattaa myös soveltaa informaation hallintaan laajemmin organisaatiossa. Kaikella tiedolla pitää olla selkeä omistaja, elinkaari ja vastuullinen - on siinä henkilötietoja tai ei.

Toimi näin

GDPR astuu voimaan jo 25. toukokuuta 2018 ja vaatii monia asioita ja merkittävää panostusta. Jokaisen henkilötietoja käsittelevän organisaation pitää ottaa tämä huomioon ja useimmissa tapauksissa GDPR projekti on jo käynnissä. Ohessa listaus asioista, jotka sinun tulee tehdä, jotta pääset lähemmäs GDPR:n mukaista henkilötietojen hallintaa.

  1. Nimeä tietosuojavastaava
  2. Päivitä prosessit asetuksen mukaisiksi
  3. Hanki henkilöiltä lupa tietojen keräämiseen
  4. Varmista, että voit järjestelmien yli:
    1. Muodostaa kokonaiskuvan tietojen sijainnista
    2. Viedä ulos yksittäisen henkilön tiedot
    3. Poistaa yksittäisen henkilön tiedot
  5. Poista turha ja laiton tieto
  6. Käytä anonymisoitua tietoa mahdollisuuksien mukaan

Kohti GDPR:ää Findwisen kanssa

Findwise on oikea kumppanisi, kun olet ottamassa konkreettisia askelia GDPR:n suhteen. Yli 10-vuoden kokemuksemme tiedonhausta, rakenteettoman tiedon hyödyntämisestä, tekstianalyysistä ja informaation hallinnasta yleensä tekee meistä erinomaisen kumppanin myös GDPR:n suhteen. Autamme jo nyt useita niin pieniä kuin monikansallisia yrityksiä GDPR:n ja informaation suhteen laajemmin. Kaikissa projekteissamme pyrimme aina hyödyntämään täysimääräisesti yrityksissä jo olevaa teknologiaa.

Meille on tärkeätä varmistaa, että asiakkaitamme kasvavat ja kehittyvät. Siksi haluammekin varmistaa, että GDPR:n sisällä tehdyt ratkaisut tulevat laajempaan käyttöön organisaatiossa.

Findwisen osaaminen GDPR-projekteihin liittyen:

  • Informaation hallinnan kansainvälinen kärkinimi
  • Laaja yli 10v kokemus tiedon löydettävyyden ja informaation hallinnan ratkaisuista
  • Toimittajariippumattomuus teknisissä toteutuksissa
  • Tekstianalyysit useilla kielillä (mm. suomi, ruotsi ja englanti)
  • Laaja ja tarkkaan valikoitu kumppaniverkosto (mm. IBM, Google, HP ja Splunk)
  • Open Source -ratkaisujen käyttö (mm. Elastic, Solr, Hadoop, Spark)

Lisätietoja

Koko direktiivi löytyy EUR-Lex palvelusta useilla kielillä, mm. suomeksi, ruotsiksi ja englanniksi.

Ivar Ekman vastaa mielellään mahdollisiin kysymyksiin niin sähköpostitse kuin puhelimitse. Ota yhteyttä! ivar.ekman@findwise.com tai +358 44 3214 458.



Lataa GDPR tiivistelmä

Lataa 1-sivuinen tiivistelmä tietosuoja-asetuksesta
Findwise GDPR 1-pager tiivistelmä