WhitestoneWhitestone

EU:n yleisen tietosuoja-asetuksen (GDPR) soveltaminen alkaa 25.5.2018 kaikissa EU:n jäsenmaissa ja sitä sovelletaan kaikkeen henkilötietojen käsittelyyn. Asetusta täydennetään Oikeusministeriön työryhmän ehdotuksen mukaisella uudella kansallisella tietosuojalailla, jota Oikeusministeriö valmistelee parasta aikaa. Myös tämän lain on tarkoitus astua voimaan 25.5.2018 (Tietosuojavaltuuteun toimisto, http://www.tietosuoja.fi/fi/index/euntietosuojauudistus.html).

Kyseessä on muutos, joka on jo herättänyt ja tulee herättämään kysymyksiä. Päätimme tässä blogikirjoituksessa avata tiivistetysti oman näkemyksemme mukaan niitä muutoksia, joita uusi asetus ja uusi valmisteilla oleva kansallinen tietosuojalaki tuo tullessaan sekä verkkopalvelun omistajalle eli rekisterinpitäjälle että verkkopalvelun toteuttajalle ja ylläpitäjälle eli henkilötietojen käsittelijälle verkkopalvelun osalta.

Mikä muuttuu?

Perusasiat säilyvät, mutta asetus tuo voimaan uusia velvoitteita koskien tietosuojaa ja henkilötietojen käsittelyä, joista keskeisimpiä ovat:

- riskiperustainen lähestymistapa ja
- asetuksen noudattamisen osoitusvelvollisuus

Riskiperustainen lähestymistapa tarkoittaa sitä, että mitä enemmän riskejä henkilötietojen käsittelyyn liittyy niin sen mukaisesti rekisterinpitäjän velvollisuudet kasvavat. Osoitusvelvollisuudella tarkoitetaan taasen sitä, että rekisterinpitäjä pystyy tarvittaessa osoittamaan, että noudattaa omassa liiketoiminnassaan henkilötietojen käsittelyn osalta voimaan astuvaa tietosuoja-asetusta.

Verkkopalveluiden osalta tämä käytännössä tarkoittaa muun muassa sitä, että:

- Verkkopalvelun käyttäjä tietää mitä tietoja palvelussa hänestä kerätään (evästeet, henkilötiedot) ja miten niitä käsitellään sekä mahdollisesti jaetaan
- Verkkopalvelun käyttäjällä on mahdollisuus päivittää hänestä kerättyjä tietoja sekä saada halutessaan hänestä kerätyt tiedot
- Verkkopalvelun käyttäjällä on mahdollisuus siirtää itseään koskevat tiedot
- Verkkopalvelun käyttäjällä on oikeus tulla unohdetuksi, eli mahdollisuus hänestä kerättyjen henkilötietojen poistamiseen verkkopalvelusta

Verkkopalvelussa tilausvaiheessa kerättäviä henkilötietoja ja esimerkiksi uutiskirjeen tilaamistietoja rekisterinpitäjä saa käsitellä, kun kyseessä on oikeudellinen peruste kuten sopimus tai suostumus (rekisterinpitäjän oikeutettu etu).

Miten sitten toimia verkkopalvelun osalta?

Verkkopalvelun osalta voidaan suositella esimerkiksi seuraavia toimenpiteitä:

- Verkkopalvelun luotettavuuden parantaminen varmenteiden avulla, kuten SSL-sertifikaatti (suora vaikutus myös Googlen hakutulosnäkyvyyteen)
- Verkkopalvelun läpikäynti verkkopalvelun kehittäjän ja ylläpitäjän kanssa oman verkkopalvelun asetuksen mukaisen tilan, varmuuskopio- ja muiden käytännesääntöjen, henkilötietojenkäsittelystä kirjallisesti sopimisen sekä mahdollisten muiden kehitystarpeiden osalta
- Verkkokauppapalvelun käyttäjän läpinäkyvä ja selkeä informointi evästeiden ja rekisterien keräämisestä (verkkokauppapalvelun ilmoitukset ja tietosuojaseloste)
- Keskiössä henkilötietojen keräämisessä Lean-ajattelu, eli kerätään vain toiminnan tai prosessin kannalta keskeinen sekä tarvittava henkilötieto

Suomessa ei tällä hetkellä vaadita erillistä ponnahdusikkunaa evästeiden hyväksymisen tai niiden tiedottamisen osalta, mutta evästekäytännöt on tuotava käyttäjän tietoisuuteen verkkopalvelussa lisätietojen löytämiseksi. (https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvaohjeet/palveluidenturvallinenkaytto/evasteet.html ) Seuraamme tiivisti asetuksen ja sen kansallisen käyttöönoton mahdollisia kansallisia käytännemuutoksia ja pidämme Teidät niiden aiheuttamista mahdollisista muutostarpeista tietoisena.

Mistä lisää tietoa ja miten voisin testata oman muutosvalmiuteni?

Tämä kirjoitus käsitteli aihetta rekisterinpitäjän verkkopalvelun osalta. Olemme kehittäneet Asianajotoimisto Lukander Ruohola HTO Oy:lle tietosuojauudistukseen valmistautumista käsittelevän verkkopalvelun tietosuoja.info,  jossa voit helposti testata oman yrityksesi/organisaatiosi muutosvalmiutta tulevaan tietosuoja-asetukseen.

Lisää tietoa aiheesta löytyy yllä mainitun verkkopalvelun lisäksi muun muassa Tietosuojavaltuuten Toimiston (http://www.tietosuoja.fi/fi/index/euntietosuojauudistus.html) ja Viestintäviraston (www.viestintavirasto.fi) verkkopalveluista.

comments powered by Disqus

Lue myös

Siirry ylös
Haluatko kuulla lisää?

Jätä yhteystietosi niin kerromme lisää.