Tietosuojaa tiiviisti – Tunnista riskit ja varaudu!
Tässä artikkelisarjassa perehdytään webinaarisarjamme teemoihin. Kävimme syksyn neljännessä webinaarissa läpi valikoituja EU:n yleisen tietosuoja-asetuksen (GDPR) mukaisia henkilötietojen käsittelyvelvoitteita ja kansallisen tietosuojaviranomaisen päätöksiä. Annetut päätökset havainnollistavat hyvin yleisten tietojenkäsittelyvelvoitteiden sisältöä sekä korostavat tiettyjä tietojenkäsittelyn riskitilanteita. Alta löydät kolme muistutusta henkilötietojen käsittelystä webinaarissa käsitellyistä aiheista.
1) Muista että velvoitteita on huomioitava ennakollisesti
Tietosuojaa koskevia velvoitteita on huomioitava jo toiminnan suunnittelussa. Tämä sisältää myös henkilötietojen käsittelyperusteen määrittämisen. Asiaa havainnollistaa muun muassa tietosuojaviranomaisen päätös (2368/182/20), jossa käsiteltiin taloyhtiön asukkaille jakamaa tiedotetta, jossa yhtiö oli esittänyt, että asukkailla on velvollisuus toimittaa isännöitsijälle tieto koronatartunnasta taloyhtiön siivouksen tehostamiseksi. Rekisterinpitäjän roolissa toimiva taloyhtiö ei ollut kuitenkaan tehnyt arviota siitä, voiko se tosiasiassa kerätä asukkaiden terveystietoja, eikä se ollut arvioinut, onko henkilötietojen käsittelylle määriteltävissä lainmukaista perustetta. Rekisterinpitäjä ei ollut myöskään arvioinut, olisiko asukkaiden terveystietojen kerääminen ristiriidassa yleisen tietosuoja-asetuksen mukaisen tietojen minimointiperiaatteen kanssa. Tapauksessa henkilötietoja ei tosiasiassa ollut kuitenkaan vielä kerätty, sillä taloyhtiö ei ollut saanut tietoja koronatartunnoista. Tästä huolimatta taloyhtiö sai varoituksen.
Toimi ennakollisesti. Muun muassa käsittelyperuste on määriteltävä jo ennen kuin henkilötietojen keräämistä koskeviin toimenpiteisiin ryhdytään.
2) Pohdi tietojen luonnetta, yhdistämisen mahdollisuutta ja keräämisen merkitystä
Henkilötietoja ovat kaikki tiedot, jotka ovat yhdistettävissä tiettyyn henkilöön suoraan tai välillisesti. Näin on myös silloin, kun tiedot sijaitsevat eri paikoissa tai eri tahoilla, mutta tietoja yhdistämällä niistä muodostuu tiettyyn henkilöön yhdistettävissä olevaa tietoa. Kuluttajakaupassa henkilötietoja voivat olla tällaiset tiettyyn henkilöön yhdistettävissä olevat ostotiedot, ja tiedot, joista ilmenee esimerkiksi palvelujen käyttöä koskevia tietoja. Lisäksi voidaan kerätä esimerkiksi kampanjoiden, kilpailujen, arvontojen ja kyselyjen kautta kerättyjä henkilötietoja. Myös esimerkiksi erilaiset mittausdatat, äänitteet, videoon tallentuva kuva tai vaikkapa sähkölukkojärjestelmien keräämät kulkutiedot voivat muodostaa henkilötiedon.
Tietosuojaviranomaisen ratkaisukäytännössä on käsitelty edellä mainittuja sähkölukkojärjestelmän kautta käsiteltäviä henkilötietoja tapauksessa (4900/182/18). Tapauksessa taloyhtiö katsoi keränneensä asukkaiden kulkutietoja muun muassa sopimuksen ja oikeutetun edun nojalla. Kuitenkin taloyhtiön tulkinnan katsottiin olevan virheellinen, koska henkilötietojen käsittelyperusteen ei kyseisessä tapauksessa katsottu voivan perustua sopimukseen. Puolestaan se, voidaanko rekisterinpitäjän määrittelemä etu tosiasiallisesti katsoa rekisteröidyn edut syrjäyttäväksi, saadaan selville suorittamalla niin kutsuttu tasapainotesti, jonka taloyhtiö oli väittänyt niin ikään tehdyksi. Oikeutetuksi eduksi oli määritelty rekisterinpitäjän ja vuokralaisten omaisuuden suojaaminen, riskien hallinta ja sopimukseen perustuvien velvollisuuksien toteuttaminen (turvallisuus ja häiriötön asuminen). Dokumentaation katsottiin olevan oikeutetun edun arvioinnin osalta puutteellinen ja virheellinen, sillä mm.:
- Tasapainotestiä ei ollut päivätty eikä siitä ilmennyt tekoajankohtaa.
- Siinä ei määritelty rekisterinpitäjän etua vasten punnittavaa rekisteröidyn etua lainkaan, eikä tosiasiallista etupunnintaa siten katsottu suoritetuksi.
- Talossa ei ollut tapahtunut rekisterinpitäjän käsittelyperusteeksi esittämiä asuntomurtoja ja mahdollisiin uusiin sähkölukkoihin ei suunniteltu lainkaan kulunvalvontaominaisuutta – mikä katsottiin indikaatioksi kulunvalvonnan tarpeettomuudesta.
- Tasapainotesti ei osoittanut, että käsittely saattoi perustua oikeutettuun etuun.
Huolehdi siitä, että henkilötietojen keräämisen vaihtoehtoja on pohdittu, muista suorittaa arviointi tarvittavassa laajuudessa sekä huolehtia dokumentoinnin viimeistelystä ja yksityiskohdista.
3) Mieti, ovatko henkilötietojen käsittelyä koskeva informaatio ja sopimukset ajan tasalla
Henkilötietojen keräämisestä on kerrottava rekisteröidylle. Tietosuojaviranomaisen päätöksessä (3343/163/20) oli kyse asunnon luovutuspalaveria koskevasta tallenteesta, kun rekisterinpitäjän lähettämän sähköpostiviestin yhteydessä oli ilmoitettu, että asunnon luovutuspalaveri hakijoiden kotona oli äänitetty. Henkilöille ei ollut palaverin yhteydessä ennen tallennuksen aloittamista kerrottu, että keskustelu nauhoitetaan. Koska rekisterinpitäjä ei ollut informoinut rekisteröityjä tapaamisen tallentamisesta sen aloittamishetkellä, rekisterinpitäjän menettely ei täyttänyt käsittelyn läpinäkyvyyden periaatetta eikä rekisterinpitäjä ollut oikeaoppisesti täyttänyt velvoitteensa kertoa rekisteröidyille henkilötietojen käsittelystä oikeassa laajuudessa silloin kun henkilötietoja saadaan.
Tilanteessa, jossa henkilötietojen käsittelyä ulkoistetaan esimerkiksi ns. henkilötietojen käsittelijälle, tulee osapuolten välillä olla kirjallinen sopimus, jossa vahvistetaan muun muassa käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus sekä tekniset ja organisatoriset toimet tietojen suojaamiseksi, henkilötietojen tyyppi ja rekisteröityjen ryhmät sekä osapuolten muut velvollisuudet ja oikeudet. Tietosuojaviranomaisen päätöksessä (3843/163/20) oli kyse työntekijän sijaintiin liittyvien henkilötietojen käsittelystä työajanseurannassa ja muun muassa siitä, oliko rekisterinpitäjä sopinut henkilötietojen käsittelystä oikealla tavalla työaikaleimaus-mobiilisovellusta tarjoavan yrityksen kanssa, joka toimi henkilötietojen käsittelijänä. Rekisterinpitäjä katsoi ensin, ettei henkilötietojen käsittelystä henkilötietojen käsittelijän kanssa ollut sovittu. Noin vuotta myöhemmin rekisterinpitäjä kuitenkin katsoi sopineensa henkilötietojen käsittelystä palvelusopimuksen liitteessä. Liitteessä oli ”muut ehdot”- kohdassa todettu IT2018-sopimusehtojen sovellettavan sopimukseen niiltä osin, kun palvelusopimuksessa ei ole toisin sovittu. IT2018 YSE – Yleiset sopimusehdot ja IT2018 EHK – Erityisehtoja henkilötietojen käsittelystä -ehtoja ei kuitenkaan ollut mainittu palvelusopimuksessa tai sen liitteissä. Tapauksessa oli kyse myös siitä, että rekisterinpitäjä väitti antaneensa henkilötietojen käsittelijälle ohjeen henkilötietojen käsittelystä, jossa oli todettu, että rekisterinpitäjän oikeudet ja velvollisuudet on kuvattu palvelusopimuksessa ja sen liitteissä (mukaan lukien IT2018 EHK – ehdoissa). Ohjeen oli kuitenkin allekirjoittanut ainoastaan rekisterinpitäjän edustaja. Tapauksessa tietosuojaviranomainen ohjasi rekisterinpitäjää varmistamaan, että henkilötietojen käsittelijän suorittamaa käsittelyä määrittävä sopimuskokonaisuus on henkilötietojen käsittelijää oikeudellisesti sitova ja sisältää vähintään tietosuoja-asetuksen edellyttämät seikat.
Muista kertoa läpinäkyvästi ja tarvittavassa laajuudessa henkilötietojen käsittelystä jo tietojen keräämishetkellä ja pidä informaatio ajan tasalla.
Huolehdi sopimusten laatimisesta, sisällöstä ja sitovuudesta.