Omasta mielestäni suurin väärinymmärrys tietosuojaan liittyen on se, että keskitytään siihen, mitä dataa henkilöistä talletetaan. Vaikka jokin talletettu tieto saattaa vaikuttaa intiimiltä tai arkaluontoiselta, ei tiedon käsittelyn laillisuutta voida arvioida tarkastelemalla ainoastaan kerätyn tiedon tyyppiä.
Meidän täytyy pohtia sitä, kuinka tietoa käytetään.
Saattaa kuulostaa markkinointimiesten puheilta, muotisanalta tai bisnesmiesten jargonilta, mutta juuri tästä GDPR:ssä on kyse: Tietojen käyttötarkoitus on koko asetuksen ydin.
Jos edes ajattelet käsitteleväsi henkilökohtaisia tietoja, sinun tulee ensin määritellä toiminnan tarkoitus. Sanotaanpa että ylläpidät kissanomistajien yhdistystä ja haluat perustaa jäsenille sähköpostilistan jakaaksesi hassuja kissavideoita. Näin ollen syy henkilökohtaisten tietojen käyttöön on ylläpitää sähköpostilistaa, jolla jaetaan kissa-aiheisia videoita.
Sähköpostilistan ylläpitäjänä työsi helpottuu kun määrittelet käyttötarkoituksen tarkasti. Tämän jälkeen sinun on mhadollista vastata muutamaan GDPR:n kannalta olennaiseen kysymykseen.
Kuinka käsittelen tietoa laillisesti? Henkilökohtaisen tiedon käsittelyyn on olemassa kuusi oikeudellista perustetta. Yllä olevassa esimerkissä käsittelyn lainmukaisuuden paras peruste on rekisteröityneen oma suostumus tietojen käsittelyyn. On kuitenkin tärkeätä muistaa että on muitakin syitä miksi organisaatio käsittelee henkilökohtaisia tietoja. Nämä kaikki syyt pitää ilmaista selkeästi, jotta tietojen käsittely on lainmukaista.
Millaista henkilökohtaista tietoa saan käsitellä? GDPR:n tarkoitus on minimoida tietojen keruu. Sähköpostilistaa varten on perusteltua pitää tallessa nimi ja sähköpostiosoite. Vastaanottajien sukupuolen tallentaminen sen sijaan ei ole lainmukaista, sillä henkilökohtaisten tietojen käyttötarkoitus ei sisällä syytä sukupuolitiedon tallennukseen tai käsittelyyn.
Miten henkilökohtainen tieto tulee suojata? Tallentamasi tiedon tyyppi määrittelee vaaditun tietosuojan tason. Mikä on pahinta mitä voi tapahtua, jos joku murtautuu tietokantaasi ja paljastaa ketkä kuuluvat kissaharrastajien sähköpostilistalle? Millaisia varotoimia sinun tulee ylläpitää välttääksesi tietomurrot? Vaikka esimerkkimme voi tuntua triviaalilta, sähköpostiosoitteiden vuotaminen on yksi yleisimmistä tietomurroista. Sitä kautta päästään myös linkittämään henkilö muuhun henkilökohtaiseen tietoon. Jotta voit varmistua siitä että tiedot ovat asianmukaisesti suojattuja, pidä itse huolta riittävästä tietoturvasta tai valitse sellainen palveluntarjoaja, joka hoitaa asian puolestasi.
Kuinka kerään henkilökohtaista tietoa ja tiedotan käyttäjiä? Tietojen käyttötarkoitus on ensimmäinen asia, joka käyttäjien pitää saada selville. Kenenkään ei esimerkkimme kohdalla pidä saada mielikuvaa että kyseessä on koiraharrastajien postituslista vain tullakseen spämmätyksi kissavideoilla. Pääperiaate on, että tietojen käyttötarkoituksen tulee olla läpinäkyvää.
Milloin henkilökohtainen data pitää tuhota? Suurimmassa osassa käyttötapauksista, tiedon käsittelyllä on aloitus- ja lopetuspäivämäärä. Jos tiedon käsittely ei ole enää ajankohtainen tai prosessoinnilla ei ole enää laillista perustetta, täytyy henkilökohtainen tieto tuhota. Esimerkissämme kyseessä on postituslista jolle liitytään vapaaehtoisesti. Tietojen käsittelyoikeus päättyy sillä hetkellä kun käyttäjä haluaa poistua listalta tai kun koko poistituslistan ylläpito päättyy.
Jos sinä käyttäjänä olet kiinnostunut siitä millaista henkilökohtaista tietoa jokin palvelu sinusta kerää ja käyttää, tässä on asiat jotka voit selvittää:
- Mikä tarkoitus palvelulla on henkilökohtaisten tietojeni käsittelyyn?
- Mikä on palvelun laillinen peruste henkilökohtaisten tietojeni käsittelylle?
- Suojaako palvelun tarjoaja henkilökohtaiset tietoni riittävällä tavalla?
- Ovatko tiedot, joita minua pyydetään antamaan, kohtuullisia ja relevantteja kohtien 1, 2 ja 3 kannalta?
Mahtava asia GDPR:ssä on, että se edellyttää palvelun tarjoajia kertomaan yllä olevat siten että ne ovat helposti käyttäjien saatavilla. Toivottavasti näemme 25.5.2018 jälkeen entistä enemmän läpinäkyvyyttä henkilökohtaisten tietojen käsittelyn tarkoituksesta.
(Lue myös muut artikkelit GDPR:stä: #1, #2, #3, #4)
John Arthur Berg, DPO
