GDPR - paljon melua tyhjästä? Lakimuutoksia - osa 2/2

Olipa vaikeaa päättää kirjoittaisiko GDPR:stä vai Drupal 8 -migraatioista, mutta jätetään migraatiopohdinnat seuraavaan kertaan. Nämä kaksi ovat kuitenkin perin ajankohtaisia aiheita ja molempien parissa riittää puuhaa.

GDPR, General Data Protection Regulation, eli EU:n 25. toukokuuta 2018 lainvoiman saava tietosuoja-asetus alkaa näkyä ja kuulua jo milloin missäkin mediassa. Keväällä YLE uutisoi asiasta radiossa samoin kuin T&T ja asiasta löytyy infoa myös Yrittäjän ABC:ssä. Lisäksi valtion instituutiot suoltavat vallan kiitettävää materiaalia. Kannattaa katsastaa.

"Euroopan unionin tietosuojalainsäädäntö uudistui, kun yleinen tietosuoja-asetus tuli
voimaan 24. toukokuuta 2016. Tietosuoja-asetusta sovelletaan kahden vuoden siirtymäajan jälkeen 25. toukokuuta 2018 alkaen, jolloin henkilötietojen käsittelyn on oltava tietosuoja-asetuksen mukaista."

Löytääksemme eri näkökulmia ja tuntoja asian tiimoilta olemme osallistuneet niin Drupal-yhteisön, lakimiestahojen kuin yrittäjäpiirienkin tapahtumiin. Koemme nyt, että meillä on riittävät tiedot saadaksemme oman toimintamme GDPR:n vaatimusten mukaiseksi ja auttaaksemme asikkaitamme saavuttamaan saman tavoitteen. Ihan sillä periaatteella, että kun jotain tehdään niin se tehdään hyvin.

Sanotaan suoraan. Uudella tietosuoja-asetuksella pelotellaan paljon, vaan ei ihan suotta. Sanktiot ovat mittavia, mutta kiinnijäämisen riski pieni. Jos ei sitten satu osumaan jonkin oikeuksistaan tietoisen henkilön, e-kansalaisuutta puolustavan järjestön tai oikeustoimibisneksessä rahaa takovan firman hampaisiin. Viranomaisten voimavarat ovat joka tapauksessa vähäiset.

Sekin saattaa herättää närää, että kaltaisemme toimijat ovat jatkossa valmiita vain GDPR-yhteensopiviin projekteihin, ylläpitotehtäviin ja yhteistyökuvioihin. Meille kuitenkin riskit datankäsittelijöinä ovat selvät, sillä tämä on päätoimialueemme. Politiikkamme mukaan ansaitsemme asiakkaidemme luottamuksen parhaiten sillä, että tiedämme mitä ja miten asiat teemme sekä sillä, että kohtelemme kaikkia asiakkaitamme tasa-arvoisesti samalta lähtöviivalta. 

 

Mitä se GDPR sitten loppujen lopuksi tarkoittaa eri sivustoilla?

Jos kyseessä on vaikkapa kevyin mahdollinen Drupal-sivusto* ilman verkkokauppaa, joka ei kerää mitään henkilötietoja ja admininakin toimitaan käyttäjätunnuksella info@yritys.fi (sellaisesta IP:stä jota ei voi yksikäsitteisesti yhdistää tiettyyn luonnolliseen henkilöön), niin GDPR ei tarkoita oikeastaan yhtään mitään. Meillä näitä asiakkaita on tällä hetkellä yksi.

Jos taas admin-, editor- ja muita käyttäjiä on useampi, niin sivustolle muodostuu henkilörekisteri, vaikkei sen yhteydessä verkkokauppaa olisikaan. Toki kaikilla verkkokaupoilla on luonnostaan henkilörekisteri asiakkaistaan, samoin kuin yhdistysten sivuilla, jos jäsenten on mahdollista kirjautua sivustolle omilla tunnuksillaan. Oma lukunsa ovat vielä ne järjestelmät, jonne tuodaan tai josta viedään asiakastietoja. Tämä koskee myös useimpia jälleenmyyjä- ja b2b-rekistereitä. Miksikö? Siksi, että asiakasfirmojen joukossa voi olla toiminimiä (jotka eivät sellaisenaan ole luonnollisia henkilöitä, mutta joista voidaan tavallisesti johtaa luonnollinen henkilö) tai kontaktiosoitteet ovat muotoa etunimi.sukunimi@yritys.fi.

" - - jos esim. työnantaja on osoittanut työntekijälleen henkilökohtaisen sähköpostiosoitteen muodossa etunimi.sukunimi@
yritys.fi, osoitetta on lähtökohtaisesti pidettävä luonnollisen henkilön osoitteena" (http://www.asiakasvalinta.fi/ladattavat/TSV_kannanotto_230909_tittelikohdistaminen.pdf)

Olemme nyt lähettäneet asiakkaillemme järjestyksessä toisen tiedonannon, eikä niitä nyt tämän vuoden puolella varmaan lisää kaivatakaan. Tilanne selvenee pikkuhiljaa - lähinnä ne yleiset käytännöt, joita tullaan noudattamaan. Lisäksi olemme tehneet yhteistyötä palvelinpuolen palveluntarjoajiemme kanssa, jotta saamme mahdollisimman tarkkaan selville missä data liikkuu. Tulemme tekemään Drontin oman GDPR -roadmapin syksyn kuluessa ja tuleviin sopimuksiimme liitämme Koodia Suomesta ry:n sopimusmallin mukaisen GDPR-osan. Ja tottakai jaamme mielellämme osaamistamme.

Muutama huomionarvoinen asia vielä, joka ei alkukesän katsauksessamme tullut esille:

  • Osoitusvelvollisuus. Jo nykyinen lainsäädäntö kattaa useimmat GDPR:ssä mainitut henkilötietojen käsittelyn vaatimukset, mutta toisin kuin ennen, nyt yrityksiä ja yhdistyksiä velvoitetaan osoittamaan asianmukainen toiminta. Aiemmin osoitusvelvollisuus oli viranomaisilla.
  • Sisäänrakennettu tietosuoja. Yritysten ja yhdistysten järjestelmissä on jatkossa oltava riittävä tietosuoja sisäänrakennettuna ja dokumentoituna. Tämä koskee myös alihankintoja.
  • Tietoturvaloukkaus, johon lukeutuu henkilötietojen tahaton häviäminen. Tietoturvaloukkauksissa henkilörekisterinpitäjällä on velvollisuus ilmoittaa asiasta viranomaisille 72 tunnin kuluessa vuodon havaitsemisesta.

Haastetta piisaa, sillä monilla pienyrityksellä ei ole rekisteriselostettakaan vielä selvästi näkösällä. Siihen muuten löytyy valmis pohja tietosuojavaltuutetun sivuilta: http://www.tietosuoja.fi/fi/index/useinkysyttya/rekisteriseloste.html

"Rekisteriseloste laaditaan kaikista henkilörekistereistä. Siitä ilmenee, kuka on henkilötietojen  käsittelystä vastaava rekisterinpitäjä. Selosteesta ilmenee myös, mitä henkilötietoja rekisterissä on, mihin niitä käytetään ja minne tietoja säännönmukaisesti luovutetaan sekä tietojen suojauksen periaatteet. - - - Samaan henkilörekisteriin luetaan kuuluviksi kaikki ne tiedot, joita käytetään samassa käyttötarkoituksessa. - - -  Jos palvelua käytetään tietoverkossa, rekisteriseloste tulee liittää verkkopalvelun yhteyteen."

- - -

p.s. * Keskitymme Drupal-sisällönhallintajärjestelmän yhteyteen rakennettaviin sivustoihin, ja katsomme täten GDPR vahvasti siitä näkökulmasta.

(c) Antti Koistinen