GDPR:n eli EU:n tietosuoja-asetus on nyt ollut voimassa hieman yli seitsemän kuukautta. Suomessa oli tavoitteena saada kansallinen säädös valmiiksi synkronoidusti GDPR:n kanssa heti 22.5.2018 alkaen - tämä ei kuitenkaan toteutunut suunnitellusti.
Kansallinen tietosuojalaki on ollut voimassa 1.1.2019 alkaen ja se täydentää EU:n tietosuoja-asetusta. Tietosuojalaissa on kansallisen liikkumavaran piirissä säädetty muun muassa lasta koskeva 13 vuoden alaikäraja tietoyhteiskunnan palveluiden suhteen, tietosuojavaltuutetun organisaation rakenne ja laissa on säädetty muun muassa julkista sektoria koskeva poikkeus siitä, ettei hallinnollisia seuraamusmaksuja sovelleta julkisella sektorilla tapahtuvaan henkilötietojen käsittelyyn. Lisäksi tietosuojalaissa säädettiin sananvapauden, arkistoinnin ja tutkimuksen turvaamiseksi erityisiä poikkeuksia (Tietosuojalain 27§, 31§, 32§). On syytä muistaa, että pääperiaatteet ja isot linjat löytyvät tietosuoja-asetuksesta, eikä kansallinen tietosuojalaki muuta tai poista niitä.
Mitä konkreettisia muutoksia tai ratkaisuja GDPR:n myötä on tullut, onko maailma nyt valmis?
Asianajajan näkökulmasta tietosuojaliitteistä on tullut jo hyvin tavallinen osa yritysten sopimusvalikoimaa – edelleen puutetilanteita tulee eteen silloin, kun palvelujen toimittajan tulisi ulottaa alihankkijaan henkilötietojen käsittelyä koskeva sopimus, eikä toimittajalla ole valmiina kyseistä sopimusta. Hyvin usein ajatellaan, että tietosuojaa koskeva ketju on tärkeä vain ”meidän” ja asiakkaan välillä, eikä omia tai kyseisen projektin alihankkijoiden kanssa toimimista osata ottaa riittävästi tarkastelun alle. Hyvin valmistautuneella organisaatiolla tulisi olla myös tietosuojan osalta yhtenäinen sopimusvalikoima sekä tilaajan että omien alihankkijoiden sekä palveluntarjoajien suuntaan.
EU:n tietosuoja-asetuksen myötä perinteisistä rekisteriselosteista ollaan voitu luopua ja useita rekisteriselosteita on voitu korvata esimerkiksi yhdellä kattavalla tietosuojaselosteella, joka on kansantajuinen ja ”palveluhenkisempi” versio vanhanmallisesta rekisteriselosteessa. Pääosin suomalaisissa organisaatioissa selosteita koskeva uudistus on huomioitu hyvin ja siitä on osattu ottaa tehot irti. Menee kuitenkin varmasti tovi, ennen kuin vanhanmallisista rekisteriselosteista ja viittauksista (jo nyt kumottuun) henkilötietolakiin päästään pois.
Kevään ja kesän 2018 virhereagointien sekä osittaisten ylilyöntien (muun muassa lukuisat suostumus-pyynnöt sähköpostin välityksellä) jälkeen organisaatiot ovat alkaneet löytää parempaa otetta siitä, millä perusteella henkilötietoja voi käsitellä ja millä tekniikoilla esimerkiksi kuluttajien henkilötietoja tulisi sofistikoituneesti kerätä. Monessa yhteydessä törmään edelleen siihen, että yritys perustelee henkilötietojen käsittelyä ihan asiallisesti oikeutetulla edulla, mutta informointi siitä on jätetty toteuttamatta asianmukaisesti (EU:n tietosuoja-asetus, 6 artikla, kohta (f) – käsittelyn lainmukaisuus).
Heti GDPR:n voimaantulosta alkaen kansalliset viranomaiset ovat vastaanottaneet ennätysmäärät tutkintapyyntöjä tapauksista, joissa organisaation epäillään käsitelleen henkilötietoja epäasianmukaisesti. EU:n sisällä eri tietosuojaviranomaiset ovat jo antaneet mielenkiintoisia ratkaisuja, jotka viitoittavat myös varmasti tietä Suomen tietosuojaviranomaisen toimintaan liittyen. Osa ratkaisujen kohteena olevista tapahtumista on tapahtunut ennen GDPR:n voimaantuloa, eikä niihin ole sovellettu tietosuoja-asetusta sanktioiden suuruuden osalta.
Tiiviisti viimeaikaisia GDPR-aiheisia ratkaisuja Euroopasta:
- Iso-Britannian viranomainen sakotti kyytipalvelu Uberia 385.000 punnan suuruisesti siitä, ettei se onnistunut suojaamaan asiakkaiden tietoja kyberhyökkäyksen aikana.
- Ruotsissa tietosuojavaltuutetun tarkastuksen kohteena ensivaiheessa 66 eri organisaatiota joista 57:lle annettiin huomautus ja kahdelle varoitus (tutkittujen yritysten joukossa mukana mm. Tele2, Telia, Resurs Bank, eri viranomaisia, liikenneyhtiöitä, vakuutusyhtiöitä).
- Saksassa viranomainen antoi 20.000 euron suuruisen sakon sosiaalisen median palveluja tarjoavalle yritykselle, joka ei ollut asianmukaisesti suojannut käyttäjien salasanoja (salasanat olivat tallessa tavallisena tekstinä, niitä ei oltu pseudonymisoitu tai muutoin asianmukaisesti suojattu).
- Portugalissa paikallinen tietosuojaviranomainen (CNDP) antoi GDPR:n nojalla sairaalalle 400.000 euron suuruisen sakon sen vuoksi, että sairaalan järjestelmästä oli pääsy potilastietoihin tekaistuilla profiililla. Vaikka sairaalassa oli noin 300 lääkäriä, ”lääkäriprofiileita” oli käytössä lähes 1000.
Suomessa viime aikoina eniten puhetta herättänyt tapaus on varmasti TRAFI:n ratkaisu julkaista kansalliset ajokorttitiedot (ja kritiikin jälkeen sulkea palvelu). Odotan mielenkiinnolla, milloin Suomessa saadaan ensimmäinen varsinainen GDPR:ään liittyvä tapaus ja mahdollinen sanktio – ainakin tietosuojavaltuutetun toimiston saamat ilmoitusmäärät ovat sen suuntaisia, että olisi suoranainen ihme, ellei loukkaustapauksia löytyisi.
Tietosuojalaki Finlexissa >
EU:n tietosuoja-asetus EURLEXissä >
