Artikkelit

50 miljoonan euron GDPR-sakko langetettu

Tekniikka&Talous uutisoi 22.1.2019, että Ranskan tietoturvaviranomaisten langettama GDPR-sakko on peräti 50 miljoonaa euroa ja sen saa Google. Jotain tämänsuuntaista osasimme odottaa – silti yllätyimme.

Arvasimme lähes oikein

Veikkailimme viime keväänä, että vielä vuoden 2018 puolella julkistetaan merkittävän suuruusluokan sanktio GDPR-asetuksen vastaisesta henkilötietojen käsittelystä. Aikataulu venähti mutta summa tosiaan on huomattava. Itse olin valmis laittamaan arvaukseni sen varaan, että missään tapauksessa sanktion kohteena ei ole kolmannen sektorin toimija. Ohessa linkki GDPR-aiheiseen blogiin, joka tosin keskittyy faktoihin eikä ennustamiseen.

Kolmannen sektorin sijaan oletin, että sanktion saa huomattavan uutisoinnin saattelemana jokin kiinalainen verkkokaupan toimija. Väärin meni: kohde on Google, joka ranskalaisten tietosuojaviranomaisten mukaan ei kerro meille riittävän tarkoin mihin meistä tallennettavaa tietoa käytetetään. Yksityiset ihmiset ovat viime vuoden aikana ainakin jonkin verran havahtuneet huomaamaan, että kaikkialle tietoja ei kannata luovuttaa ja kaikkia kyllä-rasteja ei ole syytä valita verkkopalveluissa asioidessaan.

Suunnitelmallinen sääntöjen rikkominen vs. huolimattomuus

Google ja moni muu suuryhtiö tekee rikkomuksensa suunnitelmallisesti mutta olemme nähneet huolimattomuudesta seuranneita asioita sellaisissa organisaatioissa, joissa moista tuskin osattiin odottaa – meille läheisestä esimerkistä käy Trafin tapaus. Vuonna 2017 nimenomaan Trafi vakuutteli, ettei Ruotsissa tapahtunut vuoto ole mahdollista Suomessa. Se mitä tapahtui on erilainen mutta lopputulos sama, tietoa karkasi ja ei tarvinnut olla kummoinen nörtti niin olisi voinut koneellisesti hakea kaikkien Trafin kontaktien henkilötiedot itselleen.

Mitä voimme oppia?

Tämä merkitsee, että meidän kaikkien tulee olla huolellisia henkilötietojen käsittelyssä olemmepa sitten aiheen äärellä yksityishenkilöinä tai järjestön edustajina tai kumppanina. Googlen tapaus tarkoittaa viimeistään nyt alleviivausta GDPR:lle: tämä asetus tosiaan on totta eikä paperin kahinaa. Kolmannelle sektorille annettaneen käytännössä lisäaikaa – näinköhän esimerkiksi pienen Ranskassa toimivan järjestön asiat ovat vielä asetusten vaatimusten tasalla. Mutta pian on syytä olla tai leka heiluu myös järjestöjen suuntaan. Työnkulkujen kuvaaminen ja vastuuttaminen ja tietorakenteiden eheyttäminen on vaan tehtävä, vaikka järjestöllä aivan varmuudella on kädet muutenkin täynnä. Mutta jos muuan hyvin tunnettu aines osuu tuulettimeen, seuraukset voivat olla sekä yksilöiden että järjestön kannalta dramaattisia.

Toivottavasti en synkistellyt liiaksi, me ainakin olemme valmiina auttamaan.

Autamme järjestöjä varainhankinnan kehittämisessä ja ihmisten piilossa olevien lahjoitusresurssien hyödyntämisessä. TP FONS -järjestöjen toiminnanohjaus on suunniteltu palvelemaan järjestöjä ja erityisesti heidän pitkälle automatisoitua varainhankintaa – olkoon lahjoituksena sitten aika, sitoutuminen, osaaminen, suosittelu tai raha.

Ota yhteyttä, niin kerron lisää

Ilkka Harjula, 0400 545 767 tai ilkka.harjula(at)tietopiiri.fi

 

Otsikkokuva: www.pixabay.com

 

 

 

GDPR mahdollisimman selkeästi

Olemme huomanneet, että jotkin EU GDPR (General Data Protection Regulation)-tietosuoja-asetuksen yksityiskohdat ovat vaikeaselkoisia. Koetan tässä selventää keskeisimpiä asioita. Mutta pitää ehdottomasti lukiessa pitää mielessä, etten ole tietosuojajuristi enkä voi ottaa vastuuta tulkinnoista.

Kyseessä ei ole direktiivi, joka on tavallaan ohje tai raamitus normin rakentamiseksi vaan asetus, joka on lain kaltainen ja suoraan sovellettavaa oikeutta. Noudattaminen on siis välttämätöntä eikä non-profiteille ole mitään erillistä määritystä mikä on henkilötietoa ja mikä on rekisteri.

Voi olla yllätys, että nyt myös kuva pääsääntöisesti on henkilötietoa: kuvantunnistusohjelmat ovat kaikkien käytettävissä ja niinpä kuva voi kertoa paljon enemmän kuin 1000 sanaa.  Mapissa oleva, tietojärjestelmän sisältämä sekä verkkolevyjen ja taulukoiden sisältämä henkilötieto on rekisteriä. Sisältö ratkaisee, ei formaatti. On myös huomioitava, että henkilötietojen säilyttäminen on tietojen käsittelyä. Kun liitto tai järjestö pitää yllä yhdistystensä jäsenrekisteriä, pitää kullakin yhdistyksellä olla sopimus liiton kanssa. Tämä siis siinä tapauksessa, että jäsenjärjestöt ovat juridisesti itsenäisiä eli niillä kullakin on oma y-tunnuksensa.

GDPR yleisperiaatteet henkilötietojen käsittelylle

1.            Osoitusvelvollisuus

On pystyttävä osoittamaan, että asetuksen periaatteita on noudatettu. Ei siis riitä, että jonkin asian toteuttamisesta on sovittu vaan on voitava näyttää, että näin on tosiaan toimittu. Ei ole vaikkapa vaan sovittu, että mapeissa olevat rekisterit tuhotaan ja siirretään tietoturvalliseen sähköiseen paikkaan. On tärkeää dokumentoida, että näin on tapahtunut.

 2.            Lainmukaisuus, kohtuullisuus ja läpinäkyvyys

Henkilötiedon käsittelyyn on oltava laillinen peruste. Henkilötiedon säilyttäminen ja käsittely voi perustua suostumukseen, oikeutettuun etuun tai sopimukseen. Non-profitin kannattaa kiinnittää huomiota suostumukseen sekä sopimukseen. Suostumus on ylivoimaisesti yleisin – ja järjestön kannalta huonoin vaihtoehto. ”Suostun, että tietojani säilytetään rekisterissä Y”. Kun ihminen ottaa rastin pois, ei järjestöllä ole mitään edellytyksiä pitää tietoja. Suostumuksen sijaan sopimuksellisuus antaa järjestölle enemmän liikkumavaraa. Kun ihminen tilaa uutiskirjeen ja järjestö toimittaa palvelun, on syntynyt sopimus. Sopimusperusteista henkilötietoa ei niin vaan tarvitsekaan poistaa. Tämä on juristikikkailua, mutta se kannattaa tehdä, jotta voi myöhemmin kontaktoida ihmisiä esimerkiksi heidän houkuttelemiseksi uudelleen toimintaan.

 3.            Käyttötarkoitussidonnaisuus

Tietoa kerätään ja käytetään juuri siinä tarkoituksessa mitä rekisteriselosteessa on ilmoitettu.

 4.            Tietojen minimointi

Tiedon on oltava asianmukaista ja oleellista.  Tietoa saa kerätä vain sen verran mikä on tarpeellista. Tässäkin otsikko kertoo kaiken oleellisen.

 5.            Täsmällisyys

Tietosisällön tulee olla täsmällistä, päivitettyä ja virheetöntä. Täydellistä virheettömyyttä ei voi vaatia, mutta esimerkiksi monien rekisterien ongelma, duplikaatit, eivät ole sallittuja. Jotkut tietojärjestelmät eivät juuri piittaa onko henkilön tiedot jo valmiiksi rekisterissä vaan perustavat uuden kontaktikortin jäsenen tilatessa lehden tai ilmoittautuessa tapahtumaan. Samoin ihmisten muuttaessa rekistereihin jää helposti vanhentuneita kontakteja väärillä tiedoilla – tätä voi taklata automatisoimalla osoitteiden päivityksen suoraan Postin tietojärjestelmästä.

 6.            Säilytyksen rajoittaminen

Tietoa on lupa säilyttää vain niin kauan kuin se on tarpeen käsittelyn tarkoituksen kannalta. Tässäkin kohdin rekisteriseloste kannattaa laatia huolella, jotta esimerkiksi historiankirjoitus ei käy mahdottomaksi.

 7.            Eheys ja luottamuksellisuus

Kohta viittaa periaatteista eniten tietosuojan teknisiin ja organisatorisiin toimiin tietojen suojaamiseksi.

 Rekisteröityjen oikeudet

1.            Oikeus päästä tietoihin määräajassa

Rekisteröidylle on järjestettävä pääsy häntä koskeviin tietoihin pääsääntöisesti kuukauden kuluessa tietopyynnöstä. Hyvällä syyllä kaksi kuukautta sallitaan mutta ei enempää. Samalla on syytä kuitenkin varmistua, että tietoja pyrkii näkemään juuri rekisteröity, eikä joku hänenä esiintyvä.

 2.            Oikeus tulla unohdetuksi

Laillisuuden ohella tähän liittyy mahdollisesti työllistävä seikka: kun henkilö haluaa, että hänen tietonsa poistetaan, voi olla suuri työ löytää duplikaatit, joissa kenties on eri osoite tai vaikka sukunimi. Yhdelläkään järjestöllä ei ole aikaa moiseen tietojen metsästykseen.

 3.            Oikeus siirtää tiedot koneluettavassa muodossa järjestelmästä toiseen

Nyt menee vahvasti maallikkotulkinnan puolelle mutta oletan, että tämän kohdan noudattamisessa haetaan linjaa vielä jonkin aikaa. Mikä katsotaan tarkoituksenmukaiseksi ja kohtuulliseksi niin rekisteröidylle kuin rekisterinpitäjälle, sitä emme vielä tiedä.

 Osa asetuksen vaatimuksista on täysin selviä, osassa haetaan vielä linjaa. Kiistatonta on, että järjestöjen tulee toimia asiassa. Sekä laillisuuden täyttämiseksi että oman ylimääräisen työn välttämiseksi järjestön kontaktit on syytä koota siten, että pääsynhallinta on keskitetty ja ammattimaisesti hoidettu. 

Lisätietoa

Ole vain rohkeasti yhteydessä – autamme mielellämme

Ilkka Harjula

 

 

Ilkka Harjula

2.1.2018

 

Kuva: Modifioitu www.pixabay.com

GDPR – check! Entä e-Privacy Regulation?

EU:n yleinen tietosuoja-asetus GDPR velvoittaa 25. toukokuuta 2018 – oletko valmis?

Moni on todennut, että EU:n yleinen tietosuoja-asetus GDPR (General Data Protection Regulation) eli henkilörekistereitä koskeva säännöstö teettää paljon työtä. Arvelen, että aika harva järjestö on kovinkaan lähellä ollakseen ”compliant” 25.5.2018, kun sen noudattaminen on pakollista. Soveltamistavassakin on vielä kysymyksiä. Kuinka pilkuntarkka esim. hyväntekeväisyysjärjestön tulee olla verrattuna suureen EU-alueella toimivaan verkkokauppaan? Aika hyvä kysymys.

Sähköisen viestinnän tietosuoja-asetus (e-Privacy Regulation) tulee

Kovin vähälle huomiolle on jäänyt, ettei GDPR ole aihealueen viimeinen työllistävä tekijä: toinen asetus, joka ei siis ole direktiivi vaan sellaisenaan velvoittavaa lainsäädäntöä, tulee pikapuoliin perässä. Sähköisen viestinnän tietosuoja-asetus (e-Privacy Regulation) on yleisen tietosuoja-asetuksen GDPR:n ”sisarasetus” ja aiheuttaa nyt valmisteluvaiheessaan suurta pärskyntää. Se vaikuttaa järjestöjen toimintaan, mutta on kuitenkin liike-elämälle merkittävästi suurempi asia kuin kolmannen sektorin toimijoille.

GDPR on enemmän rakenteellinen ja vaikutukseltaan työllistävämpi. GDPR määrittää mm. sitä missä ja miten henkilötietoa säilytetään, kuka tietoon pääsee ja kuinka eheää se on. Myöhemmin tuleva sähköisen viestinnän tietosuoja-asetus puolestaan säätelee miten tietoa käytetään esimerkiksi markkinointitoimenpiteiden yhteydessä. Järjestön nimenomaan kannattaa suhtautua viestintäänsä systemaattisena kontaktin kehittämisen prosessina – kaupallisella puolella tavoite on tuotteen myyminen, non-profitin haluttu tulos voi olla vapaaehtoisten sitoutumisen vahvistaminen tai vaikkapa jäsenen osaamispanoksen lahjoittaminen. Mutta viestinnän kannalta asia on sama ja asetus tosiaankin koskee rekisteröidyn yhdistyksen toimintaa. Kirjoitan asetusten sisällöstä erillisen tiiviin blogin pikapuoliin.

… marraskuussa tai ehkä vasta 2019

Sähköisen viestinnän tietosuoja-asetuksen piti tulla voimaan toukokuussa 2018 mutta sitä on viivästetty ainakin marraskuuhun 2018. Asetuksen sisältö aiheuttaa vahvoja tunteita ja kriittisimpien mielestä se nykyisen valmisteluvaiheen mukaisena pysäyttäisi suoramarkkinoinnin liiketoiminnan kokonaan. On mahdollista, että asetus on täällä vasta vuoden 2019 puolella, mutta viisasta on ottaa sen keskeisestä sisällöstä selvää jo nyt. Hienosti jalostettua ja ymmärrettävää tietoa on tarjolla esimerkiksi Ohjelmistoyrittäjät ry:n ylläpitämällä sivustolla www.gdpr.fi

Työtä on tiedossa, mutta hyvää tässä on se, että asetukset korvaavat kansalliset lakiviritelmät ja kun asetuksia osaa noudattaa kotimaassa, pärjää samalla metodiikalla muuallakin EU-alueella.

Suosittelemamme askel oikeaan suuntaan

Vahva suosituksemme on, että vähintäänkin taulukkotiedostoista, verkkolevyille talletetuista listoista ja varsinkin mapeissa säilöttävistä rekisteritiedoista hankkiudutaan välittömästi eroon. Kun kaikki kontaktitieto on hallitusti samassa tietojärjestelmässä, on rekisterinpitäjän ja rekisteröidyn paljon helpompi hengittää vapautuneesti.

Ilkka Harjula

 

 

 

Ilkka Harjula

10.12.2017

Artikkeli kuva: www.pixabay.com