Ajankohtaista tietosuoja-asiaa

Lakimiesliiton järjestämä Tietosuoja ja sopimukset -seminaari pidettiin Helsingissä ti 2.4.2019. Reijo Aarnio muistutti mikrovaikuttamista, jota voi esiintyä kevään vaalikampanjoinnissa. Toinen ajankohtainen asia on Brexit. Kun Iso-Britannia eroaa EU:sta siitä tulee yhdessä yössä EU:n ulkopuolinen maa; tietosuojasopimuksia on päivitettävä niiden palvelujen osalta, jotka ovat tekemisissä Ison-Britannian kanssa.

Tietosuoja tulee ottaa huomioon uusien palvelujen ja erityisesti tehokkuutta lisäävän uuden teknologian hankinnoissa. Riskienhallintaan tulisi sisällyttää tietosuojan vaikutustenarviointi. Sopimusten hallinta on keskeisessä roolissa tietosuojan toteuttamisessa.

Tietosuoja huomioitava hankinnoissa

Tietosuojaa ei tulisi tarkastella taloudellisten riskien näkökulmasta, vaan rekisteröidyn näkökulmasta. Mitä tietosuojaloukkausesta seuraa luonnolliselle henkilölle, niille asiakkaille ja kuntalaisille, jotka ovat luovuttaneet henkilötietonsa rekisterinpitäjän käyttöön. Tietosuoja-asioita pitää miettiä jo siinä vaiheessa, kun suunnitellaan uusien palvelujen ja tietojärjestelmien hankintaa. Hankintavaiheessa tehdään riski- ja vaikutustenarviointi. Ilman riskiarviota on hankalaa, ellei jopa mahdotonta, tehdä hyvää sopimusta, jossa huomioidaan rekisteröidyn oikeuksien toteutuminen.

Henkilötietojen käsittelysopimus ja ehdot

Lainsäädännöllä ei ole järkevää ohjata kaikkia tietosuojaan liittyviä yksityiskohtia, sillä tiukat lait sisältävät aina porsaanreikiä. Toisaalta väljästi määritelty lainsäädäntö antaa tilaa erilaisille tulkinnoille. EU perustuslaki  ja kansalliset lainsäädännöt takaavat kansalaisten perusoikeudet ja yleinen tietosuoja-asetus (679/2016) sekä kansallinen tietosuojalaki (1050/2018) Henkilötietojen käsittelysopimuksiin on siksi jäänyt useita asioita, joista tilaaja ja toimittaja sopivat keskinäisellä sopimuksella. Kun rekisterinpitäjä luovuttaa tai siirtää henkilötietoja kolmannen osapuolen käsiteltäväksi, henkilötietojen käsittelysopimus ja siihen liittyvät ehdot ovat niitä asiakirjoja, jolla rekisterinpitäjä viimekädessä varmistaa, että rekisteröidyn oikeudet toteutuvat laissa määrätyllä tavalla.

Laiva kääntyy hitaasti

Organisaatiot ovat painineet sopimusneuvotteluissa isompien ja pienempien palveluntuottajien kanssa GDPR:n siitymäkaudella ja sen jälkeen. Sopimusten tekeminen on edelleen haastavaa, mutta työ kannattaa tehdä hyvin. Vastuiden ja velvoitteiden määrittelyyn ja rekisteröidyn oikeuksien toteuttamiseen löytyy erilaisia tulkintoja. Muutokset vaativat aikaa, mutta jo nyt on nähtävissä muutoksia parempaan suuntaan. 

Tukea tietosuoja-asioihin

Euroopan tietosuojaneuvosto valmistelee ohjeistuksia lain tulkitsemiseen. Usean maan käytäntöjen yhtenäistäminen ja päätöksenteko vie aikaa, mutta rekisteöityjen oikeuksien yhtenäistäminen on meidän kaikkien etu. Suomen tietosuojaviranomasen apujoukkoina toimii jo yli 1500 tietosuojavastaavaa ympäri Suomea. 

Ota yhteyttä omaan organisaatiosi tietosuojavastaan jo palvelun tai järjestelmän hankintavaiheessa ja varmista sopimuksilla, että rekisteröidyn oikeudet toteutuvat.