Tietosuoja-asetus selkokielellä

Olen perehtynyt EU:n yleiseen tietosuoja-asetukseen (GDPR) neljään otteeseen ja yhteensä yli sadan tunnin ajan. Mennään suoraan asiaan.

Kirjoitukseni ensimmäinen osa käsittelee asetuksen soveltamista ja perusteita. Toinen osa käsittelee toimenpiteitä, joita verkkokaupan on tehtävä 25.5.2018 mennessä. Kolmas osa käsittelee verkkokaupankäyntiin liittyviä oikeuksia ja velvollisuuksia.

Osa 1 – Soveltaminen ja perusteet

Laaja soveltamisala

EU:n yleinen tietosuoja-asetus (GDPR) koskee kaikkia EU:n alueella sijaitsevia yrityksiä, järjestöjä ja organisaatioita, jotka käsittelevät EU:n alueella sijaitsevien henkilöiden henkilötietoja automaattisesti tai osittain automaattisesti riippumatta siitä, onko henkilörekisteri olemassa tai käsitelläänkö henkilötietoja EU:n alueella vai esimerkiksi pilvipalvelussa EU:n ulkopuolella.

Asetus koskee myös EU:n ulkopuolella sijaitsevia yrityksiä, jos he tarjoavat tavaroita tai palveluja EU:n alueella sijaitseville henkilöille. Lisäksi asetus koskee myös muutakin kuin automaattista käsittelyä, jos henkilötiedot muodostavat tai niiden on tarkoitus muodostaa rekisterin osa.

Toisin sanoen asetuksen soveltamisala on erittäin laaja ja sen ilmeinen tarkoitus on suojata EU:n alueella sijaitsevia henkilöitä maailmanlaajuisesti.

Oikeus henkilötietojen käsittelyyn

Verkkokaupalla on oikeus käsitellä henkilötietoja vain, jos käsittelyn oikeusperusteena on suostumus, sopimus, laki, suojaaminen, julkinen tehtävä tai oikeutettu etu. Viittaan tässä kirjoituksessa jatkuvasti näihin oikeusperusteisiin.

Esimerkkejä käsittelyn oikeusperusteista:

  1. Suostumus: henkilö antaa suostumuksensa sähköiseen suoramarkkinointiin
  2. Sopimus: henkilö tilaa tavaroita, jolloin syntyy asiakassuhde
  3. Laki: kuitteja säilytetään sähköisessä tositearkistossa
  4. Suojaaminen: henkilölle toimitetaan vaarallinen tavara
  5. Julkinen tehtävä: isännöitsijä huolehtii taloyhtiön lukoista ja avaimista
  6. Oikeutettu etu: verkkokauppias lähettää asiakassuhteessa olevalle henkilölle sähköisen suorakirjeen

Tietosuojaselosteessa on mainittava henkilötietojen käsittelyn tarkoitus ja käsittelyn oikeusperuste. Mielestäni riittää, että selosteessa mainitaan vain käsittelyn tarkoitus, jos oikeusperuste on ilmiselvä. Esimerkiksi jos käsittelyn tarkoituksena on asiakassuhteen hoitoon, oikeusperusteena on ilmiselvästi sopimus. Asetus on kuitenkin kanssani eri mieltä.

Rekisterin määritelmä

On olemassa ainakin kolmentyyppisiä rekistereitä. Vain yksi niistä on asetuksen tarkoittama rekisteri. Epäselvissä tilanteissa kannattaa aluksi selvittää, sisältääkö rekisteri henkilötietoja ja ratkaista, onko rekisteri asetuksen tarkoittama rekisteri. Lainaus asetuksesta:

’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu

Esimerkiksi seuraavat rekisterit ovat asetuksen tarkoittamia rekistereitä, jotka kuuluvat asetuksen soveltamisalan piiriin (tyyppi 1):

  • Yhteystiedot puhelimessa
  • Asiakas- ja tilausrekisteri
  • Excel-taulukko asiakkaiden yhteystiedoista
  • Sähköpostiarkisto
  • Lasku- ja kuittipinot
  • Vieraskirja

Asetus koskee henkilötietojen käsittelyä myös rekistereiden ulkopuolella. Esimerkiksi seuraavat rekisterit eivät ole asetuksen tarkoittamia rekistereitä, mutta ne kuuluvat asetuksen soveltamisalan piiriin, koska niihin voi kohdistua tietoturvaloukkauksia (tyyppi 2):

  • Muistitikku kassakaapissa
  • Asiakasrekisterin salakirjoitettu varmuuskopio

Asetuksen perusteluista löytyy kuitenkin mielenkiintoinen yksityiskohta. Lainaus asetuksen perusteluista:

Tämän asetuksen soveltamisalaan ei ole tarkoitus sisällyttää sellaisia asiakirjoja tai asiakirjakokoelmia kansilehtineen, joita ei ole järjestetty tiettyjen perusteiden mukaisesti.

Esimerkiksi seuraavat rekisterit eivät kuulu asetuksen soveltamisalan piiriin (tyyppi 3):

  • Mappi, joka sisältää sekalaisia asiakirjoja
  • Perintätoimistolle lähetetty asiakirja, joka sisältää henkilötunnuksia

Osa 2 – Toimenpiteet

Säilytysajat

Tietosuojaselosteessa on mainittava, kuinka kauan henkilötietoja säilytetään eri rekistereissä tai vähintäänkin säilytysaikaan vaikuttavat tekijät.

Säilytysaikojen on oltava mahdollisimman lyhyitä. Verkkokaupankäynnissä henkilötietojen käsittelyn oikeusperusteena on usein sopimus, laki tai oikeutettu etu, jolloin säilytysajat voivat olla pitkiä.

Esimerkkejä henkilötietojen säilytysajoista:

  • Asiakaskortti markkinointia varten 2 viikon ajan kiellosta lukien (suostumus)
  • Tilaustiedot 4-5 vuoden ajan tilaushetkestä lukien (sopimus)
  • Tilauksiin liittyvät sähköpostiviestit 7-8 vuoden ajan (laki)
  • Laskut ja kuitit 7-8 vuoden ajan niiden päivämäärästä lukien (laki)

Tällaiset säilysajat kuulostavat hurjan pitkiltä verkkokaupan asiakkaan näkökulmasta. Siksi suosittelen, että tietosuojaselosteessa mainitaan vain säilytysaikoihin vaikuttavat tekijät.

Selvyyden vuoksi on todettava, että kirjanpitolain mukaan tositteet ja liiketapahtumia koskeva kirjeenvaihto on säilytettävä vähintään kuuden vuoden ajan tilikauden päättymisestä alkaen, eli jopa seitsemän vuoden ajan.

Tietosuojaseloste

Verkkokaupan on pidettävä henkilötietoja kerättäessä esillä tietosuojaselostetta, joka sisältää asetuksen artiklassa 13 luetellut tiedot. Selosteen nimi on kuitenkin vapaasti päätettävissä eikä selosteen tarvitse olla virallisen oloinen.

Asetus kannustaa tiiviiseen ja selkeään ilmaisuun, jonka lapsetkin osaavat lukea. Tämä on yksi syy siihen, miksi harkitsin edellä oikeusperusteen ilmoittamatta jättämistä ilmiselvissä tapauksissa.

Tietosuojaseloste voi olla esimerkiksi seuraavanlaisen mallin mukainen:

Tietosuojaseloste 21.5.2018

Rekisterinpitäjä:
Example Oy
Testikatu 1
00100 Testinen
info@example.com

Keräämme henkilötietoja asiakassuhteen hoitamista varten. Henkilötietojen käsittelyn oikeusperusteena on meidän välinen sopimus. Myöhemmässä vaiheessa oikeusperusteena on myös laki. Henkilötietojen antaminen on edellytys sopimuksen syntymiselle. Toisin sanoen et voi tilata verkkokaupastamme tavaroita, jos et anna henkilötietojasi.

Keräämme henkilötietoja myös markkinointia varten. Henkilötietojen käsittelyn oikeusperusteena on tällöin suostumus tai oikeutettu etu.

Emme tee sinua koskevia profilointeja ja automaattisia päätöksiä.

Luovutamme henkilötietoja kuljetus-, pankki-, kirjanpito- ja tietotekniikka-alalla toimiville yhteistyökumppaneillemme toimintamme mahdollistamiseksi.

Säilytämme henkilötietoja rekisterissämme niin kauan, kuin on tarpeellista rekisterin käyttötarkoitusten toteuttamiseksi tai lain noudattamiseksi.

Sinulla on seuraavat oikeudet:
- oikeus tarkastaa itseäsi koskevat henkilötiedot
- oikeus tietojen oikaisemiseen
- oikeus käsittelyn rajoittamiseen (voit esimerkiksi kieltää markkinoinnin)
- oikeus vastustaa käsittelyä
- oikeus peruuttaa suostumus (voit esimerkiksi peruuttaa suostumuksesi markkinointiin)
- oikeus tehdä valitus valvontaviranomaiselle

Selosteessa ei tarvitse mainita käsiteltäviä henkilötietoryhmiä (esim. nimi, osoite, sähköpostiosoite…), koska artikla 13 ei edellytä niiden ilmoittamista. Evästeiden käytöstä ei myöskään tarvitse mainita tässä yhteydessä (lue aiempi kirjoitukseni evästeistä).

Jos verkkokaupan asiakas on ilmoittanut tilauslomakkeella myös toisten henkilöiden henkilötietoja, verkkokaupan on toimitettava näille muille henkilöille asetuksen artiklassa 14 luetellut tiedot, jotka ovat melkein samat kuin artiklassa 13. Ainoat erot taitavat olla, mistä henkilötiedot on saatu ja mistä henkilötietoryhmistä on kysymys.

Käsittelytoimiseloste (seloste käsittelytoimista)

Verkkokaupan on ylläpidettävä käsittelytoimiselostetta, joka sisältää asetuksen artiklassa 30 luetellut tiedot.

Jos joku toinen yritys käsittelee henkilötietoja verkkokaupan lukuun, verkkokaupan selosteeseen on kirjattava nämä yritykset yleisellä tasolla. Kirjaus voi olla esimerkiksi seuraavanlainen: ”Luovutamme henkilötietoja kuljetus-, pankki- ja tietotekniikka-alalla toimiville yhteistyökumppaneillemme” Vastaava tieto on lisättävä yleisellä tasolla myös tietosuojaselosteeseen.

Lisäksi jokaisen yrityksen, joka käsittelee henkilötietoja verkkokaupan lukuun, on ylläpidettävä selostetta verkkokaupan lukuun suoritettavista käsittelytoimista. Tämän yrityksen omassa selosteessa (ei siis verkkokaupan selosteessa) on mainittava verkkokaupan nimi ja yhteystiedot. Kirjaus voi olla esimerkiksi seuraavanlainen: ”Tarjoamme kuljetuspalveluja Example Oy:lle ja käsittelemme kuljetuksen mahdollistamiseksi Example Oy:n asiakkaiden nimiä ja yhteystietoja.”

Seloste on salainen, mutta se on pyydettäessä toimitettava valvontaviranomaiselle (uusi tietosuojavirasto).

Selosteen ylläpitäminen on vapaaehtoista, jos yrityksessä on alle 250 työntekijää, käsittely ei ole satunnaista jne.

Osoitusvelvollisuus

Verkkokaupan on pystyttävä osoittamaan, että henkilötietoja käsiteltäessä toteutuu lainmukaisuus, kohtuullisuus, läpinäkyvyys, käyttötarkoitussidonnaisuus, tietojen minimointi, täsmällisyys, säilytyksen rajoittaminen, eheys ja luottamuksellisuus.

Yksi ensimmäisenä mieleeni tulevista osoitusvelvollisuuksista on suostumuksen osoittaminen. Lainaus asetuksesta:

Jos tietojenkäsittely perustuu suostumukseen, rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn.

Jos verkkokaupan on esimerkiksi osoitettava, että asiakas on antanut suostumuksensa asiakaskirjeen lähettämiseen, kannattaa ensin selvittää, onko henkilötietoja edes käsitelty suoramarkkinointia varten. Asiakaskirje on saatettu lähettää asiakasyrityksen sähköpostiosoitteeseen, jolloin henkilötietoja ei ole käsitelty suoramarkkinointia varten. Seuraavaksi kannattaa selvittää, onko henkilötietojen käsittelyn oikeusperusteena ollut suostumus vai oikeutettu etu. Näiden eroista kerron myöhemmin tässä kirjoituksessa.

Asetuksessa ei mainita, kenelle näiden vaatimusten toteutuminen pitää osoittaa ja missä laajuudessa. Todennäköisesti vaatimusten toteutuminen pitää osoittaa tapauskohtaisesti joko verkkokaupan asiakkaalle tai uudelle valvontaviranomaiselle (uusi tietosuojavirasto), mutta vain pyynnöstä.

Tietosuojavastaavaa

Verkkokaupan on nimitettävä tietosuojavastaava, jos verkkokaupan ydintehtävänä on henkilötietojen käsittely tai jos verkkokauppa käsittelee asetuksessa mainittuja arkaluonteisia tietoja. Useinkaan näin ei ole.

Tietosuojavastaava on nimitettävä, jos verkkokauppa myy esimerkiksi henkilötietoja (esim. luottotietoja) tai jos verkkokaupan kohderyhmänä on jonkin ammattiliiton jäsenet (esim. jäsenetukauppa). Jälkimmäinen ei ole vitsi, sillä ammattiliiton jäsenyys on mainittu asetuksessa rodun, etnisen alkuperän jne. rinnalla arkaluonteisena tietona.

Vaikutustenarviointi

Verkkokaupan on tehtävä tietosuojaa koskeva vaikutustenarviointi, jos verkkokaupan asiakkaiden henkilötietojen käsittelyyn kohdistuu todennäköisesti korkea riski.

Valvontaviranomainen (uusi tietosuojavirasto) julkaisee, ellei se peräti ole jo julkaissut, luettelon henkilötietojen käsittelytavoista, joiden yhteydessä vaaditaan vaikutustenarviointi.

Sertifiointi

Sertifiointipalvelut ovat kaupallista liiketoimintaa samalla tavalla kuin luotettavuus- ja kotimaisuusmerkkien myöntäminen maksua vastaan.

Sertifiointitodistus ei vapauta verkkokauppaa vastuusta, sakoista eikä se ole myöskään vakuutus. Verkkokaupan on joka tapauksessa käsiteltävä henkilötietoja huolellisesti asetuksen edellyttämällä tavalla.

Osa 3 – Oikeudet ja velvollisuudet

Suostumuksen hankkiminen

Verkkokaupan asiakkaalta on hankittava suostumus henkilötietojen käsittelyyn vain, jos käsittelyn oikeusperusteena on suostumus. Esimerkiksi jos verkkokaupan asiakas osallistuu kuukausiarvontaan, häneltä on saatava suostumus henkilötietojen käsittelyyn arvonnan yhteydessä.

Suostumusta ei tarvitse hankkia, jos käsittelyn oikeusperusteena on sopimus, laki, suojaaminen, julkinen tehtävä tai oikeutettu etu. Esimerkiksi verkkokaupan tilauslomakkeella ei tarvitse pyytää suostumusta henkilötietojen käsittelylle, koska tilaaminen johtaa sopimukseen, joka on henkilötietojen käsittelyn oikeusperuste.

Jos olisin verkkokauppias, ja olenhan minä, välttäisin suostumuksen käyttämistä oikeusperusteena, koska se sitoo enemmän työvoimaa kuin muiden oikeusperusteiden käyttäminen.

Sähköinen suoramarkkinointi

Henkilötietoja voidaan käsitellä suoramarkkinointia varten, jos käsittelyn oikeusperusteena on joko suostumus tai oikeutettu etu. Molemmissa tapauksissa tietosuojaselosteessa on oltava maininta suoramarkkinoinnista.

Asiakaskirjeen lähettäminen verkkokaupan asiakkaalle on sallittua esimerkiksi seuraavissa tapauksissa:

  • Asiakas ei ole tilannut tavaroita tai palveluja, mutta on sallinut sähköisen suoramarkkinoinnin palautelomakkeen täytön yhteydessä (suostumus)
  • Asiakas on tilannut tavaroita tai palveluja ja on sallinut sähköisen suoramarkkinoinnin tilauslomakkeen täytön yhteydessä (suostumus)
  • Asiakas on tilannut tavaroita tai palveluja, mutta ei ole kieltänyt sähköistä suoramarkkinointia, vaikka siihen on annettu selkeä maksuton mahdollisuus sekä tilauslomakkeella että jokaisessa asiakaskirjeessä (oikeutettu etu)

Lasten oikeudet

Asetus rajoittaa alle 16-vuotiaiden lasten henkilötietojen käsittelyä ainoastaan silloin, kun tietoyhteiskunnan palvelua (sähköinen etäpalvelu) tarjotaan suoraan lapselle ja henkilötietojen käsittelyn oikeusperusteena on suostumus. Tällaisessa tapauksessa tarvitaan lapsen vanhempien suostumus.

Jos verkkokauppa myy esimerkiksi tavaran lapselle, niin henkilötietojen käsittelyn oikeusperusteena on sopimus. Kyseessä ei ole myöskään tietoyhteiskunnan palvelu. Vanhempien suostumusta henkilötietojen käsittelyyn ei tarvita.

Jos verkkokauppa myy esimerkiksi lentomekaanikoille tarkoitettua mobiilisovellusta, niin henkilötietojen käsittelyn oikeusperusteena on sopimus. Vaikka oikeusperusteena olisi suostumus, niin tässä tapauksessa tietoyhteiskunnan palvelua ei tarjota suoraan lapselle. Vanhempien suostumusta henkilötietojen käsittelyyn ei tarvita.

Lainaus WP29-työryhmän tulkintaohjeesta:

Sanamuodon ”suoraan lapselle” sisällyttäminen viittaa siihen, että artikla 8 on tarkoitettu sovellettavaksi joihinkin, mutta ei kaikkiin tietoyhteiskunnan palveluihin… niin palvelua ei katsota ”tarjotun suoraan lapselle” eikä artiklaa 8 ei sovelleta

Kokonaisuuteen vaikuttaa myös lasten oikeuskelpoisuus tehdä sopimuksia. Asetus koskee kuitenkin vain henkilötietojen käsittelyä eikä se vaikuta EU:n jäsenvaltioiden noudattamiin sopimusoikeudellisiin kysymyksiin.

Jos myyt tietoyhteiskunnan palveluja suoraan lapsille, suosittelen asian selvittämistä lakimiehen kanssa. Suomen Yrittäjät tarjoaa jäsenilleen maksutonta lakineuvontaa.

Tietoturvaloukkaukset

Jos henkilötietoihin kohdistuu tietoturvaloukkaus, se on dokumentoitava valvontaviranomaisen  (uusi tietosuojavirasto) tarkastusta varten. Jos ilmoittamiskynnys ylittyy, verkkokauppiaan on ilmoitettava loukkauksesta valvontaviranomaiselle ja tietyissä tilanteissa myös loukkauksen kohteena oleville henkilöille.

Ilmoittamiskynnys valvontaviranomaiselle on matalampi kuin loukkauksen kohteena oleville henkilöille. Jos esimerkiksi tietokannan varmuuskopio on salakirjoitettu ja se varastetaan, ilmoitus on tehtävä valvontaviranomaiselle, mutta ei loukkauksen kohteena oleville henkilöille.

Tarkastusoikeus

Jokaisella henkilöllä on oikeus tarkastaa asetuksessa tarkoitettuun rekisteriin tallennetut itseään koskevat henkilötiedot. Kun henkilö käyttää tarkastusoikeuttaan, hänelle on ilmoitettava seuraavat tiedot:

  • Tieto siitä, käsitelläänkö häntä koskevia henkilötietoja tai että niitä ei käsitellä
  • Jos käsitellään, asetuksen artiklassa 15 luetellut tiedot
  • Jos käsitellään, jäljennös käsiteltävistä henkilötiedoista

Oikaisuoikeus

Jokaisella henkilöllä on oikeus saada oikaistuksi asetuksessa tarkoitettuun rekisteriin tallennetut, itseään koskevat, epätarkat ja virheelliset henkilötiedot.

Siirto-oikeus

Jokaisella henkilöllä on oikeus saada jäljennös henkilötiedoista, jotka hän on itse toimittanut asetuksessa tarkoitettuun rekisteriin ja jotka on myös tallennettu rekisteriin. Siirto-oikeus on voimassa ainoastaan, jos henkilötietojen käsittelyn oikeusperusteena on suostumus tai sopimus ja henkilötietojen käsittely suoritetaan automaattisesti.

Siirto-oikeuden käyttämiselle ei ole vielä markkinoita. Ehkä tulevaisuudessa verkkokauppojen asiakkaat voivat kilpailuttaa ostoksensa eri verkkokauppojen välillä ja siirtää asiakkuutensa automaattisesti verkkokaupasta toiseen?

Poisto-oikeus

Jokaisella henkilöllä on oikeus saada poistettua häntä itseään koskevat henkilötiedot asetuksessa tarkoitetusta rekisteristä, paitsi jos henkilötietojen käsittelyn oikeusperusteena on laki tai julkinen tehtävä. Asetuksessa mainitaan myös muutamia muita poikkeuksia.

Ymmärrän poisto-oikeutta koskevasta artiklasta 17 vain helpot kohdat. Esimerkiksi asiakkaan suostumus asiakaskirjeen vastaanottamiselle on helppo peruuttaa ja samalla voidaan poistaa asiakkaan sähköpostiosoite, koska sitä ei enää tarvita. Asiakas- ja tilaustietojen poistaminen onkin vaikeampi kysymys, koska verkkokauppiaan edut ovat vaarassa. Keksin nopeasti kaksi karkeaa tapaa toimia:

  1.  Vastataan asiakkaalle kohteliaasti, että ”valitettavasti tietoja ei voida poistaa rekisteristä, koska kirjanpitolaki edellyttää tietojen säilyttämistä vähintään kuuden vuoden ajan.” (laki)
  2. Tulostetaan tiedot paperille ja tuhotaan ne rekistereistä. Siirretään paperit mappiin, jossa olevia papereita ei ole järjestetty tiettyjen perusteiden mukaisesti. Vastataan asiakkaalle kohteliaasti, että ”tiedot on poistettu rekisteristä.”

Lähteet

Lähteenä käytin asetusta. Rohkeimpia päätelmiäni varmistelin Pia Pynnän ansiokkaista kirjoituksista ASML-blogissa (1 ja 2). Muutama päivä sitten Yrittäjäsanomien numerossa 1/2018 julkaistiin artikkeli, joka oli mielestäni lähes täydellinen.

Vastuunrajoitus

En ole lakimies enkä tarjoa oikeudellista neuvontaa. Suosittelen, että suhtaudut kirjoitukseeni varauksella.


Jatkot

16.2.2018: Tietosuojavaltuutettu Reijo Aarnio on antanut julkisuuteen  (mm. STT, HS, Yle) lausunnon, jonka mukaan porraskäytävien nimitaulut eivät muodosta henkilörekisteriä ja että osassa kuntia nimitaulut perustuvat kuntien rakennusjärjestykseen ja niitä on siksi velvollisuus pitää rappukäytävissä.

Asetuksen määritelmä rekisteristä on laaja:

’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu

Lieko asetuksessa sitten jokin vapautus nimitaulujen osalta. Joka tapauksessa Aarnion linjaus koski rekisterin määritelmää sekä myös henkilötietojen käsittelyn oikeusperustetta siinä tapauksessa, että rekisteri on olemassa. Nythän on nimittäin niin, että nimitaululle on olemassa oikeusperuste (julkinen tehtävä tai oikeutettu etu), mutta nimitaulu ei Aarnion mukaan ole henkilörekisteri.

Linjaus on merkittävä: kaikki tiettyjen perusteiden mukaisesti järjestetyt henkilötiedot eivät muodosta henkilörekisteriä.

Jaa tämä kavereillesi

Tekijä: Erno Penttilä

Työskentelen Clover Shop -verkkokauppaohjelmiston tuotekehityksessä.