Tietosuoja-asetus selkokielellä

Olen perehtynyt EU:n yleiseen tietosuoja-asetukseen (GDPR) neljään otteeseen ja yhteensä yli sadan tunnin ajan. Mennään suoraan asiaan.

Kirjoitukseni ensimmäinen osa käsittelee asetuksen soveltamista ja perusteita. Toinen osa käsittelee toimenpiteitä, joita verkkokaupan on tehtävä 25.5.2018 mennessä. Kolmas osa käsittelee verkkokaupankäyntiin liittyviä oikeuksia ja velvollisuuksia.

Osa 1 – Soveltaminen ja perusteet

Laaja soveltamisala

EU:n yleinen tietosuoja-asetus (GDPR) koskee kaikkia EU:n alueella sijaitsevia yrityksiä, järjestöjä ja organisaatioita, jotka käsittelevät EU:n alueella sijaitsevien henkilöiden henkilötietoja automaattisesti tai osittain automaattisesti riippumatta siitä, onko henkilörekisteri olemassa tai käsitelläänkö henkilötietoja EU:n alueella vai esimerkiksi pilvipalvelussa EU:n ulkopuolella.

Asetus koskee myös EU:n ulkopuolella sijaitsevia yrityksiä, jos he tarjoavat tavaroita tai palveluja EU:n alueella sijaitseville henkilöille. Lisäksi asetus koskee myös muutakin kuin automaattista käsittelyä, jos henkilötiedot muodostavat tai niiden on tarkoitus muodostaa rekisterin osa.

Toisin sanoen asetuksen soveltamisala on erittäin laaja ja sen ilmeinen tarkoitus on suojata EU:n alueella sijaitsevia henkilöitä maailmanlaajuisesti.

Oikeus henkilötietojen käsittelyyn

Verkkokaupalla on oikeus käsitellä henkilötietoja vain, jos käsittelyn oikeusperusteena on suostumus, sopimus, laki, suojaaminen, julkinen tehtävä tai oikeutettu etu. Viittaan tässä kirjoituksessa jatkuvasti näihin oikeusperusteisiin.

Esimerkkejä käsittelyn oikeusperusteista:

  1. Suostumus: henkilö antaa suostumuksensa sähköiseen suoramarkkinointiin
  2. Sopimus: kuluttaja-asiakas ilmoittaa tilauslomakkeella oman nimensä
  3. Laki: kuitteja säilytetään sähköisessä tositearkistossa
  4. Suojaaminen: henkilölle toimitetaan vaarallinen tavara
  5. Julkinen tehtävä: isännöitsijä huolehtii taloyhtiön lukoista ja avaimista
  6. Oikeutettu etu: yritysasiakkaan ostopäällikkö ilmoittaa tilauslomakkeella oman nimensä

Tietosuojaselosteessa on mainittava henkilötietojen käsittelyn tarkoitus ja käsittelyn oikeusperuste. Mielestäni riittää, että selosteessa mainitaan vain käsittelyn tarkoitus, jos oikeusperuste on ilmiselvä. Esimerkiksi jos käsittelyn tarkoituksena on asiakassuhteen hoitoon, oikeusperusteena on ilmiselvästi sopimus. Asetus on kuitenkin kanssani eri mieltä.

Rekisterin määritelmä

On olemassa ainakin kolmentyyppisiä rekistereitä. Vain yksi niistä on asetuksen tarkoittama rekisteri. Epäselvissä tilanteissa kannattaa aluksi selvittää, sisältääkö rekisteri henkilötietoja ja ratkaista, onko rekisteri asetuksen tarkoittama rekisteri. Lainaus asetuksesta:

’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu

Esimerkiksi seuraavat rekisterit ovat asetuksen tarkoittamia rekistereitä, jotka kuuluvat asetuksen soveltamisalan piiriin (tyyppi 1):

  • Yhteystiedot puhelimessa
  • Asiakas- ja tilausrekisteri
  • Excel-taulukko asiakkaiden yhteystiedoista
  • Sähköpostiarkisto
  • Lasku- ja kuittipinot
  • Vieraskirja

Asetus koskee henkilötietojen käsittelyä myös rekistereiden ulkopuolella. Esimerkiksi seuraavat rekisterit eivät ole asetuksen tarkoittamia rekistereitä, mutta ne kuuluvat asetuksen soveltamisalan piiriin, koska niihin voi kohdistua tietoturvaloukkauksia (tyyppi 2):

  • Muistitikku kassakaapissa
  • Asiakasrekisterin salakirjoitettu varmuuskopio

Asetuksen perusteluista löytyy kuitenkin mielenkiintoinen yksityiskohta. Lainaus asetuksen perusteluista:

Tämän asetuksen soveltamisalaan ei ole tarkoitus sisällyttää sellaisia asiakirjoja tai asiakirjakokoelmia kansilehtineen, joita ei ole järjestetty tiettyjen perusteiden mukaisesti.

Esimerkiksi seuraavat rekisterit eivät kuulu asetuksen soveltamisalan piiriin (tyyppi 3):

  • Mappi, joka sisältää sekalaisia asiakirjoja
  • Perintätoimistolle lähetetty asiakirja, joka sisältää henkilötunnuksia

Osa 2 – Toimenpiteet

Säilytysajat

Tietosuojaselosteessa on mainittava, kuinka kauan henkilötietoja säilytetään eri rekistereissä tai vähintäänkin säilytysaikaan vaikuttavat tekijät.

Säilytysaikojen on oltava mahdollisimman lyhyitä. Verkkokaupankäynnissä henkilötietojen käsittelyn oikeusperusteena on usein sopimus, laki tai oikeutettu etu, jolloin säilytysajat voivat olla pitkiä.

Esimerkkejä henkilötietojen säilytysajoista:

  • Asiakaskortti markkinointia varten 2 viikon ajan kiellosta lukien (suostumus)
  • Tilaustiedot 4-5 vuoden ajan tilaushetkestä lukien (sopimus)
  • Tilauksiin liittyvät sähköpostiviestit 7-8 vuoden ajan (laki)
  • Laskut ja kuitit 7-8 vuoden ajan niiden päivämäärästä lukien (laki)

Tällaiset säilysajat kuulostavat hurjan pitkiltä verkkokaupan asiakkaan näkökulmasta. Siksi suosittelen, että tietosuojaselosteessa mainitaan vain säilytysaikoihin vaikuttavat tekijät.

EDIT 7.4.2018! Tietosuojavaltuutetun toimisto julkaisi 16.3.2018 ohjeen, jonka mukaan ei ole riittävää todeta, että ”henkilötietoja säilytetään niin kauan kuin on tarpeellista.”

EDIT 7.4.2018! Henkilötietojen poistaminen riittää. Esimerkiksi tilauskortista on poistettava vain yksilöivät henkilötiedot, kuten esimerkiksi nimi, katuosoite, puhelinnumero ja sähköpostiosoite. Postinumeron voi jättää poistamatta.

Selvyyden vuoksi on todettava, että kirjanpitolain mukaan tositteet ja liiketapahtumia koskeva kirjeenvaihto on säilytettävä vähintään kuuden vuoden ajan tilikauden päättymisestä alkaen, eli jopa seitsemän vuoden ajan.

Tietosuojaseloste

Verkkokaupan on pidettävä henkilötietoja kerättäessä esillä tietosuojaselostetta, joka sisältää asetuksen artiklassa 13 luetellut tiedot. Selosteen nimi on kuitenkin vapaasti päätettävissä eikä selosteen tarvitse olla virallisen oloinen.

EDIT 27.5.2018 ja 7.8.2019. Vedetään takaisin. Asetuksen mukaan tietosuojaseloste on toimitettava verkkokaupan asiakkaalle silloin, kun tiedot saadaan, ellei niitä ole jo toimitettu. Ilmeisesti siis selostetta ei ole pakko pitää esillä tietoja kerättäessä, koska silloin tietoja ei ole vielä saatu! Joka tapauksessa etukäteen informointi toimii varmana ratkaisuna.

Asetus kannustaa tiiviiseen ja selkeään ilmaisuun, jonka lapsetkin osaavat lukea. Tämä on yksi syy siihen, miksi harkitsin edellä oikeusperusteen ilmoittamatta jättämistä ilmiselvissä tapauksissa.

Tietosuojaseloste voi olla esimerkiksi seuraavanlaisen mallin mukainen:

Tietosuojaseloste 21.5.2018

Rekisterinpitäjä:
Example Oy
Testikatu 1
00100 Testinen
info@example.com

Keräämme henkilötietoja asiakassuhteen hoitamista varten. Henkilötietojen käsittelyn oikeusperusteena on meidän välinen sopimus ja siitä johtuvat lakisääteiset velvoitteet. Henkilötietojen antaminen on edellytys sopimuksen syntymiselle. Toisin sanoen et voi tilata verkkokaupastamme tavaroita, jos et anna henkilötietojasi.

Keräämme henkilötietoja myös markkinointia varten. Henkilötietojen käsittelyn oikeusperusteena on suostumus. 

Emme tee sinua koskevia profilointeja ja automaattisia päätöksiä.

Henkilötietojasi vastaanottavat:
- yrityksemme ja sen työntekijät
- maksunvälittäjä, joka vastaanottaa sinulta maksun
- kuljetusyritys, joka kuljettaa tavaran sinulle
- tilitoimisto, joka kirjaa tilauksen kirjanpitoomme
- tilintarkastaja, joka tarkastaa kirjanpitomme
- IT-yritys, joka ylläpitää verkkosivujamme

Säilytämme henkilötietojasi:
- verkkokaupassa viiden vuoden ajan
- sähköpostiarkistosssa seitsemän vuoden ajan
- kirjanpitoaineistossa seitsemän vuoden ajan

Sinulla on seuraavat oikeudet:
- oikeus tarkastaa itseäsi koskevat henkilötiedot
- oikeus tietojen oikaisemiseen
- oikeus käsittelyn rajoittamiseen (voit esimerkiksi kieltää markkinoinnin)
- oikeus vastustaa käsittelyä
- oikeus peruuttaa suostumus (voit esimerkiksi peruuttaa suostumuksesi markkinointiin)
- oikeus tehdä valitus valvontaviranomaiselle

Huomioithan, että sinulla on "oikeus tulla unohdetuksi" vain, jos meillä ei ole lakisääteisiä velvoitteita jatkaa henkilötietojesi käsittelyä.

EDIT 24.3.2018! Tietosuojavaltuutetun toimisto julkaisi 16.3.2018 ohjeen siitä, mitä selosteen tulisi sisältää. Tarkensin edellä olevaa malliselostetta sen pohjalta.

Selosteessa ei tarvitse mainita käsiteltäviä henkilötietoryhmiä (esim. nimi, osoite, sähköpostiosoite…), koska artikla 13 ei edellytä niiden ilmoittamista. Evästeiden käytöstä ei myöskään tarvitse mainita tässä yhteydessä (lue aiempi kirjoitukseni evästeistä).

EDIT 7.4.2018! Asetuksen rinnalla voimaan tuleva EU:n sähköisen viestinnän tietosuoja-asetus jatkaa samalla linjalla. Verkkokaupassa vierailevalta henkilöltä ei tarvitse pyytää suostumusta evästeiden käytölle, jos evästeitä käytetään asioinnin kannalta tarpeellisiin käyttötarkoituksiin, kuten esimerkiksi ostoskorin toimintaan. Myöskään kävijäseurantaevästeille ei tarvitse pyytää suostumusta. Vaikka suostumus evästeiden käytölle jostain syystä vaadittaisiin, niin uuden sähköisen viestinnän tietosuoja-asetuksen mukaan selaimen asetus riittää suostumukseksi.

EDIT 4.10.2019! EU:n sähköisen viestinnän tietosuoja-asetus ei tullutkaan voimaan asetuksen rinnalla. Sitä hiotaan vielä. Tässä välissä EU:n tuomioistuin ehti tehdä evästeitä koskevan ennakkoratkaisun, joka ei kuitenkaan tarkoita sitä, että verkkokaupan asiakkaalta olisi pyydettävä aina suostumus evästeiden käytölle. Asioinnin kannalta ehdottoman välttämättömät evästeet ovat edelleen sallittuja mitään kyselemättä. Selvennän tätä vielä (24.6.2020): Kyseinen ennakkoratkaisu koski asioinnin kannalta tarpeettomia evästeitä vuodelta 2013, joskin siinä sivuttiin myös vuonna 2018 voimaan tullutta EU:n yleistä tietosuoja-asetusta, mutta vain nimenomaista suostumusta edellyttävien evästeiden osalta silloin, kun tällainen suostumus on valmiiksi rastitettu.

Jos verkkokaupan asiakas on ilmoittanut tilauslomakkeella myös toisten henkilöiden henkilötietoja, verkkokaupan on toimitettava näille muille henkilöille asetuksen artiklassa 14 luetellut tiedot, jotka ovat melkein samat kuin artiklassa 13. Ainoat erot taitavat olla, mistä henkilötiedot on saatu ja mistä henkilötietoryhmistä on kysymys.

Käsittelytoimiseloste (seloste käsittelytoimista)

Verkkokaupan on ylläpidettävä käsittelytoimiselostetta, joka sisältää asetuksen artiklassa 30 luetellut tiedot.

Jos joku toinen yritys käsittelee henkilötietoja verkkokaupan lukuun, verkkokaupan selosteeseen on kirjattava nämä yritykset yleisellä tasolla. Kirjaus voi olla esimerkiksi seuraavanlainen: ”Luovutamme henkilötietoja kuljetus-, pankki- ja tietotekniikka-alalla toimiville yhteistyökumppaneillemme” Vastaava tieto on lisättävä yleisellä tasolla myös tietosuojaselosteeseen.

EDIT 7.4.2018! Tietosuojavaltuutetun toimisto julkaisi 16.3.2018 ohjeen, jonka mukaan yritysten mainitseminen tietosuojaselosteessa yleisellä tasolla ei riitä ilman hyviä perusteluja.

Lisäksi jokaisen yrityksen, joka käsittelee henkilötietoja verkkokaupan lukuun, on ylläpidettävä selostetta verkkokaupan lukuun suoritettavista käsittelytoimista. Tämän yrityksen omassa selosteessa (ei siis verkkokaupan selosteessa) on mainittava verkkokaupan nimi ja yhteystiedot. Kirjaus voi olla esimerkiksi seuraavanlainen: ”Tarjoamme kuljetuspalveluja Example Oy:lle ja käsittelemme kuljetuksen mahdollistamiseksi Example Oy:n asiakkaiden nimiä ja yhteystietoja.”

Seloste on salainen, mutta se on pyydettäessä toimitettava valvontaviranomaiselle (uusi tietosuojavirasto).

Selosteen ylläpitäminen on vapaaehtoista muun muassa, jos yrityksessä on alle 250 työntekijää ja käsittely on satunnaista.

EDIT 25.4.2018! Viranomaisilta ei ole vielä saatu ohjeistusta sen suhteen, mitä ”satunnainen käsittely” tarkoittaa. Otetaanko satunnaisuuden arvioinnissa huomioon ”yksittäisen henkilön henkilötietojen käsittelyn satunnaisuus” vai ”yhdenkin henkilön henkilötietojen käsittelyn satunnaisuus”.

Osoitusvelvollisuus

Verkkokaupan on pystyttävä osoittamaan, että henkilötietoja käsiteltäessä toteutuu lainmukaisuus, kohtuullisuus, läpinäkyvyys, käyttötarkoitussidonnaisuus, tietojen minimointi, täsmällisyys, säilytyksen rajoittaminen, eheys ja luottamuksellisuus.

Yksi ensimmäisenä mieleeni tulevista osoitusvelvollisuuksista on suostumuksen osoittaminen. Lainaus asetuksesta:

Jos tietojenkäsittely perustuu suostumukseen, rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn.

Jos verkkokaupan on esimerkiksi osoitettava, että asiakas on antanut suostumuksensa asiakaskirjeen lähettämiseen, kannattaa ensin selvittää, onko henkilötietoja edes käsitelty suoramarkkinointia varten. Asiakaskirje on saatettu lähettää asiakasyrityksen sähköpostiosoitteeseen, jolloin henkilötietoja ei ole käsitelty suoramarkkinointia varten. Seuraavaksi kannattaa selvittää, onko henkilötietojen käsittelyn oikeusperusteena ollut suostumus vai oikeutettu etu. Näiden eroista kerron myöhemmin tässä kirjoituksessa.

Asetuksessa ei mainita, kenelle näiden vaatimusten toteutuminen pitää osoittaa ja missä laajuudessa. Todennäköisesti vaatimusten toteutuminen pitää osoittaa tapauskohtaisesti joko verkkokaupan asiakkaalle tai uudelle valvontaviranomaiselle (uusi tietosuojavirasto), mutta vain pyynnöstä.

Tietosuojavastaavaa

Verkkokaupan on nimitettävä tietosuojavastaava, jos verkkokaupan ydintehtävänä on henkilötietojen käsittely tai jos verkkokauppa käsittelee asetuksessa mainittuja arkaluonteisia tietoja. Useinkaan näin ei ole.

Tietosuojavastaava on nimitettävä, jos verkkokauppa myy esimerkiksi henkilötietoja (esim. luottotietoja) tai jos verkkokaupan kohderyhmänä on jonkin ammattiliiton jäsenet (esim. jäsenetukauppa). Jälkimmäinen ei ole vitsi, sillä ammattiliiton jäsenyys on mainittu asetuksessa rodun, etnisen alkuperän jne. rinnalla arkaluonteisena tietona.

Vaikutustenarviointi

Verkkokaupan on tehtävä tietosuojaa koskeva vaikutustenarviointi, jos verkkokaupan asiakkaiden henkilötietojen käsittelyyn kohdistuu todennäköisesti korkea riski.

Valvontaviranomainen (uusi tietosuojavirasto) julkaisee, ellei se peräti ole jo julkaissut, luettelon henkilötietojen käsittelytavoista, joiden yhteydessä vaaditaan vaikutustenarviointi.

Sertifiointi

Sertifiointipalvelut ovat kaupallista liiketoimintaa samalla tavalla kuin luotettavuus- ja kotimaisuusmerkkien myöntäminen maksua vastaan.

Sertifiointitodistus ei vapauta verkkokauppaa vastuusta, sakoista eikä se ole myöskään vakuutus. Verkkokaupan on joka tapauksessa käsiteltävä henkilötietoja huolellisesti asetuksen edellyttämällä tavalla.

Osa 3 – Oikeudet ja velvollisuudet

Suostumuksen hankkiminen

Verkkokaupan asiakkaalta on hankittava suostumus henkilötietojen käsittelyyn vain, jos käsittelyn oikeusperusteena on suostumus. Esimerkiksi jos verkkokaupan asiakas osallistuu kuukausiarvontaan, häneltä on saatava suostumus henkilötietojen käsittelyyn arvonnan yhteydessä.

EDIT 7.4.2018! Suostumus voidaan pyytää yksiselitteisesti tai nimenomaisesti. Arvontalomakkeella riittää yksiselitteinen suostumus. Toisin sanoen Osallistu arvontaan -painike on suostumus, jota tässä asetuksessa peräänkuulutetaan. Jos verkkokauppa aikoo julkaista voittajan nimen, siitä on mainittava selkeästi muista asioista erillään esimerkiksi seuraavasti: ”voittajan nimi julkaistaan verkkosivuillamme.” Tämäkin on myös asetuksen tarkoittama yksiselitteinen suostumus.

Suostumusta ei tarvitse hankkia, jos käsittelyn oikeusperusteena on sopimus, laki, suojaaminen, julkinen tehtävä tai oikeutettu etu. Esimerkiksi verkkokaupan tilauslomakkeella ei tarvitse pyytää suostumusta henkilötietojen käsittelylle, koska tilaaminen johtaa sopimukseen, joka on henkilötietojen käsittelyn oikeusperuste.

Jos olisin verkkokauppias, ja olenhan minä, välttäisin suostumuksen käyttämistä oikeusperusteena, koska se sitoo enemmän työvoimaa kuin muiden oikeusperusteiden käyttäminen.

Sähköinen suoramarkkinointi

Henkilötietoja voidaan käsitellä suoramarkkinointia varten, jos käsittelyn oikeusperusteena on joko suostumus tai oikeutettu etu. Molemmissa tapauksissa tietosuojaselosteessa on oltava maininta suoramarkkinoinnista.

Asiakaskirjeen lähettäminen verkkokaupan asiakkaalle on sallittua esimerkiksi seuraavissa tapauksissa:

  • Asiakas ei ole tilannut tavaroita tai palveluja, mutta on sallinut sähköisen suoramarkkinoinnin palautelomakkeen täytön yhteydessä (suostumus)
  • Asiakas on tilannut tavaroita tai palveluja ja on sallinut sähköisen suoramarkkinoinnin tilauslomakkeen täytön yhteydessä (suostumus)
  • Asiakas on tilannut tavaroita tai palveluja, mutta ei ole kieltänyt sähköistä suoramarkkinointia, vaikka siihen on annettu selkeä maksuton mahdollisuus sekä tilauslomakkeella että jokaisessa asiakaskirjeessä (oikeutettu etu)

Lasten oikeudet

Asetus rajoittaa alle 16-vuotiaiden (Suomessa alle 13-vuotiaiden) lasten henkilötietojen käsittelyä ainoastaan silloin, kun tietoyhteiskunnan palvelua (sähköinen etäpalvelu) tarjotaan suoraan lapselle ja henkilötietojen käsittelyn oikeusperusteena on suostumus. Tällaisessa tapauksessa tarvitaan lapsen vanhempien suostumus.

Jos lapsi tilaa verkkokaupasta tavaran, niin henkilötietojen käsittelyn oikeusperusteena on sopimus. Vanhempien suostumusta henkilötietojen käsittelyyn ei tarvita. Lasten oikeuskelpoisuus tehdä sopimuksia on asia erikseen. Asetus koskee vain henkilötietojen käsittelyä eikä se vaikuta EU:n jäsenvaltioiden noudattamiin sopimusoikeudellisiin kysymyksiin.

Jos lapsi tilaa verkkokaupasta tavaran ja rastittaa tilauslomakkeella ”kyllä, haluan tilata asiakaskirjeen”, niin kyseessä on asiakaskirjeen osalta suostumus. Mutta onko asiakaskirje tietoyhteiskunnan palvelu, jota on tarjottu suoraan lapselle? Autotarvikeverkkokaupoissa ei, mutta leluverkkokaupoissa kyllä. Leluverkkokauppias voi halutessaan siirtää asiakaskirjeen oikeutettuihin etuihin, jolloin vanhempien suostumusta asiakaskirjeeseen ei tarvittaisi, mutta tämä ei vaikuta hyvältä idealta.

Lainaus WP29-työryhmän tulkintaohjeesta:

Sanamuodon ”suoraan lapselle” sisällyttäminen viittaa siihen, että artikla 8 on tarkoitettu sovellettavaksi joihinkin, mutta ei kaikkiin tietoyhteiskunnan palveluihin… niin palvelua ei katsota ”tarjotun suoraan lapselle” eikä artiklaa 8 sovelleta

Jos myyt tietoyhteiskunnan palveluja suoraan lapsille, suosittelen asian selvittämistä lakimiehen kanssa. Suomen Yrittäjät tarjoaa jäsenilleen maksutonta lakineuvontaa.

EDIT 7.4.2018! Kirjoitin tämän kohdan uudelleen selvyyden vuoksi.

Tietoturvaloukkaukset

Jos henkilötietoihin kohdistuu tietoturvaloukkaus, se on dokumentoitava valvontaviranomaisen  (uusi tietosuojavirasto) tarkastusta varten. Jos ilmoittamiskynnys ylittyy, verkkokauppiaan on ilmoitettava loukkauksesta valvontaviranomaiselle ja tietyissä tilanteissa myös loukkauksen kohteena oleville henkilöille.

Ilmoittamiskynnys valvontaviranomaiselle on matalampi kuin loukkauksen kohteena oleville henkilöille. Jos esimerkiksi tietokannan varmuuskopio on salakirjoitettu ja se varastetaan, ilmoitus on tehtävä valvontaviranomaiselle, mutta ei loukkauksen kohteena oleville henkilöille.

Tarkastusoikeus

Jokaisella henkilöllä on oikeus tarkastaa asetuksessa tarkoitettuun rekisteriin tallennetut itseään koskevat henkilötiedot. Kun henkilö käyttää tarkastusoikeuttaan, hänelle on ilmoitettava seuraavat tiedot:

  • Tieto siitä, käsitelläänkö häntä koskevia henkilötietoja tai että niitä ei käsitellä
  • Jos käsitellään, asetuksen artiklassa 15 luetellut tiedot
  • Jos käsitellään, jäljennös käsiteltävistä henkilötiedoista

Oikaisuoikeus

Jokaisella henkilöllä on oikeus saada oikaistuksi asetuksessa tarkoitettuun rekisteriin tallennetut, itseään koskevat, epätarkat ja virheelliset henkilötiedot.

Siirto-oikeus

Jokaisella henkilöllä on oikeus saada jäljennös henkilötiedoista, jotka hän on itse toimittanut asetuksessa tarkoitettuun rekisteriin ja jotka on myös tallennettu rekisteriin. Siirto-oikeus on voimassa ainoastaan, jos henkilötietojen käsittelyn oikeusperusteena on suostumus tai sopimus ja henkilötietojen käsittely suoritetaan automaattisesti.

Siirto-oikeuden käyttämiselle ei ole vielä markkinoita. Ehkä tulevaisuudessa verkkokauppojen asiakkaat voivat kilpailuttaa ostoksensa eri verkkokauppojen välillä ja siirtää asiakkuutensa automaattisesti verkkokaupasta toiseen?

Poisto-oikeus

Jokaisella henkilöllä on oikeus saada poistettua häntä itseään koskevat henkilötiedot asetuksessa tarkoitetusta rekisteristä, paitsi jos henkilötietojen käsittelyn oikeusperusteena on laki tai julkinen tehtävä. Asetuksessa mainitaan myös muutamia muita poikkeuksia.

Ymmärrän poisto-oikeutta koskevasta artiklasta 17 vain helpot kohdat. Esimerkiksi asiakkaan suostumus asiakaskirjeen vastaanottamiselle on helppo peruuttaa ja samalla voidaan poistaa asiakkaan sähköpostiosoite, koska sitä ei enää tarvita. Asiakas- ja tilaustietojen poistaminen onkin vaikeampi kysymys, koska verkkokauppiaan edut ovat vaarassa. Keksin nopeasti kaksi karkeaa tapaa toimia:

  1.  Vastataan asiakkaalle kohteliaasti, että ”valitettavasti tietoja ei voida poistaa rekisteristä, koska kirjanpitolaki edellyttää tietojen säilyttämistä vähintään kuuden vuoden ajan.” (laki)
  2. Tulostetaan tiedot paperille ja tuhotaan ne rekistereistä. Siirretään paperit mappiin, jossa olevia papereita ei ole järjestetty tiettyjen perusteiden mukaisesti. Vastataan asiakkaalle kohteliaasti, että ”tiedot on poistettu rekisteristä.”

EDIT 7.4.2018! Mieleeni ei tullut aiemmin (yllätys yllätys), että asiakas- ja tilaustietoja voidaan poistaa myös säästeliäästi. Riittää, että esimerkiksi tilauskorteista poistetaan vain henkilötiedot. Asiakkaan tilaamia tuotteita, maksutiloja, viitenumeroita, postinumeroita, maatunnuksia jne. ei tarvitse poistaa.

Lähteet

Lähteenä käytin asetusta. Rohkeimpia päätelmiäni varmistelin Pia Pynnän ansiokkaista kirjoituksista ASML-blogissa (1 ja 2). Muutama päivä sitten Yrittäjäsanomien numerossa 1/2018 julkaistiin artikkeli, joka oli mielestäni lähes täydellinen.

Vastuunrajoitus

En ole lakimies enkä tarjoa oikeudellista neuvontaa. Suosittelen, että suhtaudut kirjoitukseeni varauksella.

Jatkot

16.2.2018: Tietosuojavaltuutettu Reijo Aarnio on antanut julkisuuteen  (mm. STT, HS, Yle) lausunnon, jonka mukaan porraskäytävien nimitaulut eivät muodosta henkilörekisteriä ja että osassa kuntia nimitaulut perustuvat kuntien rakennusjärjestykseen ja niitä on siksi velvollisuus pitää rappukäytävissä.

Asetuksen määritelmä rekisteristä on laaja:

’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu

Lieko asetuksessa sitten jokin vapautus nimitaulujen osalta. Joka tapauksessa Aarnion linjaus koski rekisterin määritelmää sekä myös henkilötietojen käsittelyn oikeusperustetta siinä tapauksessa, että rekisteri on olemassa. Nythän on nimittäin niin, että nimitaululle on olemassa oikeusperuste (julkinen tehtävä tai oikeutettu etu), mutta nimitaulu ei Aarnion mukaan ole henkilörekisteri.

Linjaus on merkittävä: kaikki tiettyjen perusteiden mukaisesti järjestetyt henkilötiedot eivät muodosta henkilörekisteriä.

21.3.2018: Tietosuojavaltuuten toimisto julkaisi 16.3.2018 ohjeen informointikäytännöstä. Sivun lopusta löytyy tietosuojaselosteen rakennemalli.

1.9.2018: Wow! Loin yllä olevan tietosuojaselosteen mallin kokonaan omasta päästäni. Tein viime viikolla muutaman Google-haun ja huomasin, että yli 500 yritystä on ottanut siitä mallia. Se on ihan ok. Malliksi sen tarkoitinkin ja kysyjille vastasin, että saa kopioida. Silti määrä tuli yllätyksenä.

29.11.2020: Löysin Pohjola Vakuutuksen kiinteistövakuutuksen vakuutusehdoista mielenkiintoisen kohdan:

Vakuutuksesta korvataan myös tietosuojalain tai EU:n
tietosuoja-asetuksen mukainen toiselle aiheutunut puhdas
taloudellinen vahinko, jonka on aiheuttanut vakuutetussa
toiminnassa vakuutuksen voimassaoloaikana todettu
henkilötiedon lainvastainen käsittely, ja josta vakuutettu on
korvausvastuussa rekisterinpitäjän ominaisuudessa.

Jaa tämä kavereillesi

Tekijä: Erno Penttilä

Mysteerimies vuodesta 1998.