MyFondia VirtuaaliLakimies
5. joulukuuta, 2017

Mitä ovat GDPR:n mukaiset tietosuojaperiaatteet?

EU:n yleinen tietosuoja-asetus (GDPR) tuo mullistavimmat muutokset eurooppalaisiin tietosuojalakeihin sitten 90-luvun. Moni GDPR:n tietosuojaperiaatteista on peräisin tietosuojadirektiivistä (DPD), jonka GDPR tulee kumoamaan toukokuussa 2018. Joitakin GDPR:stä löytyviä periaatteita on kuitenkin hiottu edelleen vastaamaan niin DPD:n voimaantulon jälkeen tapahtunutta teknologista kehitystä, kuin yksityisyydensuojan vaatimuksia digitalisoituneessa maailmassa nyt ja huomenna. Vaikka muutokset tietosuojaperiaatteisiin eivät välttämättä ole luonteeltaan perustavanlaatuisia, ne vahvistavat näiden tietojenkäsittelyperiaatteiden merkitystä.

Henkilötietojen käsittelyyn liittyvät periaatteet on määritelty GDPR:n artiklassa 5(1):

  • Lainmukaisuus, asianmukaisuus ja läpinäkyvyys => Henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. DPD:ssä on joitakin vaatimuksia rekisterinpitäjälle käsitellä tietoja läpinäkyvällä tavalla, mutta tämä periaate asetetaan ydinperiaatteeksi ensimmäistä kertaa GDPR:ssä. Tietojenkäsittely läpinäkyvämmällä tavalla voisi pitää sisällään sellaisia asioita kuin tietosuojaselosteiden tekemisen käyttäjäystävällisemmiksi ja käyttäjien oikeuksien edistämisen.
  • Käyttötarkoitussidonnaisuus => Henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Tämä periaate on olemassa jo DPD:ssä ja säilyy suhteellisen muuttumattomana. GDPR sallii kuitenkin lisäksi myöhemmän käsittelyn yleisen edun ja/tai tieteellisen tarkoituksen vuoksi, mikä laajentaa myöhemmän käsittelyn mahdollisuuksia rekisterinpitäjille.
  • Tietojen minimointi => Henkilötietojen on oltava asianmukaisia, olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. Täten tietojen rekisterinpitäjien täytyy varmistaa, että tarkoitus huomioon ottaen, vain tarpeellisia henkilötietoja käsitellään. Tietojen minimoinnilla on läheinen rooli käyttötarkoitussidonnaisuuden kanssa, sillä rekisterinpitäjien pitäisi kerätä tarpeeksi tietoja saavuttaakseen tarkoituksensa, mutta vain siihen tarvittava määrä.
  • Täsmällisyys => Henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä. Samaa vaatimustasoa noudatetaan kuin DPD:n nojalla, mutta GDPR kuitenkin täsmentää, että virheellisten henkilötietojen poistaminen tai oikaiseminen on pantava täytäntöön viipymättä.
  • Säilytyksen rajoittaminen => Henkilötiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten. GDPR laajentaa DPD:n listaa vapautuksista tästä periaatteesta. Siinä missä DPD sallii tietojen tarpeellista pidemmän säilytysajan tapauksissa, joissa tietojenkäsittely tapahtuu tilastollisia tai historiallisia tarkoituksia varten, GDPR lisää myös yleisen edun ja tieteellisen tarkoituksen listaan.
  • Eheys ja luottamuksellisuus => Henkilötietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia. GDPR peilaa ydinarvoja, jotka ovat peräisin DPD:stä.

Osoitusvelvollisuuden periaate GDPR:n 5(2) artiklassa

  • Artiklassa 5(2) säädetään ehkä kaikkein tärkeimmästä periaatteesta: osoitusvelvollisuudesta, joka asettaa rekisterinpitäjille velvollisuuden olla vastuussa siitä ja pystyä osoittamaan, että GDPR:ää noudatetaan. Se täydentää GDPR:n läpinäkyvyysvaatimuksia ja on merkittävin lisäys, joka asettaa korotetun noudattamisvastuun. Tämän periaatteen valossa rekisterinpitäjät eivät ole ainoastaan velvollisia noudattamaan GDPR:ää, vaan heidän on pystyttävä osoittamaan se esimerkiksi dokumentoimalla päätöksensä tehdessään käsittelytoimia.

Vaikutukset organisaatioihin

Organisaatioiden tulisi arvioida sisäiset käytäntönsä ja menettelytavat GDPR:n noudattamisen varmistamiseksi. Koska GDPR sallii rikkomuksista johtuvat taloudelliset sanktiot, noudattaminen on tärkeämpää kuin koskaan ennen. Organisaatioiden tulisi lisäksi varmistaa, että niiden hallussa olevat henkilötiedot ovat täsmällisiä ja dokumentoida kuinka ja mihin tarkoitukseen niitä käsitellään, jotta pystyvät todistamaan GDPR:n noudattamisen. Muita harkittavia toimia ovat tietosuojavastaavan (DPO) nimittämisen harkitseminen, henkilöstön kouluttaminen, auditointi, sisäisten prosessien luominen ja sertifiointi.