Yleisimmät tietosuojaan liittyvät puutteet

Tietosuojalainsäädäntö lukuisine velvoitteineen koskee jokaista yritystä. Velvoitteiden noudattamisen taso on kuitenkin kirjavaa. Alla kolme yleisintä puutetta, mitkä nousevat usein esiin.

1. Tietosuoja-asetuksen mukaisen informointivelvoitteen laiminlyönti:

Nettisivuilla ei ole lainkaan tietosuojaselostetta tai jos seloste löytyy, se on sisällöllisesti puutteellinen tai virheellinen. Tietosuojaseloste voi myös olla vanhentunut. Vanhentuneista tiedoista kielii esimerkiksi viittaus jo kumottuun henkilötietolakiin tai Privacy Shieldiin. Puutteellisessa tietosuojaselosteessa taas usein unohdetaan informoida rekisteröityä tämän käytettävissä olevista oikeuksista, kuten oikeudesta pyytää häntä koskevien tietojen poistamista.

Myöskään henkilötietojen säilytysaikoja ei yleensä ole määritelty riittävällä tarkkuudella, vaan on tyydytty lähinnä totemaan, että “henkilötietoja säilytetään niin kauan kuin asiakassuhteen hoitamisen kannalta on tarpeellista”. Tämä ei kuitenkaan vastaa tietosuojalainsäädännön ajatusta siitä, että henkilötietojen säilytysaika ja tarpeellisuus on arvioita jokaiseen yksittäiseen käyttötarkoitukseen peilaten, mikä käytönnössä tarkoittaa ensinnäkin sitä, että kaikkia henkilötietoja ei voi säilyttää yhtä pitkään, ellei niiden säilyttämiselle ole perustetta. Myöskään esimerkiksi kirjanpitolainsäädännön säilytysvelvollisuuteen vetoaminen ei ole perusteltua sellaisten tietojen osalta, jotka eivät kirjanpitolainsäädännön osalta ole relevantteja. Säilytysaikojen puutteellinen määrittely ja niistä selkeällä ja yksiselitteisellä tavalla informointi onkin yksi säännöllisesti tietosuojavaltuutetun ratkaisuissa esille nouseva seikka.

Moni yritys ei myöskään ole huomannut informoida omaa henkilöstöään tai työnhakijoita heidän tietojensa käsittelystä. Henkilöstön henkilötietojen osalta muun muassa käsiteltävät tiedot, niiden käsittelyperusteet ja käyttötarkoitus ovat täysin erilaiset kuin esimerkiksi asiakkaiden tai työnhakijoiden osalta. Muista siis huolehtia, että informoit kaikkia henkilötietoryhmiä erillisin tietosuojaselostein!

2. Henkilötietojen siirrot oman organisaation ulkopuolelle: Harva yritys pyörii pelkästään omin voimin - ulkopuolista tukea saatetaan tarvita esimerkiksi kirjanpidon, palkanlaskennan, työterveyshuollon tai markkinoinnin osalta. Oletko koskaan ajatellut, että siirrätte henkilötietoja esimerkiksi yrityksenne tietosuojaroskiksen tyhjennyksestä vastaavalle yhtiölle, joka omalta osaltaan myös käsittelee yrityksenne henkilötietoja? Hyvin monessa tietosuojaselosteessa todetaan, ettei henkilötietoja siirretä kolmansille, mikä ei kuitenkaan pidä paikkaansa, jos yritys käyttää esimerkiksi tässä blogitekstissä esille tuotuja palveluntarjoajia.

Mikäli yrityksen henkilöstön tai asiakkaiden henkilötietoja luovutetaan edellä mainituille ulkopuolisille toimijoille, on samalla huolehdittava riittävän dokumentaation, kuten tietojenkäsittelysopimuksen laatimisesta. Huomioi, että tietojenkäsittelysopimuksiin sisältyvät vastuut ja niiden rajoitukset poikkeavat usein esimerkiksi projekti- tai asiakkuussopimuksista. Lue sopimus siis huolella ja sisäistä, mihin tulet sitoutuneeksi. Ja toisaalta: huolehdi, että esimerkiksi edellä mainittu tietosuojaroskiksen tyhjentävä yhtiö tai kirjanpitäjäsi on tietojenkäsittelysopimuksen kautta sitoutunut noudattamaan tietosuojalainsäädäntöä yrityksesi lukuun käsittelemiensä henkilötietojen osalta.

Tietojen siirtoon liittyvänä yleisenä uskomuksena kuulee usein myös toteamuksen, ettei yritys luovuta henkilötietoja EU:n tai ETA-alueen ulkopuolelle. Jos yritys kuitenkin käyttää esimerkiksi Google Analyticsia tai vaikkapa Mailchimpia, tapahtuu tällöin myös tietojen siirtoa EU:n ja ETA:n ulkopuolelle. Ja mikäli näin on, on tästä myös kerrottava tietosuojaselosteessa.

3. Riittävien tietosuojaohjeistusten ja -prosessien puute: Monen yrityksen kohdalla isoin haaste on vakiintuneiden tietosuojakäytänteiden ja -ohjeiden puuttuminen. Ei ole ollut aikaa ja/tai ymmärrystä laatia tietosuojapolitiikkaa/-ohjeistusta tai rutiininomaisia prosesseja tietosuojavelvoitteiden noudattamisen varmistamiseksi. Ilman prosesseja ja riittävää rutiinia esimerkiksi mahdollisen tietosuojaloukkauksen kohdalla aikaa kuluu helposti epäolennaiseen hätäilyyn - jos prosesseja ryhdytään luomaan vasta tässä vaiheessa, voi päästä syntymään lisävahinkoja, mikä johtaa lisäkustannuksiin ja -vastuisiin. Valmiit eri tilanteisiin kehitetyt prosessit mahdollistavat tehokkaan toiminnan niin henkilötietojen käsittelyä aloitettaessa esimerkiksi rekrytointia tehdessä kuin myös edellä mainituissa poikkeustilanteissa.

Ilman riittävää ymmärrystä yrityksessä käsiteltävistä henkilötiedoista ja käsittelyyn liittyvistä rutiineista ei ole mahdollista tehdä muutakaan tietosuojaan liittyvää toimintaa riittävällä tarkkuudella ja lain mukaisesti. Kartoittamalla yrityksesi toiminnassa tapahtuva henkilötietojen käsittely ja luo yritykseesi sopivat tietosuojakäytännöt ja -ohjeet. Tietosuojaprosessit, - ohjeet ja riittävä henkilöstön koulutus ovat tietosuoja-asetuksen mukaisia organisatorisia toimenpiteitä, jotka jokaisen yrityksen on tehtävä.

Autan mielelläni yritystäsi hoitamaan tietosuojaa koskevat velvoitteet kuntoon. Tietosuojan nykytilaa kartoittavan tietosuojakartoituksen avulla saatte kokonaiskuvan yrityksenne tietosuojan tilanteesta sekä toimenpidelistauksen erityishuomiota vaativista tietosuojaoikeudellisista seikoista. Mikäli kaipaat ennemmin täsmäapua esimerkiksi tietosuojaselosteen tarkistamisen tai henkilöstön kouluttamisen osalta, olen tällöinkin käytettävissänne!