Tietosuojan huomioiminen liiketoiminnassa

Tässä blogitekstissä käsitelen miten tietosuoja tulee ottaa huomioon yritystoiminnassa. Tekstissä käydään läpi tietosuojan perusteet kuten, mikä on henkilötieto, ketä sääntely koskee ja miten toimia tietoturvaloukkauksen sattuessa.

Mitä on tietosuoja ja miten siitä säännellään

Henkilötietojen suoja on jokaisen yksilön perusoikeus EU:ssa ja lukeutuu Suomen perustuslain 10 §:n mukaiseen yksityiselämän suojaan. Tietosuojalla tarkoitetaan henkilötietoihin liittyvää sääntelyä, jonka tarkoituksena on suojella yksityishenkilöiden yksityisyyttä. Henkilötietojen suojaamiseksi EU:ssa on säädetty yleinen tietosuoja-asetus (General Data Protection Regulation, ”GDPR”) ja tämän lisäksi Suomessa on säädetty tietosuojalaki (2018). Juridista sääntelyä on toki ollut jo ennen edellä mainittuja säännöksiä, esimerkiksi henkilötietolaki, mutta vuonna 2018 voimaan tulleet säädökset muuttivat henkilötietojen käsittelyä radikaalisti.

GDPR:ssä henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Tunnistettavana tietona pidetään sellaista tietoa, josta voidaan tunnistaa henkilö tunnistetietojen kuten nimen, henkilötunnuksen, tai sosiaalisen tekijän perusteella (esim. ammattiliittoon, puolueeseen, urheiluseuraan kuuluminen). Henkilötietoja ovat myös tunnistetiedot, joista henkilö voidaan välillisesti tunnistaa. Tällaisia voivat olla esimerkiksi henkilölle annettu asiakastunniste tai auton rekisteritunnus. Juridisesti henkilötietoa voidaan arvioida tunnistamismahdollisuuden kautta - jos henkilö voidaan edes vähäisellä mahdollisuudellakaan tunnistaa kyseessä olevista tiedoista, on kyseessä henkilötieto.

Henkilötietojen käsittelyllä tarkoitetaan toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti. Tällaista on esimerkiksi henkilötietojen kerääminen, tallentaminen, säilyttäminen, muokkaaminen sekä käyttö. Henkilötietojen käsittelijää kutsutaan lainsäädännössä rekisterinpitäjäksi ja henkilötietojen kohdetta rekisteröidyksi.

Yritykselle on tärkeää tunnistaa omassa liiketoiminnassa tapahtuva henkilötietojen käsittely ja rekisterinpitäjyys. Yrityksen tuleekin selvittää ainakin seuraavat kolme kysymystä toiminnastaan ja luoda toimintasuunnitelman sen mukaisesti:

1. Vaatiiko yrityksen toiminta tietosuojan huomioimista?

2. Miten tietosuoja-asiat tulisi yrityksessä toteuttaa?

3. Miten toimia mahdollisessa tietoturvaloukkaus tilanteessa?

Milloin tietosuoja koskee yritystä

Henkilötietojen käsittelyä tapahtuu lähes kaikissa yrityksissä ja lähtökohtaisena olettamuksena voidaankin pitää sitä, että tietosuojalla on vaikutuksia toimintaan ja toimijan tulee järjestää toimintansa sen mukaisesti. Tällaista käsittelyä on esimerkiksi kanta-asiakasrekisteri tai asiakastietokanta. Mikäli yritys kerää asiakastietoja, yhteystietoja, tai muuten kerää tietoja käyttäjistä, on yritys silloin laissa tarkoitettu rekisterinpitäjä

Tästä johtuvat velvoitteet tarkoittavat yksinkertaisimmillaan tietosuojaselosteen laatimista, jossa informoidaan asiakasta, palvelun käyttäjää yms. henkilötietojen keräämisestä ja käyttötarkoituksesta sekä rekisteröidyn oikeuksista. Tietosuoja-asetuksen mukaisesti rekisteröidyillä tulee olla mahdollisuus vaivattomasti saada lisätietoja hänestä kerätyistä tiedoista, tietojen käyttötarkoituksesta sekä tieto mahdollisuudesta saada tietonsa poistetuksi rekisteristä.

Tietoturvaloukkaus

Rekisterinpitäjällä on vastuu hallitsemistaan henkilötiedoista sekä niiden säilyttämisestä. Mikäli henkilötietojen suojaus vaarantuu, puhutaan tällöin mahdollisesta tietoturvaloukkauksesta. Henkilötietojen tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka seurauksena henkilötietoja tuhoutuu, häviää, muuttuu, henkilötietoja luovutetaan luvattomasti tai niihin pääsee käsiksi taho, jolla ei ole käsittelyoikeutta.

Henkilötietojen tietoturvaloukkauksesta täytyy ilmoittaa valvontaviranomaiselle, jos loukkauksesta voi aiheutua riski luonnollisten henkilöiden oikeuksille ja vapauksille. Ilmoitus tulee tehdä 72 tunnin kuluessa tietoturvaloukkauksen havaitsemisesta. Aika on ehdoton ja sen ylittämisestä voidaan määrätä rekisterinpitäjällä sanktio. Suomessa valvontaviranomaisena toimii Tietosuojavaltuutetun toimisto. Toimisto myös vastaa seuraamusmaksujen määräämisestä rekisterinpitäjille (Seuraamuskollegio). Seuraamusmaksujen enimmäismäärä voi olla 4 % yrityksen liikevaihdosta tai 20 miljoonaa euroa, riippuen kumpi on suurempi. Suomessa on tähän mennessä (04.09.2020) määräsi kolmelle yritykselle seuraamusmaksut tietosuojalain rikkomisesta, ja maksut ovat olleet 12 000 €, 16 000 € ja 100 000 € suuruiset. Yleisesti seuraamusmaksut ovat olleet GDPR-maissa ankaria, esimerkiksi Ruotsin tietosuojavaltuutetun toimisto (Datainspektionen) on keväällä määrännyt Googlelle yli 7 miljoonan euron (75 milj. kr.) seuraamusmaksun käyttäjien henkilötietoihin liittyvästä rikkomuksesta. Onkin huomioitava, että tietosuojan rikkomisesta voi yritykselle seurata huomattavasti suurempi rangaistus kuin mitä esimerkiksi rikoslain (9:5 §) mukainen yhteisösakko voi enimmillään olla (850 000 €).

Yhteenveto

Tietosuojan, kuten muidenkin liiketoimintaa koskevien toiminta-arvioiden, huomioiminen on proaktiivisesti suoritettuna kaikista tehokkainta ja yrityksen toiminnan kannalta turvallisinta. Tietoturvaan liittyvä loukkaustilanteet voivat tulla yritykselle huomattavan kalliiksi ja on myös huomioitava, että tietosuojaan liittyvät tapaukset saavat usein laajalti huomiota mediassa. KPF tarjoaa tietosuojaan sekä tietoturvaan liittyen erittäin laaja-alaista juridista palvelua, jotta yritys voi varmistaa toimintansa lainmukaisuuden ja keskittyä rauhassa liiketoimintansa harjoittamiseen.

Lue lisää liikejuridiikkakirjoituksiamme:

https://www.kpflaki.com/blog/categories/liikejuridiikka

Mikko Kaunisvaara

OTM, BBA

Lakimies

Lakitoimisto KPF