EU:n yleisen tietosuoja-asetuksen vaikutukset verkkokaupalle mittavia

EU:n yleinen tietosuoja-asetus on tullut voimaan 24.5.2016, mutta kahden vuoden siirtymäajalla. Henkilötietojen käsittelyn tulee olla yleisen tietosuoja-asetuksen mukaista toukokuussa 2018. Tietosuoja-asetuksen tarkoituksena on lisätä henkilötietojen käsittelyn avoimuutta ja läpinäkyvyyttä sekä vahvistaa rekisteröityjen oikeuksia valvoa henkilötietojensa käsittelyä. Uudistuksen tuomiin muutoksiin kannattaa alkaa varautua jo viimeistään tässä vaiheessa.

Asetus sisältää muutoksia tällä hetkellä voimassa olevaan henkilötietolakiin. Uutta on esimerkiksi oikeus siirtää omat tietonsa sähköisesti järjestelmästä toiseen sekä oikeus saada ilmoitus tietoturvaloukkauksesta. Verkkokauppiaiden tulisi uudistuksen yhteydessä ottaa erityisesti huomioon myös se, että jos alle 16-vuotiaista asiakkaista kerätään henkilötietoja, vaaditaan tähän todennettavissa oleva vanhempien lupa.

Muutoksia on luvassa myös digitaalisen markkinoinnin pelisääntöihin. Esimerkiksi evästeiden käytöstä on kerrottava asetuksen myötä selkeästi ja näkyvästi asiakkaalle. Asiakkaan tulee aktiivisesti haluta digimainontaa. Esimerkiksi artikkelinomaisen uutiskirjeen tilaajille ei saa automaattisesti lähettää myös tuotemainoksia sähköpostiin.

Tietosuojatakeet tulisikin ottaa huomioon jo verkkokaupan suunnitteluvaiheessa sekä yksityisyydensuojaa edistävät oletusasetukset tulisivat olla automaattisesti käytössä esimerkiksi mobiilisovelluksissa. Vaikka asetuksessa osoitetaan yrityksille lisää vastuita, niin kolikon kääntöpuolena siinä vahvistetaan rekisteröityjen oikeuksia nykytilaan nähden, sillä muutokset antavat ihmisille paremmat edellytykset kontrolloida omia henkilötietojaan ja helpottavat tiedonsaantia omien henkilötietojen käsittelystä.  

Miten valmistaudun tietosuoja-asetukseen?

Ensimmäinen askel tietosuoja-asetukseen valmistautumisessa on se, että hahmottaa oman organisaation nykytilan henkilötietojen käsittelyn osalta. Hyviä lähtökohtia nykytilan arviointiin ovat mm. hallussa olevien henkilötietovarantojen kartoittaminen, näiden tietojen käsittelyn oikeusperusteet sekä tietoturvanäkökulmien tarkastelu.

• Mihin henkilötietoja sisältävää dataa tarvitaan organisaatiossa?
• Millä oikeusperusteella data on hallussa?
• Miten se on säilötty?
• Mihin sitä käytetään?

Valtiovarainministeriön julkaisema tietosuojan tukityökalu on konkreettinen työväline kartoittamiseen.

Kun organisaatiolla on selkeä käsitys nykytilasta, voi seuraavana askeleena selvittää, mitä konkreettisia muutoksia tietosuoja-asetus vaatii. Tietosuoja-asetuksen velvoitteiden edellyttämien toimenpiteiden laatu ja laajuus riippuvat esimerkiksi organisaation käsittelemistä henkilötiedoista, käsittelyyn kohdistuvasta riskistä ja nykyisistä käytännöistä. Omat prosessit kannattaa myös auditoida. Tietosuojavaltuutetun toimisto on tehnyt rekisterinpitäjille suunnatun oppaan tietosuoja-asetuksen keskeisestä sisällöstä ja miten siihen tulisi valmistautua.

Osalle yrityksistä tulee velvollisuus nimittää erityinen tietosuojavastaava. Nimitysvelvollisuus koskee lähtökohtaisesti sellaisia yrityksiä, joissa henkilötietojen käsittely edellyttää laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa tai laajamittaista asetuksessa mainittua arkaluonteisten tietojen käsittelyä. Arkaluonteisia tietoja ovat mm. rekisteröidyn rodullinen tai etninen alkuperä tai uskonnollinen vakaumus. Tietosuojavastaavan ei tarvitse olla yrityksen työntekijä vaan hän voi olla konsultti.

Jos henkilötietojen käsittelyyn todennäköisesti kohdistuu korkea riski, on tietosuoja-asetuksen mukaan rekisterinpitäjän tehtävä tietosuojaa koskeva vaikutustenarviointi (Privacy Impact Assessment - PIA). Riskin tasoa arvioitaessa on otettava huomioon henkilötietojen käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset. Prosessi auttaa hahmottamaan vastuita sekä sitä, miten riskejä voidaan minimoida ja miten niihin voidaan varautua. Vaikutustenarviointi soveltuu laajoihin käsittelytoimiin, joissa on tarkoitus käsitellä huomattavia määriä henkilötietoja tai, jotka voivat vaikuttaa suureen määrään rekisteröityjä. PIA on tehtävä erityisesti muun muassa silloin, kun otetaan käyttöön uutta teknologiaa tai käsitellään suuria määriä arkaluonteisia tietoja sisältävää dataa.

Tietosuoja-asetuksen rikkomisesta luvassa mittavat sanktiot

Dokumentoinnin merkitys myös kasvaa merkittävästi. Yrityksen tulee pystyä esittämään valvovalle viranomaiselle, että se noudattaa tietosuoja-asetusta. Asiakirjoista pitää muodostua jäljittämisen mahdollistava ns. audit trail. Aiempaa esimerkkiä hyväksikäyttäen: vanhempien antamat hyväksynnät alaikäisen henkilötietojen keruusta on löydyttävä pyydettäessä. Suomen valvova viranomainen tulee olemaan tietosuojavaltuutetun toimisto. Sille on annettu käyttöön raskas keppi, sillä mikäli dokumentointi tai toimenpiteet ovat puutteellisia, voi tästä napsahtaa sakko, jonka maksimimäärä on joko 20M€ tai 4% yrityksen edeltävän tilikauden kansainvälisestä liikevaihdosta.

Nyrkkisääntönä voidaan pitää sitä, että älä kerää henkilötietoja enemmän kuin on pakollista, eli yli sen minkä tarvitset toiminnon toteuttamiseksi, äläkä säilytä niitä pidempään kuin on tarpeen. Rekisteröidyille tulee kertoa yksinkertaisessa muodossa mitä tietoja hänestä kerätään, mitä tarkoituksia varten ja miten nämä tiedot suojataan. Suostumus tietojen keruuseen on hyvä hankkia esimerkiksi parin vuoden välein uudelleen. Tämän voi nähdä myös mahdollisuutena asiakassuhteen uudelleen herättämiseen. Palvelut kannattaa myös suunnitella niin, että huomioon otetaan datan koko elinkaari myös yksityisyyden suojan osalta.