GDPR käytännössä: Kansalaisella on oikeus omiin tietoihinsa

GDPR:n yksi tavoite on lisätä läpinäkyvyyttä. Sen myötä EU-kansalaisilla on oikeus tietää, mitä tietoja heistä on yritysten rekistereissä ja kenellä on oikeus käsitellä tietoja. Kaikilla on myös oikeus muokata omia tietojaan tai pyytää niitä kokonaan poistettaviksi. Mutta mitä tämä tarkoittaa käytännössä? Kuinka nopeasti tietojen tarkistus- tai poistopyyntöihin tulee reagoida?

Kaksi askelta helppoon henkilötietorekisterin hallintaan

1. Uusi tietosuoja-asetus ei edellytä tietojen tallentamista digitaalisessa muodossa, mutta suosittelee sitä. Ja niin teemme mekin. Digitaalisessa muodossa olevia tietoja on kätevämpi hallinnoida, päivittää ja korjata. Fiksuinta on rakentaa kanava, jossa henkilöt voivat helposti hallita omia tietojaan. Tällöin syntyy läpinäkyvyys siitä, mitä tietoja rekistereissämme on. Lisäksi tietosuojaselosteessa kerrotaan, mihin niitä käytetään. Asiakastiedon GDPR-palvelu vastaa siihen, miten tietoja ylläpidetään ja tarkistetaan avoimesti, luotettavasti ja GPRR:n vaatimusten mukaisesti.
2. Laadi prosessi valmiiksi kirjallisena: Minne tarkistuspyynnöt halutaan ohjata? Keskitetysti yhdelle henkilölle vai yleiseen sähköpostiin? Mitä sen jälkeen tapahtuu, ja kuinka pian? Onko meillä käytössä riittävän vahva mekanismi henkilöiden tunnistamiseen, etenkin jos on kyse arkaluontoisempien tietojen käsittelystä? Tässäkin kohtaa kannattaa pohtia, auttaisiko GDPR-palvelumme automatisoimaan prosessin sujuvaksi ilman ylimääräistä henkilöresurssin tarvetta.

Kuinka nopeasti yrityksen tulee reagoida tarkastuspyyntöihin?

Tarkastuspyynnön saatuaan rekisterinpitäjän on toimitettava rekisteröidylle tiedot ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta.
Tietojen poistaminen kokonaan (puhutaan myös oikeudesta tulla unohdetuksi) on kinkkisempi tapaus. Oikeus tulla unohdetuksi koskee pääasiassa vain niitä tietoja, joita henkilö on itsestään antanut rekisterinpitäjälle. Jos tietojen säilytys on tarpeen yrityksen sopimuksen, oikeutetun edun tai lakivelvoitteen takia, ei tietoja tarvitse tai edes saa poistaa. Jos esimerkiksi pyytää poistoa markkinointikannasta, koska ei halua enää markkinointiviestejä, niin yrityksen täytyy ylläpitää tietoa henkilöistä, jotka eivät viestintää halua. Näin ollen tietojen poisto ei ole mahdollista, vaikka henkilö sitä vaatisi.
Näinä ”some-raivon” aikoina kannattaa varautua siihen, että tarkastusoikeutta voidaan käyttää myös väärin, tarkoituksena aiheuttaa vaivaa ja kiusaa yrityksille. Näissäkin tapauksissa ennakkoon mietitty prosessi auttaa selviämään hankalasta tilanteesta. Jos huomaa, että joku käyttää tietojen tarkastusoikeutta vääriin tarkoituksiin, on yrityksellä oikeus valittaa tietosuojaviranomaiselle.

Tarvitsemmeko mekin oman tietosuojavastaavan?

Haluan vielä tässä yhteydessä muistuttaa yrityksen tietosuojavastaavan tarpeellisuudesta. Yritysten pitää nimittäin varmistaa, tarvitsevatko he erillistä tietosuojavastaavaa. Tietosuojavastaava tulee nimittää, kun:
a. on kyse julkisen sektorin organisaatiosta,
b. on kyse yli 250 hengen yrityksestä tai
organisaation ydintoimintoihin kuuluu arkojen henkilötietojen tai laajojen henkilötietorekistereiden käsittelyä.

Tietosuojavastaava toimii yhteyshenkilönä yrityksen, rekisteröityjen ja valvontaviranomaisten kanssa. Vastaavan henkilön yhteystiedot on pidettävä helposti saatavilla. Tietosuojavastaavan voi toki nimetä myös omaehtoisesti muissa tapauksissa.

Rami Meling
Liiketoiminnan kehityspäällikkö
Suomen Asiakastieto Oy