Yksilöiden oikeudet - ja velvollisuudet - kun uusi yleinen tietosuoja-asetus tulee voimaan.

Uusi tietosuoja-asetus keskittyy yksilön oikeuksiin

Henkilöillä, joiden henkilötietoja tallennetaan ja käsitellään, on uudessa yleisessä tietosuoja-asetuksessa (GDPR) laajennetut, vahvistetut ja täsmennetyt oikeudet verrattuna vanhaan henkilötietolakiin (PUL). Kun hoito henkilötietojen käyttö tarkoittaa näiden tietojen käyttöä. Yksilön oikeudet ovat seuraavat:

1. Oikeus saada tietoja - Henkilöllä, jonka henkilötiedot on tallennettu, on oikeus saada pyynnöstä ote henkilötiedoista ja tietoja siitä, milloin hänen henkilötietojaan käsitellään.
2. Oikeus tietojen oikaisemiseen - Oikeus saada virheelliset tiedot oikaistua ja/tai täydennettyä.
3. Oikeus tietojen poistamiseen ("oikeus tulla unohdetuksi") - tiedot poistetaan rekisteröidyn pyynnöstä.
4. Oikeus käsittelyn rajoittamiseen - Mahdollisuus vaatia (tietyissä tapauksissa), että henkilötietojen käsittelyä rajoitetaan eli että niitä käsitellään vain tiettyihin rajoitettuihin tarkoituksiin.
5. Tietojen siirrettävyys - Mahdollisuus (joissakin tapauksissa) siirtää henkilötietoja esimerkiksi yhdestä sosiaalisen median palvelusta toiseen.
6. Vastustamisoikeus - Oikeus vastustaa (tietyissä tapauksissa) henkilötietojen käsittelyä.
7. Automatisoitu päätöksenteko - Oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu yksinomaan jonkinlaiseen automatisoituun päätöksentekoon, jos päätöksellä on todennäköisesti oikeusvaikutuksia (tai vastaavia).
8. Valitukset - Kuka tahansa, jonka henkilötietoja käsitellään, voi tehdä valituksen tietosuojaviranomaiselle, joka sitten arvioi, olisiko valvonta aloitettava.
9. Vahingonkorvaus - Henkilöllä, jolle on aiheutunut vahinkoa siitä, että hänen henkilötietojaan on käsitelty tietosuojadirektiivin vastaisesti, voi olla oikeus vahingonkorvaukseen.

Uuden yleisen tietosuoja-asetuksen noudattaminen edellyttää henkilötietojen selkeää kartoittamista.

Jotta sinä ja yrityksesi voisitte täyttää kaikki nämä velvoitteet, teidän on ensinnäkin saatava käsitys henkilötietojen käsittelyn nykytilasta. Jos et esimerkiksi tiedä, missä tai mitä henkilötietoja käsitellään, et voi pyynnöstä poistaa tai muuttaa niitä.

Tietokartoituksessa olisi selvitettävä, mitä tietoja on olemassa, mihin järjestelmiin ne on tallennettu ja minkä kolmansien osapuolten kanssa tietoja jaetaan. Lisäksi on kartoitettava kaikki tietojen käsittelyyn liittyvät prosessit - aina tietojen keräämisestä siihen pisteeseen, jossa asiakas ei enää ole asiakkaasi.

Kuinka hyvin henkilötietosi ovat haettavissa

Suurin (ja usein ensimmäinen) ongelma, jonka monet kohtaavat tässä vaiheessa, on vaikeus etsiä ja tunnistaa tallennettuja henkilötietoja. Tämä voi johtua siitä, että henkilötietoja sisältävät asiakirjat ja tiedostot on tallennettu siten, että niitä ei voi hakea - USB-tikuille, paikallisesti jonkun tietokoneen työpöydälle, ulkoisille kovalevyille ja niin edelleen. Tai järjestelmät, joihin tiedot on tallennettu, eivät tarjoa riittäviä hakumahdollisuuksia. Järjestelmät olisi rakennettava siten, että ne täyttävät tietosuoja-asetuksen vaatimukset - niin sanottu sisäänrakennettu yksityisyys.

Uusi tietosuoja-asetus - ei Y2K-virhe.

Kun henkilötiedot on kartoitettu, ongelmat liittyvät usein menettelyjen ja prosessien suunnitteluun tapauksissa, joissa rekisteröity vastustaa henkilötietojensa käyttöä, haluaa tulla unohdetuksi tai saada otteita ja niin edelleen. Ongelmana on siis se, miten se toteutetaan käytännössä.

Se, että se, miten prosessit pitäisi toteuttaa, on vain ensimmäinen nimi. Tässä se näyttää hyvin erilaiselta yrityksestä toiseen sen suhteen, miten pitkälle ne ovat edenneet GDPR:ään valmistautumisessa. Tämä puolestaan riippuu usein siitä, otetaanko tietosuoja-asetuksen käyttöönoton seuraukset vakavasti vai ei. Jotkut uskovat edelleen, että kyseessä on jonkinlainen "vuosituhannen vaihteen vika" - tuomiopäivän ennustus, joka ei koskaan toteudu. Totuus on kuitenkin se, että tietosuoja-asetus tulee olemaan suurempi muutos kuin useimmat ihmiset ymmärtävät. EU on vaatinut jäsenvaltioilta lainsäädäntömuutoksia, mikä tarkoittaa, että noin 100 Ruotsin lakia on kirjoitettava uudelleen tietosuojadirektiivin hyväksi.

Ulkopuolisen avun ottaminen

Kartoitus ja täytäntöönpano eivät ole yksinkertaista, ja vain harvoilla yrityksillä on henkilöstössään asiantuntijoita, joilla on syvällinen tietämys uudesta tietosuoja-asetuksesta ja jotka voivat varmistaa, että mitään osaa työstä ei jätetä huomiotta. Siksi koulutus on tietenkin hyvä alku, jotta saadaan yleiskuva siitä, mitä GDPR:n noudattaminen edellyttää.

Seuraavaksi voitaisiin keskustella nykytilanteesta yksityiskohtaisesti ulkopuolisen tahon kanssa ja selvittää, mitä on tehtävä - esimerkiksi työpajassa. Tällaisen työpajan tuloksena olisi laadittava raportti tai tarkistuslista, josta käy selvästi ilmi, mitkä osat toimivat tällä hetkellä tietosuoja-asetuksen mukaisesti ja mitä on vielä tehtävä, jotta asetusta voidaan noudattaa täysimääräisesti. Siinä olisi myös ilmoitettava, missä järjestyksessä jäljellä olevat osat olisi saatava kuntoon, ja ehdotettava käytettävissä olevia ratkaisuja.

Monet myyjät, jotka väittävät tarjoavansa apua GDPR:n kanssa, eivät tarjoa konkreettisia ratkaisuja. Sen sijaan kyse on usein siitä, että sinä ja kollegasi ymmärrätte työn laajuuden. Jos siis otat ulkopuolista apua, varmista, että ratkaisut ovat käytännönläheisiä eivätkä vain neuvoa-antavia. Selvitä esimerkiksi, voiko toimittajasi tarjota teknisiä ratkaisuja, jotka voidaan integroida jo käyttämääsi IT-alustaan. Varmista, että ratkaisut ovat selkeästi paketoituja ja skaalautuvia - älä maksa enempää kuin mitä todella tarvitset. Varmista myös, että toimittajasi pystyy selkeästi osoittamaan, mitä yhteistyöstä odotetaan.