EU:n tietosuoja-asetus, osa 1/4: yleiset periaatteet

Euroopan komission ehdotus uudeksi tietosuoja-asetukseksi rakentuu 11 luvusta, joiden sisältöä tarkastelen tässä blogissa artikkelisarjan muodossa nimenomaisesti asiakkuudenhallinnan toimintatapojen ja tietojärjestelmien näkökulmasta. Tässä artikkelissa käsittelen asetusehdotuksen lukuja I ja II eli yleisiä säännöksiä ja periaatteita.

Asetusehdotus linjaa heti 1 artiklassa, että asetuksella ”suojellaan luonnollisten henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan.” Artiklassa todetaan myös tietojen vapaa siirto-oikeus Unionin sisällä: siirtoa ei voida ”rajoittaa tai kieltää syistä, jotka liittyvät yksilöiden suojeluun henkilötietojen käsittelyssä.” Muista syistä rajoitukset ovat siis mahdollisia, mutta käytännössä tavoitteena on mahdollistaa henkilötietojen vapaa liikkuvuus EU-alueella.

Soveltamisalat

Asetusta sovelletaan CRM-näkökulmasta kaikkeen henkilötietojen käsittelyyn, oli kyse sähköisestä tai paperisesta käsittelystä tai näiden yhdistelmästä. Tämänkään osalta ei ole muutoksia nykykäytäntöön.

3 artikla laajentaa asetuksen kattamaan myös EU:n ulkopuoliset toimijat silloin, kun ne käsittelevät EU-kansalaisten henkilötietoja tavaroiden tai palveluiden tarjoamiseen liittyen. Esimerkiksi Unionin ulkopuolisten verkkokauppojen on siis toimittava asetuksen mukaisesti silloin, kun ne käyvät kauppaa EU-alueelle. Samoin ”rekisteröityjen käyttäytymisen seurantaan” liittyviin toimenpiteisiin sovelletaan tätä asetusta, vaikka toimija olisikin Unionin ulkopuolella. CRM-maailmassa tämä tarkoittaa vaikkapa sosiaalisen median seurantapalveluita myyvien yritysten toimintaa ja niiden tietojen hankintaa.

Henkilötietojen käsittelyn periaatteet

5 artikla listaa selkeästi henkilötietojen käsittelyn periaatteet (lihavoinnit lisätty):

  • Henkilötietoja ”on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi.
  • Ne ”on kerättävä tiettyä nimenomaista ja laillista tarkoitusta varten”, eikä tuota tarkoitusta voi myöhemmin muuttaa radikaalisti.
  • Henkilötietojen ”on oltava asianmukaisia ja olennaisia ja niiden määrä on rajoitettava mahdollisimman vähään suhteessa niihin tarkoituksiin, joita varten niitä käsitellään”.
  • Tietojen ”on oltava täsmällisiä ja päivitettyjä”. Rekisterinpitäjän ”on tehtävä kaikki mahdollinen sen varmistamiseksi, että käsittelyn tarkoituksiin nähden virheelliset tiedot poistetaan tai oikaistaan viipymättä”.
  • ”Vastuu henkilötietojen käsittelystä kuuluu rekisterinpitäjälle, jonka on varmistettava ja osoitettava jokaisen käsittelytoimen osalta, että tämän asetuksen säännöksiä on noudatettu.”

Läpinäkyvyys on yksi asetuksen keskeisistä tavoitteista, ja nykyiseen henkilötietolakiin verrattuna uusi käsite. Tästä seuraa muutoksia CRM-maailmaan, sillä nykyisten CRM-järjestelmien tietoja ei parhaalla tahdollakaan voi luonnehtia läpinäkyviksi.

Asetuksessa mainittu käsiteltävien tietojen tarkoituksellisuus ja niiden määrän vähäisyys on tuttu asia nykyisestä henkilötietolaista (erit. 7 ja 9 §), mutta tässä se ilmaistaan selkeämmin: kaikelle tiedolle on oltava tarkoitus ja sitä on oltava niin vähän kuin mahdollista. Ehkä nyt saadaan siivottua CRM-järjestelmistä pois iänikuiset harrastuslistat ja muut liiketoiminnalle tarpeettomat tiedot?

Henkilötietolain 9 § painottaa jo nykyisellään tietojen virheettömyyttä, mutta asetuksessa korostetaan virheettömyyden tavoittelua ja siihen liittyvää vastuuta. Pääkäyttäjät ja CRM-omistajat: miten osoitatte tehneenne kaiken mahdollisen 50 000 kontaktin tietokannan virheettömyyden eteen?

5 artiklan viimeinen kohta, eli rekisterinpitäjien vastuutus ja velvoitus on yksi asetuksen keskeisiä kohtia. Enää ei riitä, että asiat hoituvat jotenkuten; on pystyttävä osoittamaan jokaisen käsittelytoimen osalta, että asetuksen säännöksiä on noudatettu. Asia on lisäksi varmistettava dokumentaatioiden ja liiketoimintaprosessien tasolla.

Käsittelyn lainmukaisuus

6 artikla on yksi asetuksen tärkeimmistä avainkohdista. Se määrittelee kuudella alakohdalla ne tilanteet, joissa henkilötietojen käsittely on lainmukaista. Jos yksikään edellytyksistä ei täyty, on käsittely laitonta.

CRM-kontekstissa sovellettaviksi tulee tavallisesti joku näistä kolmesta:

  • ”Rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistarkoitusta varten” (alakohta a).
  • ”Käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä” (alakohta b).
  • ”Käsittely on tarpeen rekisterinpitäjän oikeutetun edun toteuttamiseksi, paitsi milloin tämän edun syrjäyttävät henkilötietojen suojaa tarvitsevat rekisteröidyn edut tai perusoikeudet ja -vapaudet, erityisesti jos rekisteröity on lapsi.” (Alakohta f; tekstiä lyhennetty.)

Henkilötietolain 8 §:ään verrattuna muutokset ovat isoja. Henkilötietolaki antaa käsitellä tietoja, jos käsiteltävällä henkilöllä on esimerkiksi ”asiallinen yhteys rekisterinpitäjän toimintaan” tai käsittely koskee ”henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisössä tai elinkeinoelämässä” ja tiedot ovat yleisesti saatavilla ja tarpeellisia käsittelijälle. Varsinkin jälkimmäinen kohta on mahdollistanut B2B-CRM-järjestelmiin tietojen varsin liberaalin keruun potentiaalisesta markkinasta.

Asetuksen alakohdan a määrittämä suostumus ei ole mikään ohimennen ja epähuomiossa tapahtuva asia, vaan nimenomainen ja tietoisesti annettava ilmaisu. Suostumusta ei synny sillä, että jokin asia jätetään kieltämättä tai huomioimatta. Suostumus määritellään 4 artiklan 8 alakohdassa seuraavasti:

[Rekisteröidyn suostumuksella tarkoitetaan] mitä tahansa vapaaehtoista, yksilöityä, tietoista ja nimenomaista tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn joko antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen.

7 artiklassa vielä erikseen painotetaan, että rekisterinpitäjän on pystyttävä osoittamaan, että suostumus on annettu tiettyjä käsittelytarkoituksia varten. Ei siis riitä, että oletetaan suostumuksen olevan olemassa. Lisäksi määrätään, että jos suostumus annetaan kirjallisessa muodossa (esim. hyväksymällä tietyt sopimusehdot), ei se saa olla haudattuna muiden ehtojen joukkoon. Suostumuksenanto on esitettävä erillään kaikesta muusta.

Käytännössä suostumukseen pohjautuvan käsittelyoikeuden hankinta onnistuu helposti B2C-asiakkaiden verkossa tapahtuvassa kaupassa: asiakas hyväksyy ehdot, ja niiden pohjalta toimitaan. B2B-asiakkaissa tämä ei ole niin yksinkertaista silloin, kun toimitaan nimenomaisesti yritysten välillä. Toimintaan liittyvät yhteyshenkilöt ym. olisi pollattava yksitellen, ja tämä harvoin on käytännöllistä.

Annettu suostumus on peruutettavissa milloin tahansa.

Myös asetuksen alakohta b toimii hyvin B2C-maailmassa: sopimussuhde tai sen valmistelu on selkeästi tunnistettavissa ja siten käsittelyn lainmukaisuus osoitettavissa. B2B:ssä alakohdasta ei ole hyötyä, sillä yksittäiset henkilöt harvemmin ovat sopimusten osapuolia.

Alakohdan f oikeutettu etu lienee B2B-CRM-järjestelmien yleisin peruste jatkossa. Voitaneen esimerkiksi katsoa, että koulutustoimialan organisaatiolle on oikeutettu etu kerätä CRM-järjestelmäänsä kaikkien Suomen kuntien talousjohtajat tai kaikkien tietyillä toimialoilla toimivien organisaatioiden henkilöstöjohtajat. Periaatteellisesti ja käsitteenä oikeutettu etu on kuitenkin käsittelyperusteena selvästi rajatumpi kuin nykyisen henkilötietolain 8 §:n määrittämät yleiset edellytykset.

Useissa kohdissa asetusehdotusta lisäksi edellytetään, että rekisterinpitäjä kirjoittaa auki ja perustelee oikeutetut etunsa. Yksi näistä tilanteista on 14 artiklassa määritelty ilmoitusvelvollisuus rekisteröidylle tämän tietojen käsittelystä. Rekisterinpitäjän on myös jatkuvasti arvioitava oikeutettujen etujensa suhdetta rekisterin sisältöön ja siellä oleviin henkilöihin. Käytännössä esimerkiksi työpaikkaa vaihtaneen kontaktin tietojen säilyttämiselle CRM-järjestelmässä ei välttämättä ole enää perusteita, ja silloin tiedot on poistettava.

Arkaluonteisten tietojen käsittely

9 artiklassa määritellään tiedot, joiden käsittely on pääsääntöisesti kiellettyä:

  • rotu tai etninen alkuperä
  • poliittinen mielipide
  • uskonnollinen tai filosofinen vakaumus
  • ammattiliittoon kuuluminen
  • geneettiset tiedot
  • terveydentila
  • seksuaalisuus
  • rikostuomiot.

Lista ei ole muuttunut olennaisesti henkilötietolain vaatimuksista. Geneettiset tiedot on lisäys nykyiseen lainsäädäntöön, mutta sillä harvemmin on CRM-näkökulmaan liittyvää merkitystä.

Mielenkiintoinen huomio on, että 9 artiklan 2 kohdan e alakohdassa sallitaan kuitenkin edellä olevien tietojen käsittely silloin, kun rekisteröity on ne ”nimenomaisesti saattanut julkisiksi”. Nähtäväksi jää, mitä tämä tarkoittaa esimerkiksi sosiaalisen median kannalta. Helsingin Sanomien Jussi Ahlroth pohdiskeli tätä sivuavaa asiaa taannoin mielekkäällä tavalla.

Lopuksi

Tietosuoja-asetuksen I ja II luvut sisältävät merkittäviä muutoksia henkilötietojen käsittelyyn kaikkien CRM-työkaluja käyttävien organisaatioiden kannalta. Tietojen rajaus ja ajantasaisuuden pakollisuus ovat vaikeasti haltuunotettavia asioita monien vanhojen rekistereiden kannalta, eikä käsittelyn pitäminen lainmukaisenakaan tapahdu ihan ilmoitusluontoisesti.

B2B-liiketoiminnassa henkilötietojen käsittelyn lainmukaisuus – ja lainmukaiseksi saattaminen – 6 artiklan mukaisesti vaatii erityisiä ponnisteluita organisaatioilta. Käytännössä kyse on määrittely-, selvittely- ja perkausprojekteista, joissa nykyiset tietokannat tarkastetaan ja siivotaan lainmukaisiksi.

Kaikkien organisaatioiden kannalta radikaali muutos on 5 artiklan lopussa määritelty kattava vastuu säädöksien noudattamisesta ja siihen liittyvästä osoitusvelvollisuudesta. Tätä käsittelen myöhemmin lisää IV luvun osalta.

Artikkelisarjan seuraavassa osassa käsittelen asetusehdotuksen lukua III, eli rekisteröidyn oikeuksia.

Kommentoi

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out /  Muuta )

Google photo

Olet kommentoimassa Google -tilin nimissä. Log Out /  Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out /  Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out /  Muuta )

Muodostetaan yhteyttä palveluun %s

%d bloggers like this: