EU:n tietosuoja-asetus, osa 2/4: rekisteröidyn oikeudet

Euroopan komission ehdotus uudeksi tietosuoja-asetukseksi rakentuu 11 luvusta, joiden sisältöä tarkastelen tässä blogissa artikkelisarjan muodossa nimenomaisesti asiakkuudenhallinnan toimintatapojen ja tietojärjestelmien näkökulmasta. Tässä artikkelissa käsittelen asetusehdotuksen III lukua eli rekisteröidyn oikeuksia.

Luvun keskeisiä sisältöjä ovat henkilötietojen käsittelyn läpinäkyvyys, rekisteröidyn informointi- ja tiedonsaantioikeus, tietojen oikaisuihin ja poistoihin liittyvät asiat sekä rekisteröidyn oikeus vastustaa omien tietojensa käsittelyä.

Tutustutaan ensin rekisteröidyn käsitteeseen, sillä hänen oikeuksistaan on tässä luvussa kyse. Asetusehdotuksen 4 artikla määrittää rekisteröidyn seuraavasti:

[Rekisteröidyllä tarkoitetaan] luonnollista henkilöä, joka on tunnistettu tai tunnistettavissa suoraan tai epäsuorasti keinoin, joita joko rekisterinpitäjä tai muu luonnollinen tai oikeushenkilö voi kohtuuden rajoissa käyttää, erityisesti henkilönumeron, sijaintitiedon, internet-tunnisteiden taikka yhden tai useamman henkilölle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurisen tai sosiaalisen tekijän perusteella.

Käsite on siis laaja. Mikä tahansa tietojärjestelmässä oleva henkilö on asetuksen kannalta rekisteröity henkilö, jos hänet on edes epäsuorasti tunnistettavissa sieltä.

Läpinäkyvyys

11 artikla määrää, että kaiken henkilötietojen käsittelyä koskevan viestinnän on oltava läpinäkyvää. Henkilötietoja koskevat viestit ja tiedot on toimitettava rekisteröidylle ymmärrettävässä muodossa ja selkeällä sekä yksinkertaisella kielellä. Lisäksi rekisterinpitäjien on laadittava henkilötietojen käsittelyä ja rekisteröityjen oikeuksien käyttöä varten läpinäkyvät toimintatavat, joiden on oltava helposti saatavilla.

Ilmoittaminen, tiedonsaanti ja oikaisu

14 artikla edellyttää, että rekisteröidylle ilmoitetaan tämän tietojen käsittelystä. Ilmoitus tehdään tietojen keruun yhteydessä, tai jos tietoja ei kerätä rekisteröidyltä, ”silloin kun tietoja tallennetaan tai kohtuullisen ajan kuluttua tietojen keräämisestä”. Artiklan 5 kohta listaa poikkeukset ilmoitusvelvollisuuteen.

Informointivelvollisuus on käsitteenä tuttu nykyisen henkilötietolain 24 §:stä. Velvollisuutta on kuitenkin laajennettu ja sen sisältöä monipuolistettu, eli nykyisin voimassa olevien sisältövaatimusten lisäksi rekisteröityä on informoitava mm.:

  • Käsittelyn tarkoituksesta ja perusteista 6 artiklassa määritellyn mukaisesti. Rekisterinpitäjän on siis pystyttävä kertomaan, perustuuko henkilötietojen käsittely rekisteröidyn antamaan suostumukseen, sopimussuhteeseen vai johonkin muuhun asetuksessa mainittuun seikkaan. Lisäksi, jos käsittely perustuu sopimusehtoihin, on nämä pystyttävä yksilöimään. Ja jos käsittely perustuu rekisterinpitäjän oikeutettuihin etuihin, on myös ne yksilöitävä.
  • Henkilötietojen lähteestä.
  • Henkilötietojen säilytysajasta.
  • Oikeudesta pyytää näitä tietoja rekisterinpitäjältä, oikeudesta pyytää tietojen oikaisua ja oikeudesta vastustaa henkilötietojen käsittelyä.
  • Oikeudesta tehdä valitus valvontaviranomaiselle ja tämän yhteystiedoista.

14 artiklan 1 kohta sisältää täyden listauksen annettavista tiedoista. Lisäksi 20 artiklan 4 kohta määrää, että jos rekisteröidyn tietoja on käytetty profilointiin, on tästä myös erikseen kerrottava rekisteröidylle ja arvioitava profiloinnin vaikutuksia ja seurauksia.

CRM-järjestelmien kannalta ilmoitusvelvollisuuteen liittyy mielenkiintoisia käytännön kysymyksiä:

  • CRM-järjestelmässä on usein monentasoisia kontakteja, eli asiakkaita, näiden yhteyshenkilöitä ja prospekteja ym. markkinointikantaa. Monilla toimialoilla on lisäksi samassa järjestelmässä sekä B2B- että B2C-asiakkaita. Käsittelyn tarkoitus ja perusteet on kuitenkin pystyttävä esittämään jokaiselle rekisteröidylle tälle relevantilta kannalta. Siinä missä tähän saakka on selvitty yleisellä rekisteriselosteella, tarvittaneen jatkossa asiakas- tai ainakin asiakasryhmäkohtaisia selosteita.
  • Henkilötietojen jäljitettävyyteen on kiinnitettävä entistä parempaa huomiota, ja joiltain osin jäljitettävyys on vietävä tieto- tai tietoryhmätasolle. Läpinäkyvyys edellyttää, että rekisteröidylle pystytään kertoa, mistä juuri hänen tietonsa ovat peräisin. Vastaukseksi ei siis riitä, että tietoja saattaa olla tullut sopimuspapereista, asiakaspalvelukeskuksesta ja Fonectasta ostettuna.

Teknisenä ratkaisuna näihin kysymyksiin voisi toimia älykäs raportti, joka osaa asiakaskohtaisesti kertoa, mistä ja miten asiakkaan tiedot ovat rakentuneet ja millä perusteilla niitä käytetään.

Kun rekisteröity haluaa tarkastaa omien tietojensa käyttöä, on tälle 12 artiklan mukaan annettava vastaus kuukauden kuluessa pyynnöstä. Rekisterinpitäjän on toimitettava joko pyydetyt tiedot tai tieto siitä, että tietoja ei ole tai että niitä ei käsitellä. Rekisteröity voi myös tarkastaa vain sen, käsitelläänkö tämän tietoja vai ei.

15 artiklassa määritellään tarkastuspyynnön vastauksessa annettavat tiedot. Ne ovat (lihavointi ja hakasulkeissa oleva kommentti lisätty):

  • käsittelyn tarkoitukset;
  • kyseessä olevat henkilötietojen ryhmät;
  • vastaanottajat tai vastaanottajaryhmät, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa, erityisesti kolmansissa maissa olevat vastaanottajat;
  • henkilötietojen säilytysaika;
  • tieto siitä, että rekisteröidyllä on oikeus pyytää rekisterinpitäjää oikaisemaan tai poistamaan rekisteröityä koskevat tiedot tai vastustaa niiden käsittelyä;
  • tieto siitä, että rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, ja viranomaisen yhteystiedot;
  • käsiteltävät henkilötiedot ja kaikki tietojen alkuperästä käytettävissä olevat tiedot;
  • käsittelyn merkitys ja mahdolliset seuraukset ainakin 20 artiklassa [profilointiin perustuvat toimenpiteet] tarkoitettujen toimenpiteiden osalta.

Toiseksi viimeisen kohdan lihavoitu osa asettaa erityisiä vaatimuksia organisaatioiden tietojenkäsittelylle, sillä tietojen on lähtökohtaisesti oltava jäljitettävissä alkuperäiseen lähteeseensä.

Käytännön tasolla merkittävä muutos nykyiseen käytäntöön on, että jatkossa tarkastuspyynnön voi tehdä sähköisesti. Tällöin myös tiedot on annettava sähköisesti, ellei asiakas toisin pyydä.

16 artikla määrää oikeuden saada virheelliset tiedot oikaistua, ja se on sisältönä tuttu jo vanhastaan. Oikeutta on täydennetty 13 artiklalla, joka määrää, että tietojen oikaisusta on informoitava myös niitä tahoja, joille tietoja on luovutettu.

Tietojen poistaminen ja rajoitettu käsittely

17 artiklassa luotava oikeus tulla unohdetuksi ja poistaa tiedot on merkittävä uudistus. Rekisteröity voi vaatia tietojensa poistoa, jos jokin seuraavista edellytyksistä täyttyy:

  • Tietoja ei enää tarvita siihen tarkoitukseen, jota varten ne kerättiin.
  • Rekisteröity peruuttaa antamansa suostumuksen tietojen käsittelylle (tätä voidaan soveltaa, jos tietojen käsittely on perustunut nimenomaisesti rekisteröidyn antamaan suostumukseen).
  • Rekisteröity vastustaa tietojensa käsittelyä 19 artiklan mukaisesti (tästä lisää edempänä).
  • Tietojenkäsittely ei muista syistä ole asetuksen mukaista.

Mikäli jokin edellytyksistä täyttyy, on rekisterinpitäjän lähtökohtaisesti poistettava henkilötiedot. Artiklan 3 kohta listaa tilanteet, joissa tietoja ei tarvitse poistaa, mutta ne eivät käytännössä liity asiakastietojärjestelmiin.

Poiston sijaan on tietyissä tilanteissa rajoitettava käsittelyä, joka on asetusehdotuksen tuoma uusi käsite. Käytännössä rajoitettu käsittely tarkoittaa, että henkilötietoja ”saa, säilyttämistä lukuun ottamatta, käsitellä ainoastaan todistelua varten tai rekisteröidyn suostumuksella tai toisen luonnollisen tai oikeushenkilön oikeuksien suojaamiseksi tai yleistä etua koskevan tavoitteen vuoksi.”

17 artiklan mukaan rekisterinpitäjän on poiston sijaan rajoitettava käsittelyä, jos:

  • Rekisteröity kiistää tietojen paikkansapitävyyden, ja asia vaatii selvittelyä.
  • Tietoja ei enää tarvita rekisterinpitäjän tehtävien suorittamista varten, mutta niitä saatetaan tarvita todisteluun.
  • Lainvastaisen käsittelyn tapahduttua rekisteröity itse vastustaa tietojen poistoa ja vaatii niiden käytön rajoittamista.
  • Rekisteröity haluaa siirtää henkilötietonsa toiseen järjestelmään.

Jos henkilötietojen käsittelyä on rajoitettu, on rekisteröidylle erikseen ja etukäteen ilmoitettava ennen kuin rajoitus puretaan.

CRM-maailmassa tietojen poisto ei ole uusi asia, joskin sitä on harvoin toteutettu. Tietojen rajoitettu käsittely on uusi asia, johon ei kaupan hyllyllä olevista järjestelmistäkään löydy valmista toiminnallisuutta. Käytännössä rajoitettu käsittely näyttää edellyttävän, että tällaiset tiedot rajataan pois päivittäisestä käytöstä (ts. ne poistetaan useimpien käyttäjien näkyviltä) ja että ne suojataan kaikenlaisilta muutoksilta. Niitä ei myöskään saa enää toimittaa eteenpäin kolmansille osapuolille (esim. tuoreutus- ja analytiikkakumppanit, postituspalvelut jne.).

Kuten tietojen oikaisussa, myös poistossa ja käsittelyn rajoituksessa on rekisterinpitäjän informoitava niitä tahoja, joille se on tietoja luovuttanut.

Oikeus tietojen siirtoon

18 artikla luo oikeuden siirtää omat tiedot järjestelmästä tai palvelusta toiseen. Rekisteröidyllä on oikeus saada omat tietonsa jäsennellyssä ja yleisesti käytetyssä muodossa, ja siirtää ne edelleen. Oikeuden osalta ei määritellä tarkemmin siirtokohdetta. Se voi käytännössä olla kilpaileva palveluntarjoaja tai vaikka rekisteröidyn oma tietojärjestelmä, jonka avulla hän voi tutustua itsestään kerättyihin tietoihin.

Tulevaisuudessa tämä oikeus voi luoda mielenkiintoisia mahdollisuuksia esimerkiksi myydä omia tietojaan.

Henkilötietojen käsittelyn vastustaminen

19 artiklan mukaan rekisteröity voi milloin tahansa vastustaa henkilötietojensa käsittelyä, jos se on perustunut rekisterinpitäjän oikeutetun edun toteuttamiseen (artikla mainitsee myös kaksi muuta mahdollisuutta, mutta ne eivät ole CRM-maailman kannalta olennaisia). Tämän vastustuksen voi syrjäyttää vain pakottava perusteltu syy, joka rekisterinpitäjän on voitava osoittaa. CRM-kontekstissa se tuskin onnistuu helposti.

Vastustus voi myös liittyä suoramarkkinointiin, eli se voi olla kannanotto postitus- tai muuhun markkinointikieltoon liittyen. Mahdollisuutta kieltää omien tietojensa käyttö suoramarkkinointiin on tarjottava rekisteröidyille nimenomaisesti ja ymmärrettävällä tavalla. Mahdollisuus on viestittävä selkeästi muusta tiedotuksesta erillään.

Profilointi

20 artiklan 1 kohta linjaa profilointiin liittyviä lähtökohtia:

Jokaisella luonnollisella henkilöllä on oikeus olla joutumatta sellaisen toimenpiteen kohteeksi, joka aiheuttaa hänelle oikeusvaikutuksia tai vaikuttaa häneen merkittävällä tavalla ja joka on tehty ainoastaan automaattisen tietojenkäsittelyn perusteella hänen tiettyjen henkilökohtaisten ominaisuuksiensa arvioimista tai erityisesti hänen ammatillisen suorituskykynsä, taloudellisen tilanteensa, sijaintinsa, terveytensä, henkilökohtaisten mieltymystensä, luotettavuutensa tai käyttäytymisensä analysoimista tai ennakoimista varten.

Saman artiklan 2 kohta määrittää, että profilointi CRM-maailmassa on mahdollista vain jonkin sopimuksen tekemisen tai täytäntöönpanon yhteydessä, tai rekisteröidyn nimenomaisella suostumuksella.

Käytännössä siis asiakastietojen analysoinnille asetetaan reilusti suitsia. Tulee olemaan mielenkiintoista nähdä, miten tämä käytännössä toteutuu, ja mitä seurauksia rajoituksista on.

Ja kuten edellä jo totesin, on 14 artiklan mukaisesti tietojenkäsittelystä rekisteröidylle informoitaessa kerrottava myös, onko rekisteröity joutunut profiloinnin kohteeksi. Lisäksi on arvioitava profiloinnin vaikutuksia rekisteröidylle.

Lopuksi

Vaikka II luvun otsikkona onkin rekisteröidyn oikeudet, on käytännössä monessa kohdassa kyse rekisterinpitäjän velvollisuuksista. Edellisessä artikkelissa mainitsemani kattava vastuu säädöksien noudattamisesta konkretisoituu tässä luvussa: rekisterinpitäjien on luotava tarvittavat menettelyt ja mekanismit erilaisten rekisteröidyn oikeuksien toteuttamiseksi, varmistettava että organisaatiossa henkilötietoja käsittelevät tuntevat nämä menettelyt ja varmistettava, että niitä todellakin noudatetaan. Näistä lainsäätäjä on laatinut artiklat 12 ja 13.

Käytännössä vastuut tarkoittavat merkittäviä panostuksia dokumentaatioihin ja henkilöstön koulutukseen. Myöskään seurantaan ja valvontaan liittyviä panostuksia ei pidä unohtaa.

Artikkelisarjan seuraavassa osassa käsittelen rekisterinpitäjien ja henkilötietojen käsittelijöiden velvollisuuksia.

Kommentoi

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out /  Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out /  Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out /  Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out /  Muuta )

Muodostetaan yhteyttä palveluun %s

%d bloggers like this: