EU:n tietosuoja-asetus, osa 4/4: tietojen siirto ja sanktiot

Euroopan komission ehdotus uudeksi tietosuoja-asetukseksi rakentuu 11 luvusta, joiden sisältöä tarkastelen tässä blogissa artikkelisarjan muodossa nimenomaisesti asiakkuudenhallinnan toimintatapojen ja tietojärjestelmien näkökulmasta. Tässä sarjan viimeisessä artikkelissa käsittelen asetusehdotuksen V ja VIII lukuja eli henkilötietojen siirtoa kolmansiin maihin yms. ja seuraamuksia asetuksen noudattamatta jättämisestä.

Henkilötietojen siirto kolmansiin maihin tai kansainvälisille järjestöille

Asetusehdotuksen V luku käsittelee henkilötietojen siirtoa pois Unionin alueelta joko kolmansiin maihin tai kansainvälisille järjestöille.

CRM-maailmassa tällaisia siirtotilanteita ovat esimerkiksi CRM-palvelun hankkiminen pilvipalveluna EU:n ulkopuoliselta palveluntarjoajalta tai vaikkapa sähköpostimarkkinointityökalun hankinta yhdysvaltalaiselta yritykseltä. Molemmissa tapauksissa asiakastiedot siirtyvät joko kokonaan tai ainakin osittain Unionin ulkopuolelle.

Asetus sallii henkilötietojen siirron Unionin ulkopuolelle lähtökohtaisesti vain seuraavissa tilanteissa:

  • Euroopan komissio pitää kyseisen maan tietosuojaa riittävänä (41 artikla). Artiklan 2 kohdassa on listattu ne kriteerit, jotka komission on otettava huomioon tietosuojan tasoa arvioidessaan. Vastaavanlainen käytäntö on voimassa jo nykyisessä henkilötietolaissa (22 a §).
  • Kolmannessa maassa toimiva rekisterinpitäjä tai henkilötietojen käsittelijä antaa asianmukaiset takeet, joilla henkilötietojen suoja varmistetaan (42 artikla). Käytännössä tämä on helpointa toteuttaa käyttämällä sopimuksissa komission tai paikallisen valvontaviranomaisen antamia tietosuojaa koskevia vakiolausekkeita.
  • Siirto tapahtuu yritysryhmän sisällä ja siinä noudatetaan yritystä koskevia sitovia sääntöjä (43 artikla).
  • Siirto tapahtuu 44 artiklassa kuvatuissa poikkeustilanteissa.

Oikeussuojakeinot ja vastuut

Ehdotuksen VIII luku käsittelee oikeussuojakeinoja, vastuita ja seuraamuksia.

Varsinkin seuraamusten osalta kehitys on merkittävää. Tällä hetkellä seuraamukset rajautuvat lähinnä henkilötietolain 47 § vahingonkorvausvelvollisuuteen, saman lain 48 § rangaistussäännöksiin ja rikoslain 38 ja 40 lukuun (tieto- ja viestintärikokset sekä virkarikokset). Kaikki nämä ovat käytännössä henkilökohtaisia rangaistuksia, ja lähes aina ne annetaan sakkojen muodossa. Varsinaista organisaatiolle kohdistuvaa rangaistusta ei ole ollut, pl. henkilötietolain 46 § tietosuojavaltuutetulle antama oikeus asettaa uhkasakko. Asetusehdotus määrittää tuntuvat henkilö- ja organisaatiokohtaiset sanktiot. Näistä lisää vähän edempänä, mutta ensin asetusehdotuksen antamista oikeuksista.

73 artiklan antaa rekisteröidylle oikeuden valittaa minkä tahansa jäsenvaltion valvontaviranomaiselle, jos katsoo omia tietojaan käsitellyn asetuksen vastaisesti. Sama oikeus annetaan myös rekisteröityjä edustaville etujärjestöille.

Valituksen sijaan tai lisäksi on rekisteröidyn on mahdollista nostaa kanne rekisterinpitäjää tai henkilötietojen käsittelijää varten (75 artikla). Kanne voidaan nostaa joko rekisteröidyn tai rekisterinpitäjän kotimaassa.

77 artikla määrää rekisterinpitäjän korvaamaan aiheutuneet vahingot lainvastaisesta käsittelystä. Jos lainvastainen käsittely on tapahtunut useamman tahon toimesta, on korvausvastuu yhteisvastuullista.

Seuraamukset

Seuraamukset määritellään asetusehdotuksen 78 ja 79 artiklassa. Edellisessä erityisesti vielä todetaan, että seuraamusten on oltava tehokkaita, oikeasuhteisia ja varoittavia.

79 artikla antaa valvontaviranomaiselle valtuudet määrätä hallinnollisia seuraamuksia. Näitä ovat hieman lyhennettyinä ja yksinkertaistettuina:

Kirjallinen varoitus, jos:

  • asetusta rikottiin ensimmäistä kertaa ja rikkomus oli tahaton; ja
  • rikkomukseen syyllistyneen organisaation palveluksessa on alle 250 henkeä; ja
  • henkilötietojen käsittely ei ole organisaation pääasiallista toimintaa.

Sakkoa enintään 250 000 euroa tai 0,5 % vuotuisesta liikevaihdosta, jos rekisterinpitäjä tai muu:

  • ei perusta menettelyjä rekisteröityjen pyyntöjen käsittelyyn (esim. tiedonsaantioikeus, tietojen oikaisu, oikeus tulla unohdetuksi, oikeus tietojen poistoon); tai
  • ei vastaa näihin pyyntöihin viipymättä tai vaaditussa muodossa; tai
  • perii oikeuksien käyttämisestä maksua silloin, kun asetuksessa on ko. oikeus määrätty maksuttomaksi.

Sakkoa enintään 500 000 euroa tai 1 % vuotuisesta liikevaihdosta, jos rekisterinpitäjä tai muu:

  • ei anna rekisteröidylle tälle kuuluvia tietoja tai antaa ne puutteellisesti; tai
  • ei oikaise puutteellisia tietoja tai ilmoita oikaisuista niille tahoille, joille tietoja on luovuttanut; tai
  • ei noudata oikeutta tulla unohdetuksi; tai
  • poistaa tiedot silloin, kun ei saisi; tai
  • ei toteuta mekanismeja määräaikojen noudattamisen varmistamiseksi; tai
  • ei toteuta mekanismeja kolmansien osapuolten informoimiseksi tietojen poistosta; tai
  • ei toimita jäljennöstä henkilötiedoista sähköisesti; tai
  • estää rekisteröityä siirtämästä tietonsa toiseen sovellukseen; tai
  • ei määritä riittävästi yhteisten rekisterinpitäjien vastuita; tai
  • ei säilytä riittävässä määrin asetuksessa määrättyjä dokumentteja.

Sakkoa enintään 1 000 000 euroa tai 2 % vuotuisesta liikevaihdosta, jos rekisterinpitäjä tai muu:

  • käsittelee henkilötietoja ilman riittävää oikeusperustetta tai rekisteröidyn suostumusta; tai
  • käsittelee arkaluontoisia tietoja asetuksen vastaisesti; tai
  • ei noudata henkilötietojen käsittelyn vastustamista; tai
  • suorittaa profilointia asetuksen vastaisesti; tai
  • ei vahvista tarvittavia sisäisiä menettelyjä asetuksen noudattamiseksi; tai
  • ei nimitä edustajaa silloin, kun sellainen on nimitettävä; tai
  • antaa henkilötietoja toisen osapuolen käsiteltäväksi ilman, että asetuksen määräyksiä on noudatettu; tai
  • ei tee ilmoitusta tietoturvaloukkauksesta oikea-aikaisesti; tai
  • ei tee vaikutustenarviointia tai hanki sille ennakkohyväksyntää, jos sellainen olisi hankittava; tai
  • ei nimitä tietosuojavastaavaa tai varmista tämän toimintaedellytyksiä, jos tietosuojavastaava on nimitettävä; tai
  • siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle edellä kuvattujen vaatimusten vastaisesti; tai
  • ei noudata valvontaviranomaisen määräyksiä; tai
  • ei avusta valvontaviranomaista tämän tehtävissä.

Käytännössä siis melkeinpä minkä tahansa asetusehdotuksessa määrätyn toimenpiteen tai tehtävän suorittamatta jättäminen aiheuttaa merkittävän seuraamusriskin.

Lopuksi

Tässä artikkelissa käsiteltyjen asioiden osalta henkilötietojen siirtoon liittyvissä käytännöissä asetusehdotuksen tuomat muutokset eivät käytännön tasolla tunnu järisyttävän suurilta. Henkilötietoja on voitu siirtää jo aiemminkin, ja niiden osalta on ollut toimivia käytäntöjä. Seuraamukset sen sijaan ovat merkittävä ja tervetullut muutos. Aiemmin henkilökohtaisella tasolla olleet seuraamukset nousevat lisäksi organisaatiotasolle, ja tämä herätellee johtoa laittamaan asioita kuntoon, jos ne eivät vielä sitä ole. Pk-yrityksille tarjotaan yksi vapaudu vankilasta -kortti pieniä erehdyksiä varten, mutta sen jälkeen niidenkin on saatettava prosessit ja dokumentaatiot toimivalle tasolle.

Artikkelisarja asetusehdotuksen sisällön esittelystä päättyy tähän, mutta epäilemättä kirjoitan jatkossakin aiheesta ja siihen liittyvistä kysymyksistä. Kiitos kaikille, jotka jaksoivat kahlata nämä vahvasti artiklantuoksuiset tekstit läpi! Nyt jäämme odottamaan mielenkiinnolla, miten ehdotuksen käsittely etenee jäsenmaissa.

Kommentoi

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out /  Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out /  Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out /  Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out /  Muuta )

Muodostetaan yhteyttä palveluun %s

%d bloggers like this: