PWC Uutishuone
PWC Uutishuone

Henkilötiedon elinkaari ja tietosuoja yritystoiminnassa

Tietosuojan merkitys ajankohtaistuu yhä useamman yrityksen toiminnassa digitalisaation ja uuden tietosuoja-asetuksen myötä. Yritysten onkin nyt syytä tunnistaa henkilötiedon koko elinkaari omassa liiketoiminnassaan.

Henkilötiedon elinkaaren voi yrityksen näkökulmasta katsoa sisältävän lukuisia vaiheita tiedon keräämisestä, käsittelystä ja eteenpäin luovuttamisesta aina tiedosta luopumiseen ja käsittelyn päättymiseen. Henkilötietojen, jolla tässä yhteydessä viitataan esimerkiksi asiakkaisiin, työntekijöihin, tai muulla tavalla yritykseen liitännäisten henkilöiden tiedoilla, käsittelyllä voidaan parhaimmillaan saavuttaa lisäarvoa lisääntyneen ymmärryksen, tehostuneiden prosessien sekä luotettavamman hallinnon näkökulmasta. Henkilötiedon elinkaarta tulisikin yrityksissä ajatella isompana kokonaisuutena ja prosessina kuin pelkästään regulatiivisena projektiluonteisena harjoituksena.

Muutoksia yritysten tietosuojaympäristöön tuo uusi EU:n tietosuoja-asetus (2016/679). Asetusta tullaan soveltamaan 25.5.2018 alkaen, johon mennessä asetuksen vaatimat muutokset on implementoitava yritysten toimintaan. Sääntelyn näkökulmasta muutamia tietojen käsittelyyn liittyviä keskeisiä velvoitteita sisältyy tiedon käsittelyyn, säilyttämiseen, luovuttamiseen sekä tiedon profilointiin liittyviin säännöksiin. Nämä kaikki ovat keskiössä, kun yrityksessä suunnitellaan tiedon elinkaarta.

Tietosuoja-asetuksen 5 Artikla sisältää yleisperiaatteet henkilötietojen käsittelylle; lainmukaisuus, kohtuullisuus ja läpinäkyvyys, käyttötarkoitussidonnaisuus, tietojen minimointi, täsmällisyys ja säilytyksen rajoittaminen. Nämä periaatteet velvoittavat ja määrittävät tietoja käsittelevän yrityksen toimintaa koko tiedon elinkaaren ajan.

Elinkaaren alku, tiedon kerääminen

Tietojen kerääminen alkaa tyypillisesti asiakassuhteen tai esimerkiksi rekrytointiprosessin alussa. Tiedon keruun sitominen käyttötarkoitussidonnaisuuteen tarkoittaa yritykselle käytännössä, ettei henkilötietoa saa kerätä missä laajuudessa tahansa. Tietoa on hyväksyttävää kerätä ainoastaan määrättyä tarkoitusta varten eikä tätä kyseistä tietoa lähtökohtaisesti saa myöhemmin hyödyntää muulla tavalla. Onkin yrityksen vastuulla täyttää asianmukaiset velvoitteensa ennen tietojen käsittelyä ja käyttää tarvittavia tietoja ainoastaan siihen tarkoitukseen, johon on saatu tietojen omistajalta eli rekisteröidyltä tarkkarajainen suostumus. Tätä puoltavat myös 5 Artiklan periaatteet tiedon minimoinnista ja sen täsmällisyydestä.

Henkilötietojen on oltava hyväksyttävän luonteisia myös muun lainsäädännön näkökulmasta. Henkilötiedot tulee luokitella ja eri luokitteluihin kohdistuu rajoituksia myös muusta sääntelystä kuin tietosuoja-asetuksesta. Näitä rajoituksia ovat mm. rahanpesua, työntekijöitä, potilastietoja tai muita arkaluonteisia tietoja koskevat säännökset. Yrityksen on siten ennen tiedonkeruun aloittamista mietittävä tarkkaan tavoitteet, säilytysajat ja rajat tiedon keräämiselle, sillä erityyppisiä tietoja koskevat esimerkiksi erilaiset säilytysvaatimukset ja -ajat.

Tietojen käsittely

Henkilötietoja käsittelevän yrityksen on vastattava ja kyettävä osoittamaan koko tiedon elinkaaren ajan, että se noudattaa kaikessa toiminnassaan 5 Artiklan periaatteita. Tiedon käsittelyn on oltava ennen kaikkea suunniteltua. Rekisterinpitäjällä on myös velvollisuus asianmukaisten tietosuojatoimenpiteiden toteuttamisesta. Vastuuta ei voi ulkoistaa itseltään edes henkilötietojen käsittelyn ulkoistamisen kautta. Yrityksen on varmistuttava, että sen mahdolliset ulkopuoliset henkilötietojen käsittelijät toimivat tarvittavien tietosuojasäännösten mukaisesti.

Uudistuva tietosuojasääntely tulee asettamaan rajoitteita yrityksille, mutta myös avaamaan uusia liiketoimintamahdollisuuksia. Yrityksille voi avautua uusia mahdollisuuksia hyödyntää asiakkaita koskevia tietoja esimerkiksi markkinointitarkoituksiin automaattisen tiedonkäsittelyn kautta. Tämä tarkoittaa käytännössä henkilön henkilökohtaisiin ominaisuuksiin kohdistuvaa arviointia tämän tietoja käyttäen. Vaikka henkilöllä on jatkossa määrätyissä tapauksissa oikeus kieltäytyä joutumasta sellaisen päätöksen kohteeksi, joka perustuu automaattiseen profilointiin, mahdollistaa asetus kuitenkin edelleen laajalti tiedon profiloinnin ja sitä kautta tiedon tehokkaan hyödyntämisen liiketoiminnassa.

Rekisteröidyllä on tietosuoja-asetuksen myötä myös entistä vahvempi oikeus saada pääsy omiin tietoihinsa, saada omat tiedot siirretyksi rekisterinpitäjältä toiselle ja oikaista virheelliset tiedot. Yritysten on siten syytä olla valmiudessa korjaamaan tarvittaessa käsittelemiään tietoja ja myös informoimaan mahdollisista tietosuojaloukkauksista.

Tiedon elinkaaren lopussa

Yritys ei luonnollisesti saa säilyttää henkilötietoja hallussaan määräämätöntä aikaa. Henkilötiedon elinkaari yrityksessä päättyy, kun tiedon käyttötarkoitus tai yrityksen oikeus käyttää ja hyödyntää kyseistä tietoa päättyy. Tietosuoja-asetus sisältää säännöksen säilytyksen rajoittamisesta ja sen lisäksi yrityksen on huomioitava tiedon säilyttämiseen liittyvät spesifit voimassaoloajat, myös suhteessa muuhun lainsäädäntöön. Tiedon säilytystä on säännelty myös muualla lainsäädännössä, esimerkiksi työoikeuden, kirjanpidon tai rahanpesun osalta.

Tietosuoja-asetus sallii tiedon säilyttämisen tarpeellisen ajan tietojenkäsittelyn tarkoituksen toteuttamista varten. Tarpeellisen ajan käsite ei ole yksiselitteinen, mutta määräämätöntä aika tietojen käsittelyyn ilman perustetta tai asiakkaan suostumusta ei ole. Rekisteröidyllä on tietyissä tapauksissa oikeus vaatia vanhentuneiden henkilötietojen poistamista tai sellaisten tietojen poistamista, joita ei tarvita enää niihin tarkoituksiin, joita varten niitä kerättiin tai muutoin käsiteltiin. (”right to be forgotten”). On syytä korostaa, että yrityksen osoitusvelvollisuus tiedon oikeellisesta käsittelystä säilyy tiedon elinkaaren loppuun saakka.

Lopuksi voidaan todeta, että vaikka tietosuoja-asetus ja muu tietosuojaan liittyvä lainsäädäntö asettaakin rajoitteita yrityksille, tulee se myös avaamaan uusia liiketoimintamahdollisuuksia ja turvaamaan henkilöiden tehokkaan tietosuojan. Tiedostamalla henkilötietojen eri elinkaaren vaiheisiin liittyvät haasteet, rajoitteet ja mahdollisuudet, on yritysten mahdollista toimia tietoyhteiskunnassa parhaalla mahdollisella tavalla ja hyödyntää samalla hallussaan olevaa tietoa mahdollisimman tehokkaasti.