5 tyypillisintä virhettä, joita yritykset tekevät henkilötietoja käsitellessä - esimerkit kotimaasta
Euroopan unionin yleinen tietosuoja-asetus (GDPR) astui voimaan lähes 7 vuotta sitten, ja silti sen noudattamisessa yritykset kokevat haasteita. Asetuksen sääntely ja tavoitteet ymmärretään suurelta osin edelleen väärin, mikä altistaa yrityksiä erilaisille riskeille seuraamusmaksujen ohella.
Tässä artikkelissa käsittelemme 5 yleisintä virhettä, jota tehdään tietojen käsittelyn yhteydessä kotimaisia esimerkkejä hyödyntäen sekä selitämme auki hieman GDPR:n asettamia sääntöjä.
Mitä on tietosuoja ja miksi henkilötietoja tulee käsitellä oikein?
Tietosuoja turvaa luonnollisen henkilön, eli rekisteröidyn oikeuksien ja vapauksien toteutumisen tietojen käsittelyn yhteydessä. Tietosuojalla osoitetaan, että milloin ja millä edellytyksillä organisaatio käsittelee henkilötietoja. EU- ja EEA alueella asuvien henkilöiden tietoja käsitellään GDPR:n mukaisesti.
Henkilötietoja tulee käsitellä GDPR:n mukaisesti, sillä se ehkäisee tietoihin kohdistuvia väärinkäytöksiä ja suojelee rekisteröityjen yksityisyyttä.
Tietoturva ja tietosuoja ovat eri asioita
Tietoturva on tietosuojan toteuttamisen keino, jossa teknisillä toimenpiteillä turvataan käsiteltävät henkilötiedot ja niiden luottamuksellisuus, eheys sekä käytettävyys.
Tietoturvalla siis varmistetaan, että henkilötiedot ovat suojattu koko niiden elinkaaren ajan ja ettei niihin kohdistu väärinkäytöksiä, kuten hakkerointia. Lisäksi tietoturvalla voidaan ehkäistä tietojen muutoksia ja tuhoutumista.
Virhe 1: Tietojenkäsittelyn yleisten periaatteiden noudattamatta jättäminen
Usein organisaatiot tuppaavat unohtamaan taikka ymmärtämään väärin GDPR:n asettamat henkilötietojen käsittelyä koskevia periaatteita. Monesti organisaatiot vetoavat siihen, että heillä on oikeus käsitellä henkilötietoja rekisteröidyn suostumuksen perusteella.
Vaikka tämä pitää paikkansa, että tietoja saa käsitellä pelkän suostumuksenkin perusteella, tulee silti tietoja käsitellessä huomioida seuraavat periaatteet: tietoja tulee käsitellä lainmukaisesti, asianmukaisesti ja läpinäkyvästi; henkilötiedot voidaan kerätään vain tiettyä ja nimenomaista tarkoitusta varten; henkilötietojen tulee olla asianmukaisia, olennaisia ja rajoitettua siihen nähden, mikä on tarpeellista keräämisen tarkoitukseen nähden; henkilötietojen tulee olla täsmällisiä; henkilötietoja säilytetään muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tosiasiallisesti tarpeellista, ja; henkilötietoja tulee käsitellä tavalla, jolla varmistetaan, että tiedot pysyvät turvassa.
Esimerkiksi vuonna 2024 eräs elektroniikan jälleenmyyntiyritys sai tietosuojavaltuutetun toimiston seuraamuskollegiolta 856 000 euron seuraamusmaksun, sillä yritys ei ollut määritellyt kuinka kauan asiakkaiden asiakastilien tietoja säilytetään. Lisäksi yrityksen käytäntö, jossa verkko-ostosten tekeminen edellyttää asiakastilin luomista on tietosuojasääntöjen vastainen.
Virhe 2: Tietojen käsittelyn laillisuusperiaatteen laiminlyönti
Tietojen käsittely on lainmukaista vain, jos rekisteröity on antanut selkeän suostumuksensa henkilötietojensa käsittelyyn, tietojen käsittely on tarpeen sopimuksen täytäntöönpanoa varten, käsittely on tarpeellista yrityksen lakisääteisen velvollisuuden noudattamiseksi, käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi taikka käsittely on tarpeen yrityksen oikeutettujen etujen toteuttamiseksi.
Yhdenkin edellä mainitun ehdon täyttyessä riittää siihen, että tietojen käsittelyn katsotaan olevan lähtökohtaisesti lainmukaista. Useimmiten yritysten GDPR:n kompastuskivet liittyvät rekisteröityjen suostumuksiin käsitellä heidän henkilötietojansa. Rekisteröidyn suostumus tietojen käsittelylle tulee olla annettu vapaaehtoisesti, selkeästi sekä rekisteröidyn tulee ymmärtää, mihin on antamassa suostumustaan. Tulee myös muistaa, että annettu suostumus tulee voida peruuttaa rekisteröidyn toimesta.
Vuoden 2024 lopulla eräälle logistiikka-alan toimijalle määrättiin 2,4 miljoonan euron seuraamusmaksu. Tuo on tähän mennessä hintavin seuraamusmaksu Suomessa. Yritys oli luonut asiakkailleen automaattisesti sähköisen palvelun, ilman erillistä suostumusta asiakkailtaan. Lisäksi yritystä oli jo aikaisemmin ohjattu huomioimaan tietosuoja palvelujensa kehittämisessä. Yrityksen palvelussa oli ilmennyt teknisiä asetuksia, kuten automaattisesti aktivoituva valintakytkin ja valmiiksi rastitettu valintaruutu, jotka ovat GDPR:n vastaisia. Suostumusta ei ole tuolloin annettu vapaaehtoisesti, mikäli valintaruutu on rastitettu valmiiksi.
Virhe 3: Riittämätön yhteistyö valvontaviranomaisen kanssa
GDPR antaa valvontaviranomaisille hyvinkin laajat tutkintavaltuudet. Suomessa tietosuoja-asioita valvoo tietosuojavaltuutetun toimisto, jolla on oikeudet muun muassa päästä organisaation tiloihin ja tietoihin, jotka ovat tarpeen sen tehtävien suorittamista varten, määrätä organisaatio luovuttamaan tietoja, jotka liittyvän henkilötietojen käsittelyyn, antaa huomautuksia organisaatioille ja asettaa kieltoja organisaatioille henkilötietojen käsittelylle.
Vuonna 2022, eräälle telemarkkinointiyritykselle määrättiin 8300 euron seuraamusmaksu, sillä se ei ollut ryhtynyt toimenpiteisiin rekisteröidyn oikeuksien toteuttamiseksi valvovan viranomaisen määräyksestä. Tapauksessa oli kyse siitä, että telemarkkinointiyrityksen asiakkaalle ei annettu pääsyä puhelutallenteeseen, jossa itse oli mukana. Valvontaviranomainen oli määrännyt yrityksen luovuttamaan puhelutallenne rekisteröidylle, mutta näin yritys ei kuitenkaan ollut toiminut.
Rekisteröidyllä on oikeus päästä käsiksi itseään koskeviin tietoihin, joita organisaatiot käsittelevät. Pyyntö päästä omiin tietoihin käsiksi on toteuttava välittömästi ja toimittaa sellaisessa muodossa, että se on rekisteröidyn luettavissa.
Virhe 4: Tietoturvan laiminlyönti
Tietosuoja ja tietoturva kulkevat käsi kädessä, vaikka ovat eri asioita. GDPR:n mukaan, organisaatioiden tulee varmistaa käsittelyn riskiin nähden asianmukaiset tekniset ja organisatoriset toimenpiteet turvallisuuden säilyttämiseksi. Näitä toimenpiteitä ovat muun muassa henkilötietojen salaus ja pseudonymisointi, kyky taata palveluiden luottamuksellisuus sekä kyky palauttaa nopeasti tietojen saatavuus teknisen vian sattuessa.
Vuoden 2024 lopulla eräälle lainavertailupalveluja tarjoavalle yritykselle määrättiin lähes miljoonan euron seuraamusmaksu heikon tietoturvan vuoksi. Yrityksen asiakkaiden lainahakemustiedot olivat ulkopuolisten saatavilla henkilökohtaisten linkkien kautta. Palvelussa ei ollut riittäviä rajoituksia, joilla estettäisiin ulkopuolisten pääsy lainahakemustietoihin.
Tietosuojavaltuutetun tutkinnassa selvisi myös, että yrityksen verkko-osoitteisiin oli kohdistunut kalastelua ja henkilötietoja oli jo vuotanut ulkopuolisille. Linkkien kautta oli siis mahdollista todeta lainanhakijan tulot, asumismenot ja siviilisääty.
Vaikka GDPR ei luokittele taloudellista asemaa kuvaavia tietoja arkaluontoisiksi tiedoksi taikka erityisiksi henkilötietoryhmiksi, mutta ovat ne kuitenkin tietoja, joita rekisteröidyt eivät välttämättä toivoisi ulkopuolisten tietävän.
Organisaation tietoturvaa voidaan jo kohentaa pienillä toimenpiteillä, kuten sisäisten ohjeiden laatimisella henkilöstölle, jotka käsittelevät tietoja. Esimerkiksi laatimalla organisaatiolle sisäiset ohjeet työntekoon tarkoitettujen laitteiden käyttöön, on yksi jo askel isommassa tietoturvaa edistävissä toimenpiteissä.
Virhe 5: Henkilöstöä ei ole koulutettu tarpeeksi
GDPR on asettanut organisaatioita koskevia sitovia sääntöjä. Yksi näistä säännöistä on organisaation velvollisuus varmistaa, että henkilöstö, jolla on pysyvä taikka säännöllinen pääsy henkilötietoihin, on asianmukaisesti koulutettua.
Organisaation tulee esimerkiksi huolehtia siitä, että henkilöstöllä on oikeanlaiset työvälineet henkilötietojen käsittelyssä, miten ja mitä henkilötietoja saa käsitellä ja miten toimia poikkeamatilanteissa.
Henkilöstöä kouluttaessa on hyvä tunnistaa organisaation keskeisimmät tietosuoja- ja tietoturvariskit, joiden pohjalta lähteä rakentamaan koulutusta. Usein organisaatiot kouluttavat henkilöstöään ulkopuolisella toimijalla. Usein asianajotoimistot tarjoavat räätälöityjä palveluita ja koulutuksia tarpeen mukaan.
Vältä seuraamusmaksut
Usein tietosuoja-asiat koetaan organisatorisena taakkana, mutta kuten aikaisemmista kotimaisista esimerkeistä käy ilmi, on tietosuoja-asioiden laiminlyönnillä todellisia sekä hintavia seuraamuksia, mikäli tietosuojaa ei toteuteta GDPR:n mukaisesti.
Organisaatiot erehtyvät siinä, etteivät ne käsittele henkilötietoja taikka heidän toimintansa ei välttämättä liity tietosuoja-asetuksen vaatimuksiin. Jokaisen yrityksen, joka kerää, säilyttää ja käyttää asiakkaidensa taikka työntekijöidensä henkilötietoja, tulee noudattaa GDPR:n asettamia vaatimuksia.
Lisäksi tietosuojan toteuttaminen ei myöskään ole vain sääntelyvaatimusten täyttämistä, vaan myös osa nykyaikaista ja vastuullista liiketoimintaa, jolla vahvistetaan kuluttajaluottamusta sekä tietoturvaa. Tietosuojan toteuttaminen ei tapahdu itsestään, vaan se vaatii jatkuvaa huomiota, osaamisen kehittämistä sekä selkeitä käytäntöjä.