Osaatko tulkita ja soveltaa EU:n tietosuoja-asetusta?

Osaatko tulkita ja soveltaa EU:n tietosuoja-asetusta?

EU:n tietosuoja-asetus edellyttää, että jo tämänhetkiset henkilötietojen käsittelyt saatetaan asetuksen mukaisiksi kahden vuoden siirtymäajan kuluessa. Rekisterinpitäjällä on siis velvollisuus arvioida nykyiset toimintamallinsa asetusta tulkiten ja järjestää menettelynsä uudelleen siltä osin kuin toiminta ei vastaa asetuksen vaatimustasoa.

1000

Tämä arviointivelvollisuus alkaa jo käsittelyn oikeusperusteiden tarkistamisesta, sillä ainoastaan rekisteröidyn suostumukseen perustuva käsittely on erityisasemassa. Sen osalta on todettu, että nykyisen henkilötietodirektiivin mukaisia suostumuksia ei tarvitse uusia, kunhan suostumukset on kuitenkin annettu asetuksen tarkoittamalla tavalla vapaaehtoisesti, selkeästi ja peruutusoikeudesta tietoisina. Nykyiset muut käsittelyn oikeusperusteet on arvioitava asetusta tulkiten, ja henkilötietojen käsittely mahdollisesti pyrittävä järjestämään uudelleen siltä osin kuin toiminta ei vastaa asetusta.  

Asiakasrekisteri on esimerkki henkilörekisteristä, jonka tietojen käsittelyä täytyy asetus huomioon ottaen arvioida uudelleen jo käsittelyn oikeusperusteesta lähtien. Henkilötietolakia sovellettaessa käsittelyn oikeusperusteena on tyypillisesti asiakassuhteeseen perustuva asiallinen yhteys. Asetuksessa ei kuitenkaan ole täysin samanlaista artiklaa, vaan asetuksessa säädetään rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamisesta, jolloin tavanomaisissa tapauksissa oikeusperuste täyttyy asiakassuhteen muodostaessa rekisterinpitäjän ja rekisteröidyn välille asetuksen edellyttämän merkityksellisen ja asianmukaisen suhteen.

Rekisterinpitäjän tulkittava henkilötietojen käsittelyä koskevia periaatteita

Käsittelyn tarkoituksia arvioidessaan rekisterinpitäjän on tulkittava asetuksen mukaista käyttötarkoitussidonnaisuuden periaatetta, joka edellyttää jo sanamuotonsa mukaan tyhjentävää tarkoitusten yksilöintiä tietoja kerättäessä. Asetuksessa on edellytetty tiettyjen, nimenomaisten ja laillisten tarkoitusten määrittelyä, eikä henkilötietoja saa myöhemmin käsitellä näiden tarkoitusten kanssa yhteen sopimattomalla tavalla.  Jos asiakastietojen käsittelyn tarkoitukset on tällä hetkellä määritelty epätarkasti käsittäen esimerkiksi asiakassuhteen hallinnan ja hoitamisen, voidaan esimerkiksi pohtia, saadaanko asetuksen mukaan kyseisten tarkoitusten puitteissa rekisteröityihin kohdistaa markkinointiviestintää, vaikka sen voitaisiinkin liiketoiminnan näkökulmasta katsoa kuuluvaksi osaksi tavanomaista asiakassuhteiden hoitamista. 

Asetuksen mukaan muut käsittelytarkoitukset ovat sallittuja ainoastaan, jos ne ovat yhteensopivia ottaen huomioon muun muassa käsittelytarkoitusten väliset yhteydet, ja silloinkin rekisteröidylle on ilmoitettava asiasta ennen kyseistä jatkokäsittelyä. Tältä osin rekisterinpitäjän täytyy tulkita asetuksen asettamia vaatimuksia myös ottaen huomioon asetuksen tavoite suojella luonnollisia henkilöitä henkilötietojen käsittelyssä ja toisaalta tavanomaisten asiakastietojen tyypillisten käsittelyjen pienemmät tietosuojariskit.

Käsittelyn toimintojen osalta rekisterinpitäjän olisi hyvä havaita, että vaikka
asetuksessa ei ole nimenomaisesti velvoitettukaan toimittamaan rekisteröidyille tietoja kaikista käsittelyn toiminnoista, käsittelyn laillisuuden arvioinnissa niitä tarkastellaan ottaen huomioon käsittelyn oikeusperuste sekä muun muassa käyttötarkoitussidonnaisuuden periaate. Henkilötietojen luovuttaminen, henkilötietojen siirto kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle ja profilointi ovat asetuksessa erityisessä asemassa siten, että niitä koskien on säädetty rekisterinpitäjän velvollisuudesta toimittaa rekisteröidylle tietoja.

Vaikka asetus eroaa henkilötietolaista siinä, että henkilötietolain mukainen asiakastietojen luovuttamisen lisäedellytys puuttuu, asetuksen mukaisten henkilötietojen käsittelyä koskevien periaatteiden tulkinta käytännössä rajoittanee luovuttamisen mahdollisuuksia. Myös asetuksessa säädetty rekisteröidyn nimenomainen oikeus vastustaa henkilötietojen käsittelyä, kun henkilötietoja käsitellään rekisterinpitäjän oikeutetun edun perusteella, saattaa konkretisoitua juuri asiakastietojen luovutustilanteissa.

Myös tämänhetkisillä periaatteilla edelleen merkitystä

Asetuksessa ei ole säännelty tarkemmin esimerkiksi rekisterinpitäjien välisten
luovutussopimusten sisältöä. Koska asetus edellyttää henkilötietojen käsittelyltä lainmukaisuutta, asianmukaisuutta ja läpinäkyvyyttä ja velvoittaa rekisterinpitäjän vastaamaan tämän toteutumisesta osoitusvelvollisuuden mukaisesti, rekisterinpitäjällä lienee kuitenkin edelleen velvollisuus varmistaa, että vastaanottava rekisterinpitäjä sitoutuu muun muassa henkilötietojen käsittelytarkoituksiin, eikä asetuksen vaikenemista voida pitää osoituksena sopimusten tarpeettomuudesta. Luovutuksen edellytyksenä lienee myös edelleen se, että vastaanottajalla on omasta puolestaan laillinen oikeus käsitellä henkilötietoja.

Edellä kuvattu yksinkertainen esimerkki osoittaa, kuinka jopa tavanomaisen asiakasrekisterin sovittaminen asetuksen säännösten ympäristöön ja käsittelyn laillisuuden arviointi edellyttävät käsitystä tietosuojajuridiikan perusteista ja asetuksen tulkintaa. Tehtävän vaativuudesta huolimatta rekisterinpitäjällä on velvollisuus asetuksen sanktioiden uhalla saattaa tosiasialliset käsittelyprosessit ja niitä koskeva dokumentaatio mukaan lukien henkilötietojen käsittelyä koskevat sopimukset asetuksen vaatimusten mukaisiksi.

Miten KPMG voi auttaa?

Tulkintatehtävää ei kuitenkaan tarvitse suorittaa yksin, sillä KPMG:n lakipalvelujen tietosuojajuristit avustavat sinua ratkaisemaan asetuksen asettamat haasteet. Teemme myös aktiivista yhteistyötä KPMG:n tietoturvapalvelujen asiantuntijoiden kanssa, ja käymme jatkuvaa ammatillista KPMG:n palvelu- ja toimialat ylittävää vuoropuhelua eri alojen asiantuntijoiden välillä. Tarpeen mukaan voimme hyödyntää myös kansainvälistä yhteistyöverkostoamme, jonka kautta saamme alaa koskevan viimeisimmän maakohtaisen sekä globaalin tiedon luotettavasti ja nopeasti asiakkaidemme käyttöön.

 

Lisätietoja

Charlotta Henriksson
P. 020 760 3174
Sähköposti: etunimi.sukunimi@kpmg.fi
Lakimies, varatuomari

Kokenut tietosuoja- ja TMT-juridiikan ammattilainen, joka on kerännyt aihetta koskevaa monipuolista tietotaitoa sekä toimialojen tuntemusta asianajomaailmasta ja yritysjuristin tehtävistä. 

© 2024 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved


For more detail about the structure of the KPMG global organization please visit https://kpmg.com/governance

Ota yhteyttä