Rekisterinpitäjien raskas taakka

Ote Bruno DUMAYn kirjasta: GDPR:n purkaminen – yritysten ja organisaatioiden johtajille, strategisille osastoille ja työntekijöille – Esipuhe: Gaëlle MONTEILLER

GDPR keskittyy sidosryhmien vastuuseen. Toisin kuin vuoden 1995 direktiivi (ensimmäinen merkittävä eurooppalainen tietosuoja-asetus), se ei vaadi ennakkolupaa tai -ilmoitusta. Tämä on ovela veto sen suunnittelijoilta: ennakkovalvonnan puute auttaa tekemään uusien sääntöjen noudattamiseksi vaadittavista toimista hyväksyttäviä.

Kuten olemme nähneet, GDPR määrittelee jokaisessa rakenteessa "rekisterinpitäjän", jonka on oltava vastuussa vaaditun vaatimustenmukaisuuden varmistamisesta ja sitten tietojenkäsittelyn asianmukaisesta toiminnasta. Tämän rekisterinpitäjän tehtävät ovat vaativia: sen on paitsi toteutettava asianmukaiset toimenpiteet, myös kyettävä "osoittamaan", että käsittely suoritetaan asetuksen mukaisesti (artikla 24-1). Tämä ei ole velvoite, mutta viittaus valvontaviranomaisten suosittelemaan käytännesääntöön (artikla 40) tai sertifiointiin (artikla 42) voi helpottaa vaadittua osoittamista.

Rekisterinpitäjän ohjaava periaate on yksinkertainen: käytä henkilötietoja mahdollisimman vähän. Artikla 25 suositteleekin siksi edellä jo mainittuja "pseudonymisointia" ja "minimointia". Se lisää oletusarvoisen tietosuojan periaatteen: "Rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet sen varmistamiseksi, että oletusarvoisesti käsitellään vain sellaisia henkilötietoja, jotka ovat tarpeen kunkin käsittelytarkoituksen kannalta" (artikla 25-2). Toisin kuin nykyisissä käytännöissä, joissa kaikki "otetaan", ellei nimenomaisesti toisin mainita, nyt on käytettävä vain sitä, mikä on ehdottoman välttämätöntä ilmoitetun tavoitteen saavuttamiseksi. Oletusarvoinen suoja näyttää tavallaan täydentävän tietojen minimointia tietojen keräämisen yhteydessä.

Kaksi ammattilaista voi olla yhteisvastuussa käsittelystä; tässä tapauksessa kummankin rooli määritellään tarkasti ja saatetaan rekisteröidyn tietoon (artikla 26). Kun rekisterinpitäjä(t) eivät ole sijoittautuneet Euroopan unioniin, he nimeävät johonkin jäsenvaltioon sijoittautuneen edustajan, jolla on valtuudet toimia yhteyshenkilönä rekisteröidyn ja valvontaviranomaisten välillä (artikla 27). Alihankkijan käyttö on mahdollista, edellyttäen, että jälkimmäinen esittää riittävät takeet siitä, että käsittely suoritetaan GDPR:n mukaisesti (artikla 28-1).

"Käsittelytoimien rekisterin" pitäminen on pakollista (artikla 30). Sen on sisällettävä rekisterinpitäjän yhteystiedot, käsittelyn tarkoitukset, henkilö-, tieto- ja vastaanottajaryhmät, mahdolliset siirrot kolmansiin maihin, tietojen poistamisen määräajat ja yleinen kuvaus turvatoimenpiteistä. Tämä rekisteri on asetettava valvontaviranomaisen saataville, jos se sitä pyytää. Se ei ole pakollinen alle 250 työntekijän yrityksille tai organisaatioille, "ellei niiden suorittama käsittely todennäköisesti aiheuta riskiä rekisteröityjen oikeuksille ja vapauksille, jos se ei ole satunnaista..." (artikla 30-5). Ole siis varovainen: yrityksen koko yksinään ei ole riittävä peruste rekisteristä vapauttamiselle. Jos käsittelet tietoja usein tai jos toimintasi voidaan jollain tavalla yhdistää "yksilöiden oikeuksiin ja vapauksiin", sinun on pidettävä rekisteriä suoritetuista toiminnoista.

Asetus ei ole tekninen käsikirja. Käsittelyn turvallisuutta käsittelevässä 32 artiklassa kuitenkin muistutetaan joistakin perusasioista: pseudonymisoinnista ja salauksesta, luottamuksellisuuden ja eheyden takaavista keinoista, tietojen saatavuuden palauttamisesta ja niihin pääsystä häiriötilanteessa. Tekstin laatijat eivät laiminlyö hakkeroinnin riskiä: "Asianmukaista turvallisuustasoa arvioitaessa on erityisesti otettava huomioon käsittelyn aiheuttamat riskit, jotka johtuvat erityisesti siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuvasta tai laittomasta tuhoamisesta, katoamisesta, muuttamisesta, luvattomasta luovuttamisesta tai luvattomasta pääsystä tällaisiin tietoihin" (artikla 32-2). Toisin sanoen käsittelyjärjestelmää pidetään vaatimustenmukaisena vain, jos se tarjoaa tarvittavat, ainakin maksimaalisen, takeet tietosuojan ja turvallisuuden osalta. Muistamme kohun, jonka pohjoisamerikkalaisen naimisissa olevien deittisivuston jäsentietokannan hakkerointi aiheutti, kun kymmeniätuhansia luottamuksellisia profiileja julkaistiin internetiin.

Jos toteutetuista varotoimista huolimatta havaitaan henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä valvontaviranomaiselle 72 tunnin kuluessa, "ellei kyseinen tietoturvaloukkaus todennäköisesti aiheuta riskiä luonnollisten henkilöiden oikeuksille ja vapauksille" (artikla 33-1). Tämä varaus tarjoaa jonkin verran liikkumavaraa, vaikka koko teksti viittaakin siihen, ettei sitä pitäisi käyttää väärin ongelman peittelemiseen. Ilmoituksessa on ilmoitettava tietoturvaloukkauksen luonne, asianomaisten henkilöiden arvioitu lukumäärä, tietoturvaloukkauksen todennäköiset seuraukset sekä ongelman korjaamiseksi tai sen seurausten rajoittamiseksi toteutetut tai ehdotetut toimenpiteet.

Rekisterinpitäjän on myös ilmoitettava tietoturvaloukkauksesta uhrille mahdollisimman pian (34 artikla). Tätä tiedottamista ei tarvita, jos varastetut tiedot ovat "käsittämättömiä" esimerkiksi salauksen vuoksi, tai jos toteutetut toimenpiteet tarkoittavat, että rekisteröidyn oikeuksiin ja vapauksiin ei kohdistu riskejä, tai jos tällainen tiedottaminen "vaatisi kohtuutonta vaivaa. Tällaisissa tapauksissa on sen sijaan tehtävä julkinen tiedote tai toteutettava vastaava toimenpide, jonka avulla rekisteröidyt voivat saada tietoa yhtä tehokkaasti" (34 artiklan 3 kohdan c alakohta). Tämä kohta kohdistuu massatietomurtoihin ja vapauttaa rekisterinpitäjät lähettämästä henkilökohtaista sähköpostia jokaiselle heidän tiedostoissaan olevalle henkilölle.

Lopuksi selvennetään, että GDPR:n henki on yksiselitteinen: tytäryhtiöillä organisoidussa yrityksessä jälkimmäisten velvollisuudet ovat samat kuin emoyhtiön.