Joulukuun puolivälissä EU-maiden tietosuojaviranomaisista koostuvat WP29-työryhmä julkaisi taas ohjeita tietosuoja-asetuksen soveltamiseen. Tässä mahdollisimman tiivis ja selkeäkielinen tulkkauksemme ohjeiden tärkeimmistä sisällöistä.

Läpinäkyvyyttä koskevat ohjeet

Läpinäkyvä informointi tarkoittaa, että rekisterinpitäjän on avoimesti ja selvästi tiedotettava rekisteröidyille, mihin ja miten heitä koskevia henkilötietoja tullaan käsittelemään. Läpinäkyvä informointi on tärkeä periaate koko GDPR:ssä. Rekisteröidyillä on oikeus saada avoimesti tietoa henkilötietojensa käsittelystä ja rekisterinpitäjillä on velvollisuus sitä tarjota.

Yleisiä läpinäkyvyyteen liittyviä teesejä

  • Rekisterinpitäjän tulee viestiä kattavasti riippumatta käsittelynsä oikeusperusteesta ja läpi koko käsittelyprosessin, esim. tietoja kerättäessä, viestittäessä rekisteröidyille heidän oikeuksistaan sekä tietovuotojen sattuessa
  • Kaikessa viestinnässä on pyrittävä tehokkaaseen ja tiiviiseen viestintään, jotta nykyisen kaltainen informaatioväsymys, jonka tuloksena harva ihminen jaksaa edes lähteä kahlaamaan kymmenien sivujen mittaisia ehtoja ja selosteita läpi, voitaisiin välttää.
  • Tietosuojaan liittyvät tiedot tulisi selvästi erotttaa muista tietdoista, jotta tietosuoja-asiaa etsivä henkilö ei joutuisi esimerkiksi skrollailemaan suuria tietomääriä läpi löytääkseen etsimänsä.
  • Kun ihmiseen liittyviä tietoja kerätään (GDPR artiklat 13 ja 14), tietosuojaan liittyvät asiat tulee "toimittaa" hänelle, eli hän ei saa joutua niitä kaivamaan esimerkiksi nettisivun uumenista

Tietosuojaselosteisiin liittyviä asioita

  • Tietosuojaselosteen on aina löydyttävä helposti, joka tarkoittaa nettisivuilla joka sivulta löytyvää linkkiä tai sovelluksessa enintään kahta painallusta.
  • Tietosuojaselosteet rohkaistaan kokoamaan osioiduiksi, jotta ihmisen on helppo navigoida siihen kohtaan, minkä tiedot häntä kiinnostavat.
  • Selosteissa ei saa käyttää ympäripyöreitä ilmaisuja, joiden käyttä on yleistä mm. henkilötietojen käyttötarkoituksia kuvattaessa. Ilmaisut "saatamme käyttää" tai "...ja muihin tarkoituksiin" eivät enää jatkossa kelpaa.

Tietosuojaselosteessa tulee lisäksi kuvata tavat, joilla rekisteröidyt voivat oikeuksiaan (esim. pääsy tietoihin, tietojen korjaus) käyttää. Näihin liittyen WP29 antaa myös tarkemmat esimerkit.

Hyvä toimintatapa (esimerkki)

Terveyspalvelujentarjoaja käyttää sähköistä lomaketta nettisivuillaan, jonka kautta rekisteröidyt voivat esittää esimerkiksi pyynnön päästä käsiksi omiin henkilötietoihinsa. Lisäksi toimipisteissä on tarjolla paperisia lomakkeita, joiden kautta asiakas voi jättää saman pyynnön myös asioidessaan toimipisteissä.

Huono toimintatapa (esimerkki)

Terveyspalvelujentarjoaja kertoo tietosuojaselosteessa nettisivuillaan, että rekisteröityjen tulee ottaa yhteyttä asiakaspalveluun pyytääkseen pääsyä henkilötietoihinsa.

Jälkimmäinen on tällä hetkellä se tapa, jolla lähes jokaisessa löytyvässä tietosuojaselosteessa rekisteröityä ohjeistetaan oikeuksiaan käyttämään. Tämä on linjattu nyt vähintäänkin huonoksi tavaksi.