Tietosuoja-asetuksen osoitusvelvollisuuden toteuttaminen, kun henkilötietoja ei käsitellä

Tähän mennessä en ole törmännyt yhteenkään artikkeliin, jossa käsiteltäisiin tilannetta, jossa yritys ei käsittele henkilötietoja ollenkaan. Joka paikassa toitotetaan vain sitä, miten EU:n tietosuoja-asetus koskettaa suurinta osaa yrityksistä tai lähes kaikkia yrityksiä. Missään ei ole otettu kantaa siihen, mitä näiden muiden tulisi tehdä.

Käsittelenkö minä henkilötietoja?

Vastaus kysymykseen on melko varmasti kyllä. Jos yritykselläsi on kirjanpito, on hyvin todennäköistä, että sieltä löytyy henkilötietoja. Jos yritykselläsi on sähköposti, niin sieltä ainakin löytyy henkilötietoja. Ja viimeistään sekalaisten papereiden joukosta löytyy henkilötietoja. On siis äärimmäisen epätodennäköistä, ettei yritykselläsi olisi mitään näistä kolmesta tai että niissä ei olisi henkilötietoja.

Edellisen lain aikaan osoitusvelvollisuus oli viranomaisella mutta nyt se on sinulla. Homma toimii vähän samalla tavalla kuin kirjanpito. Sen saa jättää tekemättä, kunhan ei jää kiinni. Toisin sanoen, se on vain pakko hoitaa.

Mikä sitten riittää?

Tietosuojavastaavan toimisto ei määrittele sivuillaan yhtään dokumenttia, joka pitäisi tehdä, jos henkilötietoja ei käsitellä. Kaikki sielläkin olevat ohjeet liittyvät tilanteeseen, kun henkilötietoja käsitellään.

Dokumentaatiota tehdessä tulee kirjata ylös mitä henkilötietoja käsitellään ja missä niitä säilytetään. Rivien välistä on mahdollista lukea, että on hyvä dokumentoida sekin, missä henkilötietoja ei säilytetä.

Esimerkiksi kirjanpito sisältää yleensä henkilötietoja. On hyvä käydä kirjanpitoaineisto läpi ja todeta, että siellä ei ole tällä hetkellä henkilötietoja vaikkapa sen takia, että kuitteja ei ole. Tämä dokumentoidaan yksinkertaisesti kirjoittamalla ylös, että ”koko kirjanpitoaineisto käytiin läpi ja sieltä ei löytynyt yhtään henkilötietoja”. Perään lisätään vielä kuka tarkistuksen teki ja tarkistuspäivämäärä.

Sama tehdään muillekin potentiaalisesti henkilötietoja sisältäville tietovarastoille, kuten sähköpostille, sekalaisille paperipinoille ja firman tietokoneille ja puhelimille.

Tarkastusraportin loppuun lisätään vielä päivämäärä, milloin tarkistus tehdään uudestaan. Esimerkiksi kolmen kuukauden päästä tai kahden vuoden päästä riippuen siitä, miten paljon uutta tietoa tietovarastoihin kertyy. Tätä ei ole tietenkään määritelty missään, joten kohtuullisuuden määrittelet sinä itse.

Koska ohjeistus on tältä osin vielä epäselvää, voi olla helpompaa, selkeämpää ja turvallisempaa toteuttaa henkilötietojen käsittelyn edellyttämät toimenpiteet vaikka henkilötietoja ei silti kuitenkaan käsiteltäisi. Jää vastuullesi päättää, kumpi on sinun tapauksessa viisaampaa.

Miksi ihmeessä näin pitäisi tehdä?

Tietosuoja-asetuksen osoitusvelvollisuus edellyttää, että jos käsittelet henkilötietoja, sinun on pystyttävä osoittamaan, että henkilötietoja käsitellään oikein. Missään ei sanota, että muiden kuin henkilötietojen käsittelijöiden pitäisi tehdä yhtään mitään.

Tarkastellaan asiaa esimerkin kautta: viranomainen ottaa yhteyttä johonkin yritykseen. Tämä yritys käsittelee henkilötietoja, mutta ilmoittaakin viranomaiselle, että henkilötietoja ei käsitellä.

Miten sitten viranomainen tarkistaa, että vastaus oli valheellinen? Minun tulkintani mukaan viranomaisen ei tarvitse tarkistaa mitään, vaan liian epämääräinen tai suppea vastaus ei vain kelpaa. Toki viranomaisella saattaa olla epäilys siitä, että asioita ei tehdä oikein, mutta ei nyt mennä siihen.

Eli viranomainen on nyt siis pyytänyt uutta lisäselvitystä siitä, että henkilötietoja ei varmasti käsitellä. Joudut tekemään joitakin tarkastuksia ja täyttämään viranomaisen lähettämiä lomakkeita. Olisiko ollut helpompaa lähettää viranomaiselle sen kaipaamat lisäselvitykset jo heti alussa?

Mitkä kaikki ovat henkilötietoja?

EU:n uusi tietosuoja-asetus GDPR on aiheuttanut paljon keskustelua siitä, mitkä kaikki asiat lasketaan henkilötiedoiksi. Eri tahot määrittelevät eri asiat henkilötiedoiksi kuin toiset. Asetus ei siis ole tämän suhteen kovin tarkka.

Lähtökohtaisesti suoraan henkilöön liitettävät ominaisuudet ovat varmasti henkilötietoja. Tällaisia ovat esimerkiksi henkilötunnus tai nimi.

Henkilötietoja ovat sellaiset tiedot, joiden perusteella henkilö voidaan tunnistaa suoraan tai välillisesti esimerkiksi yhdistämällä yksittäinen tieto johonkin toiseen tietoon, joka mahdollistaa tunnistamisen. (Mikä on henkilötieto? – Tietosuojavaltuutetun toimisto)

Toisessa ääripäässä on myöskin helppoja tapauksia. Asiat, jotka eivät mitenkään liity yhteenkään henkilöön, eivät luonnollisesti ole henkilötietoja.

Näiden kahden ääripään väliin jää paljon erilaisia tietoja, jotka saattavat olla henkilötietoja mutta ei kuitenkaan kaikissa tilanteissa. Esimerkiksi jotkin kaksi asiaa eivät olisi yksinään henkilötietoja mutta yhdessä ovatkin. Siksi tilannesidonnaisuus vaikuttaa kokonaisuuteen merkittävästi.

Edes henkilötietojen anonymisointi ei välttämättä tee tiedoista riittävän anonyymejä, jotta niitä ei olisi mahdollista enää tunnistaa. Esimerkiski jonkun palvelun käyttäjä numero 1 on aina se sama Matti Meikäläinen riippumatta siitä, miten sen nimi anonymisoidaan. Tässä tapauksessa tunnistamisen mahdollistaa riittävän pieni numero, joka jää helposti muistiin, vaikka käyttäjän numero ei itsessään olekaan henkilötieto.

Mitkä sitten ovat henkilötietoja?

Minun tulkintani mukaan henkilötietoja ovat kaikki pitkälläkin aasinsillalla yksittäiseen henkilöön yhdistettävät tiedot.

Täytyy kuitenkin välttyä ylilyönneiltä ja siksi pidemmän aasinsillan päässä olevat henkilötiedot ovat vähempiarvoisia, kun arvioidaan riskiluokituksia. Eli esimerkiski henkilötunnus tulee salata mutta naapurin ruohonleikkurin värille ei tarvitse tehdä mitään vaikka se olisikin ainoa sen värinen ruohonleikkuri koko maailmassa ja siten henkilöön pitkällä aasinsillalla yhdistettävissä oleva tieto.