Tähän mennessä en ole törmännyt yhteenkään artikkeliin, jossa käsiteltäisiin tilannetta, jossa yritys ei käsittele henkilötietoja ollenkaan. Joka paikassa toitotetaan vain sitä, miten EU:n tietosuoja-asetus koskettaa suurinta osaa yrityksistä tai lähes kaikkia yrityksiä. Missään ei ole otettu kantaa siihen, mitä näiden muiden tulisi tehdä.

Käsittelenkö minä henkilötietoja?

Vastaus kysymykseen on melko varmasti kyllä. Jos yritykselläsi on kirjanpito, on hyvin todennäköistä, että sieltä löytyy henkilötietoja. Jos yritykselläsi on sähköposti, niin sieltä ainakin löytyy henkilötietoja. Ja viimeistään sekalaisten papereiden joukosta löytyy henkilötietoja. On siis äärimmäisen epätodennäköistä, ettei yritykselläsi olisi mitään näistä kolmesta tai että niissä ei olisi henkilötietoja.

Edellisen lain aikaan osoitusvelvollisuus oli viranomaisella mutta nyt se on sinulla. Homma toimii vähän samalla tavalla kuin kirjanpito. Sen saa jättää tekemättä, kunhan ei jää kiinni. Toisin sanoen, se on vain pakko hoitaa.

Mikä sitten riittää?

Tietosuojavastaavan toimisto ei määrittele sivuillaan yhtään dokumenttia, joka pitäisi tehdä, jos henkilötietoja ei käsitellä. Kaikki sielläkin olevat ohjeet liittyvät tilanteeseen, kun henkilötietoja käsitellään.

Dokumentaatiota tehdessä tulee kirjata ylös mitä henkilötietoja käsitellään ja missä niitä säilytetään. Rivien välistä on mahdollista lukea, että on hyvä dokumentoida sekin, missä henkilötietoja ei säilytetä.

Esimerkiksi kirjanpito sisältää yleensä henkilötietoja. On hyvä käydä kirjanpitoaineisto läpi ja todeta, että siellä ei ole tällä hetkellä henkilötietoja vaikkapa sen takia, että kuitteja ei ole. Tämä dokumentoidaan yksinkertaisesti kirjoittamalla ylös, että ”koko kirjanpitoaineisto käytiin läpi ja sieltä ei löytynyt yhtään henkilötietoja”. Perään lisätään vielä kuka tarkistuksen teki ja tarkistuspäivämäärä.

Sama tehdään muillekin potentiaalisesti henkilötietoja sisältäville tietovarastoille, kuten sähköpostille, sekalaisille paperipinoille ja firman tietokoneille ja puhelimille.

Tarkastusraportin loppuun lisätään vielä päivämäärä, milloin tarkistus tehdään uudestaan. Esimerkiksi kolmen kuukauden päästä tai kahden vuoden päästä riippuen siitä, miten paljon uutta tietoa tietovarastoihin kertyy. Tätä ei ole tietenkään määritelty missään, joten kohtuullisuuden määrittelet sinä itse.

Koska ohjeistus on tältä osin vielä epäselvää, voi olla helpompaa, selkeämpää ja turvallisempaa toteuttaa henkilötietojen käsittelyn edellyttämät toimenpiteet vaikka henkilötietoja ei silti kuitenkaan käsiteltäisi. Jää vastuullesi päättää, kumpi on sinun tapauksessa viisaampaa.

Miksi ihmeessä näin pitäisi tehdä?

Tietosuoja-asetuksen osoitusvelvollisuus edellyttää, että jos käsittelet henkilötietoja, sinun on pystyttävä osoittamaan, että henkilötietoja käsitellään oikein. Missään ei sanota, että muiden kuin henkilötietojen käsittelijöiden pitäisi tehdä yhtään mitään.

Tarkastellaan asiaa esimerkin kautta: viranomainen ottaa yhteyttä johonkin yritykseen. Tämä yritys käsittelee henkilötietoja, mutta ilmoittaakin viranomaiselle, että henkilötietoja ei käsitellä.

Miten sitten viranomainen tarkistaa, että vastaus oli valheellinen? Minun tulkintani mukaan viranomaisen ei tarvitse tarkistaa mitään, vaan liian epämääräinen tai suppea vastaus ei vain kelpaa. Toki viranomaisella saattaa olla epäilys siitä, että asioita ei tehdä oikein, mutta ei nyt mennä siihen.

Eli viranomainen on nyt siis pyytänyt uutta lisäselvitystä siitä, että henkilötietoja ei varmasti käsitellä. Joudut tekemään joitakin tarkastuksia ja täyttämään viranomaisen lähettämiä lomakkeita. Olisiko ollut helpompaa lähettää viranomaiselle sen kaipaamat lisäselvitykset jo heti alussa?