GDPR – Esittämiänne kysymyksiä

Asiantuntijamme vastaa kysymyksiinne

 

Yleinen tietosuoja-asetus (GDPR) astui voimaan 25. toukokuuta 2018 ja sillä on suuria vaikutuksia kaikkien yritysten tietojärjestelmiin. Itse asiassa tämä asetus asettaa lukuisat yritykset arkaluontoisen tehtävän eteen Euroopan unionin vaatimusten noudattamisessa tietosuojaa koskevissa kysymyksissä.

Grégory Gitsels, OVH:n tietosuojavaltuutettu, vastaa useimmin esitettyihin kysymyksiin koskien tämän uuden asetuksen vaikutusta yrityksiin ja tapaan, jolla niiden on noudatettava sitä.

Mikä on GDPR?

Yleinen tietosuoja-asetus (GDPR) on Euroopan unionin asetus, jonka Euroopan parlamentti ja Euroopan unionin neuvosto ovat antaneet 27. huhtikuuta 2016. Sen määräykset velvoittavat suoraan kaikkia Euroopan unionin jäsenmaita. Vaikka asetus on annettu 2016, siitä tuli täytäntöönpanokelpoinen 25. toukokuuta 2018 alkaen. Julkisille ja yksityisille yrityksille on siten annettu kahden vuoden siirtymäaika tämän asetuksen määräysten noudattamiseksi.

GDPR:n tarkoitus on suojella fyysisiä henkilöitä heidän henkilökohtaisten tietojensa käsittelyssä. Sen sisältämät oikeudet ja velvoitteet koskevat kaikkia tällaisia tietoja käsitteleviä henkilöitä.

GDPR-asetus velvoittaa kaikenkokoisia julkisia yrityksiä noudattamaan sitä heti kun he alkavat käsitellä henkilötietoja.

Mitä GDPR merkitsee?

GDPR on kirjaimellisesti Yleinen tietosuoja-asetus.

GDPR viittaa suoraan Euroopan parlamentin ja Neuvoston 27. huhtikuuta 2016 antamaan asetukseen n° 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus).

Mitä henkilötietorikos käsittää?

Henkilötietojen rikkomuksesta tulee välittömästi mieleen henkilötietojen vuotaminen luvattomien kolmansien osapuolien käyttöön (kuten tietojen kaappaus pahaa tarkoittavan yksilön toimesta). Tämä on se mitä tapahtuu, mutta käsitteen määritelmä on todellisuudessa laajempi. Euroopan eri tietosuojaviranomaisista koostuvan organismin G29:n antaman määritelmän mukaan henkilötietojen tietoturvaloukkaus on:

 

  • Henkilökohtaisten tietojen saatavuus häviää;
  • Henkilötietojen koskemattomuutta loukataan;
  • Henkilötietojen luottamuksellisuutta loukataan.

 

Tietorikkomus ei siis aiheudu pelkästään tietojen vuotamisesta, vaan myös tietojen lopullisesta menettämisestä.

GDPR asettaa uusia velvoitteita käsittelystä vastaaville henkilöille ja alihankkijoille tietorikkomusta koskeviin ilmoituksiin liittyen.

 

Mitkä lait ohjaavat henkilökohtaisten tietojen suojelua?

On olemassa useita henkilötietoja yleisellä tasolla tai tarkemmin käsitteleviä tekstejä:

 

  • Kansainvälisellä tasolla: Yleissopimus (n°108) yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä on sitova kaikille maille avoin sopimus.
  • Euroopassa: asetus 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta sekä direktiivi 2016/680 luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten.
  • Kansallisella tasolla: useat maat ovat ottaneet käyttöön kansallisia henkilötietojen suojaamista koskevia säädöksiä. Se koskee esimerkiksi Euroopan unionin kaikkia jäsenmaita.
Mitä ovat arkaluontoiset tiedot tietosuoja-asetuksen mukaan?

Henkilötiedot määritellään tietosuoja-asetuksen 4. artiklassa. Niillä tarkoitetaan ”kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja; (…) tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti (…) tunnistetietojen perusteella”.

Toisin sanoen henkilötieto on tieto, jonka perusteella yksilö on mahdollista tunnistaa kaikin mahdollisin tavoin.

Tieto on epäsuorasti tunnistettava, kun yksilöä ei voida tunnistaa sen avulla etukäteen, mutta täydentävien tutkimusten avulla tämä voi onnistua. Tämä koskee tyypillisesti esimerkiksi sähköpostiosoitteita.

Mitä ovat arkaluonteiset henkilökohtaiset tiedot?

Käsite « arkaluonteiset tiedot » koskee Yleisen tietosuoja-asetuksen « tiettyjä henkilökohtaisten tietojen käsittelyyn liittyviä kategorioita ». Näitä tietoja ohjaavat erityiset säännöt, koska niiden käsittely on periaatteessa kiellettyä.

Nämä tiedot koskevat varsinkin:

  • Yksilön terveyttä tai sukupuolielämää;
  • Yksilön rodullista tai etnistä alkuperää;
  • Yksilön poliittisia mielipiteitä, ammatillisten yhdistysten jäsenyyttä, uskonnollista tai filosofista vakaumusta.

Poikkeukset sallivat näiden tietojen käsittelyn.

 

Onko minun mahdollista noudattaa GDPR-asetuksen määräyksiä turvautumalla OVH:n palveluksiin?

Kyllä, tietyssä määrin. Yksi käsittelystä vastaavan henkilön velvoitteista on sellaisten alihankkijoiden valitseminen, joilla on käytössään kaikki riittävät vakuudet henkilötietojen käsittelemiseksi määräysten mukaisesti.
Toisin sanoen, OVH:n alihankkijana tarjoamat vakuudet sallivat teidän noudattaa osaa omista velvoitteistanne. Näihin vakuuksiin kuuluvat nimenomaan meidän suorittamamme tietoturvatoimet, tietojenne käsittelyn paikallistamiseen liittyvät sitoumukset ym.

Käsittelystä vastaavan velvoitteet eivät rajoitu kuitenkaan määräyksiä noudattavan palveluntarjoajan valintaan. Ne ulottuvat paljon pidemmälle kuin OVH:n väliintuloon IT-alihankkijana. Tietojenkäsittelyvastaavana ette voi väittää noudattavanne täysin GDPR-asetusta rajoittumalla alihankkijan valintaan. Teidän on noudatettava myös teille kuuluvia velvoitteita: ihmisoikeuksien kunnioittaminen tai yksityiselämän vaikutustenarviointi esimerkiksi.

Mitkä ovat OVH:n sitoumukset pilvipalveluiden tarjoajana?

Pilvipalveluiden tarjoajana OVH asettuu alihankkijan asemaan. Tätä varten OVH sitoutuu seuraaviin ehtoihin:

  1. Emme käytä palveluihimme tallennettuja tietoja uudestaan: OVH sitoutuu käsittelemään asiakkaiden henkilötietoja yksinomaan palveluiden asianmukaista toteuttamista varten ja ainoastaan näiden ohjeiden mukaisesti.
  2. Tietojen palautuvuuden mahdollistaminen: OVH:lla kaikki pilviratkaisut perustuvat standardeihin, joista usea on avoimen lähdekoodin teknologiaa. Voit siis palauttaa tietosi helposti. Palautuvuus ja yhteentoimivuus ovat aina mahdollisia.
  3. Ilmoitamme selkeästi, missä tietojasi säilytetään ja käsitellään.
  4. Täydellisen läpinäkyvyyden takaaminen koskien henkilötietojen käsittelijöitä.
  5. Ilmoitamme teille mahdollisista tietojanne koskevista vuodoista.
  6. Valmistamme täydelliset asiakirjat eri palveluistamme: OVH sitoutuu tarjoamaan tarvittavat asianmukaiset aineistot kuten kuvaukset palveluillamme toteutetuista turvatoimista, todistuksen tietojesi säilytyspaikan sijainnista jne.
  7. Takaamme sopimuksessa sitoumuksemme: OVH:n sitoumukset eivät ole pelkkiä lupauksia. Ne liitetään sopimuksella tietojen käsittelyä koskevaan Data Processing Agreement -sopimukseemme. Tämä dokumentti on liitteenä kaikissa sopimuksissamme. Se on kaikkien asiakkaidemme saatavilla pyydettäessä.
Mitkä ovat OVH:n sitoumukset tietojen paikallistamisessa?

Kun valitset palvelun, joka mahdollistaa tietojen ja erityisesti henkilötietojen säilytyksen, on konesalien sijaintipaikka tai maantieteellinen sijainti määritelty verkkosivuillamme. Mikäli saatavilla on useita sijaintipaikkoja tai maantieteellisiä sijainteja, voit valita haluamasi tilaushetkellä.

“Tietojen säilöminen” ei kuitenkaan ole synonyymi “tietojen käsittelylle”. Tietosuoja-asetus määrittelee tietojen “käsittelyn” eikä pelkän “säilömisen” säännöt. On siis hyvä olla erityisen tarkkana näiden termien käytössä.

Kun valitset Euroopan unionin alueella sijaitsevan säilytysalueen, OVH takaa, ettei tietojasi käsitellä Euroopan unionin eikä niiden maiden ulkopuolella, joiden tietosuojan taso on Euroopan komission mukaan riittävä (koskien henkilöiden yksityisyyden, perusoikeuksien ja -vapauksien suojausta). Lisäksi sitoudumme siihen, ettemme käsittele tietojasi koskaan Yhdysvalloissa.

Voiko OVH käyttää tietojani uudestaan?

OVH sitoutuu käsittelemään asiakkaiden henkilötietoja yksinomaan palveluiden asianmukaista toteuttamista varten ja ainoastaan näiden ohjeiden mukaisesti.

Palveluidemme puitteissa ylläpidetyt tiedot pysyvät asiakkaan omaisuutena.

OVH pidättäytyy kaikesta mainittuja tietoja koskevasta jälleenmyynnistä sekä niiden käytöstä kaupallisiin tarkoituksiin (kuten tiedonlouhinta, profilointi tai suoramarkkinointi).

Kuinka OVH takaa minulle sitoumustensa noudattamisen?

Jotta OVH:n sitoumukset mahdollistaisivat teidän noudattaa osaa velvoitteistanne, niistä on määrättävä sopimuksella tai muulla laatimallamme oikeudellisella asiakirjalla.

OVH takaa teille tämän kaksiosaisen oikeusvaikutuksen:

  • Palvelun yleiset käyttöehdot OVH:n kaikkien palveluiden käyttöä koskien sisältävät henkilökohtaisten tietojen suojaamiseen liittyviä pykäliä;
  • OVH pyytää teitä yksinkertaisesti allekirjoittamaan sopimukseenne liittyvän muutoksen otsikolla Data Processing Agreement (DPA). Tämä kohta koskee kokonaan OVH:n tarjoamia vakuuksia henkilökohtaisten tietojen käsittelyssä.