GDPR – henkilön (uudet) oikeudet

Uuden tietosuoja-asetuksen alla henkilöllä on terävöitettyjä oikeuksia, kuten oikeus poistaa tietonsa (right of erasure/right to be forgotten), tai siirtää niitä, ja tietysti myös tarkistaa ja korjata niitä. Tässä voi tulla muutama suorastaan ironinen ongelma vastaan – miten voimme varmuudella yksilöidä ja ennenkaikkea tunnistaa kaiken henkilöön liittyvän tiedon?

Screenshot 2017-06-28 10.01.52

Otetaan skenaario, Harri A Tötteström, asiakkaamme, ottaa yhteyttä ja haluaa 25.5.2018 poistaa tietonsa järjestelmästä. Kehen hän ottaa yhteyttä? Miten prosessi etenee? Vai saako tätä itsepalveluna?

Tunnista

Ensimmäinen temppu on tunnistaa Harri varmasti. Miten sen teemme? Jos käytössä on sähköinen id ja tunnistus jo ennestään, homma hoituu sillä. Jos ei, miten tunnistetaan? Asetus erikseen mainitsee, että tunnistamisen vaikeus ei ole syy evätä pyyntö. Tarvittaessa tulee hyväksyä Harrilta riittävä määrä tietoja, että voidaan varmasti tunnistaa. Tullaanko näyttämään passi paikan päälle? Piisaako lista henkilökohtaisista tiedoista identifioimaan? Tätä pitää terävöittää useimmissa yrityksissä.

Mitä jos meillä ei ole rekisterissä varmaa tunnistetta, vaan vain etunimi+sukunimi-pari?

Tarkista

Seuraava askel on tarkistaa, onko pyyntö validi. Jos kyseessä on esim. asiakassuhde, ja tiedot ovat toiminnan jatkamisen kannalta välttämättömiä, ja Harri ei ole päättämässä asiakassuhdettaan, tietojen poistoa ei voitane tehdä, ja tästä tulee tiedottaa Harrille. Muita syitä evätä pyyntö on jos Harri yrittää poistaa jonkun muun tietoja, tai jos lainsäädäntö vaatii tietojen säilyttämistä. Henkilön oikeudet ovat tässä kuitenkin hyvin vahvat, ja erityisen tärkeää on, että vastaus pyyntöön tulee 1kk kuluessa pyynnön esittämisestä. Kuulostaa että siinä olisi paljonkin aikaa, mutta ellei tätä prosessia ole jo jumpattu hyvissä ajoin, ja aletaan vasta pyynnön tultua pähkäilemään, ollaan pulassa.

Suorita

Päästiinkö tänne asti? Rekisteröity on tunnistettu, pyyntö on validi, ja nyt pitäisi toimittaa. Pari uutta haastetta ratkaistavaksi. Voiko henkilötiedot oikeastaan poistaa järjestelmästä ilman että viite-eheydet kärsivät tai ilmenee bugeja? Useimmissa tapauksissa voi olla turvallisempaa suorittaa poisto päällekirjoittamalla, anonymisoimalla tiedot tarpeeksi vahvasti. Tätäkin tulee järjestelmän tukea, esim. jos anonymisoinnissa poistetaan henkilötunnus, puhelinnumero, jne, järjestelmän tulee siitä huolimatta toimia. Tämä ei välttämättä toimi etenkään vanhoissa järjestelmissä ihan oikein. Jos kylmästi poistetaan tietorivejä, tulee ymmärtää miten ne liittyvät toisiinsa, katsoa että poistetaan tarpeeksi, mutta ei liikaa.

Tässä voi herätä ajatus, että ainakin alkuun palvellaan muutamia pyyntöjä käsin, manuaalisilla prosesseilla. Se on ihan validi ajatus, joskin täytyy tarkistaa, että siinäkin toteutuu muut tietosuojan edellyttämät vaateet, esim. minimointi tietoihin pääsyyn, ja kyky näyttää toteen kuka pääsi tietoon, ja mitä tiedolle on tapahtunut. Jos logataan sql:llä suoraan kantaan, tämä voi toteutua, tai sitten olla toteutumatta.

Tähän kohtaan ei ole mitään fiksua viisasten kiveä jaossa. Manuaalisia prosesseja tullaan tarvitsemaan jossain määrin, mutta niiden kanssa täytyy olla tarkkana, tai ne avaavat lisää tietosuojahaavoittuvuuksia tai riskejä, ja ihan liiketoiminnallisiakin riskejä. Itse vihaan manuaalisia prosesseja, ja jonain päivänä automatisoin ne kaikki, se on minun riskiretkeni. Mutta reaalimaailmassa tähän voi parhaiten vaikuttaa uusien ja tulevien tietojärjestelmien osalta. Muille pitää luoda paras mahdollinen ratkaisu nykytilassa, ja tarpeen vaatiessa laittaa parannuksia roadmapille. Yksi idea voi olla esim. datan virtualisointi abstraktiokerrokseen, jossa valvotaan pääsyä ja tekemisiä. Mutta se ei ole yleensä halpaa.

Jutustelen myöhemmin sovelluskehityksen näkökulmasta miten asiaa kannattaa taklata, mutta tärkeintä on että tietomalli sallii poisto- ja siirtopyynnöt, siitä lähtee kaikki.

Anna mun kaikki tiedot, kiitos

Toinen mielenkiintoa herättävä pyyntö on saada kaikki itsestään kerätyt tiedot konekielisessä yleisessä siirtomuodossa. Tämä on uudistus jo aiemmin voimassaolevaan direktiiviin, jossa oli mukana oikeus tarkistaa tietonsa. Nyt puhutaan tietojen siirtämisestä. Se voi tapahtua siten, että rekisteröity lataa tietonsa, esim. csv, xml, json muodossa itsepalvelukäyttöliittymässä, mutta asetus rohkaisee myöskin kehittämään valmiuksia siirtää tietoja suoraan toisille vastaaville palveluntarjoajille, ilman että rekisteröidyn täytyy toimia välissä. Se, millä toimialoilla tässä on järkeä, tietysti vaihtelee.

Mutta Harri T esittää taas siis pyynnön. Anna mun kaikki tiedot, kiitos. Aikaa kuukausi – tai kolme kuukautta jos pyynnön toteuttaminen on erityisen hankalaa syystä tai toisesta. Mitä tapahtuu?

Samat kuin aiemmin. Tunnista vahvasti. Tarkista pyynnön validiteetti. Jos kaikki näyttää hyvältä, on aika miettiä, mitä tietoa laitetaan pakettiin. Asetuksen mukaan pakettiin pitäisi tulla kaikki henkilöstä suoraan kerätyt ja henkilön itse toimittamat tiedot, mutta pakettiin ei kuulu tiedot jotka on näistä johdettu, analysoitu, tai jotka edustavat liiketoiminnallisia salaisuuksia. (No, asetus ei itseasiassa mene näin tarkkoihin lausuntoihin, mutta Working Party 29 tulkinnat tarkentavat). Hyvä huomata myös artiklan 23 asettamat rajoitukset siihen milloin näitä oikeuksia ei voi harjoittaa.

Mielenkiintoinen kohta tulee, jos henkilön tietopaketti sivuaa toisen henkilön tietoja. Jätän kotitehtäväksi selvittää mitä sitten tapahtuu. Vinkkinä voin kertoa, että se ei ole syy evätä pyyntöä saada tietonsa.

Ai niin, ja tämä oli se kohta josta on tarjolla 20 miljoonan sakko tai suurempi, jos homma ei toimi.

Otetaanpa tuosta vielä maistiainen lakipykälää, tietosuoja-asetuksen peruslausunto (recital) 68:

Jotta voitaisiin edelleen vahvistaa rekisteröityjen oikeutta valvoa henkilötietojaan silloin, kun henkilötietojen käsittely suoritetaan automaattisesti, rekisteröidyn olisi myös voitava saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä, koneellisesti luettavassa ja yhteentoimivassa muodossa ja siirtää ne toiselle rekisterinpitäjälle. Rekisterinpitäjiä olisi kannustettava kehittämään yhteentoimivia muotoja, jotka mahdollistavat tietojen siirtämisen. Tätä oikeutta olisi sovellettava silloin, kun rekisteröity on antanut henkilötiedot oman suostumuksensa perusteella tai kun käsittely on tarpeen sopimuksen täytäntöönpanemiseksi. Sitä ei sovelleta silloin, kun käsittely perustuu muuhun lailliseen perusteeseen kuin suostumukseen tai sopimukseen. Tämä oikeus on luonteeltaan sellainen, ettei sitä olisi käytettävä niitä rekisterinpitäjiä vastaan, joiden julkisiin velvollisuuksiin henkilötietojen käsittely kuuluu. Siksi sitä ei pitäisi soveltaa silloin, kun henkilötietojen käsittely on tarpeen rekisterinpitäjää koskevan lakisääteisen velvoitteen noudattamiseksi tai yleisen edun vuoksi toteutettavan tehtävän suorittamiseksi tai julkisen vallan käyttämiseksi. Rekisteröidyn oikeus siirtää tai vastaanottaa häntä koskevia henkilötietoja ei saisi luoda rekisterinpitäjille velvoitetta hyväksyä tai ylläpitää tietojenkäsittelyjärjestelmiä, jotka ovat teknisesti yhteensopivia. Jos tietyssä henkilötietoja sisältävässä tietojoukossa tiedot koskevat useampia kuin yhtä rekisteröityä, oikeus vastaanottaa henkilötietoja ei saisi rajoittaa toisten rekisteröityjen tämän asetuksen mukaisia oikeuksia ja vapauksia. Tämä oikeus ei saisi myöskään rajoittaa rekisteröidyn oikeutta saada henkilötiedot poistetuiksi eikä tämän asetuksen mukaisia rajoituksia kyseiseen oikeuteen, ja se ei etenkään saisi merkitä niiden rekisteröityä koskevien henkilötietojen poistamista, jotka tämä on antanut sopimuksen täytäntöönpanoa varten, siinä määrin ja niin kauan kuin henkilötiedot ovat tarpeen sopimuksen täytäntöönpanoa varten. Kun se on teknisesti mahdollista, rekisteröidyllä pitäisi olla oikeus saada henkilötiedot siirrettyä suoraan rekisterinpitäjältä toiselle.

Muut oikeudet

No niin, nämä oikeudet ovat saaneet eniten huomiota, mutta ei pidä laiminlyödä muitakaan. Aika pitkälle tosiaan päästään jos muistetaan nämä:

  • Tietojen keruun ja käsittelyn tulee olla läpinäkyvää
  • Henkilöllä tulee olla helppo pääsy siihen mitä tietoja hänestä on kerätty, miksi, ja mikä on niiden elinkaari
  • Pitää olla helpot keinot poistaa tietonsa järjestelmistä, kun niiden säilytykselle ei ole enää perustetta, tai ladata ne itselleen tai kolmannelle osapuolelle käyttöön
  • Kaiken tämän tulee tapahtua tietoturvallisesti ja tietosuojaa kunnioittaen
  • Rekisteröidyllä tulee olla mahdollisuus tarkastaa myös luvituksensa, ja peruuttaa niitä yhtä helposti kuin antaa niitä

Nämä johtavat kohden keskitettyä tunnistamista, ja jonkunmoista identiteetin ja lupienhallinnan näkymää/portaalia, jossa on paljon itsepalveluita. Pakko ei ole moiseen ryhtyä, mutta pitkällä juoksulla homma tulee varmasti halvimmaksi, ja tätä kauttahan ne uudet liiketoimintamahdollisuudet avautuvat. Jos lupien antaminen ja peruuttaminen on helppoa, se rohkaisee antamaan niitä pienemmilläkin täkyillä, ja avaamaan henkilötietojensa käyttöä jopa rohkeammin alueille joille ei ole vielä menty.

Automaattinen poisto

Aika paljon rahaa säästää myös, jos alusta alkaen sovelletaan kerättyjen tietojen minimointia hyvänä periaatteena järjestelmäsuunnittelussa. Minimoinnissa on kaksi tärkeää pointtia: Kerätään vain se mitä on tarpeen, ei tarpeetonta. Ja säilytetään sitä tietoa vain sen verran mitä on tarpeen, sen jälkeen arkistoidaan, ja aikanaan automaattisesti poistetaan. Jos nämä prosessit on myös selkeästi kuvattu tiedon keruun yhteydessä, tarvetta erilliselle tietojen poistolla asiakassuhteen päätyttyä on vähemmän. Arkistointivaihe välissä voi olla tarpeen, ja se voi olla esim. kuudesta kuukaudesta vuosiin, riippuen vähän siitä, millaisia tarpeita kerätylle tiedolle on jälkeenpäin.

Tämä edellyttää kuitenkin prosessijumppaa, ja se on organisaatioille aina paljon kivuliaampi ja hitaampi ratkaisu kuin joku järjestelmähankinta tai koulutus.

Ensi kerralla lisää tiedon suojaamisen keinoista, ja sovelluskehitys/hankintanäkökulmista.

Mainokset

Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out / Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out / Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out / Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out / Muuta )

Muodostetaan yhteyttä palveluun %s