Yleisin väärinkäsitys tietosuojaan liittyen on se, että kyse on siitä, minkä tyyppisiä henkilötietoja tallennat. Vaikka sovelluksen tallentamien tietojen tyyppi voi intuitiivisesti vaikuttaa joko hyvältä tai yksityisyyttäsi loukkaavalta, et voi arvioida, käsitteleekö palvelu tietoja lainmukaisesti pelkästään tietosarjaa tarkastelemalla. Saan usein kysymyksiä Euroopan yleiseen tietosuoja-asetukseen (GDPR) liittyen, joten olen koonnut tämän lyhyen blogikirjoituksen vastaamaan joihinkin usein kysyttyihin kysymyksiin.
Milloin tietojenkäsittely on laillista?
Henkilötietojen käsittelylle on kuusi laillista syytä, mutta ne kaikki edellyttävät tarkoitusta.
- Suostumus
- Sopimuksen täyttäminen
- Lakisääteinen vaatimus
- Oikeutettu etu
- Elintärkeä etu
- Yleinen etu
Suostumukseen perustuva lähestymistapa laillisuuteen on usein se, joka sopii parhaiten. On kuitenkin tärkeää muistaa, että on olemassa muitakin syitä, joiden perusteella organisaatio voi käsitellä tietojasi. Kaikella käsittelyllä on kuitenkin oltava selkeästi määritelty, läpinäkyvä tarkoitus, jotta se olisi laillista.
Mitä henkilötietoja organisaatio saa käsitellä?
GDPR toimii tietojen minimoinnin periaatteella. Nimen ja sähköpostin keräämisen pitäisi siis olla mahdollista. Tietojen kerääminen henkilön sukupuolesta olisi lainvastaista, koska käsittelyn tarkoitus ei osoita, että siihen olisi tarvetta.
Minkälaista tietoturvaa tarvitaan tietojen suojaamiseksi?
Kun ymmärrät käyttötarkoituksen ja säilytettävien henkilötietojen tyypit, saat hyvän käsityksen tarvittavasta tietoturvatasosta. Mitä pahinta voisi tapahtua, jos joku murtautuisi tietokantaasi ja paljastaisi, että kaikki tilaajat ovat kissojen ystäviä? Ja mitä turvatoimia sinun pitäisi ottaa käyttöön sen välttämiseksi? Vaikka esimerkkimme saattaa vaikuttaa triviaalilta, sähköpostiosoitteiden väärinkäyttö on yksi yleisimmistä tavoista tehdä petoksia, ja se voi helposti yhdistää henkilön muihin henkilötietoihin. Varmista siis, että luot ratkaisun, jossa on asianmukaiset suojatoimet, tai valitse hyvämaineinen toimittaja, jolla on hyvä tietoturva.
Miten kerätä henkilötietoja ja tiedottaa käyttäjille?
Käyttäjille tiedottamisen lähtökohtana on tarkoitus. Kenellekään ei pidä antaa ymmärtää, että tämä on koirien ystäville tarkoitettu postituslista, jolle lähetetään kissavideoita. Pääperiaatteena on, että käsittelyn on oltava läpinäkyvää.
Milloin organisaation on poistettava henkilötiedot?
Useimmilla tarkoituksilla on alku ja loppu. Jos tarkoitus ei ole enää voimassa tai jos käsittely ei ole enää laillista, sinun on poistettava tiedot. Koska kyseessä on opt-in-järjestelmä, käyttötarkoitus päättyy, kun suostumus peruutetaan tai jos organisaatio sulkee palvelun kokonaan.
Jos olet käyttäjänä huolissasi siitä, millaisia henkilötietoja palvelu käsittelee sinusta, sinun on selvitettävä seuraavat asiat:
- Mihin tarkoitukseen tämä palvelu käsittelee tietojani?
- Mikä on tietojen käsittelyn laillinen syy?
- Näyttääkö myyjä suojaavan tietojani vakuuttavalla tavalla?
- Vaikuttavatko tiedot, jotka minua pyydetään toimittamaan, kohtuullisilta kohtien 1, 2 ja 3 perusteella?
GDPR:ssä on hienoa se, että se velvoittaa rekisterinpitäjät antamaan nämä tiedot helposti palvelun käyttäjien saataville. Toivottavasti tietojenkäsittelyn tarkoitukset tulevat olemaan paljon avoimempia ja henkilötietojemme suojelu paranee.
itslearning on yksi ensimmäisistä LMS-palveluntarjoajista, joka on tullut GDPR-yhteensopivaksi. Lisätietoja on osoitteessa GDPR-sivullamme.
Julkaistu alun perin 9. huhtikuuta 2018. Päivitetty 19 lokakuu 2021