Euroopan tietosuojaneuvosto (”EDBP”) julkaisi hiljattain uuden ohjeen sisäänrakennetusta ja oletusarvoisesta tietosuojasta (Guidelines 4/2019 on Article 25 Data Protection by Design and by Default, hyväksytty 20.10.2020), joka on keskeinen osa EU:n yleisen tietosuoja-asetuksen (”GDPR”) täytäntöönpanemista tietosuojaa koskevista pääperiaatteista. Ohje antaa neuvoja nimenomaisesti tietosuoja-asetuksen 25 artiklan mukaisen sisäänrakennetun ja oletusarvoisen tietosuojan velvoitteesta (Data Protection by Design and by Default, “DPbDD”), jota jokaisen henkilötietoja käsittelevän organisaation tulisi noudattaa.
Keitä koskee?
Lyhyesti, DPbDD vaatimuksena velvoittaa kaikki rekisterinpitäjät seuraamaan periaatteitaan riippumatta organisaation koosta tai henkilötietojen käsittelyn monimutkaisuudesta. Näin ollen se pätee samalla tavalla niin pieniin kuin monikansallisiin yrityksiin. DPbDD:n toteuttamisen kompleksisuus toki vaihtelee sen mukaisesti, millaisesta henkilötietojen käsittelystä on kysymys. On myös olennaista ottaa huomioon, että DPbDD vaatimuksena koskee myös jo olemassa olevia järjestelmiä, joissa käsitellään henkilötietoja.
DPbDD:n velvoitteet
EDBP:n ohjeessa korostetaan, että olennaisin velvoite on toteuttaa asiaankuuluvia toimenpiteitä ja tarvittavia suojatoimia, jotka mahdollistavat tietosuojaperiaatteiden ja siten rekisteröidyn oikeuksien ja vapauksien tehokkaan toteuttamisen sisäänrakennetusti ja oletusarvoisesti. GDPR:n 25 artiklassa määritellään keskeiset elementit, jotka tulisi huomioida.
Rekisterinpitäjän täytyykin ymmärtää sekä tietosuojaperiaatteet että rekisteröidyn oikeudet ja vapaudet toteuttaakseen DPbDD:n vaatimuksia asianmukaisesti. Rekisterinpitäjien tulisi harkita DPbDD velvoitteita jo varhaisessa vaiheessa, käytännössä niin aikaisin kuin mahdollista, uusia käsittelytoimia ja esimerkiksi järjestelmiä suunniteltaessa. Rekisterinpitäjät ovat myös velvoitettuja panemaan DPbDD:n täytäntöön ennen minkäänlaista henkilötietojen käsittelyä. Rekisterinpitäjien on myös ylläpidettävä ja kehitettävä menettelyjään seurata ja arvioida valittujen menettelyjen ja suojatoimien tehokkuutta ja toimivuutta käsittelyn aikana.
DPbDD:n pääelementit
EDBP:n ohje määrittelee pääelementit keskeisten tietosuojaperiaatteiden kautta. Yhteenvetona, pääelementit ovat (i) läpinäkyvyys, (ii) lainmukaisuus, (iii) kohtuullisuus, (iv) käyttötarkoitussidonnaisuus, (v) tietojen minimointi, (vi) täsmällisyys, (vii) säilytyksen rajoittaminen, (viii) eheys ja luottamuksellisuus ja (ix) osoitusvelvollisuus.
Käytännön suosituksia
Uudessa ohjeessa painotetaan kaikkien henkilötietojen käsittelyn osapuolien roolia DPbDD vaatimusten toteuttamisessa. Kaikkien osapuolten onkin ymmärrettävä, että henkilötietoja voidaan käsitellä vain käyttämällä järjestelmiä ja teknologiaa, jotka tarjoavat tärkeimmät tietojenkäsittelyperiaatteet toteuttavaa sisäänrakennettua ja oletusarvoista tietosuojaa.
Ohje antaa seuraavia suosituksia niin rekisterinpitäjille, käsittelijöille ja tietojen tuottajille ja korostaa erityisesti osapuolten yhteistyön merkitystä:
Rekisterinpitäjä:
-Pohdi, arvioi ja määrittele tietosuojaa koskevia kysymyksiä ja vaatimuksia jo käsittelytoimien suunnittelun alkuvaiheessa.-Ota aktiivisesti mukaan organisaatiosi tietosuojavastaava, jos sellainen on, koko suunnittelun ja käsittelyn elinkaareen.
-Valitse tuottajat tai käsittelijät, jotka tarjoavat DPbDD:n velvoitteiden ja yleisesti tietosuoja-asetuksen noudattamista mahdollistavia ja tukevia järjestelmiä riskien hallitsemiseksi.
-Vaadi tuottajia ja käsittelijöitä osoittamaan, kuinka heidän laitteistonsa, ohjelmistonsa, palvelunsa tai järjestelmänsä mahdollistavat vastuuvelvollisuuden vaatimuksien noudattamisen DPbDD:n mukaisesti.
-Varmista kohtuullisuus rekisteröityjä kohtaan ja läpinäkyvyys siinä, miten arvioit ja osoitat tehokkaan DPbDD:n toteuttamisen.
Käsittelijä ja tuottaja:
-Harkitse sertifiointia!
-Pyri helpottamaan DPbDD:n toteuttamista tukeaksesi rekisterinpitäjän kykyä noudattaa velvoitteitaan.
-Ota aktiivinen rooli varmistaaksesi “state of art”-tasoinen toteutus ja informoi rekisterinpitäjiä niihin liittyvistä muutoksista.
Kaikki osapuolet:
-Ota huomioon alle 18-vuotialle ja muille haavoittuville ryhmille tarjottavat lisäsuojakeinot DPbDD:n mukaisesti, mikäli tarpeen.
-Huomioi, että olemassa oleviin legacy-järjestelmiin sovelletaan samoja DPbDD-velvoitteita kuin uusiin järjestelmiin. Jos legacy-järjestelmät eivät noudata DPbDD:ta ja noudattamisen varmistamiseksi ei voida tehdä muutoksia, ei tällaisia järjestelmiä silloin tulisi käyttää henkilötietojen käsittelyyn ja vaihtoehtoiset järjestelmät tulisi valita.
-Tiedosta, ettei pienillä tai keskisuurilla yrityksillä ole matalampaa kynnystä DPbDD:n vaatimuksille.
Euroopan tietosuojaneuvosto korostaa myös tarvetta harmonisoidulle lähestymistavalle toteuttaa periaatteita ja oikeuksia tehokkaasti, ja kannustaa tietosuoja-asetuksen 40 artiklan mukaisia käytännesääntöjä laativia yhdistyksiä tai elimiä sisällyttämään alakohtaisia ohjeita DPbDD:hen.
Lisätietoja Euroopan tietosuojaneuvoston ohjeesta (englanniksi).
