Yleinen tietosuoja-asetus (GDPR) tuli voimaan 25. toukokuuta 2018, ja se muutti täysin yritysten tapaa käsitellä ja käsitellä tietoja. Organisaatioiden on täytynyt mukautua nopeasti varmistaakseen, että ne ovat uuden lainsäädännön mukaisia eivätkä joudu maksamaan suuria sakkoja, jotka ovat hallinneet otsikoita viime kuukausina.
Monet organisaatiot eivät kuitenkaan olleet osanneet odottaa, että yksityishenkilöt käyttävät uuden lainsäädännön mukaisia oikeuksiaan esittämällä tietopyyntöjä. Yleinen tietosuoja-asetus on vahvistanut yksilöiden nykyisiä oikeuksia ja antanut heille mahdollisuuden selvittää, miten heidän henkilötietojaan käytetään.
Tietojen käyttöoikeuspyyntö (Subject Access Request, SAR) on tiedonsaantioikeus, jonka avulla yksilö voi pyytää, mitä tietoja organisaatiolla on hänestä, miksi se säilyttää näitä tietoja ja kenelle niitä jaetaan. Tietosuoja-asetuksen täytäntöönpanon jälkeen ICO on havainnut SAR-pyyntöjen kysynnän "ennennäkemättömän kasvun". Tämä on puolestaan aiheuttanut valtavan rasituksen julkisille palveluille ja organisaatioille, joiden on vastattava tietyssä määräajassa.
SAR-ilmoitusten määrän dramaattisen kasvun uskotaan johtuvan tietomurtojen lisääntymisestä ja kansalaisten yleisestä epäluottamuksesta sitä kohtaan, miten organisaatiot käyttävät heidän tietojaan.
Tärkeä osa tietosuoja-asetuksen noudattamista on ymmärtää, miten SAR-ilmoitus käsitellään tehokkaasti. Jos et noudata määräaikaa tai jos et anna yksilöille kaikkia heidän tarvitsemiaan tietoja, organisaatiosi voi joutua sääntelytoimien ja suurten sakkojen kohteeksi.
Miten käsitellä aiheeseen liittyviä käyttöoikeuspyyntöjä
1. Tunnistetaan pyyntö, jonka kohteena on tiedonsaantioikeus
Yleisessä tietosuoja-asetuksessa ei määritellä tarkasti, miten henkilö voi esittää pätevän tietopyynnön, joten se voidaan esittää suullisesti, kirjallisesti tai jopa sosiaalisessa mediassa. Pyynnössä ei tarvitse edes mainita ilmaisua "subject access request", kunhan henkilö tekee selväksi, että hän pyytää henkilötietojaan. Organisaatioiden olisi varmistettava, että tietty henkilökunta on koulutettu tunnistamaan erityispyyntö ja että pyyntöjen kirjaamista varten on käytössä oikeat protokollat.
2. Tunne velvollisuutesi
Yksilöllä on oikeus vain omiin henkilötietoihinsa, ei muihin henkilöihin liittyviin tietoihin. Siksi sinun on selvitettävä, kuuluvatko pyydetyt tiedot henkilötietojen määritelmän piiriin.
EU:n määritelmän mukaan henkilötiedoilla tarkoitetaan kaikkia tietoja, joiden avulla voidaan suoraan tai välillisesti tunnistaa henkilö (rekisteröity). Näihin voi sisältyä kaikkea nimestä, sähköpostiosoitteesta, IP-osoitteesta ja kuvista. Siihen sisältyvät myös arkaluonteiset henkilötiedot, kuten biometriset tai geneettiset tiedot, joita voidaan käsitellä yksilön tunnistamiseksi.
Ellei henkilö ole määritellyt tarkalleen tarvitsemiaan tietoja, sinun on etsittävä kaikki saatavilla olevat tiedot, jotka liittyvät henkilöön. Henkilötietojen kopion lisäksi sinun on annettava henkilöille myös seuraavat tiedot:
- Käsittelyn tarkoitus
- Asianomaisten henkilötietojen tyypit
- Tietojen lähdettä koskevat tiedot
- Kenen kanssa tiedot on jaettu
- Kuinka kauan tietoja säilytetään
- heidän oikeutensa pyytää tietojen oikaisemista, poistamista tai rajoittamista tai vastustaa tällaista käsittelyä.
- heidän oikeutensa tehdä valitus ICO:lle tai muulle valvontaviranomaiselle.
- Automaattisen päätöksenteon olemassaolo, mukaan lukien profilointi
- suojatoimet, jotka toteutat, jos siirrät henkilötietoja EU:n ulkopuoliseen maahan tai kansainväliselle organisaatiolle.
3. Henkilön henkilöllisyyden tarkistaminen
Ennen kuin vastaat SAR-ilmoitukseen, sinun on varmistettava, että henkilötietojaan pyytävä henkilö on se, joka hän sanoo olevansa. Henkilöllisyyden todentamiseksi voit pyytää kuvallisen henkilötodistuksen tai sähköisen laskun. Jos pyynnön esittänyt henkilö on organisaatiosi työntekijä, et tarvitse muita henkilöllisyystodistuksia.
Ilmoituksen voi tehdä myös kolmas osapuoli, kuten asianajaja tai läheinen perheenjäsen. Näissä tapauksissa tarvitaan vahvistus siitä, että kolmas osapuoli on valtuutettu toimimaan henkilön puolesta.
4. Vastaa määräajassa
Tietosuoja-asetuksen mukaan organisaatioiden on vastattava "ilman aiheetonta viivytystä" ja kuukauden kuluessa pyynnön vastaanottamisesta. Jos henkilön henkilöllisyys on vahvistettava, vastausaika alkaa siitä, kun henkilö toimittaa vaaditut tiedot.
Jos pyyntö on monimutkainen tai olet saanut useita pyyntöjä samalta henkilöltä, vastausaikaa voidaan pidentää kahdella kuukaudella. Tällöin sinun on ilmoitettava henkilölle, miksi pidennys on tarpeen.
5. Poikkeukset pyyntöjen käsittelyyn
Henkilötietoja ei saa luovuttaa, jos se vaikuttaisi kielteisesti muiden henkilöiden oikeuksiin. Poikkeuksena tästä ovat tapaukset, joissa toinen henkilö on antanut suostumuksensa tietojen luovuttamiseen tai joissa on kohtuullista noudattaa pyyntöä ilman kyseisen henkilön suostumusta.
Yleisessä tietosuoja-asetuksessa ja vuoden 2018 tietosuojalaissa säädetään myös eräistä poikkeuksista, joita sovelletaan tietyissä olosuhteissa. Esimerkiksi silloin, kun tietojen paljastaminen haittaisi määriteltyjä sääntelytehtäviä tai kun on kyse viestinnästä, johon sovelletaan lakimiehen ja asianajajan salassapitovelvollisuutta.
6. Maksut ja kohtuuttomat pyynnöt
Vanhan lain mukaan organisaatiot saattoivat periä enintään 10 punnan maksun SAR-tiedonannosta, mutta tietosuoja-asetus on sittemmin poistanut tämän esteen, ja tiedot on nyt annettava maksutta. ICO on kuitenkin todennut, että jos saat tietopyynnön, joka on "ilmeisen perusteeton tai kohtuuton", voit periä kohtuullisen maksun hallinnollisista kustannuksista.
7. Tietojen turvallinen luovuttaminen
Jos henkilö esittää pyynnön sähköisesti, sinun on vastattava toimittamalla tiedot sähköisessä muodossa, ellei henkilö toisin ilmoita. Tiedot olisi luovutettava mahdollisimman turvallisesti.
8. Pidä kirjaa pyyntöjen käsittelystä
Sinun olisi säilytettävä selkeä kirjausketju SAR-tiedoista siltä varalta, että ICO:lle tehdään myöhemmin valitus. Siihen olisi sisällyttävä kootut tiedot, tarkasteluprosessi, tehdyt keskeiset päätökset, sovellettiinko poikkeuksia, annettu vastaus sekä henkilön tai kolmansien osapuolten kanssa käyty kirjeenvaihto.
MetaPrivacy on suunniteltu tarjoamaan parhaita käytäntöjä yksityisyydensuojan noudattamiseen. Ota meihin yhteyttä, jos haluat lisätietoja siitä, miten voimme auttaa organisaatiotasi parantamaan vaatimustenmukaisuusrakennettaan.
VASTUUVAPAUTUS: Tämän blogin sisältö ja mielipiteet on tarkoitettu vain tiedoksi. Niitä ei ole tarkoitettu oikeudelliseksi tai muuksi ammatilliseksi neuvonnaksi, eikä niihin pidä luottaa eikä niitä pidä käsitellä yksittäisiin olosuhteisiin, tietosuojalakiin tai muuhun nykyiseen tai tulevaan lainsäädäntöön liittyvien erityisneuvojen korvikkeena. MetaCompliance ei ota vastuuta mistään virheistä, laiminlyönneistä tai harhaanjohtavista lausunnoista eikä mistään tappioista, jotka voivat aiheutua tämän blogin sisältämän aineiston käyttämisestä.