Joakim Hvalby
Tietosuoja-asetuksesta vastaavien viranomaisten ohjeistus on selkeä – käsiteltävien tai talletettujen henkilötietojen määrä pitäisi olla “sopiva, relevantti ja ei liiallinen tarkoitukseen nähden”. Toisin sanoen tämä tarkoittaa, ettei tietoja tulisi käsitellä tai säilyttää enemmän kuin on tarpeellista.
Innovointi ja datavetoinen kehitys saavat kuitenkin yhä enemmän huomiota. Tämä ei ole ihme. Käyttäjätietojen analysointi oikealla tavalla voi tuoda merkittäviä hyötyjä, kun ymmärtää, kuinka esimerkiksi työntekijät, jäsenet tai yhteistyökumppanit käyttävät palveluita.
Henkilötiedot tulee kuitenkin selkeästi yhdistää aiemmin määritettyyn tarkoitukseen. Tämä tarkoittaa toisin sanoen sitä, ettei henkilötietoja tule kerätä määrittämättömiä tarkoitusperiä varten mahdollista käyttöä varten tulevaisuudessa, koska ”niitä saattaa tarvita”. Niitä ei tule kerätä myöskään sen takia, että se on mahdollista. Meidän tulee rajoittaa itseämme.
On hyvä ottaa huomioon esimerkiksi seuraavat seikat:
Vaihe 1: Mieti ensiksi, mitä sinun tarvitsee tehdä ja miksi
Mitä henkilötietoja sinun tarvitsee käyttää? Miksi ja millä tavalla? Oletko suunnitellut käyttäväsi henkilötietoja eri tavoin? Onko sinulla hallussasi henkilötietoja, joita et suoranaisesti halua käsitellä, mutta niitä siitä huolimatta tulee sinulle? On tärkeää päättää tällaisista asioista ennen kuin alkaa prosessoida dataa, sillä se auttaa rajoittamaan käytettyä tietomäärää.
Vaihe 2: Määritä tarkoitus ennen kuin aloitat
GDPR edellyttää, että sinun tulee selkeästi määritellä tavoitteet ennen kuin prosessointi alkaa. Tämän johdosta sinun tuleekin käsitellä henkilökohtaista dataa vain määrittelemiisi tarkoituksiisi. Sitä kutsutaan englanninkielisellä termillä “purpose limitation”. Ja jälleen on tärkeää muistaa, että käytät vain henkilötietoja, joita tarvitset. Tietosuoja-asetus edellyttää, ettei henkilötietoja saa käsitellä enemmän kuin olet määrittänyt tietojen käsittelyn yhteydessä. Tätä kutsutaan tietojen minimoinniksi ja se on yksi keskeisimmistä GDPR:n periaatteista. Jokainen käyttötarkoitus tulee kuvata tarkoin ja konkreettisesti.
EU:n tietosuoja-asetus on ollut voimassa jo lähes viisi vuotta, joten tämän tiedon pitäisi olla jo itsestään selvyys, mutta siitä huolimatta se unohtuu.
Me olemme nyt lanseeranneet vuoden 2023 version tietosuoja ja GDPR kurssista. Me käytämme NanoLearningia menetelmänä, jonka tarkoituksena on luoda tietoisuutta vuoden jokaisena päivänä. Loppujen lopuksi tietosuoja riippuu myös meistä käyttäjistä. On todella tärkeää, että me ajattelemme ja käyttäydymme niin kuin tietosuojan suojeleminen on osa meidän liiketoimintaamme joka päivä vuoden ympäri. Sen johdosta emme kerää enempää tietoa kuin on tarpeellista.
