GDPR tulee – onko yrityksesi valmis? Lexian Markus Myhrberg jakaa parhaat viime hetken vinkkinsä

EU:n yleinen tietosuoja-asetuksen (GDPR) voimaantulo 25.5.2018 on tuskin jäänyt keneltäkään huomaamatta. Silti yrityksissä saattaa olla vielä epäselvyyksiä siitä, millaisia muutoksia tarvitaan henkilötietokäytäntöihin. Kysyimme Lexian Markus Myhrbergiltä, mitkä asiat täytyy ainakin laittaa kuntoon ennen h-hetkeä ja mitä muutos merkitsee IPR:n näkökulmasta, esim. keksijätietojen osalta.

Esittele lyhyesti itsesi.

Olen Markus Myhrberg, asianajotoimisto Lexian partneri, ja vastaan erityisesti IPR- ja tietosuoja-asioista.

Mikä on GDPR ja mitä uutta se tuo mukanaan?

GDPR eli EU General Data Protection Regulation on suomeksi EU:n yleinen tietosuoja-asetus, joka koskee henkilötietojen käsittelyä. Asetus on koko EU:n laajuinen ja korvaa aiemman direktiivin ja pitkälti kansallisen sääntelyn. Uusi tietosuojalaki täydentää tätä tietyiltä osin, mutta pääsäännöt löytyvät jatkossa asetuksesta.

GDPR tarkentaa henkilötietojen käsittelyn pelisääntöjä ja velvoittaa yrityksiä osoittamaan, että ne käsittelevät henkilötietoja lain mukaisesti. Tämä osoitusvelvollisuus on uusi asia. Käytännössä yrityksiltä vaaditaan erilaisten uusien dokumenttien laatimista. GDPR laajentaa myös rekisteröidyn oikeuksia omien tietojensa osalta.

Lisäksi GDPR velvoittaa sopimaan tietojen käsittelystä yrityksen ja yhteistyökumppaneiden välillä, esimerkiksi IT-palveluntarjoajien kanssa, sillä harva yritys pyörittää itse omia tietojärjestelmiään. Tietoturvaloukkausten osalta tulee myös uusia ilmoitusmenettelyjä ja tietyissä tilanteissa tehdään ns. vaikutustenarviointeja.

Millaisia henkilötietoja ja rekisterejä liittyy IPR:iin yrityksissä?

IPR:iin liittyen näkisin, että yrityksissä voi olla lähinnä sisäisiä keksijä- ja innovaattoritietokantoja. Lisäksi saattaa olla jotain järjestelmiä liittyen erilaisiin ilmoituksiin ja palkitsemisohjelmiin. Keksintöohjesääntö ja sen mukaiset ilmoitukset ovat varmasti tyypillisin tilanne, mutta yrityksessä voi olla myös jotain ideapankkeja tai vastaavaa. Keksijätietokannat liittyvät lähinnä patentteihin, joissa hakijan (yleensä yritys) lisäksi on mainittava keskijöiden tiedot (mm. nimet ja osoitteet). Tavaramerkkipuolella en sen sijaan näe syytä, että yrityksillä olisi jotain henkilörekisterejä, sillä tavaramerkit haetaan suoraan yrityksen nimiin. Myös joissain projekteissa saatetaan käsitellä tekijätietoja.

Yleensä keksijät ovat yrityksen omia työntekijöitä, jolloin tietojen käsittely huomioidaan pitkälti osana HR-tietoja ja työsuhdelainsäädäntöä. Erityisen tarkkana on oltava, jos projekteissa on mukana ulkoisia IPR-kehittäjiä. Tällöin on mietittävä tarkkaan heidän henkilötietojensa asemaa.

Miten keksijätietoja saa tulevaisuudessa tallentaa ja käsitellä?

GDPR ei sinänsä muuta sitä, millaisia tietoja saa käsitellä, kunhan tiedot ovat yritykselle tarpeellisia ja niiden käsittelylle on peruste. Esimerkiksi viranomaisia varten tarvittavat tiedot ovat tarpeellisia ja antavat siten yritykselle perusteen käsitellä näitä tietoja ilman erillistä suostumusta. GDPR:ssä uutta ei siis ole tietojen käsittely itsessään vaan nimenomaan se, että kaikelle henkilötiedolle on määritettävä laillinen käsittelyperuste. Tällainen peruste voi olla mm. sopimus, oikeutettu etu (esim. työsuhteeseen liittyvä käsittely) tai lainsäädäntö/viranomaisvaatimus.

Esimerkiksi keksijätietojen käsittely voi perustua yrityksille oikeutettuun etuun, sillä ne vaaditaan ilmoituksiin. Perusteita jonkin henkilötiedon käsittelylle voi olla jopa useita, mutta pääasia on, että jokaiselle henkilötiedolle, jota käsitellään, on määritetty ainakin yksi peruste. Tietosuojakäytännössä, -selosteessa tai muutoin on informoitava muun muassa siitä, mitä tietoja yrityksessä käsitellään ja mikä on niiden käyttötarkoitus, mistä niitä tulee ja mihin menee, kuinka kauan niitä säilytetään ja mikä on juridinen perusta.

IPR:iin ei yleensä liity sensitiivistä tietoa, sillä se, että on keksinyt jotain ei ole arkaluontoinen tieto. Yrityksen liikesalaisuudet ovat ihan toinen kysymys, eivätkä ne liity henkilötietojen käsittelyyn. Myöskään itse keksintöön liittyvät tiedot eivät ole henkilötietoja, eivätkä ne siten liity GDPR-vaatimuksiin. Keksijän nimi saattaa myös esiintyä palkitsemisjärjestelmien kautta yrityksen rekisterissä. Koska yleensä kyse on työsuhdekeksijöistä, tavalliset työelämän HR-prosessit riittävät.

Mitkä ovat isoimmat kompastuskivet?

Tärkeintä on, että yrityksillä on lain vaatimukset kunnossa. GDPR:n myötä yritysten pitää tunnistaa, mitä henkilötietoa sillä on ja missä sitä pyörii. Isoimpana kompastuskivenä näkisin sen, että tiedon kerääminen on helppoa, mutta siitä voi olla vaikeampi päästä eroon myöhemmin. Ylimääräistä tietoa ei tästäkään näkökulmasta kannata haalia.

Yritysten on asetettava kaikille henkilötiedoille säilytysajat ja periaatteet. Laki ei ota kantaan aikoihin sen tarkemmin, vaan yritysten on määritettävä itse, kuinka kauan niiden on tarpeellista säilyttää henkilötietoja ja milloin tarpeellisuus loppuu. Keksijöiden osalta tähän voi vaikuttaa moni seikka, esim. työsuhteen kesto, palkkiojärjestelmän jatkuminen ja patentin suoja-aika. Vaikka patenttien osalta keksijätiedot löytyvät myös julkisesta rekisteristä, yrityksellä on silti oltava peruste näiden henkilötiedon säilyttämisellä. Tämä on myös yksi GDPR:n myötä muuttuva nyanssi: jokaisen henkilötiedon kohdalla on pohdittava erikseen, onko yrityksellä tarvetta ja perustetta sen säilyttämiselle. Kaikki asiat pitäisi myös muistaa dokumentoida.

Mitä neuvoisit yrityksiä tarkastamaan vielä ennen GDPR:n voimaantulemista?

Viime hetken vinkkinä voin sanoa, että kannatta ylipäänsä olla tietoinen, mitä henkilötietoja yrityksessä on, mistä ne tulevat ja mihin niitä menee. Tässä vaiheessa on muistettava määritellä lailliset perusteet henkilötietojen käsittelylle ja informoida rekisteröityjä heidän tietojensa käsittelystä. Pitää myös huolehtia, että henkilötietojen käsittelyyn osallistuvat tahot sisäisesti muistavat salassapitovelvoitteet ja ulkoisten palveluntarjoajien kanssa on tehty riittävät sopimukset. Kaikessa henkilötietojen käsittelyssä tietoturva-asiat ovat olennaisia.

Kiitos Markus haastattelusta. Mikäli GDPR-asiat askarruttavat, löydät Markuksen yhteystiedot täältä.

Kirjoittanut Milja Saarimaa