Tietosuoja-asetuksesta vastaavien viranomaisten ohjeistus on selkeä – käsiteltävien tai talletettujen henkilötietojen määrä pitäisi olla “sopiva, relevantti ja ei liiallinen tarkoitukseen nähden”. Toisin sanoen tämä tarkoittaa, ettei tietoja tulisi käsitellä tai säilyttää enemmän kuin on tarpeellista.
Innovointi ja datavetoinen kehitys saavat kuitenkin yhä enemmän huomiota. Tämä ei ole ihme. Käyttäjätietojen analysointi oikealla tavalla voi tuoda merkittäviä hyötyjä, kun ymmärtää, kuinka esimerkiksi työntekijät, jäsenet tai yhteistyökumppanit käyttävät palveluita.
Henkilötiedot tulee kuitenkin selkeästi yhdistää aiemmin määritettyyn tarkoitukseen. Tämä tarkoittaa toisin sanoen sitä, ettei henkilötietoja tule kerätä määrittämättömiä tarkoitusperiä varten mahdollista käyttöä varten tulevaisuudessa, koska ”niitä saattaa tarvita”. Niitä ei tule kerätä myöskään sen takia, että se on mahdollista. Meidän tulee rajoittaa itseämme.
On hyvä ottaa huomioon esimerkiksi seuraavat seikat:
Vaihe 1: Mieti ensiksi, mitä sinun tarvitsee tehdä ja miksi
Mitä henkilötietoja sinun tarvitsee käyttää? Miksi ja millä tavalla? Oletko suunnitellut käyttäväsi henkilötietoja eri tavoin? Onko sinulla hallussasi henkilötietoja, joita et suoranaisesti halua käsitellä, mutta niitä siitä huolimatta tulee sinulle? On tärkeää päättää tällaisista asioista ennen kuin alkaa prosessoida dataa, sillä se auttaa rajoittamaan käytettyä tietomäärää.
Vaihe 2: Määritä tarkoitus ennen kuin aloitat
GDPR edellyttää, että sinun tulee selkeästi määritellä tavoitteet ennen kuin prosessointi alkaa. Tämän johdosta sinun tuleekin käsitellä henkilökohtaista dataa vain määrittelemiisi tarkoituksiisi. Sitä kutsutaan englanninkielisellä termillä “purpose limitation”. Ja jälleen on tärkeää muistaa, että käytät vain henkilötietoja, joita tarvitset. Tietosuoja-asetus edellyttää, ettei henkilötietoja saa käsitellä enemmän kuin olet määrittänyt tietojen käsittelyn yhteydessä. Tätä kutsutaan tietojen minimoinniksi ja se on yksi keskeisimmistä GDPR:n periaatteista. Jokainen käyttötarkoitus tulee kuvata tarkoin ja konkreettisesti.
EU:n tietosuoja-asetus on ollut voimassa jo lähes viisi vuotta, joten tämän tiedon pitäisi olla jo itsestään selvyys, mutta siitä huolimatta se unohtuu.
Olemme nyt julkaisseet vuoden 2024 tietosuoja- ja GDPR-version kaikille työntekijöille. Upouusi kurssi päivitetyllä sisällöllä, vähemmän oppitunteja, mutta enemmän interaktiivisia kosketuspisteitä, jotka antavat organisaation tietosuojavastaavalle paremman käsityksen organisaatioiden tietoisuuden tasosta.
Sitoutumisen ja tietoisuuden lisäämiseksi tämä uusi kurssi keskittyy myös siihen, miksi GDPR ja yksityisyys ovat tärkeitä sekä työssä että yksityiselämässäsi.