EU Tietosuoja-asetus rekisterinkäsittelijän näkökulmasta

Tavoitteet

Tällä kurssilla opitaan käsittelemään henkilötietoja EU -tietosuoja-asetusten mukaisesti.

Kurssimedian tarjoaja on @fordione001

Johdanto

EU on julkaissut uuden tietosuoja-asetuksen ja -direktiivin. Uusien säännösten tullessa voimaan Suomen olemassa oleva henkilötietolaki kumotaan. Nyt on siis reilu vuosi aikaa päivittää oman yrityksen tietosuoja-asiat vastaamaan uusittuja vaatimuksia, sillä tietosuoja-asetuksen soveltaminen alkaa 25.5.2018. Mitä uusi tuloillaan oleva eurooppalainen tietosuojasäännöstö tuo tullessaan, sillä kyseessä on iso muutos. Edelleen on yrityksiä, joissa ei ole hallitustasolla aiemmin käyty läpi yrityksen omaa varautumista tietosuoja-asioihin.

Mikä muuttuu?

Yrityksen näkökulmasta keskeinen muutos on uusi tietosuoja-asetus. Se koskee kaikkea henkilötietojen käsittelyä EU:ssa. Se on suoraan sovellettava eli sitä ei saateta erikseen voimaan Suomessa tai muissa EU-maissa. Näin pyritään yhdenmukaistamaan eurooppalaista tietosuojasääntelyä. Tällä hetkellähän voimassa oleva tietosuojadirektiivi on jo yli 20 vuotta vanha ja sitä sovelletaan epäyhtenäisesti eri EU:n jäsenmaissa. Uudet säännökset tuovat tähän selkeän parannuksen. Yhtenäisillä säännöksillä pyritään myös tukemaan rajojen yli tapahtuvaa kauppaa lisäämällä muun muassa luottamusta verkkokauppaan.

Uudistuksen lähtökohtana on riskipohjainen lähestymistapa. Tarkoituksena on ottaa huomioon itse henkilötietojen käsittelyyn liittyvät riskit. Näin on pyritty välttämään vähäriskisten toimintojen ylisääntelyä. Samalla on haluttu taata henkilötietojen suojan korkea taso, erityisesti kun tietoja käsitellään korkean riskin toiminnassa. Korkeariskistä on esimerkiksi yksilön terveystietojen käsittely. Rekisterinpitäjä ja henkilötietojen käsittelijä velvoitetaan ottamaan huomioon kulloinkin käsiteltävinä oleviin tietoihin liittyvä riski ja toimimaan sen mukaisesti.

Uusi säännöstö koskee kaikkia toimijoita EU:ssa. Nyt on oikea aika alkaa opetella yhteisiä uusia pelisääntöjä ja miettiä, miten tietosuoja voisi auttaa ja toimia yrityksen liiketoiminnan edistäjänä. Kun yritys on hoitanut oman tietosuojansa hyvin, tukee se parhaimmillaan yrityksen liiketoimintaa ja omalta osaltaan vahvistaa kuluttajien luottamusta. Alla on listattu lyhyesti keskeisiä muutoksia ja hahmoteltu toimenpiteitä edellyttäviä toimia.

Huomioi vahvistuvat yksilön oikeudet

Henkilöä, jonka henkilötiedot on tallennettu rekisteriin, kutsutaan rekisteröidyksi. Hänen oikeutensa säilyvät pääsääntöisesti voimassa aivan kuten nyt henkilötietolain mukaisesti. Rekisteröidyillä on oikeus tarkistaa itseään koskevat tiedot, ja rekisterinpitäjän on oikaistava virheelliset tiedot. Myös tarpeettomat ja vanhentuneet henkilötiedot on poistettava. Tätä kutsutaan oikeudeksi tulla unohdetuksi.

Uudessa asetuksessa on pyritty huomioimaan teknologinen kehitys ja digitalisoituminen. Jatkossa rekisteröity voi saada sähköisesti itseään koskevia tietoja ja hän voi nykyistä helpommin siirtää antamansa henkilötiedot järjestelmästä toiseen. Rekisterinpitäjän tulee jatkossa antaa enemmän tietoa rekisteröidylle siitä, miten hänen tietojaan käsitellään ja mihin käsittely perustuu.

Jatkossa rekisteröity voi tietyissä tilanteissa kieltäytyä profiloinnista. Profiloinnilla tarkoitetaan henkilötietojen automaattista käsittelyä, jossa tietoja käyttämällä arvioidaan henkilön tiettyjä henkilökohtaisia ominaisuuksia analysoimalla tai ennakoimalla näkökohtia, jotka liittyvät henkilön esimerkiksi mieltymyksiin tai kiinnostuksen kohteisiin. Rekisteröity voi kieltäytyä olemasta sellaisen päätöksenteon kohteena, mikä pohjautuu pelkästään automaattisella tietojen käsittelyllä tehtävään henkilökohtaisten ominaisuuksien arviointiin. Profilointia käytetään esimerkiksi verkkokaupassa.

Ilmoita tietoturvaloukkauksista

Erilaiset tietoturvaloukkaukset ovat yhä tavallisempia. Uusi asetus tuo mukanaan tiukennuksia nykysääntelyyn. Jokainen yritys on jatkossa velvollinen ilmoittamaan henkilötietoihin kohdistuvasta tietoturvaloukkauksesta sekä valvovalle viranomaiselle että rekisteröidylle. Määräaika ilmoituksen tekemiseen on lyhyt: viranomaiselle tulee ilmoittaa 72 tunnin kuluessa loukkauksen havaitsemisesta ja rekisteröidylle ilman aiheetonta viivytystä. Jatkossa yrityksen on kyettävä siis havaitsemaan loukkaus, ilmoittamaan siitä ja vielä pyrittävä minimoimaan vahinkojen aiheutuminen.

Arvioi yrityksesi henkilötietojen käsittelyn tämänhetkinen tila

Melkein kaikki yritykset käsittelevät henkilötietoja. Niitä löytyy yritysten asiakas- ja markkinointirekistereistä kuten myös omia työtekijöitä koskevista rekistereistä. Uusi asetus sisältää tietyille toimijoille velvoitteen tehdä henkilötietojen käsittelyä koskevan vaikutusarvioinnin eli DPIA:n, joka tulee englannin kielen sanoista Data protection impact assessment. Siinä arvioidaan henkilötietojen käsittelyn tarpeellisuutta, riskejä ja sitä, miten riskejä voidaan vähentää sekä miten niihin voitaisiin puuttua.

Vaikka yritys ei olisikaan velvollinen tekemään uuden asetuksen mukaista vaikutusarviota, kannattaa selvittää ja arvioida uusien vaatimusten valossa oman yrityksen henkilötietojen käsittelyn nykytila. Selvitys voisi kohdistua siihen, mitä henkilötietoja yrityksessä käsitellään ja miten tällä hetkellä toimitaan voimassa olevan henkilötietolain mukaisesti. Selvityksessä myös voisi tarkistaa, miten rekisteröidylle tiedotetaan tietojen käsittelystä ja miten yrityksen toimintaa tulisi muuttaa ja mahdollisesti kehittää uusien säännöstöjen tullessa voimaan.
Tarkista ja päivitä tietosuojaa koskevat sopimukset

Uuden asetuksen myötä yrityksen tulee tehdä kirjallinen sopimus, jos yritys on ulkoistanut henkilötietojen käsittelyä yrityksen ulkopuoliselle taholle. Tällaisia voivat olla esimerkiksi asiakkaisiin kohdistuvaa myyntityötä tekevä alihankkija tai ulkopuolinen tietohallinnon tarjoaja. Sopimukselta edellytetään tiettyjä sisällöllisiä vaatimuksia, jotka käyvät ilmi asetuksesta. Yrityksen kannattaa tarkistaa ja tarpeen vaatiessa päivittää sopimuksensa vastaamaan uusia vaatimuksia.

Ota huomioon toiminnassasi tilivelvollisuus

Henkilötietoja käsitteleville tahoille on uudessa tietosuoja-asetuksessa asetettu tilivelvollisuus eli accountability. Tietosuojaa koskevilta toimilta edellytetään ennakoitavuutta, kuten suunnittelua, varautumista ja kykyä osoittaa toteutetut toimenpiteet. Tässä auttavat selkeästi määritellyt vastuut ja etukäteen määrätyt tavat sekä menetelmät käsitellä henkilötietoja. Yrityksen tulee pystyä jälkikäteen osoittamaan, että lainsäädännön vaatimukset ja riskit on otettu sen toiminnassa asianmukaisesti huomioon.
Huomioi muutokset lasten henkilötietojen rekisteröinnissä

Lasten henkilötietojen käsittelyä ilman vanhempien suostumusta rajoitetaan. Alle 16-vuotiaat eivät voisi jatkossa käyttää muun muassa sosiaalisen median palveluita ilman vanhempiensa lupaa. Jäsenmaa voi kuitenkin päättää alemmasta ikärajasta, joka voi alimmillaan olla 13 vuotta.
Varaudu hallinnollisten sanktioiden varalta

Asetuksessa määrätään täysin uusista hallinnollista sanktioista. Muutos on hyvin suuri, ja uudet säännökset kiristävät tältä osin merkittävästi oikeustilaa Suomessa. Yrityksen kokonaisliikevaihtoon sidotut sakkomäärät ovat suuria: 10 tai 20 miljoonaa euroa tai 2 tai 4 prosenttia yrityksen maailmanlaajuisesta kokonaisliikevaihdosta. Lainsäätäjän tavoitteena on, että EU-alueelle muodostuisi yhtenäinen sanktiotaso.

Suomessa on tähän asti toiminut hyvin järjestelmä, jossa keskeiset tietosuojaa koskevat menettelytavat ovat syntyneet tietosuojavaltuutetun ohjauksessa ja neuvonnassa. Toivotaan, että tällainen käytäntö jatkuu ja yritykset saavat ohjausta ja neuvontaa jatkossakin.


Lisätietoja kurssimedian tarjoajalta @fordione001

 

Lähde 10.10.2017  Kauppakamari

 

Course Materials

Multimedia presentations, slides, literal references, quizzes