Oletko valmistautunut EU:n tietosuoja-asetukseen?

Kirjoittaja Jarno Oksanen 06.08.2017 0

Tietosuoja-asetus tuli voimaan 24.5.2016 ja sitä lähdetään soveltamaan jo 25.5.2018. Tietosuoja-asetuksen laiminlyönnistä yritykselle voidaan antaa huomautus tai määrätä sakkoa.

 

Melkeinpä jokaisella yrityksellä on nykyisin käytössään ja rekisterissään henkilötietoja.

Haasteena näiden tietojen kanssa on yleisesti se, että monet yrityksistä eivät välttämättä osaa käsitellä, ylläpitää tai säilyttää niitä.

Tämän takia on todella tärkeää, että yritykset ovat tietoisia tulevasta EU:n asettamasta tietoturva-asetuksesta ja sen tuomien velvoitteiden ohella oppia myös henkilödatansa tilasta.

Tietosuoja-asetus tuli voimaan 24.5.2016 ja sitä lähdetään soveltamaan jo 25.5.2018. Tällöin henkilötietojen käsittelyn on oltava tietosuoja-asetuksen mukaista.

Nyt onkin viimeistään oivallinen hetki selvittää ja ratkaista tietosuoja-asetukset yrityksien sisällä ja varautua tulevaan asetukseen.

 

Ketä asetus koskee ja miksi se on tulossa?

Asetus koskee lähtökohtaisesti kaikkea käsittelyä EU:n jäsenvaltioissa. Asetus jättää jäsenmaille kuitenkin kansallista liikkumavaraa. Tämä tarkoittaa sitä, että jäsenmaiden on mahdollista antaa säilyttää kansallista lainsäädäntöä ja täten poiketaan tulevan asetuksen velvoitteista.

Tällä hetkellä sovellettavan henkilötietolain pääperiaatteet säilyvät yleisessä tietosuoja-asetuksessa.

Yleisessä tietosuoja-asetuksessa on kuitenkin uusia velvoitteita rekisterinpitäjälle ja oikeuksia rekisteröidylle. Tällainen on esimerkiksi rekisteröidyn oikeus siirtää tiedot järjestelmästä toiseen.

Asetuksen tavoitteena on lainsäädännön selkiyttäminen ja sitä kautta velvollisuuksien ja oikeuksien parempi toteutuminen:

Automaattinen luonnos

 

ässä blogitekstissä käydään läpi tietosuojavaltuutetun toimiston ja oikeusministeriön kirjoittama valmistautumisopas läpi tiivistetyssä muodossa ja kerrotaan, mitenkyseiseen asetukseen kannattaa valmistautua, mitä se sisältää ja mihin se vaikuttaa.

 

Rekisteröidyn oikeuksia on laajennettu

Uudistetut rekisteröidyn oikeudet takaavat rekisteröidyille paljon enemmän päätösvaltaa.

Näiden laajennettujen oikeuksien varalta kannattaa selvittää, mitä rekisteröidyn oikeuksia toimintaasi liittyy tällä hetkellä ja miten toteutat niitä.

Organisaation on siis varmistuttava siitä, että nykyiset prosessit ja tietojärjestelemät taipuvat näihin tietosuoja-asetuksen tuomiin uusiin rekisteröityjen oikeuksiin.

Tarkemman erittelyn näistä oikeuksista löydät ladattavasta PDF-oppaasta.

 

Henkilötietojen käsittelyn arviointi

Organisaation on tietosuoja-asetuksen vaikutuksia arvioidessaan hahmotettava kokonaiskuva henkilötietojen käsittelyn nykytilasta.

Organisaatio voi esimerkiksi kuvata, mitä henkilötietovarantoja sen hallussa on, miten tietosuojaperiaatteet on otettu huomioon, toimintaan liittyvät henkilötietovirrat, henkilötietojen käsittelyn oikeusperusteet, miten tietoturvasta on huolehdittu ja miten henkilötietojen käsittelyn liittyvä riskienhallinta on toteutettu.

Kartoituksen voi tehdä esimerkiksi laatimalla tietotilinpäätöksen, joka on organisaation sisäisen tarkastelun pohjalta laadittu raportti tietojen käsittelyä koskevista keskeisistä asioista.

 

Osoitusvelvollisuus

Asetuksen mukaan organisaatiolla on myös oltava kyky osoittaa noudattavansa asetusta henkilötietoja käsitellessä sekä toteuttavansa tietosuojaperiaatteita myös käytännössä, eli rekisterinpitäjällä on osoitusvelvollisuus.

Ei enää riitä, että kertoo noudattavansa lakeja, vaan se pitää myös pystyä osoittamaan. Tämä on hyvin keskeinen muutos, sillä ennen henkilötietolain aikana on riittänyt, että säännöksiä noudatetaan ilman perusteluja.

 

Riskiperusteinen lähestymistapa

Asetuksen mukaan rekisterinpitäjän on tehtävä perusteellinen arvio henkilötietojen käsittelyyn liittyvistä riskeistä, eli yleisesti organisaation on arvioitava henkilötietojen käsittelyyn liittyvät riskit ja toimenpiteet riskin minimoimiseksi.

Riski on esimerkiksi usein korkeampi silloin, kun käsitellään esimerkiksi suuria määriä henkilötietoja.

 

Tietosuojaa koskeva vaikutustenarviointi

Vaikutustenarviointi tulee asetuksen mukaan silloin voimaan, kun henkilötietojen käsittelyyn kohdistuu korkea riski. Erityisesti silloin, kun otetaan käyttöön uutta teknologiaa tai käsitellään erityisiin henkilötietoryhmiin kohdistuvaa tietoa.

Yhtä arviointia voidaan käyttää samankaltaisiin vastaavia riskejä aiheuttaviin käsittelyihin.

Jos rekisterinpitäjä ei ole toteuttanut toimenpiteitä riskin pienentämiseksi ja riskin taso on korkea arvioinnin perusteella, on rekisterinpitäjän kuultava valvontaviranomaista ennen käsittelyn aloittamista.

 

Henkilötietojen käsittelyn oikeusperusteet

Erityistä huomiota on kiinnitettävä siihen, miten suostumus henkilötietojen käsittelyyn pyydetään.

Asetuksen mukaan suostumus on annettava selkeästi ilmaisevalla toimella, kuten kirjallisella, sähköisellä tai suullisella lausumalla. Lausumasta on käytävä ilmi rekisteröidyn vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla hän hyväksyy henkilötietojensa käsittelyn.

On siis syytä selvittää, millä perusteella organisaatio käsittelee henkilötietoja ja miten pyydät suostumusta henkilötietojen täyttämiseen.

 

Henkilötietojen käsittelyn ulkoistaminen

Osana henkilötietojen käsittelyä koskevan toiminnan arviointia on myös huomioitava, ulkoistetaanko tietojen käsittelyyn liittyviä tehtäviä esimerkiksi säilytys- tai analysointipalveluille.

Henkilötietojen käsittelijän on annettava riittävät takeet siitä, että sen suorittama henkilötietojen käsittely täyttää tietosuoja-asetuksen vaatimukset.

On siis hyvä tunnistaa tietosuoja-asetuksen vaatimukset henkilötietojen käsittelyn ulkoistamiselle.

 

Organisaation toiminnan liittyminen useaan EU:n jäsenvaltioon

Organisaation täytyy selvittää, minkä jäsenvaltion valvontaviranomaisen kanssa se asetuksen mukaan asioi.

Jos organisaatiosi toimii usean jäsenvaltion alueella, on selvitettävä johtava valvontaviranomainen.

 

Tietoturva

Tietojen suojaamisesta on huolehdittava kaikissa käsittelyn vaiheissa alkaen tietojen keräämisestä päättyen tietojen tuhoamiseen.

Käsittelyn turvallisuus edellyttää esimerkiksi kykyä taata järjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus.

Tietojen suojaaminen edellyttää myös henkilötietojen käsittelyn seuraamista ja valvontaa.

Asetuksen mukaisesti täytyy arvioida asianmukaiset suojatoimenpiteet riskiperusteisti ja suojata koko henkilötiedon elinkaari.

 

Henkilötietojen tietoturvaloukkauksin valmistautuminen

Uutena asiana tietosuoja-asetuksessa säädetään rekisterinpitäjän velvollisuudesta ilmoittaa henkilötietojen tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle.

Tietoturvaloukkauksella tarkoitetaan loukkausta, jonka seurauksena on henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai pääsy tietoihin.

Organisaatiossa tulisi suunnitella, miten mahdollinen tietoturvaloukkaus tunnistetaan, ilmoitetaan, selvitetään ja dokumentoidaan, jotta organisaatio pystyy toimimaan tehokkaasti vahingon minimoimiseksi ja toimintakykyisyyden palauttamiseksi.

Yrityksen tulisi siis valmistautua ilmoittamaan tietoturvaloukkauksista.

 

Tietosuojavastaavan nimittäminen

Rekisterinpitäjien ja henkilötietojen käsittelijöiden on myös varmistuttava siitä, onko organisaatioon asetuksen mukaan nimettävä tietosuojavastaava.

Tietosuojavastaavan tehtävänä on muun muassa seurata henkilötietojen käsittelyn lainmukaisuutta ja auttaa organisaatiota toteuttamaan lainsäädännön asettamat velvoitteet.

Organisaation on julkistettava tietosuojavastaavan yhteystiedot ja ilmoitettava ne valvontaviranomaisille.

 

Yhteenvetona asetuksen keskeisimmät uudistukset

Tietosuojavastaava, jonka tarkoituksena on seurata henkilötietojen lainmukaisuutta.

Henkilötietojen säilytys tulee olla täsmällistä ja tietojen kerääminen täytyy minimoida. Ne pitää myös salata mahdollisen tietomurtotapauksien varalta ja virheelliset tiedot tulee poistaa. Tietojen oikeellisuutta tulee ylläpitää.

Toimintavarmuus takaa jatkuvan eheyden, jatkuvuuden, käytettävyyden ja vikasietoisuus on myös taattava. Henkilötietoihin kohdistuvista tietoturvaloukkauksista on ilmoitettava viranomaisille.

Tietosuoja-asetuksen laiminlyönnistä yritykselle voidaan antaa huomautus tai määrätä sakkoa. Sanktio voi olla enimmillään 20 milj. euroa tai 4 % yrityksen vuotuisesta kokonaisliikevaihdosta.

On todella tärkeää tarkkailla ja arvioida tilannetta ja pistää yrityksen perutietoturvasasiat kuntoon ennen kuin tämä asetus astuu voimaan. Näiden yhteenvedossa käytyjen osa-alueiden perusteellinen läpikäynti on siis organisaatiossa paikallaan.

Eikä pelkästään EU:n päättäjien mieliksi, vaan myös oman organisaation tietoturvan hyväksi.

 

Kirjoittanut,

Lassi Vuotilainen

Super Analytics Oy

Kirjoitus julkaistu aiemmin Super Analytics Oy:n blogissa: https://www.superanalytics.fi/blogi/oletko-valmistautunut-eun-tietosuoja-asetukseen/

Jaa artikkeli

Keskustele