EU:n yleinen tietosuoja-asetus astuu voimaan 25.5.2018 kaikissa EU:n jäsenmaissa. Koskeeko asetus myös omaa yritystoimintaani, moni miettii. Vastaus on mitä todennäköisimmin kyllä.
Tietosuojaa koskevat vaatimukset päivittyvät, mutta toisaalta monet periaatteet säilyvät myös ennallaan. Ongelmat ratkeavat tietosuoja-asioiden hoidon päivittämisellä. Sakko- ja kieltouhkien vuoksi toimet ovat kuitenkin välttämättömiä.
Mitä tietosuoja tarkoittaa?
Henkilötiedot tarkoittavat tietoja, joista henkilö voidaan tunnistaa. Henkilötietoja ovat esimerkiksi nimi, syntymäaika ja yhteystiedot.
Yritykseesi kertyy usein väistämättä monin eri tavoin tietoja asiakkaista, joista muodostuu rekistereitä. Nämä rekisterit pitävät sisällään henkilötietoja. Yrityksesi tulee ottaa huomioon tietosuoja aina, kun henkilötietoja käsitellään eikä tietoja saa käyttää muuhun tarkoitukseen kuin mihin ne on kerätty.
Tietosuoja-asetusta (General Data Protection Regulation, lyhenne GDPR) sovelletaan lähtökohtaisesti kaikkeen henkilötietojen käsittelyyn. Koska kyseessä on laajalle vaikuttava uudistus, on aihetta koskevia ohjeita ja koulutuksia julkaistu pilvin pimein jo vuosien ajan.
Miten toimia käytännössä?
Käytännössä kyse on kansallisen lakimuutoksen kaltaisesta tilanteesta: vaatimukset päivittyvät, mutta samaan aikaan monet periaatteet myös säilyvät ennallaan. Tietosuoja-asetus tuo uusia tietosuojaa ja henkilötietojen käsittelyä koskevia velvoitteita, joihin rekisterinpitäjien ja henkilötietojen käsittelijöiden (eli käytännössä suurimman osan yrityksistä) on valmistauduttava. Tietosuoja-asetuksen rikkomisesta voi seurata sakkoja tai ääritilanteessa jopa henkilötietojen käsittelykielto.
Keskeistä uudessa sääntelyssä on rekisterinpitäjän osoitusvelvollisuus. Rekisterinpitäjän velvollisuudet kasvavat sitä mukaa, mitä korkeampia riskejä henkilötietojen käsittelyyn liittyy. Rekisterinpitäjän on myös pystyttävä osoittamaan, että se noudattaa tietosuoja-asetusta. Henkilötietojen käsittely on kaikilta osin suunniteltava ja dokumentoitava.
Valmistautuessasi tietosuoja-asetukseen on huolehdittava mm. seuraavista asioista:
- Selvitä, pitääkö organisaatioosi nimittää tietosuojavastaava.
- Selvitä, miten organisaatiossasi käsitellään henkilötietoja.
- Käy läpi kaikki henkilötietojen käsittelyn vaiheet keräämisestä hävittämiseen ja dokumentoi ne.
- Selvitä, millä perusteella organisaatiosi käsittelee henkilötietoja.
- Arvioi millaisia riskejä henkilötietojen käsittelyyn liittyy organisaatiossasi.
- Selvitä, miten riskejä voitaisiin minimoida.
- Ryhdy toimenpiteisiin, jotka vastaavat henkilötietojen käsittelyyn liittyvää riskiä. Esimerkiksi silloin, kun henkilötietojen käsittelyyn kohdistuu todennäköisesti korkea riski, on rekisterinpitäjän tehtävä tietosuojaa koskeva vaikutustenarviointi.
- Selvitä, miten organisaatiosi noudattaa tietosuoja-asetuksessa määriteltyjä rekisteröityjen oikeuksia.
- Selvitä, miten rekisteröityjen pyyntöihin tällä hetkellä vastataan.
- Huolehdi tietoturvasta.
- Valmistaudu ilmoittamaan henkilötietojen tietoturvaloukkauksista.
- Jos organisaatiosi on ulkoistanut henkilötietojen käsittelyyn liittyviä tehtäviä, varmista, että toimeksiantosopimukset ovat kirjallisia ja vastaavat laadultaan asetuksessa säädettyjä ehtoja.
- Jos organisaatiosi toimii usean EU:n jäsenmaan alueella, määrittele johtava valvontaviranomainen.
- Selvitä, miten organisaatiosi on huomioitava lasten erityisasema.
Tietoturva on keino henkilötietojen suojaamiseen. Tietoturvalla tarkoitetaan tietoaineiston, tässä henkilötietojen, ja niitä koskevien tietojärjestelmien suojaamista. riippumatta siitä ovatko henkilötiedot sähköisessä, paperisessa tai muussa muodossa. Henkilötietojen tietoturvan tavoitteena on varmistaa, että tiedot ovat vain niiden käytössä, joilla on siihen oikeus (henkilötietojen luottamuksellisuus). Lisäksi tietoturvalla varmistetaan, että tiedot ovat niihin oikeutetun käytössä, silloin kun tietoja tarvitaan ja ne ovat oikeassa muodossa siten, etteivät ne hallitsemattomasti muutu(eheys).
Uuden lainsäädännön tavoitteena on yksinkertaisesti parantaa ja harmonisoida henkilötietojen suojaa ja rekisteröityjen oikeuksia, sekä vastata uusiin digitalisaatioon ja globalisaatioon liittyviin tietosuojakysymyksiin yhteismarkkinat huomioiden.
Kirjoittaja Tuure Kolehmainen on WinLaw:n lakimies, joka avustaa yrityksiä tietosuojapäivityksissä.
🔜 Tulossa 8.5 klo 13.00 Keski-Suomen Kauppakamarin kanssa yhteistyössä jäsenille maksuton WinLaw- tietosuojawebinaari! Ilmoittautumislinkki tässä.