Kauppakamarin jäsenille avattu tietosuojavalmennus-sivusto

Uusi tietosuoja-asetus astui voimaan 25.5.2018. Se koskee kaikkea henkilötietojen käsittelyä EU:ssa. EU:n tietosuoja-asetuksessa on otettava huomioon kaksi näkökulmaa: tietosuoja-asetuksen juridinen tulkinta käytännön toimintaan ja se, että henkilötietojen käsittelyä koskevat sopimukset on tehtävä uudelleen noudattamaan uutta EU:n tietosuoja-asetusta.

Kauppakamarin jäsenille on avattu tietosuojavalmennus-sivusto. Se on kauppakamarin jäsenille suunnattu kokonaisuus, jonka avulla yrityksesi ymmärtää EU:n uuden tietosuoja-asetuksen vaatimukset ja pystyy hallitsemaan niitä kokonaisvaltaisesti. Tietosuoja-asetuksen tarkoituksena on henkilötietojen käsittelyn laadun parantaminen ja niiden luotettava suojaaminen. Valmennus koostuu tietosuoja-aiheeseen liittyvistä koulutuksista, uutiskirjeistä, infotilaisuuksista, asiantuntijayhteistyökumppaneista, tietosuojadokumentoinnin työkalusta sekä webinaareista. Valmennus on lähes kaiken kattava kokonaisuus, joista jäsenyritys voi koota tarvitsemansa osiot. Keski-Suomessa tietosuojaa koskevissa asioissa auttavat Tikkasec Oy, Asianajotoimisto Pro Juridica Oy, KMPG Oy Ab, RD Velho Oy ja WinLaw – Asianajotoimisto Järvinen & Co Oy.

Lue lisää valmennuksesta >> https://www.valmennus.eu/

Valmennukseen liittyminen on kauppakamarien jäsenille maksutonta. Se sisältää maksuttomia/maksullisia palveluita, joista jäsen ottaa vain tarvitsemansa palvelut. Valmennukseen voi liittyä missä vaiheessa vain eikä se sido mihinkään.

Mitä toimenpiteitä tietosuojauudistuksen myötä yritykseltä vaaditaan?

1. Nimitä tietosuojavastaava

Tietosuojavastaava on henkilö, jonka tehtävänä on yrityksessä varmistaa ja valvoa tietosuojan toteutumista. Tietosuojavastaava voi kuulua henkilöstöön tai hän voi toimia sopimuksen perusteella.

Uusi tietosuoja-asetus velvoittaa tiettyjä yrityksiä nimittämään tietosuojavastaavan. Nimitysvelvoite koskee muun muassa yrityksiä, joiden keskeiset tehtävät edellyttävät rekisteröityjen laajamittaista ja järjestelmällistä seurantaa tai laajamittaista arkaluonteisten tietojen käsittelemistä. Kaikkia yrityksiä ei siis velvoiteta nimittämään tietosuojavastaavaa. Suositeltavaa kuitenkin on, että yrityksessä yksi taho kantaisi vastuun tietosuoja-asioista ja niihin liittyvien vaatimusten noudattamisesta. Yrityskohtaisesti tulee ratkaista, mikä taho on paras ja sopivin. Kyseeseen voisi tulla esimerkiksi lakiasiat tai sisäinen tarkastustoiminta.

Tietosuojavastaavalla tulee olla asiantuntemusta tietosuojalainsäädännöstä, ja hänen tulee osata soveltaa sitä yrityksen toimintaan. Tietosuojavastaava toimii itsenäisesti. Hän raportoi suoraan yrityksen johdolle. Hänen tehtäviinsä kuuluu kouluttaa ja ohjeistaa henkilökuntaa, varmistaa tietosuojavelvoitteiden noudattaminen yrityksen jokapäiväisessä toiminnassa ja toimia yhteyshenkilönä viranomaisiin ja rekisteröityihin. Ymmärrys siitä, miten hyvin hoidettu tietosuoja voisi toimia oman liiketoiminnan mahdollistajana, olisi arvokas ominaisuus tietosuojavastaavalle! Tämä edellyttää syvällistä tietoa sekä tietosuojasäännöistä että itse liiketoiminnasta.

2. Huomioi vahvistuvat yksilöiden oikeudet
​​​​​​​

Henkilöä, jonka henkilötiedot on tallennettu rekisteriin, kutsutaan rekisteröidyksi. Hänen oikeutensa säilyvät pääsääntöisesti voimassa aivan kuten nyt henkilötietolain mukaisesti. Rekisteröidyillä on oikeus tarkistaa itseään koskevat tiedot, ja rekisterinpitäjän on oikaistava virheelliset tiedot. Myös tarpeettomat ja vanhentuneet henkilötiedot on poistettava. Tätä kutsutaan oikeudeksi tulla unohdetuksi.

Uudessa asetuksessa on pyritty huomioimaan teknologinen kehitys ja digitalisoituminen. Jatkossa rekisteröity voi saada sähköisesti itseään koskevia tietoja ja hän voi nykyistä helpommin siirtää antamansa henkilötiedot järjestelmästä toiseen. Rekisterinpitäjän tulee jatkossa antaa enemmän tietoa rekisteröidylle siitä, miten hänen tietojaan käsitellään ja mihin käsittely perustuu.

Jatkossa rekisteröity voi tietyissä tilanteissa kieltäytyä profiloinnista. Profiloinnilla tarkoitetaan henkilötietojen automaattista käsittelyä, jossa tietoja käyttämällä arvioidaan henkilön tiettyjä henkilökohtaisia ominaisuuksia analysoimalla tai ennakoimalla näkökohtia, jotka liittyvät henkilön esimerkiksi mieltymyksiin tai kiinnostuksen kohteisiin. Rekisteröity voi kieltäytyä olemasta sellaisen päätöksenteon kohteena, mikä pohjautuu pelkästään automaattisella tietojen käsittelyllä tehtävään henkilökohtaisten ominaisuuksien arviointiin. Profilointia käytetään esimerkiksi verkkokaupassa.

3. Ilmoita tietoturvaloukkauksista

Erilaiset tietoturvaloukkaukset ovat yhä tavallisempia. Uusi asetus tuo mukanaan tiukennuksia nykysääntelyyn. Jokainen yritys on jatkossa velvollinen ilmoittamaan henkilötietoihin kohdistuvasta tietoturvaloukkauksesta sekä valvovalle viranomaiselle että rekisteröidylle. Määräaika ilmoituksen tekemiseen on lyhyt: viranomaiselle tulee ilmoittaa 72 tunnin kuluessa loukkauksen havaitsemisesta ja rekisteröidylle ilman aiheetonta viivytystä. Jatkossa yrityksen on kyettävä siis havaitsemaan loukkaus, ilmoittamaan siitä ja vielä pyrittävä minimoimaan vahinkojen aiheutuminen.

4. Arvioi yrityksesi henkilötietojen käsittelyn tämänhetkinen tila

Melkein kaikki yritykset käsittelevät henkilötietoja. Niitä löytyy yritysten asiakas- ja markkinointirekistereistä kuten myös omia työtekijöitä koskevista rekistereistä. Uusi asetus sisältää tietyille toimijoille velvoitteen tehdä henkilötietojen käsittelyä koskevan vaikutusarvioinnin eli DPIA:n, joka tulee englannin kielen sanoista Data protection impact assessment. Siinä arvioidaan henkilötietojen käsittelyn tarpeellisuutta, riskejä ja sitä, miten riskejä voidaan vähentää sekä miten niihin voitaisiin puuttua.

Vaikka yritys ei olisikaan velvollinen tekemään uuden asetuksen mukaista vaikutusarviota, kannattaa selvittää ja arvioida uusien vaatimusten valossa oman yrityksen henkilötietojen käsittelyn nykytila. Selvitys voisi kohdistua siihen, mitä henkilötietoja yrityksessä käsitellään ja miten tällä hetkellä toimitaan voimassa olevan henkilötietolain mukaisesti. Selvityksessä myös voisi tarkistaa, miten rekisteröidylle tiedotetaan tietojen käsittelystä ja miten yrityksen toimintaa tulisi muuttaa ja mahdollisesti kehittää uusien säännöstöjen tullessa voimaan.

5. Tarkista ja päivitä tietosuojaa koskevat sopimukset

Uuden asetuksen myötä yrityksen tulee tehdä kirjallinen sopimus, jos yritys on ulkoistanut henkilötietojen käsittelyä yrityksen ulkopuoliselle taholle. Tällaisia voivat olla esimerkiksi asiakkaisiin kohdistuvaa myyntityötä tekevä alihankkija tai ulkopuolinen tietohallinnon tarjoaja. Sopimukselta edellytetään tiettyjä sisällöllisiä vaatimuksia, jotka käyvät ilmi asetuksesta. Yrityksen kannattaa tarkistaa ja tarpeen vaatiessa päivittää sopimuksensa vastaamaan uusia vaatimuksia.

6. Ota huomioon toiminnassasi tilivelvollisuus

Henkilötietoja käsitteleville tahoille on uudessa tietosuoja-asetuksessa asetettu tilivelvollisuus eli accountability. Tietosuojaa koskevilta toimilta edellytetään ennakoitavuutta, kuten suunnittelua, varautumista ja kykyä osoittaa toteutetut toimenpiteet. Tässä auttavat selkeästi määritellyt vastuut ja etukäteen määrätyt tavat sekä menetelmät käsitellä henkilötietoja. Yrityksen tulee pystyä jälkikäteen osoittamaan, että lainsäädännön vaatimukset ja riskit on otettu sen toiminnassa asianmukaisesti huomioon.

7. Huomioi muutokset lasten henkilötietojen rekisteröinnissä

Lasten henkilötietojen käsittelyä ilman vanhempien suostumusta rajoitetaan. Alle 16-vuotiaat eivät voisi jatkossa .käyttää muun muassa sosiaalisen median palveluita ilman vanhempiensa lupaa. Jäsenmaa voi kuitenkin päättää alemmasta ikärajasta, joka voi alimmillaan olla 13 vuotta.

​​​​​​​8. Varaudu hallinnollisten sanktioiden varalta

Asetuksessa määrätään täysin uusista hallinnollista sanktioista. Muutos on hyvin suuri, ja uudet säännökset kiristävät tältä osin merkittävästi oikeustilaa Suomessa. Yrityksen kokonaisliikevaihtoon sidotut sakkomäärät ovat suuria: 10 tai 20 miljoonaa euroa tai 2 tai 4 prosenttia yrityksen maailmanlaajuisesta kokonaisliikevaihdosta. Lainsäätäjän tavoitteena on, että EU-alueelle muodostuisi yhtenäinen sanktiotaso.

Suomessa on tähän asti toiminut hyvin järjestelmä, jossa keskeiset tietosuojaa koskevat menettelytavat ovat syntyneet tietosuojavaltuutetun ohjauksessa ja neuvonnassa. Toivotaan, että tällainen käytäntö jatkuu ja yritykset saavat ohjausta ja neuvontaa jatkossakin.

Koonnin tietosuoja-asetuksen myötä tulevista toimenpiteistä on kirjoittanut Keskuskauppakamarin lakimies Minna Aalto-Setälä.
https://kauppakamari.fi/2016/03/31/eun-tietosuoja-asetus-tulee-valmistaudu-ajoissa/

Lue lisää valmennuksesta >>
Katso tietosuojakoulutukset, valitse haluamasi alue >>
Lue lisää neuvonnasta >>

Kommentit