Uusi tietosuoja on tulossa – valmistaudu ajoissa

​

Viime vuoden lopulla saatiin vihdoin poliittinen päätös neljän vuoden työn tuloksena syntyneistä uusista tietosuojaa koskevista säännöksistä. Uusi tietosuoja-asetus ja -direktiivi julkaistiin toukokuussa. Niiden soveltaminen alkaa 25.5.2018. Suomen olemassa oleva henkilötietolaki kumotaan uusien säännösten tullessa voimaan. Nyt on siis reilu puolitoista vuotta aikaa päivittää oman yrityksen tietosuoja-asiat vastaamaan uusittuja vaatimuksia.

Mikä muuttuu?

Yrityksen näkökulmasta keskeinen on uusi tietosuoja-asetus. Se koskee kaikkea henkilötietojen käsittelyä EU:ssa. Se on suoraan sovellettava eli sitä ei saateta erikseen voimaan Suomessa tai muissa EU-maissa. Näin pyritään yhdenmukaistamaan eurooppalaista tietosuojaa. Tällä hetkellähän voimassa oleva tietosuojadirektiivi on jo yli 20 vuotta vanha ja sitä sovelletaan epäyhtenäisesti eri EU:n jäsenmaissa. Uudet säännökset tuovat tähän selkeän parannuksen. Yhtenäisillä säännöksillä pyritään myös tukemaan rajojen yli tapahtuvaa kauppaa lisäämällä muun muassa luottamusta verkkokauppaan.

Uudistuksen lähtökohtana on riskipohjainen lähestymistapa. Tarkoituksena on ottaa huomioon itse henkilötietojen käsittelyyn liittyvät riskit. Näin on pyritty välttämään vähäriskisten toimintojen ylisäätelyä. Samalla on haluttu taata henkilötietojen suojan korkea taso, erityisesti kun tietoja käsitellään korkean riskin toiminnassa. Korkea riskistä on esimerkiksi yksilön terveystietojen käsittely. Rekisterinpitäjä ja henkilötietojen käsittelijä velvoitetaan ottamaan huomioon kulloinkin käsiteltävinä oleviin tietoihin liittyvä riski ja toimimaan sen mukaisesti.

Uusi säännöstö koskee kaikkia toimijoita EU:ssa. Nyt on oikea aika alkaa opetella yhteisiä uusia pelisääntöjä ja miettiä miten tietosuoja voisi auttaa ja toimia yrityksen liiketoiminnan edistäjänä. Kun yritys on hoitanut oman tietosuojansa hyvin, tukee se parhaimmillaan yrityksen liiketoimintaa ja omalta osaltaan vahvistaa kuluttajien luottamusta. Alla on listattu lyhyesti keskeisiä muutoksia ja hahmoteltu toimenpiteitä edellyttäviä toimia

• Nimitä tietosuojavastaava

Tietosuojavastaava on henkilö, jonka tehtävänä on yrityksessä varmistaa ja valvoa tietosuojan toteutumista. Tietosuojavastaava voi kuulua henkilöstöön tai hän voi toimia sopimuksen perusteella. Uusi tietosuoja-asetus velvoittaa tiettyjä yrityksiä nimittämään tietosuojavastaavan. Nimitysvelvoite koskee muun muassa yrityksiä, joiden keskeiset tehtävät edellyttävät rekisteröityjen laajamittaista ja järjestelmällistä seurantaa tai laajamittaista arkaluonteisten tietojen käsittelemistä. Kaikkia yrityksiä ei siis velvoiteta nimittämään tietosuojavastaavaa. Suositeltavaa kuitenkin on, että yrityksessä yksi taho kantaisi vastuun tietosuoja-asioista ja niihin liittyvien vaatimusten noudattamisesta. Mikä taho on paras ja sopivin, tulee ratkaista yrityskohtaisesti. Kyseeseen voisi tulla esimerkiksi lakiasiat tai sisäinen tarkastustoiminta.

Tietosuojavastaavalla tulee olla asiantuntemusta tietosuojalainsäädännöstä ja hänen tulee osata soveltaa sitä yrityksen toimintaan. Tietosuojavastaava toimii itsenäisesti. Hän raportoi suoraan yrityksen johdolle. Hänen tehtäviinsä kuuluu kouluttaa ja ohjeistaa henkilökuntaa, varmistaa tietosuojavelvoitteiden noudattaminen yrityksen joka päiväisessä toiminnassa ja toimia yhteyshenkilönä viranomaisiin ja rekisteröityihin nähden. Ymmärrys siitä, miten hyvin hoidettu tietosuoja voisi toimia oman liiketoiminnan mahdollistajana, olisi arvokas ominaisuus tietosuojavastaavalle! Tämä edellyttää syvällistä tietoa sekä tietosuojasäännöistä että itse liiketoiminnasta.

• Huomioi vahvistuvat yksilön oikeudet

Henkilöä, jonka henkilötiedot on tallennettu rekisteriin, kutsutaan rekisteröidyksi. Hänen oikeutensa säilyvät pääsääntöisesti voimassa aivan kuten nyt henkilötietolain mukaisesti. Rekisteröidyillä on oikeus tarkistaa itseään koskevat tiedot ja rekisterinpitäjän on oikaistava virheelliset tiedot. Myös tarpeettomat ja vanhentuneet henkilötiedot on poistettava. Tätä kutsutaan oikeudeksi tulla unohdetuksi.

Uudessa asetuksessa on pyritty huomioimaan teknologinen kehitys ja digitalisoituminen. Jatkossa rekisteröity voi saada sähköisesti itseään koskevia tietoja ja hän voi nykyistä helpommin siirtää antamansa henkilötiedot järjestelmästä toiseen. Rekisterinpitäjän tulee jatkossa antaa enemmän tietoa rekisteröidylle siitä, miten hänen tietojaan käsitellään ja mihin käsittely perustuu.

Jatkossa rekisteröity voi tietyissä tilanteissa kieltäytyä profiloinnista. Profiloinnilla tarkoitetaan henkilötietojen automaattista käsittelyä, jossa tietoja käyttämällä arvioidaan henkilön tiettyjä henkilökohtaisia ominaisuuksia analysoimalla tai ennakoimalla näkökohtia, jotka liittyvät henkilön esimerkiksi mieltymyksiin tai kiinnostuksen kohteisiin. Rekisteröity voi kieltäytyä olemasta sellaisen päätöksenteon kohteena, mikä pohjautuu pelkästään automaallisella tietojen käsittelyllä tehtävän hänen henkilökohtaisten ominaisuuksiensa arviointiin. Profilointia käytetään esimerkiksi verkkokaupassa.

• Ilmoita tietoturvaloukkauksista

Erilaiset tietoturvaloukkaukset ovat yhä tavallisempia. Uusi asetus tuo mukanaan tiukennuksia nykysääntelyyn. Jokainen yritys on jatkossa velvollinen ilmoittamaan henkilötietoihin kohdistuvasta tietoturvaloukkauksesta sekä valvovalle viranomaiselle että rekisteröidylle. Määräaika ilmoituksen tekemiseen on lyhyt: viranomaiselle tulee ilmoittaa 72 tunnin kuluessa loukkauksen havaitsemisesta ja rekisteröidylle ilman aiheetonta viivytystä. Jatkossa yrityksen on kyettävä siis havaitsemaan loukkaus, ilmoittamaan siitä ja vielä pyrittävä minimoimaan vahinkojen aiheutuminen.

• Arvioi yrityksesi henkilötietojen käsittelyn tämän hetkinen tila

Melkein kaikki yritykset käsittelevät henkilötietoja. Niitä löytyy yritysten asiakas- ja markkinointirekistereistä kuten myös omia työtekijöitä koskevista rekistereistä. Uusi asetus sisältää tietyille toimijoille velvoitteen tehdä henkilötietojen käsittelyä koskevan vaikutusarvioinnin eli DPIA:n, joka tulee englannin kielen sanoista Data protection impact assessment. Siinä arvioidaan henkilötietojen käsittelyn tarpeellisuutta, riskejä ja sitä miten riskejä voidaan vähentää sekä miten niihin voitaisiin puuttua.

Vaikka yritys ei olisikaan velvollinen tekemään uuden asetuksen mukaista vaikutusarviota, kannattaa selvittää ja arvioida uusien vaatimusten valossa oman yrityksen henkilötietojen käsittelyn nykytila. Selvitys voisi kohdistua siihen, mitä henkilötietoja yrityksessä käsitellään, miten tällä hetkellä toimitaan voimassa olevan henkilötietolain mukaisesti, tarkistaa miten rekisteröidylle tiedotetaan tietojen käsittelystä ja miten yrityksen toimintaa tulisi muuttaa ja mahdollisesti kehittää uusien säännöstöjen tullessa voimaan.

• Tarkista ja päivitä tietosuojaa koskevat sopimukset

Uuden asetuksen myötä yrityksen tulee tehdä kirjallinen sopimus, jos yritys on ulkoistanut henkilötietojen käsittelyä yritykseen nähden ulkopuoliselle taholle. Tällaisia voivat olla esimerkiksi asiakkaisiin kohdistuvaa myyntityötä tekevä alihankkija tai ulkopuolinen tietohallinnon tarjoaja. Sopimukselta edellytetään tiettyjä sisällöllisiä vaatimuksia, jotka käyvät ilmi asetuksesta. Yrityksen kannattaa tarkistaa ja tarpeen vaatiessa päivittää sopimuksensa vastaamaan uusia vaatimuksia.

• Ota huomioon toiminnassasi tilivelvollisuus

Henkilötietoja käsitteleville tahoille on uudessa tietosuoja-asetuksessa asetettu tilivelvollisuus eli accountability. Tietosuojaa koskevilta toimilta edellytetään ennakoitavuutta, kuten suunnittelua, varautumista ja kykyä osoittaa toteutetut toimenpiteet. Tässä auttavat selkeästi määritellyt vastuut ja etukäteen määrätyt tavat sekä menetelmät käsitellä henkilötietoja. Yrityksen tulee pystyä jälkikäteen osoittamaan, että lainsäädännön vaatimukset ja riskit on otettu sen toiminnassa asianmukaisesti huomioon.

• Lasten henkilötietojen rekisteröinti muuttuu

Lasten henkilötietojen käsittelyä ilman vanhempien suostumusta rajoitetaan. Alle 16-vuotiaat eivät voisi jatkossa käyttää muun muassa sosiaalisen median palveluita ilman vanhempiensa lupaa. Jäsenmaa voi kuitenkin päättää alemmasta ikärajasta, joka voi alimmillaan olla 13 vuotta.

• Varaudu hallinnollisten sanktioiden varalta

Asetuksessa määrätään täysin uusista hallinnollista sanktioista. Muutos on hyvin suuri, ja uudet säännökset kiristävät tältä osin merkittävästi oikeustilaa Suomessa. Yrityksen kokonaisliikevaihtoon sidotut sakkomäärät ovat suuria: 10 tai 20 miljoonaa euroa taikka 2 tai 4 prosenttia yrityksen maailmanlaajuisesta kokonaisliikevaihdosta. Lainsäätäjän tavoitteena on, että EU-alueelle muodostuisi yhtenäinen sanktiotaso.

Suomessa on tähän asti toiminut hyvin järjestelmä, jossa on keskeiset tietosuojaa koskevat menettelytavat ovat syntyneet tietosuojavaltuutetun ohjauksessa ja neuvonnassa. Toivotaan, että tällainen käytäntö jatkuu ja yritykset saavat ohjausta ja neuvontaa jatkossakin.

Tule mukaan Helsingissä pidettävään Kauppakamarien Suuri Tietoturvapäivään 29.11.2016 klo 12:00 - 16:30 oppimaan, kuinka suojaat yrityksesi digimaailmassa ja mitä uusi tietoturva-asetus edellyttää yrityksiltä.



Lisätietoja tietosuojasäännöstöstä
Minna Aalto-Setälä
Lakimies
Keskuskauppakamari


Lisätietoja Koulutuksesta
Leena Räisänen
gsm 050 555 9915
leena.raisanen@kauppakamari.fi
koulutus- ja palvelupäällikkö
Keski-Suomen kauppakamari