EU:N TIETOSUOJA-ASETUS MUUTTAA YRITYSTEN JA YHTEISÖJEN TIETOSUOJAKÄYTÄNTÖJÄ
EU:n yleinen tietosuoja-asetus hyväksyttiin keväällä 2016 Euroopan parlamentin ja neuvoston päätöksillä – radikaaleja tiukennuksia yksityisyyden suojaan sekä yhteisöjen ja yritysten tietosuojavelvoitteisiin.
Kysymyksessä on yksityisyydensuojan ja yritysten tietosuojavelvoitteiden kannalta asetus eikä direktiivi, siten se vaikuttaa suoraan kaikkiin yrityksiin ja yhteisöihin, jotka toiminnassaan käsittelevät henkilötietoja ja asetusta sovelletaan Suomessa sellaisenaan.
Siirtymäaikaa annetaan kaksi vuotta, joten uusia tietosuojasääntöjä sovelletaan vuonna 2018. Asetus tulee korvaamaan Suomen nykyisen henkilötietolain.
Järjestelmähankkeissa kannattaa valmistautua uusiin määräyksiin jo nyt, sillä niiden edellyttämien ominaisuuksien ja tietoturvan rakentaminen jälkikäteen järjestelmiin on vaikeaa ja aiheuttaa turhia kustannuksia.
Asetuksen tavoitteena on harmonisoida EU:n jäsenvaltioiden kansallinen lainsäädäntö yhtenäisellä sääntökokonaisuudella ja luoda yhteiset standardit. Asetus painottaa mm. henkilötietojen käsittelyn ennakkosuunnittelua sekä läpinäkyvyyttä ja avoimuutta. Jatkossa esimerkiksi henkilötietoja keräävien verkkopalveluiden perustajien on jo etukäteen osoitettava viranomaisille, että uusi palvelu säilyttää ja käsittelee käyttäjien tietoja turvallisesti ja muutenkin lain vaatimalla tavalla.
Tietosuoja-asetus koskee kaikkien kansalaisten henkilötietojen käsittelyä. Rekisteröity voi saada itseään koskevia tietoja sähköisesti ja hän voi nykyistä helpommin siirtää antamansa henkilötiedot järjestelmästä toiseen. Siirto-oikeutta ei sovelleta julkisella sektorilla eikä henkilön oikeutta saada omat tietonsa poistettua sovelleta lakisääteisiin rekistereihin.
Yrityksille aiheutuu uusia kustannuksia muun muassa velvollisuudesta nimittää tietyissä tilanteissa tietosuojavastaava sekä velvollisuudesta ilmoittaa tietoturvaloukkauksista. Hallinnollinen työ yrityksissä toki lisääntyy, sillä rekisterien pitäjiltä ja tietojen käsittelijöiltä vaaditaan erilaisia tietosuojakysymyksiin liittyviä dokumentteja ja prosessikuvauksia. Jatkossa ei riitä, että noudatetaan lakia, vaan on pystyttävä osoittamaan, että tietosuojasäännökset huomioidaan toiminnan suunnittelussa.
Tietosuoja-asetus päivittää ja uudistaa periaatteita, joilla taataan oikeus henkilötietojen suojaan. Asetuksella vahvistetaan ihmisten oikeuksia ja EU:n sisämarkkinoita sekä sujuvoitetaan henkilötietojen kansainvälistä siirtoa. Sisäänrakennetusta ja oletusarvoisesta tietosuojasta tulee keskeinen periaate. Se kannustaa yrityksiä kehittämään uusia ideoita, toimintatapoja ja tekniikoita henkilötietojen turvallisuutta ja suojaamista varten.
Asetusta ei sovelleta luonnollisen henkilön suorittamaan henkilötietojen käsittelyyn toiminnassa, joka on yksinomaan henkilökohtaista tai kotitaloutta koskevaa toimintaa eikä ole sidoksissa ammatilliseen tai kaupalliseen toimintaan. Tätä toimintaa voi olla esimerkiksi kirjeenvaihto, osoitteiston pitäminen ja sosiaalinen verkostoituminen.
Asetuksessa pyritään huomioimaan myös yritysten kokoluokka siltä osin että yritysten on toteutettava vaatimukset kohtuullisin toimenpitein.
Hyvin hoidettu tietosuoja on myös kilpailuetu ja tuo luottamusta asiakkaiden keskuudessa.
ERÄITÄ ASETUKSEEN SISÄLTYVIÄ MUUTOKSIA:
Tietosuoja oletukseksi – Privacy by default sekä Privacy by design
Tietosuoja pitää ottaa huomioon palvelussa koko elinkaaren ajan, alkaen suunnittelusta päätyen palvelun alasajoon. Jokaisen tietojärjestelmän tulee olla toiminnallisuuksiltaan sellainen, että henkilötietojen käsittely järjestelmässä täyttää asetuksen vaatimukset. Samoin palvelussa pitää oletuksena olla päällä käyttäjän kannalta oikeat tietosuoja-asetukset.
Tilivelvollisuus – Accountability
Rekisterinpitäjän on hyväksyttävä asianmukaiset toimintamenetelmät ja toteutettava tarvittavat todennettavissa olevat tekniset ja organisatoriset toimenpiteet asetuksen noudattamiseksi. Jatkossa ei riitä, että rekisterinpitäjä passiivisesti noudattaa lakia (compliance), vaan rekisterinpitäjän on pystyttävä kysyttäessä aktiivisesti osoittamaan (tilintekovelvollisuus), että tietosuojasäännökset huomioidaan yhteisön tai yrityksen toiminnan suunnittelussa ja toteutuksessa.
Lasten henkilötietojen rekisteröinti – Age of Consent
Asetus rajoittaa lasten henkilötietojen käsittelyä ilman vanhempien suostumusta. Alle 16-vuotiaat eivät siten voi käyttää esimerkiksi sosiaalisen median palveluja ilman vanhempien lupaa. Jäsenvaltio voi päättää myös alemmasta ikärajasta, alimmillaan se voi olla 13 vuotta.
Tietosuojavastaava – Data privacy officer
Asetus määrittää, että tietosuojavastaava on nimitettävä sellaisessa yrityksessä, sen koosta riippumatta, jonka keskeisiin toimintoihin liittyy rekisteröityjen henkilöiden säännöllistä ja järjestelmällistä valvontaa vaativia käsittelytoimia.
Tietosuojavastaava vastaa tietosuojan kehittämissuunnitelman tekemisestä, toteutuksesta, varmistamisesta, valvonnasta ja tietosuojatietoisuuden edistämisestä sekä antaa asiantuntija-apua sekä organisaation henkilöstölle että ennen kaikkea johdolle, jolla on viimekätinen vastuu rekisterinpitäjänä henkilötietojen käsittelystä. Hän voi olla yrityksen oma työntekijä tai ulkoistettu palveluntarjoajan tietosuoja-asiantuntija.
Ilmoitus tietojen vuotamisesta – Data breach notification
Ilmoitusvelvollisuus vähäistä suurempien tietoturvaloukkausten tapahtuessa rekisterinpitäjä on velvollinen ilmoittamaan viranomaisille tapahtuneesta 72 tunnin kuluessa sekä rekisteröidyille itselleen siinä tapauksessa, että tietovuoto aiheuttaa suuren riskin rekisteröidyn henkilötietojen suojalle tai yksityisyydelle.
Oikeus saada tiedot hävitetyksi – Right to be forgotten
Kun tietoja ei tarvita, ne pitää järjestelmästä hävittää jos tietojen käsittely ei ole enää tarpeellista eikä käsittelylle ole enää laillista perustetta.
Oikeus saada omat tiedot käyttöönsä – Right to data portability
Asetuksen myötä oikeus saada omat tiedot käyttöönsä yleisesti käytettävissä olevassa tiedonsiirtomuodossa.
Tietosuojaa koskeva vaikutusten arviointi – Data Protection Impact Assessment
Vaikutusten arvioinnilla tarkoitetaan riskiarviota suunniteltujen tietojen käsittelytoimien vaikutuksista henkilötietojen suojalle. On pystyttävä osoittamaan että on saatu rekisteröidyn suostumus henkilötietojen käsittelyyn.
Riskianalyysit
On pystyttävä osoittamaan, että tietosuojasäännökset huomioidaan yhteisön tai yrityksen toiminnan suunnittelussa.
Käyttäjien profilointiin rajoituksia
Yritykset eivät saisi käyttää keräämiään tietojaan tai myydä niitä ilman käyttäjän lupaa. Jokaisella luonnollisella henkilöllä olisi oltava oikeus olla joutumatta tietojen automaattisen käsittelyn avulla tapahtuvaan profilointiin perustuvien toimenpiteiden kohteeksi. Tällaiset toimenpiteet olisi kuitenkin sallittava, jos ne on nimenomaan hyväksytty laissa tai toteutettu sopimuksen tekemisen tai täytäntöönpanon yhteydessä tai kun rekisteröity on antanut niihin suostumuksensa.
Hallinnolliset seuraamukset – Administrative sanctions
Tietosuojavelvoitteensa laiminlyöville yrityksille voidaan langettaa merkittäviä seuraamusmaksuja. Sanktioitavat teot on jaettu kolmeen luokkaan, joissa sakon määrä voi olla enintään 10 miljoonaa tai 20 miljoonaa euroa. Tämän lisäksi voidaan määrätä sakko joka on 4% vuotuisesta kokonaisliikevaihdosta. Käytettävissä on myös lievempiä keinoja, kuten huomautus. Henkilötietoasioihin liittyy myös entistä suurempi maineriski tietosuoja-asioita koskevan tietämyksen lisääntyessä edelleen, joten laiminlyönteihin liittyy myös merkittävä riski, joka voi vahingoittaa brändiä ja liiketoimintaa.
Tietosuoja-asetuksessa kyseessä on merkittävä uudistus jonka Euroopan parlamentti ja neuvosto ovat lopullisesti hyväksyneet. Tietosuojavaltuutettu suosittelee, että rekisterinpitäjät ja käsittelijät laatisivat säännöllisesti ns. tietotilinpäätöksen. Siinä kuvattaisiin tietojen käsittelyn nykytila sekä arvioitaisiin tietosuojan ja tietoturvan toteutuminen.
Entistä tarkempia määritelmiä erilaisista käsitteistä kuten suostumus, geneettiset tiedot, biometriset tiedot jne.
Valvontaviranomaisten rooli tulee muuttumaan ja on todennäköistä, että esimerkiksi tietotilinpäätöksen kaltaisista raporteista tulee pakollisia. Asetukseen valmistautumiseen kannattaa resursoida riittävästi aikaa ja rahaa. Varmaa on, että organisaatioilta vaaditaan entistä perusteellisempia ja ajantasaisempia tietosuojadokumentteja ja erilaisia prosessikuvauksia.
Me autamme. Soita meille tai jätä yhteydenottopyyntö TÄSTÄ