EU:N TIETOSUOJA-ASETUS JA SEN VAIKUTUKSET
EU:n yleistä tietosuoja-asetusta 679/2016 (General Data Protection Regulation) alettiin soveltamaan täysimääräisenä 25.5. 2018. Asetuksena GDPR on suoraan sovellettavaa EU lainsäädäntöä. Asetus sisältää sääntelyn mm. siitä, milloin saa kerätä ja käsitellä henkilötietoja ja mitä velvollisuuksia henkilötietojen käsittelyyn liittyy. Lähtökohtana on suojella kuluttajaa ja turvata heidän oikeutensa koskien henkilötietojen käsittelyä. Asetus koskee kaikkia EU:n alueella toimivia yrityksiä ja yhteisöjä ja se on suoraan sovellettavaa lainsäädäntöä.
Asetus sisältää kansallista liikkumavaraa mahdollistaen jäsenvaltioiden käyttämään kansallista, asetuksen täsmentävää sääntelyä. Suomessa asetuksen mukaiset muutokset toteutetaan tietosuojalailla (1050/2018), joka tuli voimaan 1.1.2019. Kansallisella tietosuojalailla täydennetään ja täsemmennetään tietosuoja-asetusta ja sitä sovelletaan rinnakkain asetuksen kanssa sekä se korvaa vanhan henkilötietolain.
Asetuksen velvoitteiden noudattamista tuetaan tehokkaalla täytäntöönpanolla; valvontaviranomainen voi määrätä henkilötietojen käsittelyyn liittyviä korjaavia toimenpiteitä ja merkittäviä hallinnollisia sakkoja.
Tietoturvan on oltava kunnossa. Tietosuojaa ei pystytä toteuttamaan ilman kunnollista tietoturvaa. Tietosuoja-asetuksen merkittävimpiä muutoksia on osoitusvelvollisuus. Jatkossa ei riitä, että rekisterinpitäjä passiivisesti noudattaa lakia, vaan rekisterinpitäjän on pystyttävä aktiivisesti osoittamaan noudattavansa lakia. Tietosuojan tulee olla sisäänrakennettuna kaikkeen organisaation toimintaan.
Tilintekovelvollisuusperiaate tarkoittaa, että organisaatioiden tulee osoittaa asetuksenmukaisuutensa ja riittävät tietosuojaan tähtäävät toimenpiteet, jotka täytyy todistaa dokumentaatiolla.
Näitä ovat mm. tietosuojapolitiikka, tietosuojaselosteet, tietoarkkitehtuuri- ja tietovirtakuvaukset, koulutusmateriaalit, sertifioinnit, tietotilinpäätösraportointi, roolit, vastuut, prosessit, työohjeet ym.
Organisaation johdon ja esimiesten rooli tietosuojan toteutumisessa
Johdolla ja esimiehillä on keskeinen rooli tietosuojan toteutumisessa, sillä he tekevät tyypillisesti henkilötietojen käsittelyä koskevat päätökset eli käyttävät rekisterinpitäjälle kuuluvaa määräysvaltaa. Johto ja esimiehet toimivat myös esimerkkinä henkilötietojen käsittelyssä sillä he myös käsittelevät henkilötietoja esimerkiksi rekrytointien yhteydessä.
Tietosuoja-asetuksen suurimmat muutokset
- Osoitus- ja dokumentointivelvollisuus
- Tietosuojavastaavan nimittäminen ja tehtävät
- Tietoturvaloukkauksista ilmoittaminen
- Vahingonkorvaus, hallinnolliset sakot ja niihin varautuminen
- Rekisteröityjen laajemmat oikeudet
- Tiukentuneet suostumuksen edellytykset
- Tietosuojaa koskeva vaikutustenarviointi
- Rajoitukset profiloinnille
- Henkilötietojen käsittelijöiden velvollisuudet ja sanktiot
- Sisäänrakennettu ja oletusarvoinen tietosuoja
Rajoitteita
Asetusta ei sovelleta luonnollisen henkilön suorittamaan henkilötietojen käsittelyyn toiminnassa, joka on yksinomaan henkilökohtaista tai kotitaloutta koskevaa toimintaa eikä ole sidoksissa ammatilliseen tai kaupalliseen toimintaan.
- Tätä toimintaa voi olla esimerkiksi kirjeenvaihto, osoitteiston pitäminen ja sosiaalinen verkostoituminen.
- Asetusta sovelletaan kuitenkin rekisterinpitäjiin ja henkilötietojen käsittelijöihin, jotka mahdollistavat ym. tietojen keräämisen tarjoamassaan palvelussa.
Asetuksessa pyritään huomioimaan myös yritysten kokoluokka siltä osin että yritysten on toteutettava vaatimukset kohtuullisin toimenpitein.
Käsitteistöä
Rekisterinpitäjä on taho, joka yksin tai yhdessä toisten tahojen kanssa määrittää henkilötietojen käsittelyn tarkoitukset ja keinot. Eli se jonka toimeksiannosta tai jonka tarpeita varten rekisteri luodaan.
Rekisteröity on luonnollinen henkilö, joka on tunnistettu tai tunnistettavissa suoraan tai epäsuorasti keinoin, joita joko rekisterinpitäjä tai muu luonnollinen henkilö tai oikeushenkilö voi kohtuuden rajoissa käyttää.
Henkilötietojen käsittelijä on taho, se todellinen tietoja tallentava, kokoava ja säilyttävä jne. esim. palveluntarjoaja.
Yhteisrekisterinpitäjät päättävät yhdessä yhden tai useamman organisaation kanssa, ”miksi” ja ”miten” henkilötietoja käsitellään.
Tietosuoja on ihmisten yksityiselämän suoja ja muut sitä turvaavat oikeudet henkilötietoja käsiteltäessä. Tietosuojan tarkoituksena on varmistaa, ettei tietoja käytetä ilman aiheetta ja turvata tiedon kohteen yksityisyys sekä edut, oikeudet ja vapaudet sekä oikeusturva.
Tietoturvalla tarkoitetaan tiedon luottamuksellisuuden, saatavuuden ja eheyden turvaamiseen tarkoitetut keinot. Ne toimenpiteet ja (tekniset) keinot, joilla (kaikkia) tietoja pyritään suojaamaan. Tiedot voivat olla mitä tahansa dataa; mittaustuloksia, autojen rekisterinumeroita, rahansiirtoja tai kaupan kuukausiraporttia varten kerättyjä myyntilukuja
Henkilötietoja ovat kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
Henkilötietoja ovat esimerkiksi:
- nimi, osoite, IP-osoite
- henkilötunnus, kulttuurinen profiili
- sormenjälki kuvana, terveystiedot
- sähköpostiosoite, verkkotunnistetiedot
- luottokortin numero, tulot
- henkilö jäljitettynä sijaintiin esim. matkapuhelimen avulla
- joissakin tapauksissa myös puhelinnumero ja ajoneuvon rekisterinumero
Henkilötietoja saa käsitellä, jos siihen on vähintään yksi seuraavista syistä:
- Suostumus (rekisteröity antaa luvan esim. sähköiseen suoramarkkinointiin)
- Oikeutettu etu (esim. asiakkuus, jäsenyys, työsuhde, sopimus)
- Sopimus (esim. henkilö tilaa tavaroita, jolloin syntyy asiakassuhde)
- Lakisääteinen velvoite (esim. osakasluettelo, palkkatiedot jne.)
- Elintärkeä etu (esim. ihmishenkien suojeleminen)
- Yleinen etu (esim. tutkimus ja arkistointi)
Osoitusvelvollisuus
Osoitusvelvollisuuden avulla organisaation tulee kyetä osoittamaan, että se on huolehtinut seuraavista henkilötietojen käsittelyn osa-alueista:
- lainmukaisuus, kohtuullisuus ja läpinäkyvyys
- käyttötarkoitussidonnaisuus
- tietojen minimointi
- täsmällisyys
- säilytyksen rajoittaminen
- eheys ja luottamuksellisuus
Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että näitä periaatteita on noudatettu!
Rekisteröidyn informoiminen
Asetuksen mukaan rekisterinpitäjän ja henkilötietojen käsittelijän on dokumentoiva sen vastuulla olevat käsittelytoimet. Tarkoituksena on, että dokumentaation pohjalta saa ajantasaisen kokonaiskuvan organisaation harjoittamasta henkilötietojen käsittelystä ja osaltaan osoittaa, että henkilötietoja käsitellään tietosuojalainsäädännön mukaisesti.
Selostetta käsittelytoimista ei ole tarkoitettu käytettäväksi suoraan rekisteröidyn informointiin, mutta sitä voidaan hyödyntää rekisteröidylle suunnatun informaation tuottamisessa. Seloste on osa laajempaa tietosuojan toimintaperiaatteita koskevaa dokumentaatiota esim. tietotilinpäätös. Tämä seloste on pyydettäessä saatettava valvontaviranomaisen saataville.
MITÄ GDPR (GENERAL DATA PROTECTION REGULATION) KÄYTÄNNÖSSÄ TARKOITTAA?
Tietosuoja oletukseksi
- Oletusarvoisesti kerätään vain henkilötietoja, jotka ovat välttämättömiä ja tarpeellisia käsittelytarkoituksen kannalta
- Tietoja ei kerätä eikä säilytetä suurempia määriä eikä kauemmin kuin on tarpeellista kyseiseen tarkoitukseen
- Henkilötietoja ei oletusarvoisesti saateta rajoittamattoman henkilömäärän saataville
- Jokaisen tietojärjestelmän tulee olla toiminnallisuuksiltaan sellainen, että henkilötietojen käsittely järjestelmässä täyttää asetuksen vaatimukset
- Palvelussa tulee oletuksena olla päällä käyttäjän kannalta oikeat tietosuoja-asetukset
- Järjestelmissä oltava olettamana tietosuojan turvaaminen
- Tietosuoja-asetuksen vaatimusten toteutuminen tulee taata määrittelyvaiheesta aina koko käsiteltävien henkilötietojen elinkaaren loppuun
Tilivelvollisuus
- Rekisterinpitäjän on hyväksyttävä asianmukaiset toimintamenetelmät ja toteutettava tarvittavat todennettavissa olevat tekniset ja organisatoriset toimenpiteet asetuksen noudattamiseksi.
- Jatkossa ei riitä, että rekisterinpitäjä passiivisesti noudattaa lakia, vaan rekisterinpitäjän on pystyttävä kysyttäessä aktiivisesti osoittamaan noudattavansa laki. Aiemmin ”Do It”, nyt ”Prove It”
- Velvoittaa dokumentointiin
Ilmoitus tietojen vuotamisesta
- Vähäistä suurempien tietoturvaloukkausten tapahtuessa rekisterinpitäjä on velvollinen ilmoittamaan viranomaisille tapahtuneesta 72 tunnin kuluessa
- Henkilötietojen käsittelijän on tiedon saamisen jälkeen ilmoitettava viipymättä rekisterinpitäjälle
- Rekisterinpitäjällä on velvollisuus ilmoittaa tapahtuneesta tietoturvaloukkauksesta viivytyksettä myös rekisteröidyille itselleen siinä tapauksessa, että tietovuoto aiheuttaa suuren riskin rekisteröidyn henkilötietojen suojalle tai yksityisyydelle
- Ei kuitenkaan vaadita jos;
- on toteutettu asianmukaiset tekniset ja organisatoriset suojatoimenpiteet ja loukkauksen kohteena oleviin henkilötietoihin on sovellettu niitä ( erityisesti salaus)
- on toteutettu jatkotoimenpiteet, joilla varmistetaan, ettei korkea riski enää todennäköisesti toteudu
- ilmoitus vaatisi kohtuutonta vaivaa. Tällöin on käytettävä julkista tiedonantoa tai vastaavaa toimenpidettä, jolla rekisteröidyille tiedotetaan yhtä tehokkaalla tavalla
- Loukkaukset on dokumentoitava
Rekisteröidyn oikeudet
Oikeus tulla unohdetuksi
- Kun henkilötietoja ei enää tarvita, ne tulee hävittää järjestelmästä, ellei käsittelylle ole laillista perustetta
- Henkilö voi vaatia, että hänen henkilötietonsa poistetaan ja ettei niitä käsitellä sen jälkeen kun henkilötietoja ei enää tarvita niitä tarkoituksia varten, joita varten ne alun perin kerättiin, ellei käsittelylle ole laillista perustetta
- Henkilötiedot saa pyynnöstä huolimatta säilyttää muun muassa silloin, jos se on tarpeen lakisääteisen velvoitteen noudattamiseksi/rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi
- Rekisteröity peruuttaa suostumuksensa tai vastustaa käsittelyä eikä oikeusperustetta käsittelylle ole
- Henkilöllä on oikeus saada omat tiedot käyttöönsä yleisesti käytettävässä tiedonsiirtomuodossa
- Saattaa edellyttää muutoksia niin toimintatapoihin kuin tietojärjestelmiin
Oikeus tietojen siirtämiseen
- Rekisteröidyn pitää halutessaan pystyä viemään tietonsa mukanaan toiselle palveluntarjoajalle
- Rekisteröidyllä on oikeus vaatia, että tiedot siirretään suoraan rekisterinpitäjältä toiselle
- (Henkilötietojen vapaan liikkuvuuden tukemiseksi EU:ssa ja rekisterinpitäjien välisen kilpailun edistämiseksi)
- Koskee käsittelyä, joka perustuu rekisteröidyn suostumukseen tai sopimukseen sekä automaattiseen käsittelyjärjestelmään
- (Tämä oikeus koskee vain rekisteröidyn toimittamia tietoja ts. oikeus tietojen siirtämiseen järjestelmästä toiseen kattaa rekisteröidyn tietoisesti ja aktiivisesti toimittamat tiedot sekä hänen toimintansa tuottamat henkilötiedot)
- Helpottaa palveluntarjoajan vaihtamista ja edistää sisämarkkinoiden uusien palveluiden kehittämistä
- (Tietojen jälleenkäyttöarvo kasvaa)
Oikeus olla joutumatta automatisoitujen päätösten kohteeksi
- Rekisteröidyllä on lähtökohtaisesti oikeus olla olematta sellaisen päätöksen kohde, joka perustuu pelkästään automaattiseen tietojenkäsittelyyn
- (Esim. automaattinen online-luottohakemuksen epääminen ilman ihmisen osallistumista)
- Yritykset eivät saa käyttää eivätkä myydä keräämiään luonnolliseen henkilöön liittyviä tietoja ilman lupaa
- Luonnollinen henkilö voi itse määrätä, haluaako hän automaattisen profiloinnin piiriin
- Tällaiset toimenpiteet ovat kuitenkin sallittavia
- Jos ne ovat hyväksytty laissa
- Toteutettu sopimuksen tekemisen tai sen täytäntöönpanon yhteydessä
- Rekisteröity on antanut niihin muuten suostumuksensa
Oikeus saada informaatiota henkilötietojen keräämisestä ja käsittelystä
Rekisterinpitäjällä on velvollisuus toimittaa rekisteröidyille tietoja henkiötietojen käsittelystä kun henkilötietoja kerätään rekisteröidyltä itseltään tai jostain muualta.
Oikeus saada pääsy tietoihin
Mikäli mahdollista, rekisterinpitäjän olisi voitava tarjota etäpääsy suojattuun järjestelmään, jossa rekisteröity saa suoran pääsyn henkilötietoihinsa. Rekisterinpitäjän olisi käytettävä kaikkia kohtuullisia keinoja tarkistaakseen sellaisen sellaisen rekisteröidyn henkilöllisyyden, joka haluaa saada pääsyn tietoihin erityisesti verkkopalveluiden ja verkkotunnistetietojen yhteydessä.
Oikeus tietojen oikaisemiseen
Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaiseen ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot.
Oikeus käsittelyn rajoittamiseen
Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos kyseessä on yksi asetuksessa luetellussa neljästä perusteesta, kuten jos rekisteröity kiistää henkilötietojensa paikkansapitävyyden.
Oikeus saada rekisterinpitäjä ilmoittamaan oikaisusta, poistosta ja käsittelyn rajoittamisesta tietojen vastaanottajille
Rekisterinpitäjän on ilmoitettava kaikenlaisista henkilötietojen oikaisuista, poistoista tai käsittelyiden rajoituksista jokaiselle vastaanottajalle, jolle henkilötietoja on luovutettu, paitsi jos tämä osoittautuu mahdottomaksi tai vaatisi kohtuutonta vaivaa.
Oikeus saada tieto rekisterinpitäjään kohdistuneesta tietoturvaloukkauksesta
Kun henkiötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä.
Oikeus tehdä valitus valvontaviranomaiselle
Jokaisella rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, erityisesti siinä jäsenvaltiossa, jossa hänen vakinainen asuinpaikkansa tai työpaikkansa on, taikka jossa väitetty rikkominen on tapahtunut.
Oikeus saada korvaus aiheutuneista vahingoista
Jos henkilölle aiheutuu asetuksen rikkomisesta aineetonta tai aineellista vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta.
Oikeus tehokkaisiin oikeussuojakeinoihin rekisterinpitäjää vastaan
Jokaisella rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos hän katsoo, että häneen asetukseen perustuvia oikeuksiaan on loukattu sen takia, ettei hänen henkilötietojensa käsittelyssä ole noudatettu asetusta.
Lasten henkilötietojen rekisteröinti
Kun henkilötietoja käsitellään suostumuksen perusteella ja kyseessä on tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle, lapsen henkilötietojen käsittely on lainmukaista, jos lapsi on vähintään 13-vuotias. Tämä nuoremmalla lapsella on oltava vanhempien suostumus esimerkiksi sosiaalisen median ja muiden henkilötietojen antamista edellyttävien palveluiden käyttämiseen. Rekisterkinpitäjän vastuulla on tarkistaa, että suostumus on olemassa.
Tietosuojavastaava – Data privacy officer
- Asetus määrittää, että tietosuojavastaava on nimitettävä sellaisessa yrityksessä, sen koosta riippumatta, jonka keskeisiin toimintoihin liittyy henkilöiden säännöllinen ja järjestelmällinen seuranta tai erityisiin henkilötietoryhmiin kohdistuva laajamittainen käsittely.
- Tietosuojavastaava voidaan nimittää, vaikkei tietosuoja-asetus tähän nimenomaisesti velvoita. Niissä tilanteissa, joissa tietosuojavastaavan nimittäminen ei ole nimenomaisesti velvollisuus, on organisaatiossa kuitenkin syytä määritellä henkilö, jonka tehtävänä on tietosuojaa koskevien asioiden huomioiminen organisaation toiminnassa ja joka voi toimia yhteyshenkilönä rekisteröidyn oikeuksiin ja viranomaisvalvontaan liittyvissä kysymyksissä.
- Konserni voi nimittää yhden ainoan tietosuojavastaavan edellyttäen, että tietosuojavastaavaan voidaan ottaa helposti yhteyttä jokaisesta toimipaikasta.
- Tietosuojavastaava voi olla rekisterinpitäjän tai henkilötietojen käsittelijän henkilöstön jäsen tai tietosuojavastaava voi hoitaa tehtäviään palvelusopimuksen perusteella.
- Asetus määrittelee myös tietosuojavastaavan aseman ja toimenkuvan.
- Tietosuojavastaava ei vastaa tietosuojan toteutumisesta. Vastuu on aina organisaation johdolla.
Hallinnolliset seuraamukset – Administrative sanctions
- Valvontaviranomainen voi määrätä henkilötietojen käsittelyä, keskeyttää henkilötietojen käsittelemisen ja antaa sakkoja jonka määrä voi olla 20 miljoonaa € tai 4 % kansainvälisestä vuotuisesta liikevaihdosta.
- Tämän lisäksi vahinkoa kärsinyt osapuoli voi vielä vaatia korvausta rekisterinpitäjältä tai käsittelijältä sekä oikeus tehdä valitus valvontaviranomaiselle
- Käytettävissä on myös lievempiä keinoja, kuten varoitus, huomautus, rekisterinpitäjälle annettavat määräykset, käsittelyä koskevien rajoitusten asettaminen, keskeytysmääräyksen asettaminen.
- Rikoslaissa säädetään rangaistavaksi sellainen menettely, jossa esimerkiksi rekisterinpitäjän palveluksessa oleva henkilö oikeudettomasti urkkii henkilötietoja vastoin niiden käyttötarkoitusta. Tällöin on kyse tietosuojarikoksesta, josta tuomitaan sakkoa tai vankeutta enintään yksi vuosi.
Entäpä maineriski?
Jos rekisterinpitäjä rikkoo asetusta, viranomainen voi;
- Varoittaa siitä, aiotut käsittelytoimet ovat todennäköisesti asetuksen vastaisia
- Antaa huomautuksen, jos käsittelytoimet ovat olleet asetuksen vastaisia
- Määrätä noudattamaan rekisteröidyn pyyntöjä, jotka koskevat rekisteröidyn oikeuksien käyttöä
- Määrätä saattamaan käsittelytoimet asetuksen mukaisiksi, tarvittaessa tietyllä tavalla ja määräajassa
- Asettaa väliaikaisen tai pysyvän rajoituksen käsittelylle, myös käsittelykiellon
- Pitää sisäistä rekisteriä asetuksen rikkomisista ja niiden vuoksi toteutetuista toimenpiteistä (kuten varoituksista ja seuraamuksista)
- Määrätä sakkoa em. korjaavien toimenpiteiden lisäksi tai asemasta olosuhteista riippuen
”Tanskassa taksiyritystä rangaistiin vanhojen asiakkaiden puhelinnumeroiden säilyttämisestä ilman perusteita, yritys selitti säilyttämistä tietojärjestelmän kankeudella. Tietosuoja-asetuksen yleiset käsittelyperiaatteet mm. ”tietojen minimointi” ja ”säilytyksen rajoittaminen” eivät täyttyneet. Sakoksi suositeltiin 160 000 €, joka on 3% vuosittaisesta liikavaihdosta.”
Vaikutus sopimussuhteisiin
- Sopimuskanta sekä sopimusperäiset järjestelyt arvioitava myös tietosuojanäkökulmasta.
- Valitaan vain sellaisia toimittajia, joiden toimittamien tuotteiden tietosuojataso vastaa asetuksen vaatimuksia
- Tietosuojavaatimukset kannattaa asettaa jo tarjouspyynnössä ja liittää ne osaksi tarjouspyynnön perusteella tehtävää sopimusta
- Perinteisesti: Rekisterinpitäjä ensisijaisessa vastuussa
- Sekä suhteessa rekisteröityihin että viranomaisiin
- Nykyään: Käsittelijän vastuuasema ja riskit muuttuivat merkittävästi asetuksen myötä, osin ensisijaisessakin vastuussa (yhdessä rekisterinpitäjän kanssa)
- Vastuuta voidaan lisäksi kanavoida sopimuksellisesti => käsittelijän riskitaso kasvaa merkittävästi
- Säilytetäänkö pilvessä?
- Miten huomioidaan alihankintaketjut?
- Ovatko vanhat sopimukset asetuksen mukaisia?
- Asetuksessa luetellaan yksityiskohtaisesti, mistä asioista on sovittava
Ulkoistaessa henkilötietojen käsittelyä, rekisterinpitäjän ja käsittelijän on jatkossa sovittava siitä kirjallisesti
- Sopimuksessa on oltava ainakin seuraavat seikat käsiteltyinä;
- käsittelyn kohde ja kesto
- käsittelyn luonne ja tarkoitus
- henkilötietojen tyyppi ja rekisteröityjen ryhmät
- rekisterinpitäjän velvollisuudet ja oikeudet
- Käsittelijän velvollisuudet on mainittava sopimuksessa nimenomaisesti joita ovat:
- velvollisuus noudattaa rekisterinpitäjän (dokumentoituja) ohjeita käsittelyssä ja mm. siirrossa kolmansiin maihin
- huolehtia salassapitovelvollisuudesta
- palautetaanko vai poistetaanko henkilötiedot käsittelyn päättyessä (mainittava myös jos tiedot lainsäädännön mukaan säilytettävä)
- antaa rekisterinpitäjälle kaikki ne tiedot, jotka ovat tarpeen säädettyjen velvollisuuksien noudattamista varten
Asetus vaikuttaa vääjäämättä jokaisen henkilötietoja käsittelevän organisaation toimintaan
Kun organisaatio on kartoittanut henkilötietojen käsittelyn nykytilan, seuraavaksi tulisi selvittää, mitä konkreettisia muutoksia ja toimenpiteitä tietosuoja-asetuksen sääntely sen suorittamalle henkilötietojen käsittelylle tarkoittaa. Käsittelyn yhteydessä on toteutettava tietosuojaperiaatteiden täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet joilla varmistetaan, että asetuksessa säädetyt vaatimukset täyttyvät.
NELJÄ ASKELTA TIETOSUOJA-ASIOIDEN HALTUUN OTTAMISEKSI
1. Tietosuoja on pidettävä johdon agendalla
- Ensimmäiseksi kannattaa ottaa selvää mitä tietoja yrityksen henkilörekistereihin on kerätty ja millaisilla prosesseilla ja järjestelmillä niitä käsitellään, miksi niitä kerätään (käyttötarkoitus), kuka niitä käsittelee, mistä tietojärjestelmistä tietoja löytyy, mistä tietoja organisaatioon tulee ja mihin tietoja luovutetaan
- Laadittava selosteet, joissa kuvataan mm. kerättävät tiedot ja käyttötarkoitukset
- Varmistettava, että rekisteröidyt henkilöt tietävät mihin suostumuksensa ovat antaneet
- Vastuu tietosuoja- ja tietoturva-asioista on ylimmällä johdolla. Johdon tulee olla sitoutunut tietosuojatyöhön jotta organisaation muun toiminnan tavoitteet toteuttaisivat tietosuojan järjestelmällistä kehitystyötä
- Roolit ja vastuut sekä toimintasuunnitelma poikkeuksellisten tilanteiden varalta tulee olla selvillä (esim. johto, HR, IT-vastaava, lakimies ja viestintä)
2. Tunnistettava toiminnasta lähtevät tarpeet ja henkilötietojen elinkaari organisaatiossa
- Selvitettävä EU:n tietosuoja-asetuksen vaikutus organisaation henkilötietojen käsittelyn prosesseihin ja teknologiaan, puutteet verrattuna tuleviin vaatimuksiin sekä näistä puutteista johtuvat riskit.
- Laadittava kehityssuunnitelma vaatimustenmukaisuuden saavuttamiseksi.
- Nykytilan arviointi tämän hetkisten henkilötietojen käsittelyn hallintamallin, prosessien, käytäntöjen, kontrollien ja ohjeistuksen läpikäynti haastattelujen, testauksen ja dokumentaation perusteella.
- Tietosuojan kehityssuunnitelman laadinta nykytila-analyysin ja riskianalyysin pohjalta, kehitystoimenpiteet.
- Tiedon virtojen käsittely ja säilyttäminen eri tasoissa
- Käyttöliittymät, tietokannat, verkot, käyttöjärjestelmä
- Hallinnoidaanko tietoa päällekkäisesti
- Arkistoinnin haasteet
3. Selvitettävä asetuksen vaatimusten toteutuminen sekä tietosuojan ja tietoturvan nykytila organisaatiossa, esimerkiksi laatimalla tietotilinpäätös.
Tietoa kannattaa tarkastella sen elinkaaren näkökulmasta: tiedon syntyä, käsittelyä, arkistointia ja siirtämistä edelleen yhteistyökumppaneille.
- Tunnistaa tietosuojaa koskevat kysymykset ja otettava ne huomioon jo siinä vaiheessa, kun suunnitellaan henkilötietojen käsittelyä/kehitetään tietojärjestelmiä
- On syytä myös käydä läpi sopimustilanne palvelutuottajien, alihankkijoiden ja toimittajien kanssa ja mm. varmistaa, että esim. ulkoistustilanteita varten on selkeät käytännöt henkilötietojen käsittelyn turvaamiseksi ja tietosuoja-asetuksen määräysten täyttämiseks.
- Erityisesti pilvipalveluja käytettäessä on syytä ottaa huomioon määräykset, jotka koskevat tietojen siirtoa EU:n ulkopuolelle
4. Rakennettava tietosuojan kehitysohjelma ja varmistettava menestymisen edellytykset
- Tietosuoja-asetus vaatii, että organisaatioiden on kyettävä osoittamaan, että henkilötietojen käsittely täyttää lainsäädännön vaatimukset. Tämän vuoksi valitut toimintamallit on syytä dokumentoida
- Olennainen osa organisaation tietosuojan rakentamista onkin määrittää ja toteuttaa tietosuojaan liittyvät vastuut osaksi organisaation päivittäisiä toimintatapoja
- Sisäiset tarkastusmenetelmät esim. tietotilinpäätös
- Ohjeistukset, koulutus ja valvonta
- Toimintasuunnitelma poikkeustilanteiden varalle
- Laaditaan suunnitelma: miten mahdollinen tietoturvaloukkaus tunnistetaan, ilmoitetaan, selvitetään ja dokumentoidaan
- Rekisteröidyn oikeuksien käytön mekanismit, valitusten käsittely
- Vastuut organisaatiossa
Toimenpiteet, jotka tulee toteuttaa koskien sovellettavaa lainsäädäntöä.
- Valitse tietosuoja-asioista vastaava henkilö
- Tee henkilötiedoista inventaario, mitä henkilötietoja missäkin järjestelmässä
- Tee henkilötietojen käsittelijöiden kanssa kirjalliset käsittelysopimukset
- Varmista että organisaation omalle henkilöstölle sekä henkilötietojen käsittelijöille on laadittu ja toimitettu tarvittava ohjeistus henkilötietojen käsittelystä
- Prosessi koskien henkilötietojen tietoturvaloukkauksia
- Prosessi tietopyyntöjen vastaanottamiseen ja käsittelyyn
- Tee henkilötietojen käsittelyä koskevat selosteet
- Huolehdi osaamisesta
- Valvo henkilötietojen käyttöä
- Seuraa tiedottamista (www.tietosuoja.fi ja www.fordione.fi)
Tiedon elinkaarenhallinnan tietosuojariskejä
- Kerätään liikaa henkilötietoja
- Henkilötietojen käsittelytarkoituksia ei ole määritelty
- Käsitellään vanhentuneita / virheellisiä / epärelevantteja tietoja
- Käsitellään tietoja lainvastaisiin tai käsittelyn tarkoituksen vastaisiin tarkoituksiin
- Käsittelijöiden piiri ei ole minimoitu
- Tietosuojatoimintojen tilasta ei saada tietoa mittareiden ja raportoinnin puutteellisuuden vuoksi
- Henkilötietoihin on pääsy asiattomilla, valvontaa ei ole järjestetty tai se on puutteellista
- Ei suojata tietoja riittävällä tasolla
… JA LOPUKSI, KYSY ITSELTÄSI AINAKIN NÄMÄ;
- Tiedetäänkö mitä henkilötietoja kerätään?
- Kenellä on pääsy henkilötietoihin?
- Missä henkilötietoja säilytetään?
- Onko henkilötietojen käsittely kuvattu?
- Siirretäänkö / luovutetaanko / käsitelläänkö henkilötietoja organisaation ulkopuolella?
- Täyttääkö sopimukset kolmansien osapuolien kanssa GDPR -vaatimukset?
- Tiedostetaanko yrityksessänne millä edellytyksillä ja mitä tarkoitusta varten henkilötietoja voidaan kerätä, tallettaa ja käsitellä?
- Onko jokaisesta henkilörekisteristä laadittu julkisesti saatavilla olevat rekisteri- ja tietosuojaselosteet?
- Onko yrityksenne johdon taholta huolehdittu siitä, että henkilötietojen käsittelyyn liittyvät vastuut ja tehtävät on määritelty asianmukaisesti?
- Tunnistatko milloin toiminnassa muodostuu henkilötietoja, kun esimerkiksi suunnittelet sähköistä kaupankäyntiä?
- Voidaanko osoittaa, että kerätyt henkilötiedot ovat henkilötietojen käsittelyn tarkoituksen kannalta tarpeellisia?
- Tiedetäänkö millaisten henkilötietojen käsittely on kiellettyä ja millä edellytyksillä niitä voidaan käsitellä?
- Tunnistatko rekisteröidyn oikeudet henkilötietojen käsittelyyn, milloin rekisteröidyllä on yleensä oikeus tarkastaa itseään koskevat tiedot sekä vaatia virheellisen tiedon oikaisua sekä kieltää henkilötietojensa käsittely ja miten oikeudet toteutetaan?
- Noudattaako yritys yleisiä tietosuojaperiaatteita ja kerrotaanko niistä esimerkiksi yrityksen kotisivuilla?
- Tiedättekö milloin organisaatiolla on tietosuoja-asetuksen mukainen ilmoitusvelvollisuus joista täytyy tehdä ilmoitus valvovalle viranomaiselle ja rekisteröidylle itselleen?
- Onko organisaatiolle nimetty tietosuojavastaava?
- Pystytäänkö todistamaan että henkilötietojen keräämiseen on saatu rekisteröidyn suostumus?
- Onko organisaatiolla johdon hyväksymä tietoturva- ja suojapolitiikka?
- Onko organisaatiossa tietoturvallisuuteen liittyviä tiedotteita, ohjeita ja koulutusta?
- Onko organisaatiolla viestintäsuunnitelma, strategia ja politiikka?
TIETOTURVALLISUUDEN TOIMINNANOHJAUS™
Fordione Oy:n Tietoturvallisuuden Toiminnanohjaus™ -palvelun avulla EU:n tietosuoja-asetuksen vaatimusten täyttäminen helpottuu olennaisesti. Se ottaa kantaa niin olemassa oleviin kuin vaadittaviin hallintomalleihin ja sen avulla analysoidaan organisaation henkilötietoja käsittelevät prosessit nopeasti ja kattavasti.
Lopputuloksena syntyy tietotilinpäätös, jonka avulla asetuksen osoitusvelvollisuus voidaan täyttää ja joka varmistaa, että tietoturvallisuus on johdon agendalla.
Joustavuutensa ja kustannustehokkuutensa ansiosta se voidaan sovittaa kaiken kokoisille organisaatioille sopivaksi.
Soita meille tai jätä yhteydenottopyyntö TÄSTÄ