EU:n tietosuojauudistus | Yrittajat.fi
Yrittäjät > Helsingin Yrittäjät > Helsingin Yrittäjät - Lauttasaari ry > Yrittajan Abc > Yritystoiminnan Abc > Henkilotietojen Kasittely Ja Eun Tietosuojauudistus

Etsi

EU:n tietosuojauudistus

Tietosuojasääntely on murroksessa. Euroopan unioni hyväksyi huhtikuussa lopullisesti EU:n yleisen tietosuoja-asetuksen. Asetuksen soveltaminen alkaa 25.5.2018.

Tietosuoja-asetuksen tavoitteena on varmistaa yhdenmukainen ja korkeatasoinen luonnollisten henkilöiden suojelu ja poistaa henkilötietojen liikkuvuuden esteet unionissa. Asetuksen myötä koko unionin alueella sovelletaan pääosin yhtenäistä tietosuojasääntelyä.

Tietosuoja-asetus tulee kumoamaan suurelta osin kansallisen tietosuojasääntelyn. Asetuksen voimaantulon edellyttämä kansallisen lainsäädännön muutostyö on käynnissä oikeusministeriössä. Asetuksen sisältöön liittyy vielä useita avoimia tulkintakysymyksiä. Uuden sääntelyn tulkinta ja sitä koskevat ohjeistukset tulevat tarkentumaan siirtymäajan kuluessa. Tämän ohjeistuksen tarkoituksena on tarjota yleiskuva tulevan sääntelyn sisällöstä ja sen tuomista muutoksista.

Riskiperusteinen lähestymistapa 

Uusi tietosuojasääntely lähtee riskiperusteisesta lähestymistavasta. Siitä huolimatta, että suurin osa sääntelystä koskee kaikkea henkilötietojen käsittelyä, on velvoitteita haluttu kohdentaa erityisesti korkeariskiseen toimintaan ja laajamittaiseen henkilötietojen käsittelyyn. Esimerkiksi velvollisuus nimittää yritykseen erityinen tietosuojavastaava koskee lähtökohtaisesti sellaisia yrityksiä, joissa henkilötietojen käsittely edellyttää laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa tai laajamittaista asetuksessa mainittua arkaluonteisten tietojen käsittelyä.

Asetuksen myötä yritysten tulisi aiempaa tarkemmin pohtia jo ennakolta mahdollisia henkilötietojen käsittelyyn liittyviä riskitekijöitä ja toteutettava tarvittavat tekniset ja muut toimenpiteet, joilla voidaan varmistaa ja osoittaa asetuksen noudattaminen. Teknisten suojaustoimenpiteiden ohella myös yrityksen sisäisten toimintapojen olisi hyvä tukea asteuksen noudattamista. Toimenpiteitä on myös päivitettävä tarvittaessa. Osana ennakkovarautumista korostuu myös dokumentoinnin merkitys, sillä erilaisiin riskeihin ennakolta varautuminen on myös pystyttävä tarvittaessa todistamaan. Ennakkovarautuminen ja dokumentoinnin merkitys on erityisen tärkeää myös sanktiouhan takia.

Velvollisuus ilmoittaa tietoturvaloukkauksista

Tietosuoja-asetus asettaa velvollisuuden ilmoittaa laajoista tietoturvaloukkauksista valvontaviranomaisille ja loukkauksen kohteeksi joutuneille. Asetuksen mukainen määräaika on varsin lyhyt: ilmoitus tulee tehdä valvontaviranomaiselle ja rekisteröidylle ilman aiheetonta viivytystä ja lähtökohtaisesti 72 tunnin kuluessa tietomurron havaitsemisesta. Rekisterinpitäjän on lisäksi dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset.

Muutoksia sopimuskäytäntöihin ja henkilötietojen siirtämiseen

Asetuksella voi olla vaikutusta myös yrityksen sopimuskäytäntöihin. Uusi sääntely velvoittaa sopimaan aiempaa seikkaperäisemmin esimerkiksi henkilötietojen käsittelyn ulkoistamisesta. Henkilötietoja saatetaan siirtää yritykseltä toiselle hyvin monenlaisissa tilanteissa, esimerkiksi alihankinnan, markkinointikampanjan tai ulkoistamispäätöksen yhteydessä. Tämän vuoksi yrityksen eri sopimukset on hyvä käydä läpi ajoissa ja tehdä tarvittavat päivitykset ennen toukokuuta 2018.

Keskeisiä muutoksia

Tietosuoja-asetus muuttaa merkittävästi nykyistä henkilötietojen käsittelyä koskevaa sääntelyä. Yrityksille tulee uusia velvoitteita, jotka tulee ottaa huomioon esimerkiksi asiakkaiden, yhteistyökumppaneiden tai työntekijöiden henkilötietojen hallinnassa. Valmistautuminen ja yrityksen toimintatapojen sopeuttaminen tulevaan sääntelyyn kannattaa aloittaa mahdollisimman aikaisessa vaiheessa. 

Tietosuoja-asetus vahvistaa rekisteröityjen oikeuksia nykyiseen verrattuna. Uutta on esimerkiksi oikeus tulla unohdetuksi, oikeus vastustaa henkilötietojen käsittelyä ja oikeus siirtää tiedot sähköisessä muodossa sekä oikeus saada ilmoitus tietoturvaloukkauksesta.

Rekisterinpitäjän ja käsittelijän velvollisuudet lisääntyvät esimerkiksi uusien dokumentointivelvoitteiden muodossa. Tietyntyyppistä toimintaa harjoittaville yrityksille tulee velvollisuus nimittää erityinen tietosuojavastaava. Asetuksen rikkomisesta voi seurata erittäin huomattavia taloudellisia sanktioita, joten myös henkilötietojen käsittelyyn liittyvät juridiset riskit kasvavat asetuksen myötä.

Uusia käsitteitä ja periaatteita

Tietosuoja-asetus tuo uudenlaisia käsitteitä ja tietosuojaperiaatteita, kuten eräänlaisen tilivelvollisuuden (accountability). Ei riitä, että rekisterinpitäjä vain pyrkii parhaan kykynsä mukaan noudattamaan sääntelyä, vaan rekisterinpitäjän on tarvittaessa kyettävänä näyttämään myös toteen, että asetuksen mukaiset tietosuojavelvoitteet on hoidettu asianmukaisesti. Näyttövelvollisuuden myötä korostuu tarve varautua etukäteen tietosuoja-asioiden asianmukaiseen hoitamiseen ja myös dokumentoida asetuksen noudattamiseksi tehdyt toimenpiteet.

Uusi sääntely tuo myös uudenlaisia tietosuojaperiaatteita, kuten oletusarvoisen ja sisäänrakennetun tietosuojan periaatteet. Rekisterinpitäjän tulee arvioida henkilötietojen käsittelyn luonnetta, laajuutta, asiayhteyttä ja tarkoituksia sekä käsittelystä aiheutuvien riskien todennäköisyyttä ja vakavuutta ja sen perusteella toteuttaa tarvittavia suojatoimenpiteitä. Arvioon vaikuttaa myös uusin tekniikka ja sen toteuttamiskustannukset. Lisäksi rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn tarkoituksen kannalta tarpeellisia henkilötietoja. Lisäksi tulisi varmistaa, että henkilötietoja ei kerätä laajemmin eikä säilytetä pidempään kuin on tarpeen kyseiseen käsittelytarkoituksen kannalta.

Keskeisiä tietosuoja-asetuksen käsitteitä

Henkilötieto

Kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön (rekisteröity) liittyvät tiedot. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

Henkilötietojen käsittely

Toimintaa, jotka kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.

Henkilötietorekisteri

Mikä tahansa jäsennelty henkilötietoja sisältävää tietojoukko, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu.

Rekisterinpitäjä

Taho, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.

Käsittelijä

Taho, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.

Tietoturvaloukkaus

Tietoturvaloukkaus, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.

Profilointi

Henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan henkilön tiettyjä henkilökohtaisia ominaisuuksia, erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin.

Mistä liikkeelle?

Uutta sääntelyä koskeva ohjeistus täydentynee siirtymäajan aikana ennen asetuksen soveltamisen alkamista 25.5.2018. Yritysten olisi hyvä kuitenkin aloittaa varautuminen jo mahdollisimman aikaisessa vaiheessa.

Voit lähteä liikkeelle seuraavan kysymyslistan avulla:

  1. Käy läpi yrityksessä tapahtuva henkilötietojen kerääminen, rekisteröinti ja käsittely sekä niihin liittyvät perusteet ja käytännöt. Mitä tietoja yrityksessä kerätään, ja sisältyykö niihin henkilötietoja? Millä perusteella henkilötietoja kerätään tai käsitellään? Täyttääkö toiminta nykysääntelyn vaatimukset?
  2. Arvioi henkilötietojen käsittelyn tarpeellisuutta ja siihen liittyviä riskejä sekä sitä, miten riskejä voitaisiin vähentää? Tarvitaanko kaikkia nyt kerättäviä tietoja? Kuinka pitkään tietoa on liiketoiminnan kannalta tarpeen säilyttää?
  3. Harjoitetaanko yrityksessä henkilötietojen profilointia?
  4. Millä tavalla yrityksessä huolehditaan eri tietomassojen, erityisesti henkilötietojen suojauksesta? Onko suojauskäytännöissä parantamisen varaa? 
  5. Pohdi, millä tavalla varautua erilaisiin tietoturvaloukkauksiin? Miten näiden riskiä voitaisiin vähentää? Miten yrityksessä toimitaan tietoturvaloukkauksen sattuessa?
  6.  Selvitä, millä tavalla yrityksessä reagoidaan rekisteröityjen pyyntöön tarkistaa tai poistaa itseään koskevat tiedot yrityksen rekistereistä?
  7. Vastuuta selkeästi taho huolehtimaan siitä, että tietoturva on riittävällä tasolla ja yrityksessä noudatetaan nykyistä henkilötietolainsäädäntöä?
  8. Selvitä, siirretäänkö yrityksen keräämiä tai käsittelemiä henkilötietoja muille tahoille, esimerkiksi kumppaniyrityksille, toimeksiantajille, alihankkijoille jne.? Onko henkilötietojen siirtämiseen saatu rekisteröityjen suostumus, ja onko henkilötietojen siirrosta tehty kirjallista sopimusta? Siirretäänkö henkilötietoja muihin EU-maihin tai EU:n ulkopuolelle?
  9. Jos yrityksessä suunnitellaan uusien asiakasrekisterien tai vastaavien ohjelmistojen hankintaa, selvitä myyjältä ennen hankintapäätöksen tekoa, onko ohjelmiston suunnittelussa varauduttu tietosuoja-asetuksen säännöksiin tai onko ohjelmisto mukautettavissa niihin?