Etsi

EU:n tietosuoja-asetus koskee kaikkia yrityksiä – Aloita valmistautuminen viimeistään nyt

EU:n tietosuoja-asetus koskee käytännössä kaikkia yrityksiä; on nimittäin vaikea kuvitella nykyaikaista yritystoimintaa, johon ei sisältyisi henkilötietojen käsittelyä ja jolloin siis asetusta ei sovellettaisi. Toisin sanoen lähtökohtaisesti asetusta sovelletaan myös “yhden miehen/naisen” palveluyrityksiin. Eli lähtökohtana on, että asetusta sovelletaan myös sinun yrityksesi toimintaan ja sinun tulisi aloittaa valmistautuminen siihen mahdollisimman nopeasti.

(Kirjoittaja on Elisan senior palveulkonsultti Harri Laakko)

Olennaista on huomioida, että tietosuoja-asetusta sovelletaan myös muiden kuin asiakkaiden henkilötietojen käsittelyyn, esim työntekijät, toimittajat, alihankkijat, ulkoistetut siivouspalvelut, valvontakamerat yrityksen tiloissa, messujärjestäjän messuosallistujien luettelo jne.

Tietosuoja-asetuksen vaatimusten täyttäminen, samoin kuin laajemmin myös yrityksen asianmukaisen tietoturvan toteuttaminen, ei ole pelkästään ns. “rasti ruutuun” toimintaa, vaan vaatimusten toteuttamisen tulee olla jatkuva ja kehittyvä prosessi. Tietoturva ja tietosuoja sekä näiden tietoisuus tulee integroida kiinteäksi osaksi kaikkea yrityksen toimintaa.

­­­­

Mistä on kyse?

Euroopan unionissa on hyväksytty yleinen tietosuoja-asetus, jonka soveltaminen alkaa 25.5.2018.

Tietosuoja-asetus, joka yleisemmin kulkee nimellä GDPR (General Data Protection Regulation), muuttaa merkittävästi nykyistä henkilötietojen käsittelyä koskevaa sääntelyä. Tietosuoja-asetus tuo mukanaan kaikkia henkilötietoja käsitteleviä yrityksiä koskevia uudenlaisia velvoitteita ja se laajentaa myös merkittävästi ihmisten omiin henkilötietoihinsa kohdistuvia oikeuksia. Yritysten on otettava huomioon nämä muuttuneet velvoitteet ja oikeudet asiakkaiden, yhteistyökumppaneiden tai työntekijöiden kanssa toimittaessa, erityisesti henkilötietojen hallinnan ja käsittelyn osalta. Tietosuoja-asetukseen liittyvät maine-, vahingonkorvaus- ja sanktioriskit pakottavat jokaisen henkilötietoja käsittelevän yrityksen huomioimaan uuden sääntelyn ja tarvittaessa mukauttamaan toimintansa tämän mukaiseksi.

Velvoitteiden ohella uusi tietosuoja-asetus mahdollistaa myös uudenlaisia liiketoimintamahdollisuuksia, sillä koko EU:n alueella aletaan noudattaa yhtenäistä, modernia sääntelyä. Oikein toteutettuna tietosuojasta tulee yritykselle selkeä kilpailuetu, erityisesti rakennettaessa luottamusta asiakkaisiin ja mietittäessä yrityksen toiminnan laajentamista EU:n alueelle.

Minun yritys, tietosuoja, riskilähtöisyys

Mieti miten yrityksesi toiminta liittyy tietosuoja-asetukseen ja sen vaatimuksiin. Mitä henkilötietoja käsittelet? Miten käsittelet henkilötietoja? Tarjoatko pilvipalveluita tai muutoin pilvessä olevia palveluita? Teetkö suoramarkkinointia? Vai käsitteletkö kenties toisen yrityksen puolesta muutoin henkilötietoja (esim. ylläpitämällä ko. yrityksen asiakasrekisteriä)? Oletko asetuksen näkökulmasta rekisterinpitäjä vai henkilötiedon käsittelijä? Vai kenties molempia?

Edellä olevien kysymyksiin vastaamisella on suuri vaikutus siihen, mikä yrityksesi vastuu on ja mitkä EU:n tietosuoja-asetuksen vaatimukset tulevat erityisesti vaikuttamaan yrityksesi toimintaan. Asetuksessa on nimittäin esimerkiksi erilaisia velvoitteita rekisterinpitäjälle (eli yritykselle, joka määrää henkilötietojen käsittelyn tarkoituksen ja keinot; esim. yritys, jonka suoramarkkinointirekisterissä oleville asiakkaille lähetetään markkinointiviestintää) ja henkilötietojen käsittelijälle (eli yritykselle, joka käsittelee rekisterinpitäjän puolesta henkilötietoja; esim. markkinointitoimisto, joka lähettää konkreettisen markkinointiviestin toisen yrityksen puolesta).

Esimerkki EU:n tietosuoja-asetuksen edellyttämästä riskilähtöisestä lähestymisestä on, jos yrityksesi liiketoimintaan kuuluva henkilötiedon käsittely voi aiheuttaa “suurta riskiä” luonnollisen henkilön oikeuksille ja vapauksille. Tällöin nimittäin sinun tulisi arvioida ennen käsittelytoimien aloittamista käsittelyyn liittyvät riskit ja suorittaa erityinen tietosuojavaikutusten arviointi. Tietyissä tilanteissa kyseisen arvioinnin lopputulos tulee jopa saattaa vielä toimivaltaisen viranomaisen arvioitavaksi. Lisäksi mikäli käsittelet esimerkiksi arkaluonteista henkilötietoa, kuten vaikkapa terveystietoja, asetus asettaa erityisiä vaatimuksia sille, miten suostumus käsittelylle saadaan, dokumentoidaan ja miten tätä hallitaan uusien säännösten nojalla. Tämä voi koskea esimerkiksi fitness-alan palveluja tarjoavaa yritystä.

Näyttövelvollisuus

EU:n tietosuoja-asetukseen sisältyvien velvoitteiden noudattamisen ohella, yrityksen tulee kyetä osoittamaan tämä. Käytännössä tämä edellyttää esimerkiksi kouluttautumista, teknisten tietoturvamenetelmien käyttöä ja dokumentointia, tietosuojaperiaatteiden ja -toimenpiteiden kirjaamista, asianmukaisten sopimusten tekemistä alihankkijoiden kanssa sekä tietosuojasta informointia rekisteröidyille (eli esimerkiksi asiakkaille tai työntekijöille). Toimivaltaisella tietosuojaviranomaisella on myös mm. oikeus tehdä tarkastuksia yrityksiin ja pyytää yritystä antamaan selonteko tehdyistä tietosuojaa parantavista toimenpiteistä ja muutoinkin vaatia, että yritys osoittaa luotettavasti noudattavansa asetusta.

Näyttövelvollisuus on erityisen tärkeää huomioida henkilötietoihin kohdistuvien tietoturvaloukkausten kohdalla., Ellei ole todennäköistä, että kyseisestä loukkauksesta ei aiheudu riskiä ihmisen oikeuksille ja vapauksille, rekisterinpitäjänä toimivan yrityksen on nimittäin ilmoitettava loukkauksesta 72 tunnin kuluessa sen ilmitulosta toimivaltaiselle viranomaiselle. Mikäli loukkaus tapahtuu käsittelijän vaikutuspiirissä, tämän on ilmoitettava asiasta rekisterinpitäjälle ilman aiheetonta viivytystä. Edelleen jos loukkaus on niin vakava, että siitä todennäköisesti aiheutuu korkea riski ihmisen oikeuksille ja vapauksille, asiasta on ilmoitettava myös ihmiselle, jota henkilötiedot koskevat. Yrityksen on kyettävä viranomaiselle (ja tarvittaessa myös ihmiselle, jota henkilötiedot koskevat) tehtävässä ilmoituksessa kuvaamaan tapahtunut tietoturvaloukkaus, sen todennäköiset seuraukset ja toimenpiteet, joita yritys on toteuttanut loukkauksen johdosta ja tarvittaessa myös haittavaikutusten lieventämiseksi.

Sanktiot

Asetuksen vaatimusten laiminlyönti voi johtaa hallinnollisiin seuraamusmaksuihin, jotka voivat olla jopa 4 % yrityksen edeltävän tilikauden vuotuisesta kokonaisliikevaihdosta tai enintään 20 miljoonaa euroa sen mukaan, kumpi näistä on suurempi. Sakkojen suuruus voi siis olla hyvin merkittävä yritykselle.

Tietosuojavastaava?

Yrityksen velvollisuus nimittää tietosuojavastaava koskee lähtökohtaisesti esimerkiksi yrityksiä, joissa henkilötietojen käsittely on yrityksen keskeistä liiketoimintaa, rekisteröityjä seurataan säännöllisesti ja järjestelmällisesti tai arkaluonteisia tietoja käsitellään laajamittaisesti. Asetus ei edellytä, että tietosuojavastaava tulisi olla yrityksen oma työntekijä, tämän voi ulkoistaa ja hyödyntää asiantuntijaosaamista organisaation ulkopuolelta palveluna.

Miten eteenpäin?

Tässä lyhyt listaus, miten yritys ja sen vastuuhenkilöt voivat lähteä viemään tietosuojatyötä ja tietosuojan kehitystä eteenpäin. Huomioi, että tämä listaus ei ole tyhjentävä, vaan yleiset, jokaista yritystä koskevat vinkit. Jokaisen yrityksen on mietittävä riskilähtöisesti, ovatko alla mainitut vinkit riittäviä, vai tarvitaanko vielä jotain lisätoimenpiteitä.

Tutustu aiheeseen

Minun bisnes + tietosuoja-asetuksen vaatimukset = tavoitteet

  • Selvitä oman liiketoimintasi suhde tietosuoja-asetuksen vaatimuksiin, kartoita mitä henkilötietoja keräät (mihin tarkoitukseen, millä perustein), muodosta käsitys nykytilanteestasi ja tee suunnitelma tavoitteeseen pääsemiseksi

Dokumentointi

  • Dokumentoi toimenpiteet, joita yrityksessäsi on tehty ja päivitä suunnitelma seuraavista toimenpiteistä tietosuoja-asetuksen suhteen
  • Määrittele ja dokumentoi, miten yrityksessäsi toimitaan tietoturvaloukkaustapauksissa ja miten yrityksessäsi toteutetaan rekisteröidyn oikeudet, kuten vastataan rekisteröityjen tieto- tai tiedonsiirtopyyntöihin ja miten henkilötieto voidaan rekisteröidyn sitä pyytäessä poistamaan (ottaen huomioon lakisääteiset velvoitteet henkilötiedon säilyttämisestä)

Tietosuojaselosteet

  • Onko tietojenkäsittelyä kuvaava dokumentaatio laadittu asianmukaisesti? Voitko hyödyntää dokumentaation päivittämisessä esimerkiksi olemassa olevia rekisteriselosteitasi? Lisätietoja nykyisen lain mukaisista tietosuoja- ja rekisteriselosteista löytyy esim. Tietosuojavaltuutetun toimiston sivuilta http://www.tietosuoja.fi/fi/index/materiaalia/lomakkeet/rekisteri-jatietosuojaselosteet.html
  • Noudata hyvää tietojenkäsittelytapaa; kerro selkeästi ja ymmärrettävässä muodossa henkilötietojen käsittelystä, kerro mitä hyötyä rekisteröity saa antaessaan luvan henkilötietojensa käsittelyyn ja ymmärtäähän rekisteröity minkälaisen / minkä laajuisen luvan hän antaa tietojensa käsittelyyn; muista aina myös kertoa rekisteröidylle tämän oikeuksista
  • Varmista että olet ilmoittanut kaikki vaadittavat tiedot rekisteröidylle tietosuojaselosteessanne

Sopimukset

  • Tietosuoja, vastuut ja velvollisuudet on tärkeää huomioida myös sopimuksissa, esim asiakassopimukset, ulkoistussopimukset, alihankintasopimukset ja muut toimittajasopimukset. Huomaathan, että EU:n tietosuoja-asetuksessa on yksityiskohtaisia vaatimuksia itse sopimuksen sisällölle.

Tietoisuuden kasvattaminen yrityksessä, koulutus

  • Varmista että yrityksen koko henkilöstöllä on riittävä tietosuoja- ja tietoturvaosaaminen (koulutus, ohjeistukset)
  • Erityisesti henkilötietoja käsittelevien työtekijöiden tulee olla hyvin perillä tietosuojasta

Perustietoturvan varmistaminen, varmista ainakin seuraavat osa-alueet:

  • Ohjelmistopäivitykset
  • Varmuuskopiointi
  • Salasanojen hallinta
  • Työasemien ja mobiililaitteiden tietoturva
  • Pilvipalvelut, määrittele mitä pilvipalveluita yrityksessä saa käyttää, mitä tietoja niin saa tallentaa
  • Liikenteen salaaminen verkossa (esim työasemalta pilveen, sähköposti)
  • Asianmukainen tietojen lokitus

Tietoturvan osalta on luontevaa miettiä myös palvelumallia, jossa tietoturva-asiat laitetaan ajan tasalle ja kuntoon esimerkiksi Elisan toimesta.

Lue lisää täältä >>