Eniten työtä on niillä yrityksillä ja rekisterinpitäjillä, jotka vasta nyt ottavat tietosuojan vakavissaan, asiantuntija Veli Sinda Elinkeinoelämän keskusliitosta arvioi. Kuva: EK
LainsäädäntöPirjo Huhtakangas

Tietosuoja-asetus edellyttää riskianalyysia

EU:n tietosuoja-asetus edellyttää, että rekisterinpitäjät arvioivat tietosuojariskien vakavuuden omassa toiminnassaan sekä tekevät hallinnolliset ja tekniset toimenpiteet, joilla ne voivat osoittaa toimivansa asetuksen mukaisesti.

Asetus perustuu riskiperusteiseen arviointiin ja yrityskohtaiseen riskianalyysiin. Jälkikäteen pitää pystyä osoittamaan, miten käytännössä on toimittu ja miten asetuksen velvollisuudet näkyvät yrityksen toiminnassa.

− Asetus ei ole kuitenkaan ole niin dramaattinen kuin on annettu ymmärtää. Siitä aiheutuu työtä, mutta jo aiemmin tietosuojaa katsoneet yritykset sopeutuvat asetuksen yksityiskohtaisempiin vaatimuksiin helpommin. Suurin haaste on edessä niillä yrityksillä ja rekisterinpitäjillä, jotka vasta nyt ottavat tietosuojan vakavissaan, asiantuntija Veli Sinda EK:sta tiivistää.

Hänen mukaansa tietosuoja-asetus on yrityksille projekti, josta vastaa parhaiten juristin, ICT-asiantuntijan ja henkilöstöasiantuntijan työryhmä.

‒ Ryhmä selvittää lähtötilanteen ja tekee konkreettiset korjausehdotukset. Pieniltä yrityksiltä ja työpaikoilta tähän työhön menee arviolta vähintään puoli vuotta, mutta isompien on pitänyt aloittaa työ jo aikaa sitten, Sinda kuvaa tilanteen kiireellisyyttä.

Tietosuoja-asetus tuli voimaan 24.5.2016, ja sitä sovelletaan siirtymäajan jälkeen 25.5.2018 alkaen. Asetusta täydennetään kansallisella lainsäädännöllä, josta julkaistiin hallituksen esityksen muotoon laadittu mietintö 21.6.2017

Isot sanktiot mahdollisia

Tietosuoja-asetuksen tarkoituksena on lisätä henkilötietojen käsittelyn avoimuutta ja läpinäkyvyyttä sekä vahvistaa rekisteröityjen oikeuksia valvoa henkilötietojensa käsittelyä. Asetuksessa on säädetty henkilötietolakia tiukemmat seuraamukset asetuksen vastaisesta henkilötietojen käsittelystä. Näitä ovat muun muassa viranomaisten laajemmat toimivaltuudet tehdä korjaavia toimenpiteitä ja antaa sakkoja.

Tietosuoja-asetuksessa riskeillä tarkoitetaan henkilötietojen käsittelystä rekisteröidylle mahdollisesti aiheutuvia fyysisiä, aineellisia tai aineettomia vahinkoja esimerkiksi silloin, kun käsittely saattaa johtaa muun muassa syrjintään, identiteettivarkauteen, petokseen tai taloudellisiin menetyksiin. Riski voi olla korkeampi silloin, kun käsitellään esimerkiksi heikossa asemassa olevien tietoja tai suuria henkilötietomääriä. Tietosuoja-asetus antaa rekisteröidylle tietyin poikkeuksin oikeuden tietojen oikaisemiseen ja poistamiseen eli oikeuden ”tulla unohdetuksi”.

Rekisteröidyn oikeudet vastaavat pääosin henkilötietolain mukaisia oikeuksia, mutta tietosuoja-asetuksessa niiden sääntely on yksityiskohtaisempaa. Uutena asiana tietosuoja-asetuksessa säädetään rekisterinpitäjän velvollisuudesta ilmoittaa henkilötietojen tietoturvaloukkauksista tietosuojaviranomaiselle 72 tunnin kuluessa loukkauksen ilmitulosta. Lisäksi asetus edellyttää ilmoittamista rekisteröidylle itselleen tietyissä tilanteissa.

Uutta asetuksessa ovat myös sanktiot: asetuksen enimmäisrangaistus on neljä prosenttia rekisterinpitäjän globaalista liikevaihdosta tai 20 miljoonaa euroa sen mukaan, kumpi on suurempi luku. Suomessa perustetaan seuraamuslautakunta, joka sääntelee muun muassa sanktioita. Tietosuoja-asetuksen viranomaistehtävä siirtyy tietosuojavirastolle, johon nykyinen tietosuojalautakunta sulautuu.

Veli Sinda arvioi, että jatkossa rekisterinpitäjät käyttävät enemmän digitaalisia välineitä tietopyynnöissä.

‒ Asetus nostaa yritysten hallinnollista taakkaa ja tuo investointikuluja. Paljon henkilötietoja käsitteleviä rekisterinpitäjiä kannustetaan ottamaan käyttöön digitaalisia tietohallinnon ratkaisuja, jotta rekisteröidyt voivat itse tarkistaa ja päivittää tietojaan yrityksen kannalta hallitulla tavalla, Sinda sanoo.

Lisätietoja:

www.tietosuoja.fi

Mihin rekisterinpitäjän täytyy kiinnittää huomiota?

  • Tunnista rekisterit ja järjestelmät, joissa käsitellään henkilötietoja.
  • Tunnista omalta kannaltasi mahdollisten tietosuojariskien vakavuus ja todennäköisyys.
  • Kuvaa, mitä henkilörekisterit sisältävät ja mitä henkilötietoluokkia niihin sisältyy.
  • Tunnista, mihin henkilötiedon käsittely perustuu (sopimus, suostumus, oikeutettu etu).
  • Selvitä henkilötietojen käsittelyn olemassa olevat organisatoriset ja tekniset menettelyt sekä toimintatavat ja toteuta muutokset, jotka ovat tarpeen asetuksen noudattamiseksi.
  • Kiinnitä käsittelyn tietoturvaan erityistä huomiota.
  • Selvitä henkilötietojen siirtojen ja luovutusten vastaanottajat, mukaan lukien unionin ulkopuoliset (kolmansien maiden) vastaanottajat.
  • Jos käytät tahoja, jotka käsittelevät yrityksesi lukuun henkilötietoja, huolehdi, että käsittelyä koskevat sopimukset ovat asetuksen vaatimusten mukaisia.
  • Osoita, että henkilötietojen käsittely on tietojen suojaamiseksi suunnitelmallista ja järjestelmällistä.
  • Pidä kirjaa kaikesta asetuksen noudattamiseen liittyvästä suunnittelusta ja toimenpiteistä, jotta voit myöhemmin osoittaa tehdyt toimenpiteet.
  • Luo tai päivitä organisaatiosi tietosuojapolitiikka ja huolehdi, että henkilöstölle järjestetään riittävästi koulutusta tietosuoja-asetuksen vaatimusten noudattamiksi.
  • Ole läpinäkyvä rekisteröityjen suuntaan ja pidä huoli, että organisaatiossasi on valmiudet vastata asetuksen velvollisuuksista: kuka vastaa mm. rekisteröityjen tiedusteluihin, kuka pitää huolen viranomaisyhteistyöstä ja tietoturvaloukkausten ilmoittamisesta.