Materiaali julkaistaan säätiön tuella:

 


Ilka Vuorenmaa
Ilkka Vuorenmaa,
liikejuridiikan asiantuntija, KPMG Oy Ab.

EU:n uusi tietosuoja-asetus käytännössä

Mikä on uusi tietosuoja-asetus (GPDR)?

Käytännössä kaikki yritykset käyttävät henkilötietoja mm asiakas- ja työntekijärekistereissään. Henkilötietoja ovat kaikenlaiset luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavat merkinnät, jotka voidaan tunnistaa häntä tai hänen perhettään koskeviksi. Niitä ovat esimerkiksi nimi, henkilötunnus, osoite, sähköpostiosoite, asiakas- tai työsuhteeseen liittyvät tiedot, paikkatiedot sekä internet-osoitteet. Eräät tiedot, kuten henkilön terveystiedot ja poliittinen sitoutuminen ovat niin sanottuja arkaluontoisia henkilötietoja, joiden käsittelyssä tulee olla erityisen tarkkana.

EU: n tietosuoja-asetuksen muutos on ollut laajamittainen uudistus ja se asettaa uusia vaatimuksia henkilötietojen käsittelylle kaikissa yrityksissä, yhteisöissä ja muissa organisaatioissa. Asetus koskee kaikkiут henkilötietojen käsittelyä EU: ssa ja myös laajentaa henkilötietojen alaa nykyisestä. Nykyisin tietosuojaa käsittelee pääasiassa kunkin EU-maan oma kansallinen lainsäädäntö ja sen kunkin maan viranomaisten tulkinnat. Suomessakin tullaan uudistamaan kansallista lainsäädäntöä asetuksen johdosta. EU asetus on kuitenkin suoraan kansallisesti noudatettavaa sääntelyä.

Asetus on virallisesti hyväksytty huhtikuussa 2016 ja se astuu voimaan kahden vuoden siirtymäajalla keväällä 2018. Yritysten tulee tutustua uudistukseen ja saattaa omat toimintatapansa sekä dokumentit kuntoon hyvissä ajoin ennen asetuksen voimaantuloa. Asetuksen myötä yrityksille henkilötietojen rekisterienpitäjinä sekä tietoja käsittelevinä toimijoina tulee uusia oikeuksia ja velvollisuuksia suhteessa rekisteröityihin ja toisiin yrityksiin esimerkiksi henkilötietoja käsitteleviin alihankkijoihin mm. tilitoimistoihin ja pilvitallennuspalveluja tarjoaviin yrityksiin.


Yrityksen vastuu ja aktiivinen rooli korostuu

Yrityksillä on rekisterinpitäjänä tilivelvollisuus henkilötietojen käsittelystä. Se tarkoittaa sitä, että yritys on ennakkoon riskiperusteisesti suunnitellut tietosuojatoimintansa ja pystyy tarvittaessa todentamaan velvollisuuksien täyttämisen viranomaiselle. Tämä velvoite koskee myös mahdollisten henkilötietojen käsittelijöitä esimerkiksi alihankkijoita. Täten yrityksen henkilötietoja koskevat sopimukset ja ohjeistukset tulee käydä läpi ennen asetuksen voimaantuloa.

Mikäli yrityksen ydintoimintoihin kuuluu henkilötietojen järjestelmällinen seuranta taikka arkaluontoisten henkilötietojen, esimerkiksi terveystietojen, käsittely, tulee yrityksen nimetä tietosuojavastaava. Hänen tehtävänsä on suunnitella, kehittää ja valvoa tietosuojaa. Tietosuojavastaava voi olla oma työntekijä taikka ulkopuolinen henkilö. Vaikka yrityksellä ei olisikaan velvollisuutta nimetä tietosuojavastaavaa, on suositeltavaa, että nimetään joku vastuuhenkilö huolehtimaan tietosuojasta tarvittaessa yhdessä ulkopuolisen asiantuntijan tukemana. Tietosuojavastaava ei ole henkilökohtaisesti asemansa puolesta mahdollisista tietosuojavirheistä. Yhtiön toimiva johto on vastuussa tietosuojasta kuten yrityksen vero- ja ympäristöasioistakin.

Eniten asetuksen uutisoinnissa on tuotu esiin se, että asetuksen säännösten rikkomisesta voivat viranomaiset määrätä sakon, jonka suuruus voi olla maksimissaan neljä prosenttia yrityksen maailmanlaajuisesta liikevaihdosta, jopa 20 miljoonaa euroa. Tämän lisäksi viranomaiset voivat antaa mm. huomautuksia, korjauskehotuksia ja muita määräyksiä. On todennäköistä, että Suomessa viranomaiset käyttävät ensisijaisesti muita ohjauskeinoja kuin maksimisakkoja. Rekisteröidyt voivat vaatia henkilötietojensa väärinkäytöksistä vahingonkorvauksia, oikeudellisia viranomaistoimia ja jopa rikostutkintapyyntöjä.


Rekisteröityjen oikeudet lisääntyvät

Tietosuoja-asetuksella pyritään parantamaan rekisteröityjen oikeuksia. Rekisteröidyt saavat esittää pyyntöjä omista tiedoistaan, niiden käsittelystä ja luovutuksista sekä he voivat peruuttaa suostumuksensa tietojensa käsittelyyn.

Yrityksille tulee ilmoitusvelvoite henkilötietojen tietoturvaloukkauksista. Yrityksen on ilmoitettava viranomaiselle epäillyistä henkilötietojen loukkauksista 72 tunnin kuluessa. Mikäli loukkauksesta on todennäköisesti haitallisia vaikutuksia rekisteröidylle, on yrityksen ilmoitettava rekisteröidylle tapahtuneesta. Täten yrityksen työntekijän henkilötietoja sisältävän tietokoneen varastaminen tai USB-muistitikun katoaminen voi laukaista tämän ilmoitusvelvoitteen. Yhtiöllä tulee siis olla näihin riskeihin liittyvät prosessit kunnossa asetuksen voimaantullessa.

Rekisteröidyllä on tulossa uusi oikeus; oikeus tulla unohdetuksi. Jos henkilötietojen käsittely ei ole enää alkuperäisen perusteensa mukaan taikka käsittelylle ei enää ole laillista muuta perustetta, on rekisteröidyllä oikeus vaatia tietojensa poistamista. Oikeus ei ole absoluuttinen eli yhtiöllä voi olla jokin oikeusperuste kuitenkin säilyttää tietoja poistopyynnöstä huolimatta. Tämä syy voi olla vaikka jokin erityislaki kuten kirjanpitolaki, joka edellyttää kirjanpitotositteiden säilyttämistä määräajan taikka se, että yhtiön asiakas ei ole maksanut yhtiölle laskujaan esittäessään tietojensa poistopyynnön.


Mitenkä yrityksen tulee valmistautua muutokseen?

Yrityksen tulee siis valmistautua riittävän ajoissa tulevaan asetukseen, joka muuttaa nykytilannetta merkittävästi. Yrityksen tulee jatkossa pystyä osoittamaan, että se on lähtökohtaisesti huomioinut henkilötietojen käsittelyn ja sillä on henkilötietoprosessit kunnossa (Privacy by default ja Privacy by design).

Valmistautumisprosessi voidaan jakaa kolmeen osaan; Nykytilan selvitys, riskianalyysi nykytilan ja asetuksen vaatimusten välillä ja kehitystoimenpiteet.

Yritys selvittää, millaisia henkilötietoja se käsittelee, millä perusteella ja miten. Jatkossa kerättävää henkilötietojen määrää pitää minimoida. Kerättävien tietojen tulee olla myös täsmällisiä. Niiden tulee olla välttämättömiä palvelun ja liiketoiminnan käytön kannalta. Virheelliset tiedot tulee poistaa viipymättä ja tietojen oikeellisuutta tulee ylläpitää. Rekisteröityjen vaatimuksiin mm. henkilötietojen korjaamisesta tulee vastata ripeasti.

Tässä yrityksen muutokseen valmistautumisessa on keskeistä prosessien ja sopimuksien sekä erilaisten yritysten käyttöehtojen analysointi ja läpikäynti. Käytännössä on usein asioita selvitettäessä todettu, että sopimukset eivät ole riittävästi huomioineet tietosuoja-asioita nykyisenkään sääntelyn tasolla. Riskikartoituksessa voidaan määrittää riskit ja minimoida niitä sopimusmuutoksin. Viimeistään nyt rekistereistä tulee olla asianmukaiset rekisteriselosteet ja asetuksen vaatimat tietosuojaselosteet.

Yrityksen pitää toimia tietosuoja-asiassa myös teknisesti. Sen tulee lisätä sisäistä valvontaa ja käyttöönottaa sellainen menettely, jossa yritys säännöllisesti testaa ja arvioi omien teknisten ja organisatoristen toimenpiteiden tehokkuutta henkilötietojen turvallisuuden varmistamiseksi. Pääsy henkilötietoihin tulee olla teknisesti rajoitettua ja henkilötietojen käsittelystä on suositeltavaa kerätä lokitietoja.

Yrityksen henkilökunnan ohjeistaminen ja kouluttaminen on tärkeä suorittaa ja tämä koulutus tulee dokumentoida riittävästi. Tietosuoja viimekädessä rakennetaan ihmisten toiminnalla. Henkilökunnan koulutus tulee olla osaamista päivittävää.

Jotta yritys pystyy osoittamaan valmistautumisensa asetuksen voimaantuloon ja toimintansa asianmukaisuuden, on tärkeää dokumentoida yhtiössä tehdyt riskiarviot ja päätökset henkilötietojen käytöstä, sisäinen ohjeistus, ulkopuolisten kanssa tehtyjen sopimuksien ja ohjeistuksien määräykset, rekisteröityjen tietoihinsa liittyvät vaatimukset ja niiden täytäntöönpanot sekä muut henkilötietojen tärkeät käytänteet.

Valmistautumisprosessi on siis monta erilaista osatehtävää sisältävä prosessi ja se edellyttää erityisosaamista ja dokumentaatiota. Mikäli yritys ei olemalla olevilla resursseilla itse katso pystyvänsä valmistautumista toteuttamaan, on suositeltavaa käyttää asiantuntijoita. Näin varmistetaan oikea lopputulos nopeasti ja kustannustehokkaasti.

Yrityksen johdon tulee jo nyt aloittaa valmistautuminen vastuullaan olevien henkilötietoasioiden ajantasalle saattamiseksi. Asetus tulee pian sovellettavaksi ja yhtiöllä tulee olla prosessit ja dokumentaatiot kunnossa sekä henkilökunta opastettuna toimimaan oikein.


Teksti: Ilkka Vuorenmaa, liikejuridiikan asiantuntija, KPMG Oy Ab
Venäjännös: Lidia Popova


---------------------------------------------------------------------
Материал опубликован в следующих журналах «Мозаика»:
«Мозаика» № 9–10 (131–132) 2017

Siirry ylös