Valmistaudu tietosuoja-asetukseen

Valmistaudu EU:n yleisen tietosuoja-asetuksen voimaantuloon nyt. Näiden kymmenen kohdan avulla pääset alkuun.
EU’s General Data Protection Regulation will affect many companies in Europe. Are you ready for the changes?
EU:n yleinen tietosuoja-asetus vaikuttaa lukuisiin yrityksiin Euroopassa. Onko yrityksesi valmis muutoksiin?

Ketä EU:n tietosuoja-asetus koskee?

EU julkaisi toukokuussa 2016 yleisen tietosuoja-asetuksen. Siirtymäkauden jälkeen toukokuussa 2018 voimaan tulevassa asetuksessa henkilötietoja käsitteleville yrityksille asetetaan uusia toiminnallisia vaatimuksia.

Asetuksessa ”henkilötiedot” on määritelty niin laajasti, että käytännössä lähes kaikki yritykset kuuluvat sen piiriin. Koska tietosuoja-asetuksen voimaan tuloon on vain hiukan yli 300 työpäivää, olemme koonneet kymmenen kohdan listan, jonka avulla voit valmistautua tulevaan jo nyt.


10 kohtaa tietosuoja-asetuksesta

1. Osoita, että noudatat määräyksiä
Uusi asetus edellyttää, että henkilötietoja käsittelevä yritys eli rekisterinpitäjä pystyy osoittamaan, että se käsittelee henkilötietoja vaaditulla tavalla.

Käytännössä tämä tarkoittaa sitä, että yrityksessä on pidettävä kirjaa tietojen käsittelyyn liittyvistä toimista, jotta voidaan todistaa, että ne ovat asetuksen mukaisia.

2. Varmista, että olet saanut suostumuksen
Jos henkilötietojen käsittely perustuu henkilön suostumukseen, yrityksen pitää pysyä osoittamaan, että tällainen suostumus on annettu.

Lisäksi suostumusta koskevat vaatimukset tiukentuvat:

  • Suostumus on annettava selkeästi kirjallisella, sähköisellä tai suullisella lausumalla.
  • Suostumuksesta on käytävä ilmi, että henkilö on vapaaehtoisesti, henkilökohtaisesti, tietoisesti ja yksiselitteisesti hyväksynyt henkilötietojensa käytön.

Tavallisesti tämä tapahtuu niin, että henkilö rastii suostumuksen antamiseen tarkoitetusta sähköisestä kaavakkeesta asiaa koskevan kohdan.

3. Huolehdi, että henkilön oikeus tulla unohdetuksi toteutuu
Uutta asetuksessa on rekisteröidyn henkilön oikeus tulla unohdetuksi. Käytännössä tämä tarkoittaa sitä, että henkilöllä on oikeus poistattaa itseään koskevat tiedot yrityksen tietokannoista.

Tällainen tilanne voi tulla eteen esimerkiksi silloin, kun henkilö on perunut kertaalleen antamansa suostumuksen henkilötietojensa käyttöön. Jos henkilötietojen käytölle on kuitenkin olemassa jokin toinen oikeusperuste, velvollisuutta tietojen poistamiseen ei ole.  

Jos yritykselläsi on velvollisuus tietojen poistamiseen, siitä pitää ilmoittaa kaikille niille tahoille, jotka ovat saaneet tai julkaisseet asianomaisia tietoja. Näin varmistetaan, että kaikki poistettaviin tietoihin liittyvät linkit, jäljennökset ja kopiot tulevat poistetuiksi.

4. Huolehdi, että oikeus tietojen siirtoon toteutuu
Jokaisella on oikeus saada omat tietonsa koneellisesti luettavassa muodossa ja siirtää ne toiselle rekisterinpitäjälle.

Oikeus koskee myös niitä henkilötietoja, joiden käsittely on perustunut henkilön antamaan suostumukseen tai sopimukseen. Velvollisuus tietojen siirtämiseen ei kuitenkaan velvoita yrityksiä ylläpitämään teknisesti yhteensopivia tietojenkäsittelyjärjestelmiä.

5. Tunnista profilointitilanteet
Jokaisella on oikeus olla joutumatta sellaisen automaattiseen päätöksen kohteeksi, joka vaikuttaa häneen oikeudellisesti tai muuten merkittävällä tavalla.

Tästä ns. profilointikiellosta voidaan poiketa tilanteissa, jossa profilointi ja siihen pohjautuva päätös ovat välttämättömiä henkilön ja yrityksen välisen sopimuksen tekemiseksi tai ne perustuvat henkilön suostumukseen. Tämänkään vaatimuksen perusteella esimerkiksi luottopäätösten yhteydessä tapahtuvalle profiloinnille ei ole estettä. Lue lisää tietosuoja-asetuksen profilointia koskevista vaatimuksista 

6. Ilmoita tietoturvaloukkauksista
Yrityksillä on tulevaisuudessa velvollisuus ilmoittaa viranomaisille ja rekisteröidyille henkilöille kaikista tietoturvaloukkauksista. Tämä koskee kaikkia sellaisia tilanteita, joissa yksilön oikeuksia ja vapauksia on loukattu. Jos tällainen tilanne ilmenee:

  • yrityksen on ilmoitettava asiasta viranomaisille 72 tunnin kuluessa.
  • Yrityksen on ilmoitettava asiasta kaikille tietoturvaloukkauksen kohteena oleville henkilöille heti kun on todennäköistä, että loukkaus aiheuttaa huomattavan riskin heidän oikeuksilleen ja vapauksilleen.

Yrityksissä onkin tärkeä laatia sisäiset toimintaohjeet ja -käytännöt, joilla varmistetaan, että tällaisissa tilanteessa osataan toimia tehokkaasti ja oikein

7. Kerro tietojen käsittelystä
Yritykset eri puolilla maailmaa keräävät henkilötietoja enemmän kuin koskaan aikaisemmin. EU:n uudessa asetuksessa edellytetään, että niiden pitää antaa tietojenkäsittelystään myös aiempaa enemmän tietoa.

Jatkossa yrityksen on ilmoitettava esimerkiksi, kuinka kauan henkilötietoja säilytetään tai, jos tämä ei ole mahdollista, säilytysajan määräytymiseen vaikuttavat perusteet. Käytännössä informointivelvollisuus tarkoittaa muiden muassa rekisteriä ja tietoturvaa koskevien selosteiden päivittämistä sekä sen miettimistä, miten tiedotuksesta käytännössä huolehditaan. 

8. Tarvitaanko tietosuojavastaava?
Osassa yrityksiä voi olla tarpeen nimittää henkilötietojen käsittelystä vastaava tietosuojavastaava. Tietosuojavastaava tarvitaan esimerkiksi sellaisissa yrityksissä, joissa henkilöiden seuranta on laajamittaista, säännöllistä ja järjestelmällistä tai joissa tällainen seuranta on osa yrityksen ydintoimintaa. 

9. Tarkista ulkoistussopimukset
Jos yrityksesi on ulkoistanut osan tietojenkäsittelyään toiselle yhteisölle, joka käsittelee yrityksesi puolesta henkilötietoja:

  • Yrityksessäsi on varmistettava, että käytössä olevat tekniset ja rakenteelliset suojatoimet riittävät täyttämään asetuksen vaatimukset.
  • Yrityksessäsi on varmistettava, että rekisteröityjen henkilöiden oikeudet on suojattu.

Yrityksen on siis tunnistettava nämä ulkoistustilanteet, ja varmistettava, että kaikki sopimukset laaditaan oikein. Esimerkiksi tietojen säilyttäminen pilvipalveluissa katsotaan ulkoistamiseksi, vaikka palveluntarjoaja ei aktiivisesti käsittele tietoja.

10. Säännösten rikkomisesta ankara sakko
Lisäksi on syytä huomata, että jos yrityksesi rikkoo tietosuoja-asetuksen säännöksiä, yritykselle voidaan varoituksen lisäksi määrätä ankara sakko. Sakko voi olla enintään 20 miljoonaa euroa tai 4 prosenttia yrityksen kokonaisliikevaihdosta.