Euroopan unionin tietosuojalainsäädäntö uudistui, kun yleinen tietosuoja-asetus tuli voimaan toukokuussa 2016. Monissa yrityksissä on herätty uuden asetuksen tuomiin muutoksiin ja meneillään olevaa siirtymäaikaa on käytetty tehokkaaseen valmistautumiseen ja nykytilan kartoittamiseen. Jos vielä kuitenkin pohdit, miten muutokseen tulisi varautua, on tässä muutamia perustietoja asetuksesta.
Uusi tietosuoja-asetus tulee sovellettavaksi 25.5.2018. Tällöin henkilötietojen käsittelyn tulee olla tietosuoja-asetuksen mukaista. Uuden asetuksen tavoitteena on lisätä henkilötietojen käsittelyn avoimuutta ja läpinäkyvyyttä, vahvistaa rekisteröityjen oikeuksia ja nostaa tietosuojan taso riittävän korkealle digitalisoituvassa ympäristössä.
Mikä henkilötieto?
Henkilötieto on yksityisen henkilön tieto, josta suoraan tai epäsuorasti tai suhteellisen helposti voidaan tunnistaa henkilö tai hänen perheensä. Henkilötietolaki on tähänkin saakka säädellyt henkilötietojen automaattista käsittelyä kuten tietojen keräämistä, järjestämistä, tallettamista ja käyttöä, muttei niin suuressa roolissa, kuin uusi tietosuoja-asetus. Uusi asetus laajentaa henkilötietojen käsitettä ja tarkentaa sitä: esimerkiksi evästeet ovat uuden asetuksen mukaan henkilötietoja, mikäli ne on yhdistettävissä tiettyyn henkilöön. Henkilötietoja voivat siis nimen, osoitteen ja henkilötunnuksen lisäksi olla esimerkiksi sähköpostiosoite, IP-osoite ja paikkatiedot.
Rekisterinpitäjän vastuu
Rekisterinpitäjä on taho, jonka käyttöä varten rekisteri perustetaan ja joka määrää rekisteristä. Rekisterinpitäjä vastaa siitä, että henkilötietoja käsitellään asetuksen mukaisesti. Vaikka uusi asetus tarkentaa myös käsittelijän, eli tahon joka rekisterin pitäjän puolesta käsittelee tietoja, vastuuta, on päävastuu silti aina rekisterinpitäjällä.
Rekisterinpitäjän tehtävänä on huolehtia, että tietosuojaperiaatteita noudatetaan kaikissa henkilötietojen käsittelyvaiheissa:
- Henkilötietoja tulee käsitellä lainmukaisesti, kohtuullisesti ja läpinäkyvästi.
- Henkilötietojen keräämisen tulee olla käyttötarkoitussidonnaista.
- Henkilötiedot tulee minimoida ja tietojen tulee olla täsmällisiä: yrityksen tulee siis rajoittaa tietojen kerääminen vain siihen, mikä on käsittelyn kannalta tarpeellista.
- Henkilötietojen säilytys (tallennusaika) tulee rajoittaa.
- Henkilötietoja tulee käsitellä luottamuksellisesti ja eheästi: tiedot eivät näy ulkopuolisille tahoille, eikä tietoja voi muokata ilman asianmukaisia valtuuksia.
- Rekisterinpitäjän osoitusvelvollisuus.
Sisäänrakennetun tietosuojan periaate edellyttää, että yllä olevat periaatteet otetaan osaksi yrityksen henkilötietojen käsittelyn prosessia. Oletusarvoisen tietosuojan periaate puolestaan merkitsee, että yrityksen tulee käsitellä vain kunkin tarkoituksen kannalta tarpeellisia henkilötietoja. Tärkeä muutos on osoitusvelvollisuus: yrityksen tulee pystyä osoittamaan, että näitä periaatteita on noudatettu yrityksen toiminnassa. Pelkkä lain noudattaminen ei siis enää riitä, vaan se tulee todentaa toiminnan ja prosessin dokumentoinnin avulla.
Käy nämä asiat läpi ennen uuden asetuksen voimaantuloa:
1. Kartoita nykytila
Selvitä henkilötietojen käsittelyn nykytila ja tietosuojaperiaatteiden huomiointi. Miten yrityksessänne käsitellään henkilötietoja? Millaisia henkilötietoja jo kerätään? Missä ja miten henkilötiedot kerätään ja miten prosessi näyttäytyy asiakkaalle? Varmista, että henkilötietoja käsiteltäessä noudatetaan voimassaolevaa henkilötietolakia. Kartoituksen avuksi hyödynnä esimerkiksi suuntaa antavaa Tietosuojavaltuutetun opasta ”Laadi tietotilinpäätös”.
2. Arvioi riskit
Nykytilan kartoittamisen jälkeen arvioi henkilötietojen käsittelyyn liittyvät riskit: aiheutuuko henkilötietojen käsittelystä mahdollisesti aineellisia tai aineettomia vahinkoja? Heräsikö nykytila-analyysin pohjalta oikaistavia tai korjattavia prosesseja? Kerätäänkö vain tarpeellista tietoa? Miten rekisteröidyille tiedotetaan heidän tietojensa käsittelystä ja millaisia riskejä siihen liittyy? Kuinka pitkään tietoja säilytetään? Millaisia uusia toimintatapoja tarvitaan, jotta uuden tietosuoja-asetuksen periaatteet ja velvollisuudet täytetään?
3. Tunnista henkilötietojen keräämisen perusteet
Henkilötietojen käsittelylle on aina oltava laissa säädetty käsittelyn oikeusperuste. Jos tietoja käsitellään henkilön suostumuksen perusteella, kiinnitä huomioita siihen, miten suostumuksen pyydät. Uuden asetuksen mukaan suostumus on annettava selkeästi ja yksiselitteisesti aktiivisella toimenpiteellä. Käytännössä tämä tarkoittaa, että suostumusta tietojen luovuttamiseen tai käsittelyyn ei voi tyypillisesti antaa vaikenemalla, valmiiksi www-sivulla rastitetulla ruudulla tai jättämällä esimerkiksi henkilötietojen käsittelyn kiellon ruksimatta lomakkeella. Tarkista siis, miten yrityksessäsi kerätään tietoja esimerkiksi uutiskirjettä tai muuta rekisteriä varten: onhan suostumus selkeä ja yksiselitteinen? Miten pyydätte suostumuksen esimerkiksi sähköpostiosoitteen keräämiseen? Miten henkilö voi halutessaan kieltäytyä tai pyytää poistamaan tietonsa rekisteristänne?
4. Tietosuojavastaava
Kaikkien yritysten ja organisaatioiden ei tarvitse nimetä tietosuojavastaavaa. Uuden asetuksen mukaan velvollisuus tietosuojavastaavan nimeämiseen on julkisen sektorin (ei tuomioistuimen) toimijalla ja organisaatiolla, jonka ydintehtävät muodostuvat henkilötietojen käsittelytoiminnasta, joka edellyttää rekisteröityjen säännöllistä ja järjestelmällistä seurantaa. Tietosuojavastaavan tehtävänä on varmistaa, että henkilötietoja käsitellään lainmukaisesti ja organisaatio täyttää sille asetetut velvoitteet. Tietosuojavastaava toimii myös viranomaisen ja rekisteröityjen yhteyshenkilönä henkilötietoihin liittyen. Hän ei kuitenkaan ole vastuussa lainmukaisuudesta, vaan vastuu on edelleen organisaation johdolla.
Varmista siis, tuleeko omaan yritykseesi tai organisaatioosi nimetä tietosuojavastaava ja varmista tietosuojavastaavan osaamisen taso. Mikäli tietosuojavastaava on nimetty, tulee hänen myös täyttää tehtävänsä.
Kun tietosuoja-asiat on vastuutettu, ne tulevat myös hoidetuksi asianmukaisesti. Vaikka yrityksessänne ei virallista tietosuojavastaavaa tarvitsisikaan nimetä, on tietosuoja-asioihin liittyvät tehtävät hyvä vastuuttaa yhdelle henkilölle. Jos tietosuojavastaava ei ole pakollinen yrityksessänne, voi tehtävät vastuuttaa osana työtehtäviä, ilman tietosuojavastaavan titteliä.
5. Tietoturva
Arvioi tietoturvanne tila koko henkilötiedon elinkaaren ajalta. Miten tiedot suojataan käsittelyn erivaiheissa: keräämisessä, käsittelyssä, säilytyksessä ja tietojen tuhoamisessa? Miten järjestelmät ja palvelut vastaavat tietoturvaan liittyvään luottamuksellisuuteen ja vikasietoon? Miten henkilötietoja ja niiden käyttöä seurataan ja valvotaan?
Siirtymäaika jatkuu ensi vuoden toukokuulle. Tärkeintä on vuoden aikana luoda yritykseen prosessi, jolla seurataan, että henkilötietoja käsitellään jatkuvasti turvallisella tavalla. Näillä viidellä kohdalla pääset alkuun, kun lähdet tekemään uuden asetuksen mukaisia toimenpiteitä henkilötietojen käsittelyn, tietoturvan ja dokumentoinnin osalta!