Uusi EU:n tietosuoja-asetus astuu voimaan 25.5.2018 – Ketä se koskee ja mitkä ovat sen keskeisimmät muutokset?

Mikä on uusi eurooppalainen tietosuoja-asetus? Ketä se koskee? Miten se vaikuttaa yrityksemme toimintaan? Mitkä ovat sen keskeisimmät muutokset? Nämä ovat kysymyksiä mitä monelle nousee ensimmäisenä mieleen aiheesta. Mistä siis oikeastaan on kyse?

EU:n uusi tietosuoja-asetus astuu voimaan 25.5.2018. Asetuksen tavoitteena on yhdenmukaistaa henkilötietojen käsittelyyn liittyvä sääntely EU:n sisällä. Nykyään voimassa olevaa henkilötietodirektiiviä on sovellettu eri EU-maissa hyvinkin kirjavasti. Se mikä on nyt ollut sallittua Suomessa, ei välttämättä ole sallittua esimerkiksi Saksassa. Tavoitteina ovat yksilön oikeuksien vahvistaminen, tietosuojan globaalin ulottuvuuden huomioiminen sekä tietosuojasääntöjen valvonnan tehostaminen. Lisäksi tavoitteena on edistää EU:n digitaalista sisämarkkinoiden kehitystä, jolloin tieto voisi siirtyä turvallisesti ja vapaasti Euroopan unionin sisällä.
  

Lähes jokaisella yrityksellä on rekistereitä työntekijöihin liittyvistä tiedoista sekä erinäisiä asiakas- ja markkinointirekistereitä.

Melkein jokaisella yrityksellä on käytössään henkilötietoja. Yleisenä haasteena on, etteivät yritykset välttämättä tiedä kovinkaan hyvin, mitä kaikkea tietoa niiltä löytyy, missä ja miten sitä säilytetään, käsitellään, ylläpidetään tai kuka siitä vastaa. Lähes jokaisella yrityksellä on rekistereitä työntekijöihin liittyvistä tiedoista sekä erinäisiä asiakas- ja markkinointirekistereitä. Tämän vuoksi on hyvä, että yritys on tietoinen voimaan tulevasta asetuksesta ja oman datansa tilasta.

Kysy ainakin nämä kysymykset

Oman datan tilaa kannattaa selvittää ainakin seuraavien kysymysten avulla:

1. Mitä henkilötietoja keräämme ja käsittelemme sekä miksi keräämme sitä?
2. Käsittelemmekö tietoja nykyisen henkilötietolain mukaisesti?
3. Kuka vastaa rekistereistä ja niiden ylläpidosta?


Uuden tietosuoja-asetuksen 5 keskeisintä muutosta

1. Henkilötietojen säilytys, minimointi ja täsmällisyys
Yrityksen hallussa olevat henkilötiedot tulee olla sellaisessa muodossa, ettei niistä saa helposti selville ketä tiedot koskevat tai tietokannat tulee salata mahdollisen tietomurtotapauksen varalta. Jatkossa kerättävää henkilötietojen määrää pitää minimoida ja niiden tulee olla täsmällisiä. Kerättävät tiedot tulee olla välttämättömiä palvelun käytön kannalta. Lisäksi virheelliset tiedot tulee poistaa viipymättä ja tietojen oikeellisuutta tulee ylläpitää.

2. Järjestelmien toimintavarmuus
Järjestelmien toimintavarmuus, jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus on taattava. Keskiöön nousee järjestelmän kyky palauttaa tiedot nopeasti. Henkilötietoihin kohdistuvista tietoturvaloukkauksista on ilmoitettava valvontaviranomaiselle viimeistään 72 tunnin kuluessa. Jos loukkauksesta on todennäköisiä haittavaikutuksia rekisteröidyn henkilötietojen suojalle tai yksityisyydelle, on rekisterinpitäjän ilmoitettava tapahtuneesta myös rekisteröidylle itselleen.

3. Tietojenkäsittelyn turvallisuuden varmistaminen
Yrityksen tulee lisätä sisäistä valvontaa ja käyttöönottaa menettely, jossa yritys testaa, tutkii ja arvioi säännöllisesti omien teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.

4. Nimetty tietosuojavastaava
Tietosuojavastaava on nimitettävä yrityksiin, joiden ydinliiketoimintaan kuuluu rekisteröityjen henkilöiden järjestelmällinen seuranta tai arkaluontoisten henkilötietojen käsittely. Tietosuojavastaavan tehtävänä on suunnitella, kehittää, varmistaa sekä valvoa tietosuojan toteutumista yrityksen tuottamissa palveluissa. Tietosuojavastaavana voi toimia oman yrityksen henkilö tai tämä voidaan ostaa palveluna ulkopuolelta. Tietosuojavastaava on verrattavissa pääluottamusmiehen tehtävään.

5. Sanktiot rikkeistä
Tietosuoja-asetuksen laiminlyönnistä yritykselle voidaan antaa huomautus tai määrätä sakkoa. Sanktio voi olla enimmillään 20 milj. euroa tai 4 % yrityksen vuotuisesta kokonaisliikevaihdosta.

Asetuksen todellisia vaikutuksia eri toimialoille on vielä vaikea arvioida, mutta on tärkeää tarkkailla tilannetta ja laittaa perusasiat kuntoon tämän kahden vuoden siirtymäajan puitteissa. Seuraavassa blogitekstissä kerron miten tietosuoja-asetus vaikuttaa esimerkiksi tilitoimiston liiketoimintaan ja mitkä asiat voit laittaa kuntoon jo tänään.

Se on ainakin varmaa, että tietosuoja-asetus tulee teettämään paljon lisää töitä tietosuojasta vastaaville ammattilaisille

Tietoturvalla tai tietoturvallisuudella tarkoitetaan tietoliikenne-, laitteisto-, ohjelmisto- ja tietoaineistotoiminnan turvallisuutta, joilla turvataan verkkojen ja palvelujen eheys, luottamuksellisuus ja käytettävyys. Eheydellä tarkoitetaan tiedon loogisuutta ja paikkansapitävyyttä. Tieto ei saa muuttua tahattomasti tai hyökkäyksen seurauksena. Luottamuksellisuudella tarkoitetaan, että tietoa voivat käsitellä vain sellaiset henkilöt, joilla on siihen oikeus. Käytettävyydellä tarkoitetaan saatavuutta, eli tiedon on oltava saatavilla, kun sitä tarvitaan. Erityisiä tietoturvavalvonnan kohderyhmiä ovat toimijat, jotka käsittelevät kansainvälistä turvaluokiteltua, viranomaisten tietoa ja henkilön terveydellistä tilaa koskevaa tietoa. Tietoturvallisuuden ohjauksessa avainasemassa ovat yhteistyö ja tiedonvaihto.

Tietosuojalla tarkoitetaan henkilötietolain henkilötietojen käsittelyä ja keruuta koskevien vaatimusten huomioimista, jotta voidaan turvata tiedon kohteen yksityisyys, edut, oikeudet ja oikeusturva. Yksilöllä on oikeus tarkastaa, mitä tietoja hänestä on tallennettu rekisteriin ja saada virheelliset tiedot korjatuksi. Henkilötietoja ei saa kerätä ilman yksilön suostumusta.

Lisää aiheesta Viestintäviraston sivuilta.