27.4.2016 hyväksyttiin lopullisesti EU:n uusi Tietosuoja-asetus. Asetus on sinänsä suoraan sovellettavaa lainsäädäntöä, mutta soveltaminen aloitetaan kahden vuoden siirtymäajan jälkeen 25.5.2018. Nyt väliajalla noudatetaan vanhaa Henkilötietolakia.

Asetus tuo merkittäviä muutoksia yritysten ja organisaatioiden henkilötietojen käsittelylle. Monissa yrityksissä tämä tarkoittaa, että tietosuojan prosesseja, käytäntöjä ja henkilötietoja käsitteleviä tietojärjestelmiä on uudistettava tai luotava kokonaan. Aikaa tämän tekemiseen on vain rajallisesti, joten töihin kannattaa ryhtyä välittömästi.

Mitkä ovat asetuksen tärkeimmät muutokset?


Hallinnolliset sakot

Asetuksen rikkomisesta määrättävät sakot voivat kohota huomattavan isoiksi. Sakot on jaettu kahteen kategoriaan:

  • 20 000 000 € tai 4% globaalista liikevaihdosta (kumpi isompi)
  • 10 000 000 € tai 2% globaalista liikevaihdosta (kumpi isompi)

Se, kumpaa kategoriaa noudatetaan, riippuu rikotusta artiklasta. Sakoista päättää tietosuojavaltuutetun johdolla viisijäseninen kollegio. Sakkojen sijaan rekisterinpitäjälle voidaan vaihtoehtoisesti määrätä henkilötietojen käsittelykielto.

Sakot ovat hallinnollisia päätöksiä. Eli ne voidaan postittaa suoraan rekisterinpitäjälle ilman oikeudenkäyntiä. Tämän lisäksi vahinkoa kärsinyt voi vielä vaatia korvausta rekisterinpitäjältä tai käsittelijältä.

Tilivelvollisuus/Osoitusvelvollisuus

Tilivelvollisuuden vaatimus on myös merkittävä uudistus. Siinä missä todistustaakka asetuksen mukaisesta toiminnasta oli viranomaisella, nyt asetelma on käännetty toisin päin.

Eli pyydettäessä rekisterinpitäjän on pystyttävä osoittamaan miten tietosuoja on toteutettu.

Ainoa tapa tämän toteuttamiselle on dokumentoida tietosuojatoiminnot kattavasti. Tietosuojapolitiikka, tietosuojaselosteet, informaatioarkkitehtuuri, tietovirtakuvaukset, koulutusmateriaali yms. sisäinen ja ulkoinen tietosuojadokumentaatio muodostavat kokonaisuuden, jolla rekisterinpitäjä voi tarvittaessa todistaa toimintansa olevan vaatimuksenmukaista.

Oikeus käsitellä henkilötietoja – Suostumus

Vanhassa henkilötietolaissa henkilötietojen käsittelyn perusteeksi riitti yhteysvaatimus (esim. asiakassuhde). Nyt tietosuoja-asetuksen mukaan käsittelyyn tarvitaan rekisteröidyn suostumus tai sopimus. Suostumukselle on määritelty omat vaatimuksensa:

  • Sen on oltava vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen
  • Suostumus ei saa olla esitäytetty (esim. valmiiksi valittu valintaruutu)
  • Jos rekisteröity kieltäytyy antamasta suostumusta, siitä ei saa aiheutua haittaa
  • Selvästi erottuva, ei saa sisältää muita asioita
  • Jokaiselle käsittelytoimelle on oltava oma suostumus
  • Suostumuksen saa perua koska vaan. Perumisen tulee olla yhtä helppoa kun sen antaminen
  • Rekisterinpitäjän on tarvittaessa todistettava suostumuksen olemassaolo

Tietoturvaloukkaus

Tietoturvaloukkauksista on ilmoitettava valvontaviranomaiselle 72 tunnin kuluessa siitä, kun se on tullut rekisterinpitäjän tietoon. Asetuksessa ei ole aikarajoituksia, eli se on voimassa myös pyhäpäivinä.

Henkilötietojen tietoturvaloukkaus sisältää muutakin kuin pelkän tietomurron. Myös esim. vahingossa tapahtuva henkilötietojen tuhoaminen tai emailin lähettäminen väärään osoitteeseen ovat tietoturvaloukkauksia. 

Näinollen pitkien pyhien (joulu yms.) päivystyskäytännöt pitää miettiä ja sopia kuntoon. Tärkeää on huomata, että 72 tunnin aikarajan laskenta alkaa siitä, kun loukkaus on tullut rekisterinpitäjän tietoon, eli ei itse tapahtumahetkestä.

Tietosuojavastaava

Asetuksen alustavissa versioissa oli ehto, jonka mukaan tietosuojavastaava on nimitettävä jos organisaation koko on isompi kuin 250 henkeä. Lopullisesta versiosta tämä kuitenkin poistettiin.

Lopullisessa versiossa rekisterinpitäjän on nimitettävä tietosuojavastaava, kun liiketoiminnan keskeisenä osana on henkilötietojen laajamittainen, säännöllinen ja järjestelmällinen käsittely.

Rekisterinpitäjän on nyt itse tehtävä tulkinta siitä, onko henkilötietojen käsittely niin ydinliiketoimintaa että sitä varten on nimitettävä tietosuojavastaava. Isommissa yrityksissä asetuksen vaatimusten täyttäminen edellyttää jo käytännön syistä tietosuojavastaavan tai tietosuojatiimin perustamista. Tietosuojavastaavan voi hankkia myös ulkoistettuna palveluna, ja tätä kannattaa harkita etenkin pienemmissä yrityksissä.

Henkilötietojen siirto-oikeus

Asetuksen mukaan rekisteröidyllä on oikeus siirtää itse toimittamansa henkilötiedot toiseen järjestelmään. Rekisterinpitäjien on näinollen rakennettava tietojärjestelmin siirtämisen mahdollistava toiminnalisuus.

Siirto-oikeuden mahdollistavan toiminnallisuuden toteuttaminen edellyttää monissa tapauksissa merkittäviä muutoksia henkilötietoja käsitteleviin tietojärjestelmiin.

Tarvitsetko apua asetuksen toteuttamisessa? Ota yhteyttä!

Jätä sähköpostiosoitteesi ja saat tiedon uusimmista blogikirjoituksista