Blogi

toukokuu 3, 2017

EU:n tietosuoja-asetus muuttuu – oletko valmis?

EU:n tietosuoja-asetus ja –direktiivi tuli voimaan 24.5.2016 ja sitä aletaan soveltaa 25.5.2018 alkaen, kumoten voimassaolevan Suomen henkilötietolain. Uusi asetus tuo mukanaan merkittäviä muutoksia yritysten rekisterikäytäntöihin – sekä aiempaa huomattavasti tiukemman sanktioinnin asetuksen laiminlyönneistä. Nykytilanteessa rekisterilainsäädännön laiminlyönnistä seuraa usein uhkasakolla tehostettu käytännön muutoskehotus tai sakko ja tästä syystä rekisteriasiat ovatkin monissa yrityksissä retuperällä. Uuden asetuksen myötä voi sanktio olla suuruudeltaan jopa 4% liikevaihdosta, joten viimeistään nyt kannattaa rekisterikäytännöt päivittää kuntoon.

Uusi asetus lisää merkittävästi rekisteröidyn oikeuksia tiedonsaantiin ja tietojen muuttamiseen tai poistamiseen. Lisäksi painotetaan rekisterinpitäjän vastuuta rekisterin käsittelyssä ja tietojen suojaamisessa. Tässä lähestymistapa on riskipohjainen, eli rekisterinpitäjän tulee tiedostaa käsittelemiensä tietojen riskitaso ja mitoittaa suojaustoimensa sen mukaisesti.

Muutoksella halutaan sekä parantaa yksilön oikeuksien ja vapauksien toteutumista sekä yhtenäistää käytäntöjä EU ja ETA –alueilla, jotka osaltaan lisäävät luottamusta esim. lisääntyvien online-palveluiden käyttöön sekä edistää sisämarkkinoiden toimintaa. Sillä myös halutaan saada yritykset aktiivisesti tarkistamaan ja valvomaan tietosuojakäytäntöjään, sillä ilmoitus lain noudattamisesta ei enää riitä, vaan se tulee tarvittaessa kyetä myös osoittamaan.

 

Miten varautua

Varautuminen kannattaa aloittaa selvittämällä yrityksen käyttämät rekisterit, niiden tarkoitus, niihin tallennetut tiedot sekä nykyiset rekisteriselosteet, eli onko tilanne nykylainsäädännön valossa kunnossa. Uudistuksen myötä ei oikeastaan mikään nykyisinkään säädelty tule poistumaan, vaan muutos tuo lisää vaatimuksia rekisterinpitäjille.

Yksityiskohtaisempia tietoja asetuksen sisällöstä löytyy kootusti esimerkiksi tietosuojavaltuutetun toimiston sivuilta, mutta alla on 10 huomionarvoista seikkaa.

Huom. Oheiset tiedot ovat tarkoitettu suuntaa antaviksi, eivätkä ole varsinaisia lainopillisia neuvoja. Tietojen koko sisältö, oikeellisuus sekä soveltamisala kannattaa tarkistaa varsinaisesta lakitekstistä tai asiantuntijalta.

 

 

  1. Tietojen keruuta koskevat säännöt tiukentuvat

Uudessa asetuksessa muotoillaan tiedonkeruun periaate seuraavasti: ”henkilökohtaisia tietoja voidaan laillisesti kerätä ainoastaan tiukan sääntelyn mukaisesti, lainmukaiseen tarkoitukseen”. Yritysten tuleekin siis huomattavasti aiempaa tarkemmin pohtia, mitä tietoja he asiakkaistaan keräävät ja mihin käyttöön tiedot on tarkoitettu. Keskeinen tavoite uudella sääntelyllä on vakuuttaa erilaisten palveluiden käyttäjät siitä, että heitä koskevat tiedot on vahvasti suojattu koko EU:n alueella.

 

  1. Olet vastuussa henkilökohtaisten tietojen vahvasta suojaamisesta

Uusi tietosuoja-asetus painottaa lainmukaisen rekisterinpitäjän vastuuta suojata rekisteri siten, ettei sen väärinkäyttö missään muodossa ole mahdollista. Lisäksi tietojen suojaamiseksi on käytettävä korkeinta mahdollista tietoturvaa. Kaikkien, joita uusi asetus koskee, tulee käsittää, että he ovat vastuussa ja tilivelvollisia käyttäjilleen, eli keräämiensä tietojen kohteille.

 

  1. Käyttäjän oikeus tulla unohdetuksi

Asetuksessa painotetaan käyttäjän oikeutta häntä koskevien tietojen voimakkaaseen suojaamiseen. Tämä sisältää oikeuden tulla unohdetuksi, jolla tarkoitetaan yksilön oikeutta vaatia kaikkien häntä koskevien tietojen poistamista yrityksen tai instituution tietokannasta. Kun käyttäjä ei enää halua, että hänen tietojaan käsitellään, tiedot poistetaan, paitsi jos on olemassa jokin laillinen peruste säilyttää ne. Tarkoitus on taata kansalaisten yksityisyydensuoja, ei hävittää menneitä tapahtumia tai rajoittaa lehdistönvapautta.

 

  1. Käyttäjillä on huomattavasti aiempaa enemmän valtaa itseään koskevaan tietoon

Yleisesti uusi asetus antaa käyttäjille huomattavasti enemmän omaa tietoaan koskevia oikeuksia. Tällä voidaan katsoa olevan positiivinen vaikutus myös yrityksille, vaikka ensisilmäyksellä ei siltä näyttäisikään. Suurempi läpinäkyvyys voi itse asiassa lisätä asiakkaiden luottamusta yritykseen ja vaikuttaa aiempaa parempaan yritysmielikuvaan, joka taas puolestaan saattaa houkutella uusia asiakkaita. Avoimuuden voimaa ei tulisi väheksyä!

Käyttäjän lisääntynyt valta omaan tietoonsa tarkoittaa myös oikeutta siirrättää itseään koskevia tietoja sähköisestä järjestelmästä toiseen. Rekistereitä ylläpitävien yritysten kannattaa siis rakentaa rekistereitä ylläpitävät järjestelmänsä alusta asti siten, että mahdollinen tietojen siirto ei aiheuta kohtuutonta vaivaa.

 

  1. Oikeus ryhmäkanteen nostoon

Uusi asetus ei ainoastaan anna käyttäjille lisää tietoa oikeuksista heitä koskevien tietojen suojaukseen, vaan myös työkaluja niiden puolustamiseen. Käyttäjät voivat vaatia korvauksia tietovuodon tai jonkin muun heidän tietojensa suojausta uhkaavan tapahtuman sattuessa. Tämä oikeus kannattaa yrityksissä ottaa vakavasti, sillä vaikkapa yritystä kohtaan tehty tietoturvahyökkäys saattaa huolimattomasti hoidettuna aiheuttaa merkittäviä taloudellisia menetyksiä, brändihaitasta puhumattakaan.

 

  1. Olet vastuussa luvan saamisesta sekä käyttäjän oikeuksien tiedotuksesta

Uuden asetuksen noudattaminen edellyttää käyttäjän yksiselitteisen myöntymyksen saamista häntä koskevaa tiedon tallennusta varten. Yrityksen täytyy myös selvästi ilmoittaa, mihin tarpeeseen tietoa käytetään sekä tiedottaa asiakasta hänen oikeuksistaan. Oikeuksista ei voi luopua, vaikka käyttäjä sellaisen ehdon hyväksyisikin. Tiedotusvelvollisuus jatkuu koko käyttäjän tietojen tallennusajan ja koskee kaikkia uusia tietoja, jota käyttäjästä ajan kuluessa kerätään.

 

  1. Tietovuotojen välitön ilmoitusvelvollisuus

Uuden asetuksen mukaan jokainen, joka käsittelee tallennettuja henkilötietoja on lain nojalla velvollinen välittömästi ilmoittamaan viranomaisille mahdollisista tietovuodoista. Välitön ilmoittaminen on asetuksessa tulkittu tarkoittamaan 72 tunnin sisällä. Mikäli vuodosta saattaa olla haittaa kerätyn tiedon kohteille, on yritys myös lain nojalla velvollinen tiedottamaan asiasta vuodon kohteena oleville henkilöille, mutta tähän ilmoitusvelvollisuuteen ei ole erikseen säädetty aikarajaa.

Aiemmin useat yritykset ovat koettaneet salata heitä kohdanneita tietovuotoja, joista tieto julkisuuteen on tullut vasta paljon myöhemmin, jos lainkaan. Uuden asetuksen myötä tähän halutaan puuttua varmistamalla, että tietovuotojen ehkäisemiseksi tehdään kaikki voitavissa oleva jo etukäteen ja että vuodon sattuessa siitä sekä tiedotetaan sen vaikutusten arvioinnin mahdollistamiseksi, että sen aiheuttaminn seurauksiin puututaan tehokkaasti.

 

  1. Asetuksen laiminlyönnistä merkittäviä seuraamuksia

Vaikka Yleinen Tietosuoja-asetus saattaa kuulostaa enemmän suositukselta, sen vaikutus on mitä suurimmissa määrin lain kaltainen. Asian varmistamiseksi on asetuksen laiminlyönneistä määrätty merkittäviä seuraamuksia, jotka ovat eri asteisia:

– Kirjallinen varoitus, joka voidaan antaa ensimmäisestä, ei-tahallisesta rikkomuksesta

– Säännölliset suojausauditoinnit yrityksen tietojärjestelmiin

– Sakko, määrältään enintään 20,000,000 eur tai jopa 4% yrityksen maailmanlaajuisesta edellisen tilikauden liikevaihdosta, riippuen kumpi on summaltaan suurempi.

 

  1. Tietojen siirto EU:n ulkopuolelle on erikseen säädelty

Tietojen siirtoa kansainvälisesti on säädelty huomattavasti aiempaa selkeämmin, kuten esimerkiksi EU:n ja Yhdysvaltojen välillä solmittu sopimus osoittaa. Sopimuksessa toteutuu EU:n tietosuoja-asetuksen tavoitteet, kuten seuraavat kolme keskeistä periaatetta osoittavat:

– Voimakkaat vastuut ja velvoitteet yrityksille, jotka käsittelevät Eurooppalaisten tietoja

– Selkeät suojaustoimenpiteet ja läpinäkyvyyden vaatimukset Yhdysvaltojen viranomaisten pääsylle tietoihin

– Lisäksi, mikäli yritys toimii sekä EU:ssa että Yhdysvalloissa sijaitsevien oikeushenkilöiden kautta, on molemmissa otettava huomioon kaikki EU:n tietosuoja-asetuksen vaikutukset. Säädöksen tarkoituksen selvittämiseksi esimerkkinä voidaan ajatella vaikkapa Facebookia ja sen käyttöehtoja.

 

  1. Yritysten tulee nimittää tietosuojavastaava

Tämä saattaa olla eräs suurimpia uuden asetuksen edellytyksistä. Mikäli yrityksen tietokannassa on enemmän kuin 5000 kohdetta 12 kuukauden ajanjaksolla, tulee yrityksen nimittää tietosuojavastaava. Henkilön tulee:

– olla IT-prosessien ja resurssien hallinnan ammattilainen;

– hallita hyvin tietoturva-asiat, mukaan lukien kyberturvallisuus (kyberhyökkäykset, kyberturvallisuus jne.);

– ymmärtää ja pystyä hallitsemaan arkistoidun tiedon tallentamiseen ja käsittelyyn liittyvät liiketoiminnan jatkuvuusongelmat.

Suurin haaste yrityksille on löytää henkilö, jolla on riittävän monipuolinen osaaminen ja syvällinen ymmärrys yrityksen eri avaintekijöiden keskinäisiin suhteisiin.

 

Uuden asetuksen mukanaan tuomat haasteet

Vaikka uusi asetus tuo mukanaan lukuisia paljon kaivattuja uudistuksia EU:n verkkokäyttäjille, tuo asetuksen täytäntöönpano mukanaan myös lukuisia haasteita yrityksille, joista esimerkkinä mainitsin jo tietosuojavastaavan nimitystarpeen. Onneksi joitakin asetuksen edellyttämiä tehtäviä voidaan kuitenkin automatisoida ja näin säästää sekä aikaa että rahaa. Muutokseen varautuminen kannattaakin aloittaa ajoissa ja huolella, jotta vältytään virheiltä ja turhilta kustannuksilta.

On hyvä muistaa, että vaikka uuden asetuksen keskiössä ovat yrityksen asiakkaat, ei asetus ulota vastaavaa suojaa yrityksen työntekijöitä kohtaan. Tämä ei kuitenkaan tarkoita sitä, etteikö yritys voisi (tai kannattaisi) ulottaa vastaavia käytäntöjä myös oman henkilöstönsä tietoihin. Näin toimimalla voidaan jopa saavuttaa kilpailuetua yrityksen asemaa rekrytointimarkkinoilla arvioiden.

 

Miten aloittaa yksityisyyden suojaan ja tietoturvaan liittyviiin riskeihin varautuminen

Aloittamalla varautuminen uuden asetuksen vaatimuksiin ajoissa, voidaan säästää sekä aikaa että rahaa. Muutokset yrityksen tapaan kerätä ja hallita asiakastietoja ovat usein pitkiä prosesseja, joihin kannattaa varata riittävästi aikaa, mutta mikäli jo nyt pystytte selvästi osoittamaan, että tietojenne suojaus on kunnossa, ei uuden asetuksen mukanaan tuomat muutokset aiheuta päänvaivaa.

Oman yrityksen tilanne ja käytännöt tulevaisuudessa kannattaa kuitenkin selvittää huolellisesti ja tarvittaessa asiantuntijaa apuna käyttäen.

 

Myös yrityksen yleisestä tietoturvasta kannattaa huolehtia

Tietosuoja-asetuksen vaatimiin muutoksiin valmistautuessa kannattaa kartoittaa myös yrityksen yleinen tietosuojatilanne. Sanomattakin on selvää, että virustorjuntaohjelmistojen, työasemavarmennuksen ja varmuuskopioinnin käyttö on ehdottoman tärkeää, mutta markkinoilta on myös saatavana erinomaisia ratkaisuja kunkin yrityksen yksilöllisiin tarpeisiin.

Topteamilta saat markkinoiden parhaita tietoturvaratkaisuja niin yrityksen tietojärjestelmien kuin laitteidenkin suojaukseen ja asiantuntijoiltamme saat kattavan kartoituksen suositeltavista vaihtoehdoista. Tarkempia tietoja asiasta saat ottamalla yhteyttä asiakaspalveluumme.

 

Linkkejä:

Opas tietosuoja-asetukseen valmistautumisessa

Tietosuojavaltuutetun toimisto

Uutiset , , , ,
Kirjoittaja: Aleksi Katainen

Topteam Turvaa Työsi
Kokonaisvaltainen palveluvalikoimamme yrityksen IT-ratkaisuista toimistotarvikkeisiin, monitoimilaitteista ergonomiaan sekä huolto-, asennus- ja käyttötukipalvelumme varmistavat, että voitte aina keskittyä omaan työhönne. Meidät tunnetaan joustavasta, asiakkaan tarpeet huomioivasta palvelusta ja haluamme olla luottokumppanisi. Puhumme samaa kieltä kanssasi, ajattelemme aina etuasi ja teemme vaikeistakin asioista helppoja.
Ostoskori