GDPR – Oletko valmistautunut uuteen tietosuoja-asetukseen? 7/2017

GDPR – Oletko valmistautunut uuteen tietosuoja-asetukseen? 7/2017

EU:N TIETOSUOJAUUDISTUS TULEE VOIMAAN 25.5.2018

Euroopan unioni hyväksyi huhtikuussa 2016 EU:n yleisen tietosuoja-asetuksen, joka tulee kumoamaan nykyisen tietosuojalain. Yrityksillä on vielä vajaa vuosi aikaa päivittää oman yrityksen tietosuoja-asiat vastaamaan uusittuja vaatimuksia, sillä asetuksen soveltaminen alkaa 25.5.2018.

Uusi tietosuoja-asetus tuo yrityksille uusia velvollisuuksia mm. henkilötietojen käsittelyyn, rekisteröintiin ja luovuttamiseen. Asetuksessa edellytetään yritysten oma-aloitteisesti toimivan asetuksen määräysten mukaisesti. Asetus jättää teknisen toteuttamisen yrityksen omaan harkintaan. Usean tahon toivomuksena on ollut, että Tietosuojavaltuutettu antaisi tarkempia ohjeita asetuksen soveltamisesta. Tähän mennessä on julkaistu oikeusministeriön ja tietosuojavaltuutetun yhteinen selvitys ja ohje 4/2017, Miten valmistautua EU:n tieto-suoja-asetukseen. Mielestäni vielä tarkempaa ohjeistusta tarvittaisiin nimenomaisesti PK-yrityksiä varten.

YRITYKSIIN VAIKUTTAVAT MUUTOKSET

Asetuksen myötä yritysten tulisi aiempaa tarkemmin pohtia jo ennakkoon mahdollisia henkilötietojen käsittelyyn liittyviä riskitekijöitä ja toteutettava tarvittavat tekniset ja muut toimenpiteet, joilla voidaan varmistaa ja osoittaa asetuksen noudattaminen. Teknisten suojaustoimenpiteiden ohella myös yritysten sisäisten toimintatapojen pitäisi tukea asetuksen noudattamista. Osana ennakkovarautumista korostuu dokumentoinnin merkitys, sillä erilaisiin riskeihin ennakolta varautuminen on pystyttävä tarvittaessa todistamaan. Tämän merkitys on erityisen tärkeää myös merkittävän sakkouhan takia.

Riskiperusteinen arviointi

Riskiperusteinen lähestymistapa on uudistuksen lähtökohta. Tarkoituksena on, että yritys ottaa itse huomioon henkilötietojen käsittelyyn liittyvät riskit. Näin on pyritty välttämään vähäriskisten toimintojen ylisääntelyä. Samalla on haluttu taata henkilötietojen suojan korkea taso, erityisesti kun tietoja käsitellään korkean riskin toiminnassa. Korkeariskistä on esimerkiksi yksilön terveystietojen käsittely. Rekisterinpitäjä ja henkilötietojen käsittelijä velvoitetaan ottamaan huomioon kulloinkin käsiteltävinä oleviin tietoihin liittyvä riski ja toimimaan sen mukaisesti.

Melkein kaikki yritykset käsittelevät henkilötietoja. Niitä löytyy yritysten asiakas- ja markkinointirekistereistä sekä myös omia työtekijöitä koskevista rekistereistä. Uusi asetus sisältää tietyille yrityksille velvoitteen tehdä henkilötietojen käsittelyä koskevan vaikutusarvioinnin eli DPIA:n (Data Protection Impact Assessment). Siinä arvioidaan henkilötietojen käsittelyn tarpeellisuutta, riskejä ja sitä, miten riskejä voidaan vähentää sekä miten niihin voitaisiin puuttua.

Vaikka yritys ei olisikaan velvollinen tekemään uuden asetuksen mukaista vaikutusarviota, tulisi sen selvittää ja arvioida uusien vaatimusten valossa oman yrityksen henkilötietojen käsittelyn nykytila. Selvityksessä tulee keskittyä siihen, mitä henkilötietoja yrityksessä käsitellään sekä toimitaanko nyt voimassa olevan henkilötietolain mukaisesti. Selvityksessä tulee myös tarkistaa, miten rekisteröidylle tiedotetaan tietojen käsittelystä ja miten yrityksen toimintaa tulisi muuttaa ja mahdollisesti kehittää uusien säännöstöjen tullessa voimaan.

Rekisteröidyn oikeudet, oikeus tulla unohdetuksi ja profilointi

Rekisteröidyillä henkilöllä on oikeus tarkistaa itseään koskevat tiedot, ja rekisterinpitäjän on oikaistava virheelliset tiedot. Yrityksen tulee jatkossa antaa enemmän tietoa rekisteröidylle siitä, miten hänen tietojaan käsitellään ja mihin käsittely perustuu. Myös tarpeettomat ja vanhentuneet henkilötiedot on poistettava. Tätä kutsutaan oikeudeksi tulla unohdetuksi.

Profiloinnilla tarkoitetaan henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan henkilön tiettyjä henkilökohtaisia ominaisuuksia, erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin.

Profilointia käytetään mm. markkinoinnin kohdentamisena ja rahoituspäätösten teossa. Jatkossa rekisteröity voi tietyissä tilanteissa kieltäytyä profiloinnista.

Tietosuojavastaava

Velvollisuus nimittää yritykseen erityinen tietosuojavastaava koskee sellaisia yrityksiä, joissa henkilötietojen käsittely edellyttää laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa tai laajamittaista asetuksessa mainittua arkaluonteisten tietojen käsittelyä. Kaikkia yrityksiä ei siis velvoiteta nimittämään tietosuojavastaavaa. Suositeltavaa kuitenkin on, että yrityksessä yksi taho kantaisi vastuun tietosuoja-asioista ja niihin liittyvien vaatimusten noudattamisesta. Yrityskohtaisesti tulee ratkaista, mikä taho on paras ja sopivin.

Tietosuojavastaavan tehtävänä on yrityksessä varmistaa ja valvoa tietosuojan toteutumista. Tietosuojavastaava voi kuulua yrityksen henkilöstöön tai hän voi toimia sopimuksen perusteella. Hänen tehtäviinsä kuuluu kouluttaa ja ohjeistaa henkilökuntaa, varmistaa tietosuojavelvoitteiden noudattaminen yrityksen jokapäiväisessä toiminnassa ja toimia yhteyshenkilönä viranomaisiin ja rekisteröityihin.

Velvollisuus ilmoittaa tietoturvaloukkauksista

Erilaiset yrityksiin kohdistuvat verkkohyökäykset ovat yhä tavallisempia. Jokainen yritys on jatkossa velvollinen ilmoittamaan henkilötietoihin kohdistuvasta tietoturvaloukkauksesta sekä valvovalle viranomaiselle että rekisteröidylle. Asetuksen mukainen määräaika on varsin lyhyt: ilmoitus tulee tehdä valvontaviranomaiselle ja rekisteröidylle ilman aiheetonta viivytystä ja lähtökohtaisesti 72 tunnin kuluessa tietomurron havaitsemisesta. Yrityksen on lisäksi dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset. Jatkossa yrityksen on kyettävä siis havaitsemaan ja dokumentoimaan loukkaus, ilmoittamaan siitä ja vielä pyrittävä minimoimaan vahinkojen aiheutuminen.

Uusia määräyksiä henkilötietojen käsittelyä ja tietosuojaa koskeviin sopimuksiin

Uuden asetuksen myötä yrityksen tulee tehdä kirjallinen sopimus, jos yritys on ulkoistanut henkilötietojen käsittelyä yrityksen ulkopuoliselle taholle. Asetuksessa velvoitetaan sopimaan aiempaa seikkaperäisemmin henkilötietojen käsittelyn ulkoistamisesta. Henkilötietoja saatetaan siirtää yritykseltä toiselle hyvin monenlaisissa tilanteissa, esimerkiksi alihankinnan, markkinointikampanjan tai ulkoistamispäätöksen yhteydessä.

Tämän vuoksi yrityksen eri sopimukset tulisi käydä läpi mahdollisimman pian ja tehdä tarvittavat päivitykset ennen toukokuuta 2018.

Yrityksille tulee tilivelvollisuus siitä, kuinka tietosuoja yrityksessä on toteutettu

Yrityksille on uudessa tietosuoja-asetuksessa asetettu tilivelvollisuus. Tietosuojaa koskevilta toimilta edellytetään ennakoitavuutta, kuten suunnittelua, varautumista ja kykyä osoittaa toteutetut toimenpiteet. Tässä auttavat selkeästi määritellyt vastuut ja etukäteen määrätyt tavat sekä menetelmät käsitellä henkilötietoja. Yrityksen tulee pystyä jälkikäteen osoittamaan, että lainsäädännön vaatimukset ja riskit on otettu sen toiminnassa asianmukaisesti huomioon.

Muutoksia lasten henkilötietojen rekisteröintiin

Lasten henkilötietojen käsittelyä ilman vanhempien suostumusta rajoitetaan. Alle 16-vuotiaat eivät voisi jatkossa käyttää muun muassa sosiaalisen median palveluita ilman vanhempiensa lupaa. Jäsenmaa voi kuitenkin päättää alemmasta ikärajasta, joka voi alimmillaan olla 13 vuotta.

Rikkomuksista merkittäviä sakkomaksuja

Asetuksessa määrätään täysin uusista hallinnollista sanktioista. Muutos on hyvin merkittävä, ja uudet säännökset kiristävät tältä osin merkittävästi tilannetta Suomessa. Yrityksen kokonaisliikevaihtoon sidotut sakkomäärät ovat suuria: 10 tai 20 miljoonaa euroa tai 2 tai 4 prosenttia yrityksen maailmanlaajuisesta kokonaisliikevaihdosta.

Vaikka näitä sakkomaksuja ei heti määrättäisikään sellaisille yrityksille, jotka ovat pyrkineet muuttamaan toimintansa vastaamaan asetuksen vaatimuksia, voi yrityksille koituva maineriski tietomurron tai henkilötietojen vuotamisen tapahduttua olla merkittävä.

MITEN YRITYS VOI VALMISTAUTUA TIETOSUOJA-ASETUKSEEN

Alla on lista siitä, miten PK-yrityksen tulisi valmistautua tietosuoja-asetuksen. Olen tämän listan mukaillut Suomen Yrittäjien julkaisemasta ohjeesta.

Yritys voisi lähteä liikkeelle seuraavan kysymyslistan avulla:

  1. Käy läpi yrityksessä tapahtuva henkilötietojen kerääminen, rekisteröinti ja käsittely sekä niihin liittyvät perusteet ja käytännöt. Mitä tietoja yrityksessä kerätään, ja sisältyykö niihin henkilötietoja?
  2. Millä perusteella henkilötietoja kerätään tai käsitellään? Täyttääkö toiminta nykysääntelyn vaatimukset?
  3. Arvioi henkilötietojen käsittelyn tarpeellisuutta ja siihen liittyviä riskejä sekä sitä, miten riskejä voitaisiin vähentää? Tarvitaanko kaikkia nyt kerättäviä tietoja? Kuinka pitkään tietoa on liiketoiminnan kannalta tarpeen säilyttää?
  4. Harjoitetaanko yrityksessä henkilötietojen profilointia?
  5. Millä tavalla yrityksessä huolehditaan eri tietomassojen, erityisesti henkilötietojen suojauksesta? Onko suojauskäytännöissä parantamisen varaa?
  6. Pohdi, millä tavalla varautua erilaisiin tietoturvaloukkauksiin? Miten näiden riskiä voitaisiin vähentää? Miten yrityksessä toimitaan tietoturvaloukkauksen sattuessa?
  7. Selvitä, millä tavalla yrityksessä reagoidaan rekisteröityjen pyyntöön tarkistaa tai poistaa itseään koskevat tiedot yrityksen rekistereistä?
  8. Vastuuta selkeästi taho/henkilö huolehtimaan siitä, että tietoturva on riittävällä tasolla ja yrityksessä noudatetaan nykyistä henkilötietolainsäädäntöä?
  9. Selvitä, siirretäänkö yrityksen keräämiä tai käsittelemiä henkilötietoja muille tahoille, esimerkiksi kumppaniyrityksille, toimeksiantajille, alihankkijoille jne.? Onko henkilötietojen siirtämiseen saatu rekisteröityjen suostumus, ja onko henkilötietojen siirrosta tehty kirjallista sopimusta? Siirretäänkö henkilötietoja muihin EU-maihin tai EU:n ulkopuolelle?
  10. Tarkista yrityksen kaikki sopimukset, joilla voi olla jotain tekemistä henkilötietojen käsittelyn, säilyttämisen, rekisteröinnin jne. kanssa. Ovatko nämä sopimukset asetuksen mukaisia ja miltä osin niitä on päivitettävä?
  11. Jos yrityksessä suunnitellaan uusien asiakasrekisterien tai vastaavien ohjelmistojen hankintaa, selvitä myyjältä ennen hankintapäätöksen tekoa, onko ohjelmiston suunnittelussa varauduttu tietosuoja-asetuksen säännöksiin tai onko ohjelmisto mukautettavissa niihin?

Jari Sotka

Asianajotoimisto Jari Sotkan tavoitteena on auttaa suomalaisia PK-yrityksiä menestymään kovenevassa kilpailussa huolehtimalla siitä, että yhtiön oikeudelliset asiat hoidetaan asianmukaisesti ja huolellisesti, niin että asiakas saa näistä parhaan mahdollisen hyödyn liiketoimintaansa, eikä näiden seurauksena tule ikäviä yllätyksiä.