Yleinen tietosuoja-asetus - GDPR

EU GDPR EU:n uusi yleinen tietosuoja-asetus koskee jokaista yritystä ja organisaatiota, jossa käsitellään henkilötietoja. Se koskee myös yritysten välistä kauppaa, alihankintaverkostoja ja jokaista organisaatiota, joka tallentaa ja käsittelee henkilötietoja, eli jokaista organisaatiota. Niitä yrityksiä ja yhteisöjä on todella vähän, jotka selviävät ilman asiakasrekistereitä tai vaikka palkkahallintoa. Vapaaehtoispohjalla toimivissa yhdistyksissäkin on usein kerättävä vähintäänkin jäsenrekisteri.

Uudet rekisteröidyn oikeudet ovat laajemmat kuin nykylainsäädännössä. Käsittelyä säännellään tarkemmin ja velvoitteet henkilötietojen käsittelijöille ovat laajemmat. Tämän myötä myös sanktiot rikkomuksista ovat kovemmat kuin ennen, jopa 2-4% organisaation liikevaihdosta. Lähestymistapa on myös hiukan tiukempi kuin ennen, sillä organisaation kyettävä todistamaan jälkikäteenkin hoitaneensa velvoitteet. Mikäli asioita tehdään vasta ongelman tullessa eteen, ollaan myöhässä.

Uusia velvoitteita on mm:

  • Henkilötietoja suojataan riskiperusteisesti.
    • Jokaisen täytyy käydä läpi oman organisaation osalta henkilötietojen keräämisen, tallentamisen, käsittelyn ja poistamisen elinkaari. Samassa yhteydessä on arvioitava riskejä, joita henkilötietoihin kohdistuu. Tämä on koettu yrityksissä aluksi työlääksi, mutta projektin jälkeen saatu palaute on ollut päinvastaista.. Asiakkaamme ovat olleet tyytyväisiä siihen, että arvioinnin läpikäynti on opettanut omasta organisaatiosta ja sen toiminnasta paljon muutakin. Joissain projekteissa on kyetty parantamaan ja tehostamaan myös yrityksen perustoimintoja, kun omia käytänteitä ja järjestelmiä katsotaan uudesta näkökulmasta.
  • Tietosuoja-aineistoon kohdistuneet loukkaukset on kyettävä havaitsemaan ja ilmoittamaan.
    • Yritysten on ilmoittettava rekisteröidyille ja valvovalle viranomaisille henkilötietoihin kohdistuvista tietoturvaloukkauksista, esim. tietomurroista tai asetuksen vastaisesta käsittelystä ja loukkauksista on tiedonantovelvollisuus asianosaiselle ja valvovalle viranomaiselle 72 tunnin kuluessa sen tapahtumisesta. Tämä tarkoittaa sitä, että loukkaukset on myös kyettävä havaitsemaan! Lisäksi täytyy olla menettelytavat vahinkojen rajaamiseksi ja minimoimiseksi. Samalla kun nämä vaatimukset toteutetaan, parannetaan ja tehostetaan myös tietotekniikan toimintavarmuutta ja tietoturvallisuutta organisaatiossa. Nämä parannukset säästävät pidemmällä aikavälillä myös rahaa vikamäärien laskiessa ja IT:n toimintavarmuuden parantumisessa.
  • Sisäänrakennettu ja oletusarvoinen tietosuoja (Privacy by design/default).
    • Kaikissa palveluissa ja henkilötietojen käsittelyssä on oltava oletusarvoisesti tehokkaan yksityisyyden mahdollistavat mekanismit.
  • Organisaatioiden on kyettävä aktiivisesti näyttämään toteen velvoitteiden noudattaminen myös jälkikäteen
    • Organisaation on kyettävä jälkikäteen osoittamaan, että lain vaatimukset on huomioitu ja tarvittavat toimet on viety käytäntöön. Vastuut on oltava määriteltyinä, riskienarviointiprosessi on oltava kirjallinen ja sen toimenpiteet on dokumentoitava. Lisäksi ennakointi ja varautuminen ennalta kuuluu suunnitella ja dokumentoida etukäteen.
  • Organisaatioissa on tietyissä tilanteissa oltava nimetty resurssi vastaamaan tietosuojan valvonnasta ja toteutumisesta
    • Arvioinnin tuloksena voi olla, että organisaatiossa tarvitaan tietosuojavastaava. Tietosuojavastaava valvoo henkilötietojen käsittelyä, kouluttaa ja tukee henkilökuntaa, toimii yhteyshenkilönä yrityksen sisällä ja viranomaisiin ja raportoi suoraan organisaation johdolle. Tietosuojavastaavan pätevyydelle on joitain perusvaatimuksia. Tietosuojavastaava voi olla joko organisaation omasta henkilöstöstä nimetty tai hän voi olla sopimusperusteisesti organisaation lukuun toimiva henkilö.
  • Lasten tietojen käsittelyä rajoitetaan
  • Kansainvälistä henkilötietojen siirtoa rajoitetaan
  • Rekisteröidyn oikeudet omien tietojen tarkastamiseen, muuttamiseen ja poistamiseen pysyy ennallaan, mutta käsittelyn suostumuksia on hallinnoitava selkeämmin

Henkilötietojen käsittelylle on oltava aina tarve

On myös hyvä muistaa, että jo nykyisinkin henkilötietojen keräämiselle on aina oltava tarve.
  • Rekisteröidyn oma suostumus
  • Sellaisen sopimuksen täytäntöönpano, jossa rekisteröity on sopimusosapuolena (esim. tilaus / palvelusopimus / työoikeus…)
  • Rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi
  • Rekisteröidyn elintärkeiden etujen suojelemiseksi