Uusi EU:n yleinen tietosuoja-asetus (GDPR) tuli voimaan toukokuussa 2016. Asetusta ryhdytään soveltamaan sellaisenaan kansallisesti ensi keväänä, toukokuun 25. päivästä alkaen. Muutoksella pyritään parantamaan yksilöiden tietosuojaa.

Uusi tietosuoja-asetus koskee kaikkia yrityksiä ja myös luonnollisia henkilöitä, jotka keräävät ja hallinnoivat henkilötietoja asiakkaistaan, työntekijöistään ja muista luonnollisista henkilöistä tietojärjestelmiin tai rekistereihin sähköisesti tai manuaalisesti. Asetus koskee lisäksi tällaisia tietoja käsitteleviä tahoja.
Asetuksessa on jo nykylainsäädännöstä tuttuja periaatteita, mutta uudistus ohjaa suojaamaan henkilötiedot entistä huolellisemmin. Asetus edellyttää, että rekisterinpitäjä pystyy aktiivisesti todistamaan tietosuojan tason. Tarkoituksena on minimoida riski siitä, että tiedot päätyvät vääriin käsiin, ja toisaalta suojella tietoja luovuttaneiden henkilöiden oikeuksia.
Alkuvaiheessa uudistus teettää yrityksille hallinnollista työtä ja aiheuttaa kustannuksia. Jotkut saattavat nähdä muutoksen riesanakin.
– Jos tämän malttaa tehdä huolella, hyöty tulee myöhemmin. Hyvä tietoturva voi olla yritykselle merkittävä kilpailuetu. Lisäksi tuskin kukaan haluaa kenenkään henkilötietoja vaarantaa, eihän se ole yrittäjän tai yrityksenkään etu, toteaa asianajaja, varatuomari Hanna Kohvakka.

Töihin viimeistään nyt

Jos asetuksen tuomiin muutoksiin valmistautuminen on jostain syystä jäänyt, kannattaa asia ottaa pöydälle viimeistään nyt.
Ensimmäiseksi on kartoitettava nykytilanne: mitä tietoja, mihin ja miksi henkilöistä kerätään sekä miten niitä käsitellään, kuka niitä käsittelee ja miten niitä säilytetään?
Toiseksi on selvitettävä, miten järjestelmät ja rekisterit on suojattu. Suojaamattomien järjestelmien tiedothan voivat pahimmillaan olla kuin tarjottimella nettirikollisuudelle. Tämän jälkeen on aika tarttua havaittuihin epäkohtiin.
– Olemassa olevia järjestelmiä voidaan testata ja auditoida niiden turvallisuuden määrittämiseksi. Tämän jälkeen mahdollisiin tietosuojapuutteisiin ja -riskeihin voidaan puuttua järjestelmällisesti, IT-asiantuntija Tuomo Lundahl sanoo.

Koko prosessi arvioitava

Teknisesti turvalliset tietojärjestelmät ja -verkot eivät kuitenkaan yksin riitä. Käytännössä on tarkistettava koko henkilötietojen käsittelyn prosessi. Esimerkiksi tietoja käsittelevien työntekijöiden tietoturvaosaamisen on oltava riittävällä tasolla.
Henkilötietojen käsittelyn laajuudesta ja tietojen käyttötarkoituksesta riippuen yritys saattaa tarvita myös erikseen nimetyn tietosuojavastaavan. Lisäksi vastuut ja velvollisuudet on syytä kirjata myös sopimuksiin, jotka koskevat henkilötietojen käsittelyä.
Laiminlyönnit ja rikkomukset voivat pahimmassa tapauksessa johtaa erilaisiin viranomaisen määräämiin seuraamuksiin, vahingonkorvausvastuuseen ja hyvin tuntuviin hallinnollisiin sakkoihin. Sakot voivat olla enintään 20 miljoonaa euroa.
– Asetus mahdollistaa erilaisia tuntuviakin sanktioita, mutta käytäntö puuttuu. Emme siis vielä tiedä, miten herkästi viranomainen rikkomuksiin ja laiminlyönteihin puuttuu ja miten napakasti se ryhtyy määräämään asetuksen mukaisia sanktioita, Kohvakka sanoo.
Suomessa valvovana viranomaisena toimii tällä hetkellä tietosuojavaltuutetun toimisto. Oikeusministeriön asettama työryhmä on ehdottanut toimiston laajentamista tietosuojavirastoksi.

Uuden asetuksen tarkoitus

Uuden tietosuoja-asetuksen tavoitteena on parantaa kuluttajien luottamusta digitalouteen ja luoda sitä kautta edellytyksiä yritysten kehittymiselle ja kasvulle. Tietosuoja-asetus yhdenmukaistaa käytäntöjä ja helpottaa henkilötietojen siirtoa EU:n sisällä. Asetus korvaa EU:n nykyisen henkilötietodirektiivin.
Lisätietoja uudesta asetuksesta löydät esimerkiksi osoitteesta www.tietosuoja.fi.

 


Kun keräät ja tallennat tietoja

Henkilötietoja ovat kaikki henkilöä yksilöivät tiedot aina nimestä ja osoitteesta verkkotunnistetietoihin asti. Arkaluontoisia tietoja ovat esimerkiksi terveyttä ja uskonnollista vakaumusta koskevat tiedot.
Varmistu siitä, että sinulla tai yritykselläsi on lainmukainen oikeus käsitellä henkilötietoja. Oikeus käsittelyyn saattaa perustua rekisteröidyn suostumukseen, rekisterinpitäjän lakisääteisen velvoitteen noudattamiseen, sopimuksen täytäntöön panemiseen tai muuhun asetuksessa mainittuun perusteeseen. Jos keräät henkilötietoja, laadi rekisteriseloste.
Muista, että henkilöillä on oikeus tarkastaa ja oikaista omat tietonsa. Heillä on myös oikeus pyytää tietojensa poistamista, käsittelyn rajoittamista tai siirtämistä toiselle yritykselle sekä kieltää niiden käyttö esimerkiksi suoramarkkinoinnissa.