EU:n uusi tietosuoja-asetus lisää kansalaisten oikeuksia ja yrityksen velvollisuuksia

EU:n uusi tietosuoja-asetus tulee voimaan 25. toukokuuta 2018. Tietosuoja-asetuksessa on kyse kaikkien kansalaisten henkilötietojen käsittelystä yhdenmukaisesti EU:ssa ja se tulee koskemaan kaikkia yrityksiä, jotka ylläpitävät tai käsittelevät henkilötietoja. Asetuksen noudattamatta jättämisestä voi seurata tuntuvat sakot. Osassa yrityksiä valmistautuminen tietosuoja-asetuksen vaatimuksiin on jo käynnissä, osassa tarvittavat toimenpiteet ovat vielä mietinnässä. Kumpaan joukkoon yrityksesi kuuluu?

Tietosuojauudistuksessa on kysymys merkittävästä henkilötietojen käsittelyä koskevasta muutoksesta. Tietosuoja-asetuksen myötä rekisteröityjen eli henkilöiden, joista kerätään henkilötietoja, oikeudet vahvistuvat. Samalla rekisterinpitäjien ja henkilötietojen käsittelijöiden eli yritysten velvoitteet lisääntyvät. EU-kansalainen voi vastaisuudessa vaatia, että hänelle kerrotaan mitä tietoja hänestä on kerätty. Lisäksi kansalainen voi vaatia tietojen korjaamista ja poistamista, ja tietosuoja-asetuksen noudattamatta jättämisestä voi seurata yritykselle tuntuvia rahallisia seuraamuksia – enimmillään sakko on neljä prosenttia yrityksen kansainvälisestä liikevaihdosta. Yritysten osalta tämä tarkoittanee mahdollisia muutoksia tietojärjestelmiin sekä organisatorisia muutoksia. Yrityksissä joudutaankin jo nyt miettimään, miten uudet velvoitteet toteutetaan käytännössä, kun tietosuoja-asetus tulee voimaan 25. toukokuuta 2018.

Kohta 1. Selvitä tietosuojan nykytila

Yrityksen tietosuojaohjelman rakentamisen edellytyksenä on ymmärrys henkilötietojen käsittelyn laajuudesta ja nykyisten toimintaprosessien kuvaamisesta. Nykytilan kokonaisvaltainen kartoittaminen toimii pohjana EU:n tietosuoja-asetuksen tuomien uusien velvoitteiden ymmärtämiselle ja nykykäytäntöjen muutosprojektille. Ensimmäisenä yrityksen tulisikin selvittää tietosuojan nykytila suhteessa tietosuoja-asetuksen vaatimuksiin. Nykytilan arviointi kohdistuu yrityksen henkilötietojen käsittely- ja tietosuojakäytänteisiin. Arvioinnin avulla yritys kykenee tunnistamaan henkilötietojen käsittelyyn liittyvät riskit ja puutteet.

Olennainen osa tietosuojan nykytilan arvioimista on selvittää, mitä kaikkia henkilötietoja yrityksessä kerätään ja käsitellään. Kartoituksessa on syytä selvittää henkilötietojen tietovirrat eli mistä henkilötietoja kerätään ja mihin henkilötietotietoja luovutetaan tai siirretään. Samoin selvitetään kaikki henkilötietoja käsittelevät järjestelmät ja sovellukset. Käytäntö on osoittanut, että yritykset eivät läheskään aina tiedä, mitä kaikkia henkilötietoja yrityksessä käsitellään tai missä henkilötiedot todellisuudessa sijaitsevat.

Yrityksen on tarkistettava myös sopimustensa tietosuojaa koskevat ehdot. Yritysten on jatkossa tehtävä kirjallinen sopimus ulkoistaessaan henkilötietojen käsittelyn ulkopuolisille tahoille. Henkilötietojen käsittelyä koskeva sopimus voi liittyä esimerkiksi palkkahallinnon ulkoistamiseen tai pilvipalvelun hankkimiseen ulkopuoliselta palveluntarjoajalta.

Tietojen suojaamista koskevat nykyiset tietoturvakäytännöt tulee myös arvioida. Yrityksen on huolehdittava henkilötietojen asianmukaisesta suojaamisesta koko henkilötietojen elinkaaren ajan. Tarvittavat tietoturvatoimenpiteet tulee arvioida riskiperusteisesti ja ne tulee suhteuttaa suojattavien henkilötietojen mukaan. Osana nykytilan arviointia yrityksen tulee lisäksi selvittää, onko yritys velvollinen nimittämään tietosuojavastaavan tai tekemään henkilötietojen käsittelytoimia koskevia vaikutustenarviointeja.

Kohta 2. Laadi suunnitelma tietosuojavaatimusten täyttämiseksi

Kun yrityksen tietosuojan nykytilan arviointi on tehty, voidaan selvittää, mitä muutoksia ja toimenpiteitä tarvitaan. Yrityksen tulisi laatia selkeä suunnitelma, miten henkilötietojen käsittely saatetaan tietosuoja-asetuksen vaatimalle tasolle. Suunnitelman tulee sisältää toimenpiteet rekisteröityjen oikeuksien takaamiseksi ja yrityksen velvollisuuksien toteuttamiseksi. Toimenpiteet voivat sisältää esimerkiksi tietosuojakäytänteiden ja -prosessien laatimista, sopimusten päivittämistä tai henkilöstön kouluttamista. Valitut toimenpiteet on otettava sisäänrakennetusti ja oletusarvoisesti osaksi kaikkia henkilötietojen käsittelyvaiheita. Yrityksellä on oltava kyky osoittaa tietosuoja-asetuksen velvoitteiden noudattaminen, mikä edellyttää ajantasaista ja kattavaa dokumentaatioita.

Suunnitelman toteuttamiseen on syytä varata tarpeeksi aikaa ja resursseja. Tarvittavien toimenpiteiden luonteeseen ja laajuuteen vaikuttavat yrityksen koko ja toimiala sekä tietosuojan nykytila. Pienimmillään kyse voi olla nykyisten toimintamallien päivittämisestä. Joillekin yrityksille se voi tarkoittaa merkittäviäkin muutoksia toimintatapoihin.

Yrityksen valmistautumista tietosuoja-asetukseen ei tule nähdä ainoastaan kertaluonteisena tehtävänä, vaan enemmänkin jatkuvana kehitysprosessina. Kun tietosuoja on saatettu vaadittavalle tasolle, sitä tulee ylläpitää aktiivisesti.
Ota yhteyttä! Me EY:llä annamme mielellään lisätietoja ja autamme yrityksiä kaikissa tietosuojaa koskevissa asioissa.

 

Kirsi Putkonen

 

Kirjoitus on alun perin julkaistu EY:n blogissa.