EU:n yleinen tietosuoja-asetus

Huhtikuun 14. päivänä 2016 hyväksytty EU:n yleinen tietosuoja-asetus tulee sovellettavaksi 25.5.2018.

Henkilötietojen merkityksen kasvu nykyisessä liiketoiminnassa on luonut EU:lle jo pitkään paineita yhtenäistää henkilötietojen kohtelua unionin alueella. Luonnollisten henkilöiden suojelu henkilötietojen käsittelyn yhteydessä katsotaan perusoikeudeksi ja yleinen tietosuoja-asetus onkin sellaisenaan velvoittavaa lainsäädäntöä koko unionin alueella ja tulee sovellettavaksi myös sellaisissa tilanteissa, joissa henkilötietoja käsitellään EU:n ulkopuolella. Henkilötieto määritellään varsin laajasti ja määritelmä käsittääkin kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot.

Yleistä tietosuoja-asetuksesta

Yleinen tietosuoja-asetus lisää nykyistä henkilötietojen käsittelyä koskevaa sääntelyä. Se parantaa luonnollisten henkilöiden tietosuojaa huomattavasti mutta samalla lisää merkittävästi henkilötietoja keräävien velvollisuuksia. Rekisterinpitäjälle asetetaan velvollisuus mm. ilmoittaa tietomurroista ja muista tietoturvaloukkauksista 72 tunnin kuluessa toimivaltaiselle kansalliselle viranomaiselle, asettaa tietyissä tilanteissa erillinen tietosuojavastaava sekä huolehtia, että henkilötietorekisterissä on oma sisäänrakennettu tietosuojamekanismi.

Lapset asetetaan tietosuoja-asetuksessa erityisasemaan. Suostumukseen perustuva alle 16-vuotiaiden lasten henkilötietojen käsittely edellyttää lapsen huoltajan valtuutusta tai suostumusta. Tämä luo henkilötietojen keräämiseen omat oikeudelliset riskinsä, sillä esimerkiksi vanhempiensa tietokonetta käyttävä lapsi on vaikeasti tunnistettavissa vanhemmasta erilliseksi henkilöksi.

Asetus asettaa rekisterinpitäjälle ns. tilintekovelvollisuuden. Rekisterinpitäjän on siis kyettävä aktiivisesti osoittamaan, että rekisterinpitäjä on huomioinut tietosuojamääräykset toiminnassaan ja sen suunnittelussa. Todistustaakka sekä näyttövelvollisuus velvollisuuksien asianmukaisesta hoidosta ja täyttämisestä langetetaan rekisterinpitäjälle itselleen, joka epäonnistuessaan näyttämään toteen asianmukaisen menettelynsä, voi kohdata pahimmassa tapauksessa 20 miljoonan euron hallinnollisen sakon.

Tulevassa tietosuoja-asetuksessa on myöskin syytä huomioida se, että henkilötieto on käsitteenä määritelty varsin laajasti. Ottaen huomioon esimerkiksi suomalaisen median tämänviikkoisen ilmoittamisvimman liittyen yksityishenkilöiden tulotietoihin, voinee tuleva tietosuoja-asetus tuoda tullessaan sen, että media ei ainakaan enää samalla yksityiskohtaisella tavalla voi julkaista yksityishenkilöiden tulotietoja. On kuitenkin huomattava, että tietosuojeluvaltuutettu Reijo Aarnio on kiistänyt em. tulkinnan, mutta se jää nähtäväksi miten tuleva tietosuoja-asetus loppupeleissä tulee vaikuttamaan verotietojen julkisuuteen.

Yleinen tietosuoja-asetus ja etenkin sitä seuraava kansallinen lainsäädäntö on joka tapauksessa hyvä lukea läpi. Tietosuoja-asetuksessa annetaan nimittäin kansalliselle lainsäätäjälle tietynasteinen liikkumavara, eikä säännöksien tarkkaa sisältöä voida kaikilta osin päätellä pelkästään asetusta tarkastelemalla.

Checklista yrityksille

Tuleva tietosuoja-asetus tuo tullessaan erinäisiä muutoksia, kuten edellä onkin jo todettu. Miten sitten yrityksien kannattaa valmistautua tuleviin muutoksiin? Alla olemme kaikessa lyhykäisyydessään yksilöineet tiettyjä osa-alueita, jotka yrityksien on hyvä jo tässä vaiheessa huomioida:

1) Ottaen korostetusti huomioon sen, että tietosuoja-asetus lisää nykyistä henkilötietojen käsittelyä koskevaa sääntelyä, on yritysten syytä aloittaa arvioimalla henkilötietojen käsittelyn nykytila sekä siihen liittyvät riskit. Mikäli arvioinnin perusteella ilmenee puutteita yrityksen tavassa käsitellä henkilötieoja, on puutteet syytä korjata mahdollisimman pian.

2) Mikäli yritys toimii julkisella sektorilla tai yrityksen keskeisiin tehtäviin lukeutuu rekisteröityjen henkilöiden laajamittainen ja järjestelmällinen seuranta tai laajamittainen arkaluontoisten tietojen käsittely, tulee yrityksen nimetä tietosuojavastaava. Muidenkin henkilötietojen kanssa toimivien yrityksien on suositeltavaa nimetä tietty taho, joka vastaa henkilötietojen asianmukaisesta käsittelystä. Näin varmistutaan siitä, että henkilötietojen käsittely on aina asianmukaista.

3) Mikäli yritys käsittelee alle 16-vuotiaiden lasten henkilötietoja, on tämä syytä korostetusti ottaa huomioon yrityksen henkilötietojen käsittelykäytännössä.

4) Henkilötietojen parissa toimiville yrityksille on asetettu myös ilmoittamisvelvollisuus koskien tietomurtoja sekä tietoturvaloukkauksia. Ko. ilmoitus tulee tehdä 72 tunnin kuluessa toimivaltaiselle kansalliselle viranomaiselle.

5) Mikäli yritys on tehnyt jonkin sopimuksen ulkopuolisen palveluntarjoajan kanssa, jonka myötä ulkopuolinen palveluntarjoaja käsittelee yrityksen luovuttamia henkilötietoja, on sopimuksen sisältö tarkastettava ja varmistettava, että se on sopusoinnussa tietosuoja-asetuksen vaatimuksien kanssa. Tämä voi ajankohtaistua mm. jos yritys on tehnyt sopimuksen ulkopuolisesta palkkahallinnosta.

Mikäli edellä mainittu checklista herätti kiinnostusta yrityksesi tietosuoja-asioista ja niiden nykytilasta, älä epäröi ottaa yhteyttä meihin. Istumme mielellämme alas kanssasi suunnittelemaan tulevan tietosuoja-asetuksen vaikutuksia yrityksesi päivittäiseen liiketoimintaan.