Tietosuoja-asetus – Pakko, uhka ja mahdollisuus

EU:n uusi tietosuoja-asetus on hyväksytty keväällä 2016 ja tulee voimaan kahden vuoden siirtymäajan jälkeen 25.5.2018. Asetus koskee kaikkea henkilötietojen käsittelyä EU:n jäsenvaltioissa. Asetuksen tavoitteena on parantaa luottamusta online-palveluihin ja näin edistää EU:n digitaalista sisämarkkinoiden kehittämistä.

 

Uutta asetuksessa on, että se on kaikissa EU:n jäsenvaltioissa suoraan sovellettavissa käytäntöön. Aikaisemmin soveltaminen on ollut epäyhtenäisempää, mutta nyt käytännöt ja säädökset yhtenäistetään.

 

Jopa 20 miljoonan uhkasakko

Uusi asetus langettaa merkittäviä seuraamusmaksuja tietosuojavelvoitteen laiminlyöjille. Tämä koskee käytännössä kaikkia yrityksiä ja yhteisöjä, jotka pitävät listaa ihmisten tiedoista.

Rekisterinpitäjän on kysyttäessä pystyttävä aktiivisesti osoittamaan, että tietosuojasäännökset huomioidaan yhteisön tai yrityksen toiminnan suunnittelussa. Ei siis pelkästään toiminnassa vaan myös toiminnan suunnittelussa. Todistustaakka ja näyttövelvollisuus tulee lankeamaan rekisterinpitäjille, joista tehdään tilintekovelvollisia huomattavien sakkojen uhalla. Käytännössä suunnitelmien todistaminen tulee usein vasta ajankohtaiseksi, kun jotain dramaattista, kuten tietomurron kautta rekisterien päätyminen Internetiin, tapahtuu.

Uhkasakko on maksimissaan 4% liikevaihdosta tai 20 miljoonaa euroa ja vieläpä suurempi niistä.

Ihmisten oikeusturva paranee

Tietojen kerääminen eri tavoin lisääntyy räjähdysmäisesti. Meistä kerätään kauppaketjujen kanta-asiakasjärjestelmiin jatkuvasti tietoa, Google ja Facebook keräävät meistä tietoa ja verkko-ostosten kautta jokainen joutuu syöttämään arkaluontoista tietoa verkkoon rekisterinpitäjille. Identiteettivarkaudet lisääntyvät ja ihmisten suoja verkossa olevien tietojen rikolliseen hyödyntämiseen on hyvin heikko. Tämän suojan parantaminen on merkittävin syy tietosuoja-asetuksen taustalla.

Kaikilla luonnollisilla henkilöillä, eli tavallisilla kuluttajilla, tulee asetuksen mukaan olla omia henkilötietoja koskeva tiedonsaantioikeus, oikeus korjauksiin, oikeus tulla unohdetuksi, oikeus tietojen poistamiseen ja oikeus tietojen käsittelyn vastustamiseen. Esimerkiksi asiakasrekisterin pitäjän on näytettävä kaikki tietoa pyytävää asiakasta koskevat tiedot, jos asiakas niin pyytää. Tiedot pitää pyydettäessä myös poistaa. Rekisterinpitäjän velvollisuus on myös antaa avoimia ja helposti saatavia tietoja tietojen käsittelystä.

Huolellisuus ei enää riitä

Organisaatiolle ei riitä, että se noudattaa asetusta vaan on pystyttävä osoittamaan, että tietosuojasäännökset huomioidaan ja niiden mukainen toiminta on suunniteltu rekisterinpitäjän toiminnassa. Käytännössä tämä tarkoittaa, että yrityksen tai yhteisön pitää osoittaa, että on etukäteen tehnyt toimenpiteet tietosuojaan. Toimenpiteitä ovat mm. tietoturvaohjeistuksen laadinta ja henkilökunnan koulutukset. Tietosuojasäännösten mukaan järjestelmät, laitteet ja ohjelmistot ovat asianmukaisella tasolla ja henkilökunnan kanssa on sovittu, mitä tehdään vanhentuneelle tiedolle, kun se ei ole enää akuuttia. Sopimukset alihankkijoiden kanssa ovat kunnossa myös tietosuojan osalta ja salassapitosuojaukset ovat kunnossa työntekijöiden kanssa, kun käsitellään henkilötietoja. Rekisterit ovat siis niin hyvin suojassa, kun mahdollista eikä niistä mennä puhumaan kenellekään.

 

Kaikkien organisaatioiden, jotka pitävät jotain rekisteriä, pitää nimetä tietosuojavastaava. Joka organisaatiossa on vastaava oltava ja hän on yhteyshenkilö tietosuojaviranomaisen ja yrityksen johdon välillä. Hänellä ei kuitenkaan ole vastuuta tietosuoja-asioista, vaan vastuu on aina yrityksen ylimmällä johdolla. Organisaation on julkistettava tietosuojavastaavan yhteystiedot ja ilmoitettava ne valvontaviranomaiselle. Odotettavissa on, että tietosuoja- ja tietoturva-asioiden hallinnollinen työ tulee jatkossa lisääntymään. Asetukseen pitää resursoida riittävästi aikaa ja rahaa. Organisaatioilta tullaan jatkossa vaatimaan entistä enemmän dokumentaatiota ja prosessikuvauksia.

 

Ilmoittaminen tietoturvan pettäessä

Yrityksillä ja yhteisöillä, joilla on jonkinlainen rekisteri, on ilmoitusvelvollisuus vähäistä suurempien tietoturvaloukkausten tapahtuessa. Tämä tarkoittaa usein tietomurtoja tietokantaan tai vastaavaan rekisterin säilytyspaikkaan. Tietoturvan pettäessä rekisterinpitäjän pitää ilmoittaa tietosuojavaltuutetulle asap, kun ko. murto on tapahtunut. Suurempia tietoja käsittelevillä organisaatioilla tulee olla kriisisuunnitelma, miten asiaa käsitellään ja mielellään myös kriisiviestintäsuunnitelma, miten tilanteesta viestitään ulos ja myös talon sisällä. 

 

Softmanin IT-palveluun kuuluvat kaikki tietosuojadirektiivistä aiheutuvat toimenpiteet, niiden suunnittelu ja toteutuksen valvonta.