Julkaistu kirjoittanut Centria

GDPR – mikä muuttuu?

Rainer Björk

EU:n uusi tietosuoja-asetus GDPR (General Data Protection Regulation) on tullut voimaan jo keväällä 2016. Sitä aletaan soveltaa 25.5.2018, kahden vuoden siirtymäajan päättyessä. Ketä se koskee ja mikä muuttuu?

Uuden tietosuoja-asetuksen tavoitteena on harmonisoida EU:n jäsenvaltioiden tietosuojasäännöstöä, tehdä henkilötietojen käsittelystä läpinäkyvämpää, lisätä rekisteröityjen oikeuksia ja edistää digitaalista EU:n sisämarkkinoiden kehitystä.

Asetus koskee kaikkia organisaatioita – viranomaisia, yrityksiä ja yhdistyksiä, jotka keräävät ja käsittelevät EU-kansalaisten henkilötietoja. Henkilötiedon muodostaa sellainen tietojoukko, joka voidaan yhdistää luonnolliseen elävään henkilöön. Tällaiseksi tiedoksi luokitellaan esimerkiksi nimi, henkilötunnus, sähköpostiosoite, tietokoneen IP-osoite, valokuva tai sijaintitieto. Kun tällaisia tietueita on useampia ja ne järjestetään, niistä syntyy henkilötietorekisteri. Henkilötietorekisterin ei aina tarvitse olla sähköisessä muodossa vaan ne voivat olla myös paperisina. Esimerkiksi paperiset kortistot, hakulomakkeet ja läsnäololistat täyttävät henkilörekisterin määritelmän.

Suomen lainsäädäntö on jo valmiiksi varsin hyvin EU:n tietosuoja-asetuksen mukainen. Muutokset ovat maltillisia niille, jotka näitä aikaisempia henkilötietolakeja jo soveltavat. Ne organisaatiot, jotka eivät noudata nykyistä lainsäädäntöä ja eivät sovella uutta GDPR:ää, voivat joutua huomaamaan, että syytä olisi : uusi EU:n tietosuoja-asetus sisältää huomattavan sanktiouhan. Organisaatio voi saada jopa 20 miljoonan euron sakon tietosuoja-asetuksen laiminlyönnistä.

Seuraavassa muutama keskeinen kohta uudesta EU:n tietosuoja-asetuksesta.

Läpinäkyvyys

Yksi tärkeimmistä tietosuoja-asetuksen periaatteista on läpinäkyvyys henkilötietojen käsittelyssä. Tällä pyritään varmistamaan yhdenmukainen henkilötietojen suoja koko EU:ssa. Henkilötietoja on siis käsiteltävä rekisteröidyn kannalta läpinäkyvästi. Rekisteriselosteet voivat jatkossakin olla perusta ja lähtökohta tälle läpinäkyvyydelle. Selosteet sisältävät kuvauksen mitä tietoja henkilöstä kerätään, mihin niitä käytetään ja minne niitä mahdollisesti siirretään. Tiedot pitää esittää tiiviisti, helposti ymmärrettävässä ja saatavilla olevassa muodossa. Rekisteriselosteet pitää olla kohderekisteröityjen saatavilla. Läpinäkyvä informointi pitää sisällään myös rekisterinpitäjän asianmukaisen toimenpiteen toimittaa rekisteröidylle kaikki häntä koskevat tiedot, tiiviisti selkeällä ja yksinkertaisella kielellä, rekisteröidyn niin pyytäessä.

Käsittelyn lainmukaisuus

Asetus korostaa selvittämään henkilötietojen lainmukaisuutta henkilörekisteritietojen käsittelyssä. Käsittely on asetuksen mukaan lainmukaista muun muassa silloin, kun rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten. Tässä on huomioitava erityisesti, että rekisterinpitäjän tulee dokumentoida suostumus ja se on pystyttävä jälkikäteen myös todentamaan. Lasten (alle 16-vuotiaat) tietoja käsiteltäessä on syytä muistaa, että tarvitaan myös huoltajien suostumus toimenpiteille.

Lainmukaisuus täyttyy myös silloin, kun rekisteröity on sopimussuhteessa rekisterinpitäjään, esimerkiksi on asiakas tai on jäsen. On huomioitava, että sopimuksen syntyminen ei edellytä rahan liikkumista rekisterinpitäjän ja rekisteröidyn välillä. Esimerkiksi ilmaisen Yle Areena -tilin avaamisessa syntyy asetuksen tarkoittama sopimus. Samoin käsittely on lainmukaista silloin kun rekisterinpitäjään kohdistuu lakisääteinen velvoite. Esimerkiksi osakeyhtiön on osakeyhtiölain perusteella pidettävä osakasluetteloa, tai työnantajan on toimitettava työntekijöistään tiedot verottajalle.

Eniten keskustelua on syntynyt ”oikeutettu etu” -käsitteen (”legitimate interest”) lainmukaisuudesta. Tällä tarkoitetaan yrityksen tai organisaation oikeutta käsitellä henkilötietoja voidakseen suorittaa liiketoimintaan liittyviä tehtäviä, esimerkiksi tuotteidensa suoramarkkinointia. Tämä on sallittua, kunhan yrityksen oikeutetun edun mukaisesta toiminnasta ei aiheudu vakavaa haittaa rekisteröidyn oikeuksille ja vapauksille. Rekisteröity voi myös niin halutessaan peruuttaa häneen kohdistetun rekisterikäsittelyn, eli evätä suoramarkkinointilähetykset. Suostumusta pyydettäessä on muistettava asetuksen velvoite, että suostumuksen peruuttaminen pitää järjestää yhtä helpoksi rekisteröidylle kuin sen hankkiminen.

Osoitusvelvollisuus

Enää ei riitä, että rekisterinpitäjä kertoo noudattavansa lakia, vaan rekisterinpitäjän on pystyttävä osoittamaan että tietosuoja-asetuksia noudatetaan. Tämä tarkoittaa, että entistä tarkemmin on dokumentoitava kaikki kehitystyö mitä organisaatio tekee saavuttaakseen asetuksen vaativan tason. On pystyttävä osoittamaan, että henkilötietoja käsitellään lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. Tiedot on tallennettu tiettyä, nimenomaista ja laillista tarkoitusta varten. Tiedot on rajattu tarpeellisuuden suhteen niihin tarkoituksiin, joita varten niitä käsitellään (tietojen minimointi). Tiedoille on myös suunniteltu elinkaari ja tietojen säilytyksen pituus. Henkilötietojen on oltava täsmällisiä ja virheelliset henkilötiedot on poistettava tai oikaistava viipymättä.

Rekisteröidyn oikeudet

Tietosuoja-asetuksen tuomat merkittävimmät rekisteröidyn oikeudet listattuna:

  • Oikeus saada informaatiota henkilötietojen keräämisestä ja käsittelystä (Artikla 12 – Artikla 14).
  • Oikeus saada pääsy tietoihin (Artikla 15).
  • Oikeus tietojen oikaisemiseen (Artikla 16).
  • Oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi” koskee lähinnä suostumuksen peruutusta) (Artikla 17).
  • Oikeus käsittelyn rajoittamiseen (Artikla 18).
  • Oikeus saada rekisterinpitäjä ilmoittamaan oikaisusta, poistosta ja käsittelyn rajoittamisesta tietojen vastaanottajille (Artikla 19).
  • Oikeus siirtää tiedot järjestelmästä toiseen (Artikla 20).
  • Vastustamisoikeus (profilointi) (Artikla 21).
  • Oikeus olla joutumatta automatisoitujen päätösten kohteeksi (Artikla 22).
  • Oikeus saada tieto rekisterinpitäjään kohdistuneesta tietoturvaloukkauksesta (Artikla 34).
  • Oikeus tehdä valitus valvontaviranomaiselle (Artikla 77).
  • Oikeus tehokkaisiin oikeussuojakeinoihin rekisterinpitäjää vastaan (Artikla 79).
  • Oikeus saada korvaus aiheutuneista vahingoista (Artikla 82).

Tietoturva ja tietosuoja

Tietosuoja-asetus vaatii rekisterinpitäjiä ja yrityksiä tarkistamaan ja varmistamaan tietoturvallisuutensa riittävyyttä. Tietoturvallisuus käsittää tekniset suojaustoimet ja prosessit (salasanat, palomuurit, VPN). Sillä tarkoitetaan tietoliikenne-, laitteisto-, ohjelmisto-ja tietoaineistotoiminnan turvallisuutta, joilla turvataan verkkojen ja palvelujen eheys, luottamuksellisuus ja käytettävyys. Eheydellä tarkoitetaan loogisuutta (sisäinen eheys) ja paikkansapitävyyttä (ulkoinen eheys). Tieto ei saa muuttua tahatta tai tietomurron seurauksena. Luottamuksellisuudella tarkoitetaan, että tietoa voivat käsitellä vain sellaiset henkilöt, joilla on siihen oikeutus. Käytettävyydellä tarkoitetaan saatavuutta, eli tiedon on oltava saatavilla, kun sitä tarvitaan.

Tietosuoja tarkoittaa henkilötietojen käsittelyyn liittyvien vaatimusten huomioimista, jotta voidaan turvata tiedon kohteen yksityisyys, edut, oikeudet ja oikeusturva. Yhdessä tietoturvan ja tietosuojan noudattaminen varmistaa henkilöiden yksityisyyden, oikeudet ja oikeusturvan. Pitää muistaa, että henkilötietojen tekninen suojaus ei yksin riitä, vaan avainasemassa ovat yksittäinen ihminen, ihmisten toimintatavat ja organisaation toimintakulttuuri.

Tietosuojavastaava

Asetuksen perusteella tietosuojavastaavan nimittäminen on pakollista, jos henkilötietojen käsittelyä suorittaa viranomainen tai julkishallinnon elin. Lisäksi vastaava tulee olla nimitettynä, mikäli rekisterinpitäjän tai henkilötietojen käsittelijän ydintoimintoihin kuuluu arkojen henkilötietojen tai laajojen henkilötietorekistereiden käsittelyä. Tietosuojavastaavan tehtäviin kuuluu asiantuntija-avun antaminen henkilöstölle sekä organisaation johdolle tietosuojavelvoitteiden toteuttamisessa. Tietosuojavastaava on henkilötietojen käsittelyä valvova taho sekä yhdyshenkilö valvontaviranomaisiin, kuten tietosuojavaltuutettuun.

Kansallinen liikkumavara

EU:n tietosuoja-asetus sisältää myös kansallista lainsäädännöllistä liikkumavaraa. Eri selvitysten perusteella tämä liikkumavara saattaa johtaa toisistaan poikkeaviin kansallisiin lainsäädäntöratkaisuihin eri EU-maissa. Kansallinen liikkumavara muodostaa yritysten näkökulmasta riskin siitä, että positiivisiksi koetut sisämarkkinatavoitteet eivät toteudu.

Suomen hallitus on antanut Eduskunnalle esityksen HE 9/2018 koskien EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi. Ehdotettu uusi tietosuojalaki on tarkoitettu tulemaan voimaan 25 päivänä toukokuuta 2018.

Jos haluat tietää lisää uudesta EU:n tietosuoja-asetuksesta, seuraa alla olevaa linkkiä.

https://arjentietosuoja.fi/

Rainer Björk
IT-asiantuntija (tietosuojavastaava)
Centria-ammattikorkeakoulu
p. 040 663 9263

 

Facebooktwitterlinkedinmail