/ / Tätä EU:n tietosuoja-asetus GDPR vaatii yrityksiltä

Tätä EU:n tietosuoja-asetus GDPR vaatii yrityksiltä

EU:n tietosuoja-asetus GDPR
EU:n uusi tietosuoja-asetus eli GDPR alkaa velvoittaa yrityksiä, järjestöjä ja viranomaisia 25.5.2018 lähtien. Näillä tiedoilla osaat valmistautua oikein.

Vaikuttaa käytännössä kaikkiin

Tietosuoja-asetuksessa puhutaan “henkilötietoja sisältävistä rekistereistä” ja “rekisterinpitäjistä”, mikä voi monen korvissa kuulostaa hämäävän etäiseltä. Käytännössä kuitenkin muutos vaikuttaa lähes jokaiseen yritykseen ja muuhun organisaatioon, sillä ne miltei kaikki keräävät ainakin jonkinlaisia henkilötietoja.

Asetuksen tarkoittamia henkilörekistereitä voivat olla esimerkiksi yrityksen keräämä paperinen arkisto asiakastiedoista, Excel-taulukko, johon on listattu työntekijöiden perustiedot tai verkkosivuilta kerätyt yksilöitävät kävijätiedot. Rekisterinpitäjiksi lasketaan siis kaikki, jotka itse tai jonkun välityksellä keräävät henkilötietoja.

Rikkomisesta voi seurata kovia sanktioita

GDPR-asetuksen noudattamista valvovat viranomaiset voivat antaa tietosuojarikkomuksista huomautuksia, määrätä rikkojan korjaamaan puutteet tai rajoittaa henkilötietoja vaarantavaa toimintaa. Pahimmillaan rikkomuksista voi saada kovat sakot, joiden suuruus voi olla jopa 4 prosenttia edeltävän tilikauden liikevaihdosta, kuitenkin enintään 20 miljoonaa euroa. Lisäksi ihmiset voivat vaatia korvauksia laiminlyönnin heille aiheuttamista vahingoista.

Pyrkimyksenä vastata globaaleihin haasteisiin

Tietosuoja-asetuksella pyritään torjumaan globalisaation ja teknologian nopean kehityksen henkilötiedoille asettamia uhkia. Samalla tietosuojan taso eri EU-maiden välillä saadaan yhdenmukaistettua.

Tarkoituksena on myös tehdä henkilötietojen käsittelystä läpinäkyvämpää ja antaa ihmisille enemmän mahdollisuuksia vaikuttaa siihen, miten heidän henkilötietojaan käsitellään.

Asetuksen astuttua voimaan yrityksille tulee vanhojen tietosuojavelvoitteiden rinnalle lukuisia uusia. Tiivistimme rekisterinpitäjiltä jatkossa vaaditut asiat yhdeksään sääntöön.

1. Ole perillä miten henkilötietoja käsitellään yrityksessäsi

Organisaatioiden täytyy tietää, mitä henkilötietoja heillä on hallussaan ja miten niitä käsitellään. Rekisterinpitäjän tulee olla perillä, miten rekisterin tietosuojaperiaatteet on otettu huomioon sekä miten riskienhallinta ja tietoturva on hoidettu. Kartoittamalla kunnolla millainen henkilötietojen käsittelyn nykytilanne yrityksessäsi on, pystyt helpommin selvittämään mitä muutoksia sinun on tehtävä.

Tietojenkäsittelystä voi laatia niin sanotun tietotilinpäätöksen. Siinä kerrotaan miten organisaatio huolehtii tietosuojan toteutumisesta. Tietotilinpäätöksen avulla esimerkiksi yrityksen työntekijät pysyvät selvillä, miten heidän on toimittava tietosuoja-asioiden kanssa.

Monet rekisterinpitäjät ulkoistavat tietojenkäsittelyään esimerkiksi ostamalla ulkopuolista palvelua kuten pilvipalvelua tietojen säilyttämiseen, tai palkkaamalla ulkopuolisen tahon analysoimaan tietoja. Tällöin palveluntarjoajan kanssa on laadittava kirjallinen tietojenkäsittelysopimus, jossa sovitaan muun muassa mitä tietoja käsitellään ja kuka on vastuussa mistäkin.

2. Osoita noudattavasi tietosuojamääräyksiä

Jatkossa pelkkä tietosuojamääräysten noudattaminen ei riitä, vaan rekisterinpitäjän on myös pystyttävä osoittamaan noudattavansa niitä. Tämä tarkoittaa tietojenkäsittelyn ja tietosuojan tarkkaa dokumentointia. Rekisterinpitäjällä on oltava ajantasalla oleva rekisteriseloste, josta käyvät ilmi muun muassa mitä tietoja rekisteriin on kerätty ja mihin tarkoitukseen.

3. Käsittele vain tarpeellisia tietoja

Lähtökohtaisesti henkilötietoja saa käsitellä vain tietyn tarkoituksen vaatimalla tavalla. Tämä sääntö koskee niin henkilötietojen määrää, säilytysaikaa ja saatavuutta kuin niiden käsittelyn laajuuttakin. Tietoja ei esimerkiksi voi säilöä “varmuuden vuoksi” loputtomiin tai kerätä sellaista tietoa, jota ei oikeasti tarvita.

Hyvänä nyrkkisääntönä voi pitää sitä, että kannattaa kerätä vain niitä henkilötietoja, jotka ovat välttämättömiä sen kannalta mitä teet. Kun tiedot lakkaavat olemasta tarpeellisia, ne kannattaa poistaa.

4. Varmista, että sinulla on oikeus kerätä ja käsitellä tietoja

Tietosuoja-asetuksessa säädetään ehtoja sille, että henkilötietojen kerääminen ylipäänsä on sallittua. Varma tapa pitää huolta, että henkilötietojen käsittely varmasti on laillista, on pyytää asianomaiselta lupa hänen tietojensa käyttöön. Toinen yleinen oikeutus on tietojenkäsittelyn välttämättömyys – esimerkiksi silloin, kun yritys tarvitsee asiakkaan henkilötietoja voidakseen noudattaa hänen kanssaan solmittua sopimusta.

Jos oikeutus tietojen käytölle perustuu henkilöltä saatuun erilliseen suostumukseen, kannattaa huomioida sen aiempaa tiukemmat kriteerit. Jatkossa asianomaisen täytyy ilmaista suostumuksena aktiivisesti ja yksiselitteisesti, esimerkiksi rastittamalla valintaruutu asiasta. Monelle rekisterinpitäjälle voi tulla ikävänä yllätyksenä, ettei heidän aiemmin hankkimiaan henkilötietoja välttämättä voi uudistuksen jälkeen enää käyttää, jos niihin ei ole saatu selkeää suostumusta.

Tiedonkeräämisen luvallisuuteen kannattaa kiinnittää todella tarkkaa huomiota silloin, kun kyseessä on erityisen henkilökohtaista tai arkaluontoista tietoa, kuten ihmisten terveystiedot.

Jos laajamittainen arkaluontoisten henkilötietojen käsittely on rekisterinpitäjän ydintoimintaa, hänen pitää nimittää erityinen tietosuojavastaava valvomaan tietojenkäsittelyä. Tietosuojavastaava tarvitaan myös julkisen sektorin toimijoille, tai jos ihmisten henkilötietojen säännöllistä ja järjestelmällistä seurantaa on tarkoitus tehdä laajemmin.

5. Tee riskiarvio ja toimi sen mukaan

GDPR-asetusta laadittaessa on pyritty välttämään matalariskisen toiminnan turhaa säätelyä niin sanotun riskiperusteisen lähestymistavan kautta. Tämä tarkoittaa, että rekisterinpitäjän pitää arvioida millaisia riskejä henkilötietojen käsittelystä aiheutuu ja suhteuttaa sen mukaan, millaisia toimia tietosuojaan tarvitaan.

Riskejä voi syntyä esimerkiksi lasten tietosuojan kohdalla, tai kun käsitellään suurta määrää henkilötietoja. Jos riski on korkea, rekisterinpitäjän pitää myös tehdä arvio, millaisia vaikutuksia tietojenkäsittelyllä voi olla ja ottaa ne huomioon toiminnassaan.

Yritä pohtia kuinka todennäköistä on, että keräämäsi henkilötiedot voivat päätyä väärinkäytetyiksi ja mieti millaista vahinkoa siitä seuraisi.

6. Ota huomioon niiden oikeudet, joiden tietoja keräät

Tietosuoja-uudistuksen tuomat muutokset antavat ihmisille aiempaa enemmän oikeuksia heidän henkilötietojensa käsittelyn suhteen, mikä puolestaan asettaa lisävelvoitteita rekisterinpitäjille.

Rekisteriä pitävän tahon täytyy ilmoittaa ihmisten henkilötietoja saadessaan näille muun muassa kuka tietoja kerää ja mihin tarkoitukseen tietoja kerätään. Ihmisillä on myös oikeus saada nähdä mitä tietoja heistä on kerätty. Jos tietoja ei ole kerätty henkilöltä itseltään, hänelle on kerrottava mistä ne ovat peräisin.

GDPR-asetuksen myötä rekisterissä olevat voivat myös vaatia henkilötietojensa siirtoa rekisterinpitäjältä toiselle. Siinä tapauksessa tiedot, jotka henkilö on antanut rekisteriä varten täytyy lähettää hänelle jossain helposti koneellisesti luettavassa muodossa. Asianomaisen pyynnöstä tiedot voidaan myös siirtää suoraan toiselle rekisterinpitäjälle.

7. Ole valmis korjaamaan tai poistamaan tiedot tarvittaessa

Rekisterinpitäjän täytyy oikaista virheelliset tai epätarkat henkilötiedot, jos asianomainen niin pyytää. Ihmiset voivat myös vaatia, että heidän henkilötietojensa käsittelyä rajoitetaan. Tällainen rajoituspyyntö voi tulla vastaan esimerkiksi silloin, kun henkilö kiistää häntä koskevien tietojen paikkansapitävyyden.

Kun tietojen käsittelyä jollain perusteella rajoitetaan, kyseisten tietojen käsittely pitää pistää jäihin, kunnes ongelma on saatu selvitettyä. Tiedot saa säilyttää, mutta niille ei muutoin saa tehdä mitään. Ennen kuin rajoitus poistetaan, asianomaiselle pitää ilmoittaa asiasta.

GDPR-asetus antaa ihmisille tietyissä tapauksissa mahdollisuuden myös vastustaa henkilötietojensa käsittelemistä, jolloin tietojen käyttäminen pitää lopettaa kokonaan. Hyvä esimerkki tästä on mahdollisuus kieltää profilointi tai suoramarkkinointi. Rekisterinpitäjien täytyy myös kertoa tästä vastustamismahdollisuudesta asianomaisille.

Tietosuoja-asetus sisältää myös niin sanotun “oikeuden tulla unohdetuksi”. Tämä tarkoittaa, että ihmiset voivat vaatia heitä koskevien tietojen poistamista muun muassa silloin, kun niitä ei enää tarvita siihen tarkoitukseen, johon ne alunperin kerättiin, tai kun asianomainen haluaa peruuttaa henkilötietojen käsittelylle antamansa suostumuksen.

8. Huolehdi tietoturvasta ja valmistaudu tietoturvaloukkauksiin

Rekisterinpitäjänä on sinun vastuullasi varmistaa, että tietoturvasi on ajan tasalla. Tietoturvaa toteutettaessa täytyy huomioida henkilötietojen käsittelyn arvioidut riskit ja tietoturvaloukkausten oletetut vaikutukset, ja valita käytetyt suojaratkaisut sen mukaisesti.

Käsiteltävien tietojen turvallisuus täytyy ottaa huomioon koko prosessin ajan. Tämä käsittää esimerkiksi tietojen keräämisen, järjestelmien vikasietoisuudesta huolehtimisen, tietojenkäsittelyn jatkuvan valvonnan ja tarvittaessa tietojen asiallisen hävittämisen.

Mikäli tietoturvaloukkaus kuitenkin tapahtuu ja ihmisten henkilötiedot saattavat olla vaarassa, asiasta täytyy ilmoittaa valvontaviranomaisille. Jos loukkaus vaikuttaa riskialttiilta tai vakavalta, siitä täytyy informoida myös henkilöille, joiden tiedot ovat vaarantuneet. Varsinaisten tietovuotojen tai -murtojen lisäksi tietoturvaloukkaukseksi lasketaan henkilötietojen tahaton tai tahallinen perusteeton tuhoaminen, hävittäminen, muuttaminen tai luovuttaminen väärille tahoille.

9. Päivitä verkkosivusi tietosuoja-asetuksen mukaiseksi

Tietosuoja-asetuksen myötä myös verkkosivuilla käytetyt evästeet, käyttäjien IP-osoitteet ja muu vastaava informaatio lasketaan henkilötiedoiksi, jos tietoja voidaan käyttää ihmisten tunnistamiseen. Näin ollen myös nämä tiedot on suojattava.

Sivustolta täytyy löytyä ajantasainen tietosuojaseloste, jossa kerrotaan muun muassa miten ja miksi tietoja kerätään. Käyttäjälle pitää selkeästi kertoa myös evästeiden käytöstä. Tämä maininta on helppo lisätä esimerkiksi tietosuojaselosteeseen.

Evästeiden käytöstä tullaan säätämään tarkemmin EU:n ePrivacy-asetuksessa, joka on parhaillaan työn alla. Asetuksella on tarkoitus päivittää yksityisyyden suojan pelisäännöt sähköisessä viestinnässä.

Nettisivuille tärkeä suojaus hoituu näppärästi hankkimalla sivustolle SSL-sertifikaatti. SSL-salaus suojaa liikenteen sivunkäyttäjän ja sivuston välillä, jotta ulkopuoliset eivät pääse vakoilemaan yhteyttä. Monet nettiselaimet varoittavat jo nyt käyttäjiä sivustoista, joilta SSL-varmenne puuttuu.

Käsittelemme SSL-suojausta ja tietosuojaselosteen laatimista tarkemmin kahdessa seuraavassa artikkelissamme.

Varaa maksuton konsultaatiopuhelu

Seuraa meitä

Sinua saattaisivat kiinnostaa myös nämä