Varaudu EU:n tietosuoja-asetuksen aiheuttamiin muutoksiin

Kirjoittanut Vieraskynä - 06.10.2016

Uusi Euroopan unionin yleinen tietosuoja-asetus hyväksyttiin vuosien valmistelun jälkeen keväällä 2016, mutta sen varsinainen soveltaminen alkaa vasta kahden vuoden siirtymäajan kuluttua keväällä 2018. Asetus koskee kaikkea henkilötietojen käsittelyä EU:ssa. Henkilötiedon käsite on laaja – käytännössä lähes jokainen yritys käsittelee henkilötietoja ja on siten tietosuoja-asetuksen soveltamisen piirissä. Parhaillaan selvitetään, millaisia muutoksia henkilötietolakiin tulee asetuksen johdosta tehdä. Selvää on, että asetus tulee muuttamaan tietosuojalainsäädäntöä merkittävästi. Seuraavassa on esitelty lyhyesti, miten varautua tuleviin muutoksiin jo nyt.

  • Dokumentoi henkilötietojen käsittelyprosessit

    Tietosuoja-asetuksen mukaan organisaation on jälkikäteen pystyttävä osoittamaan, että tietosuojavelvollisuuksien toteutuminen on varmistettu asianmukaisesti ja henkilötietojen käsittely on vastannut asetuksen vaatimuksia. Näin ollen henkilötietojen käsittelyprosessit on dokumentoitava huolellisesti ja tarkasti.

  • Varmista rekisteröityjen oikeuksien toteutuminen

    Rekisteröity on henkilö, jonka henkilötiedot on tallennettu rekisteriin. Asetus laajentaa rekisteröityjen nykyisiä oikeuksia ja vahvistaa rekisteröidyn oikeutta hallita omia tietojaan. Rekisterinpitäjien tulee esimerkiksi entistä selkeämmin ja laajemmin informoida rekisteröityä hänen tietojensa käsittelystä. Lisäksi rekisteröidyllä on oikeus kieltäytyä muun muassa profiloinnista.

  • Valitse tietosuojavastaava

    Eräiden asetuksessa mainittujen yritysten tulee nimittää tietosuojavastaava, jonka tehtävänä on huolehtia tietosuojan toteutumisesta. Nimitysvelvollisuus koskee muun muassa sellaisia yrityksiä, joiden keskeiset tehtävät edellyttävät rekisteröityjen laajamittaista ja järjestelmällistä seurantaa. Tietosuoja-asioista huolehtiminen on kuitenkin hyvä antaa yhden tahon tehtäväksi muissakin yrityksissä.

  • Huomioi suostumuksen tiukentuneet kriteerit

    Henkilötietoja saa käsitellä vain asetuksessa lueteltujen perusteiden nojalla. Yksi näistä on rekisteröidyn antama suostumus. Suostumuksen tulee olla yksiselitteinen, tietoinen sekä aktiivinen ja se täytyy voida peruuttaa. Suostumus ei myöskään saa olla edellytys sopimuksen solmimiselle tai palvelun tarjoamiselle, ellei se tosiasiassa ole tarpeen sopimuksen solmimiseksi tai palvelun toimittamiseksi

  • Ilmoita tietoturvaloukkauksista

    Tietoturvaloukkauksista tulee asetuksen mukaan ilmoittaa valvontaviranomaiselle 72 tunnin kuluessa tietoturvaloukkauksen havaitsemisesta. Rekisteröidylle ilmoitus on tehtävä ilman aiheetonta viivytystä.

  • Tarkista sopimukset ulkoisten henkilötietojen käsittelijöiden kanssa

    Jatkossa ulkoisen henkilötietoja käsittelevän palveluntarjoajan, kuten esimerkiksi ulkoistetun palkkahallinnon, kanssa tulee tehdä kirjallinen henkilötietoja koskeva sopimus tietosuoja-asetuksen asettamien vaatimusten mukaisesti. Voimassa olevien sopimusten asetuksenmukaisuus on myös syytä tarkistaa.

  • Tiedosta muutokset rekisterinpitäjän ja henkilötietojen käsittelijän vastuussa

    Lähtökohtaisesti rekisterinpitäjät ovat vastuussa henkilötietojen käsittelijöiden toiminnasta. Tietyissä tilanteissa vastuuta on kuitenkin laajennettu niin, että myös käsittelijällä on suoraan lakisääteisiä velvollisuuksia. Asetuksen myötä rekisteröidyllä on oikeus esittää vahingonkorvausvaatimuksia sekä rekisterinpitäjälle että tietyin edellytyksin henkilötietojen käsittelijälle.

  • Valmistaudu tiedonsiirron edellytysten muutoksiin

    Huomioi, että asetus tiukentaa ehtoja, joilla tietoja voidaan siirtää kolmanteen maahan Euroopan talousalueen ulkopuolelle. Lisäksi asetus täsmentää, että kolmannen maan viranomaisen esittämä pyyntö ei itsessään riitä perusteeksi tietojen luovuttamiseen Euroopan talousalueen ulkopuolelle.

  • Varaudu sakkoihin

    Viranomaiset voivat määrätä asetuksen rikkomisesta hallinnollisen sakon, jonka enimmäismäärä on 20 miljoonaa euroa tai jopa 4 prosenttia yrityksen maailmanlaajuisesta kokonaisliikevaihdosta. Määrät ovat huomattavasti suurempia kuin tällä hetkellä määrättävät sakot.

  • Ota huomioon tietojärjestelmien rakenteet

    Asetus luo yrityksille uusia velvollisuuksia ja sitä kautta tietojärjestelmien toimivuus korostuu – tietojärjestelmien on pystyttävä täyttämään asetuksen velvoitteet käytännössä. Esimerkiksi tietoturvaloukkausten yhteydessä yritysten on kyettävä havaitsemaan loukkaus, ilmoittamaan siitä hyvin nopeasti ja minimoimaan vahingot. Lisäksi rekisteröidyllä on esimerkiksi oikeus halutessaan saada tietonsa siirrettyä rekisterinpitäjältä toiselle. Näihin velvollisuuksiin vastaaminen edellyttää tietojärjestelmien toimivuuden arviointia ja mahdollista päivittämistä.

Asianajaja Timo Jarmas toimii Eversheds Asianajotoimisto Oy:ssä työoikeudellisiin toimeksiantoihin erikoistuneena osakkaana sekä työoikeusryhmän johtajana. Hänellä on laajamittainen kokemus työoikeudellisten erimielisyyksien ratkaisemisesta sekä työoikeudellisesta neuvonnasta, konsultaatiosta ja kouluttamisesta.