Uusi Euroopan unionin yleinen tietosuoja-asetus hyväksyttiin vuosien valmistelun jälkeen keväällä 2016, mutta sen varsinainen soveltaminen alkaa vasta kahden vuoden siirtymäajan kuluttua keväällä 2018. Asetus koskee kaikkea henkilötietojen käsittelyä EU:ssa. Henkilötiedon käsite on laaja – käytännössä lähes jokainen yritys käsittelee henkilötietoja ja on siten tietosuoja-asetuksen soveltamisen piirissä. Parhaillaan selvitetään, millaisia muutoksia henkilötietolakiin tulee asetuksen johdosta tehdä. Selvää on, että asetus tulee muuttamaan tietosuojalainsäädäntöä merkittävästi. Seuraavassa on esitelty lyhyesti, miten varautua tuleviin muutoksiin jo nyt.
Dokumentoi henkilötietojen käsittelyprosessit
Tietosuoja-asetuksen mukaan organisaation on jälkikäteen pystyttävä osoittamaan, että tietosuojavelvollisuuksien toteutuminen on varmistettu asianmukaisesti ja henkilötietojen käsittely on vastannut asetuksen vaatimuksia. Näin ollen henkilötietojen käsittelyprosessit on dokumentoitava huolellisesti ja tarkasti.
Varmista rekisteröityjen oikeuksien toteutuminen
Rekisteröity on henkilö, jonka henkilötiedot on tallennettu rekisteriin. Asetus laajentaa rekisteröityjen nykyisiä oikeuksia ja vahvistaa rekisteröidyn oikeutta hallita omia tietojaan. Rekisterinpitäjien tulee esimerkiksi entistä selkeämmin ja laajemmin informoida rekisteröityä hänen tietojensa käsittelystä. Lisäksi rekisteröidyllä on oikeus kieltäytyä muun muassa profiloinnista.
Valitse tietosuojavastaava
Eräiden asetuksessa mainittujen yritysten tulee nimittää tietosuojavastaava, jonka tehtävänä on huolehtia tietosuojan toteutumisesta. Nimitysvelvollisuus koskee muun muassa sellaisia yrityksiä, joiden keskeiset tehtävät edellyttävät rekisteröityjen laajamittaista ja järjestelmällistä seurantaa. Tietosuoja-asioista huolehtiminen on kuitenkin hyvä antaa yhden tahon tehtäväksi muissakin yrityksissä.
Huomioi suostumuksen tiukentuneet kriteerit
Henkilötietoja saa käsitellä vain asetuksessa lueteltujen perusteiden nojalla. Yksi näistä on rekisteröidyn antama suostumus. Suostumuksen tulee olla yksiselitteinen, tietoinen sekä aktiivinen ja se täytyy voida peruuttaa. Suostumus ei myöskään saa olla edellytys sopimuksen solmimiselle tai palvelun tarjoamiselle, ellei se tosiasiassa ole tarpeen sopimuksen solmimiseksi tai palvelun toimittamiseksi
Ilmoita tietoturvaloukkauksista
Tietoturvaloukkauksista tulee asetuksen mukaan ilmoittaa valvontaviranomaiselle 72 tunnin kuluessa tietoturvaloukkauksen havaitsemisesta. Rekisteröidylle ilmoitus on tehtävä ilman aiheetonta viivytystä.
Tarkista sopimukset ulkoisten henkilötietojen käsittelijöiden kanssa
Jatkossa ulkoisen henkilötietoja käsittelevän palveluntarjoajan, kuten esimerkiksi ulkoistetun palkkahallinnon, kanssa tulee tehdä kirjallinen henkilötietoja koskeva sopimus tietosuoja-asetuksen asettamien vaatimusten mukaisesti. Voimassa olevien sopimusten asetuksenmukaisuus on myös syytä tarkistaa.
Tiedosta muutokset rekisterinpitäjän ja henkilötietojen käsittelijän vastuussa
Lähtökohtaisesti rekisterinpitäjät ovat vastuussa henkilötietojen käsittelijöiden toiminnasta. Tietyissä tilanteissa vastuuta on kuitenkin laajennettu niin, että myös käsittelijällä on suoraan lakisääteisiä velvollisuuksia. Asetuksen myötä rekisteröidyllä on oikeus esittää vahingonkorvausvaatimuksia sekä rekisterinpitäjälle että tietyin edellytyksin henkilötietojen käsittelijälle.
Valmistaudu tiedonsiirron edellytysten muutoksiin
Huomioi, että asetus tiukentaa ehtoja, joilla tietoja voidaan siirtää kolmanteen maahan Euroopan talousalueen ulkopuolelle. Lisäksi asetus täsmentää, että kolmannen maan viranomaisen esittämä pyyntö ei itsessään riitä perusteeksi tietojen luovuttamiseen Euroopan talousalueen ulkopuolelle.
Varaudu sakkoihin
Viranomaiset voivat määrätä asetuksen rikkomisesta hallinnollisen sakon, jonka enimmäismäärä on 20 miljoonaa euroa tai jopa 4 prosenttia yrityksen maailmanlaajuisesta kokonaisliikevaihdosta. Määrät ovat huomattavasti suurempia kuin tällä hetkellä määrättävät sakot.
Ota huomioon tietojärjestelmien rakenteet
Asetus luo yrityksille uusia velvollisuuksia ja sitä kautta tietojärjestelmien toimivuus korostuu – tietojärjestelmien on pystyttävä täyttämään asetuksen velvoitteet käytännössä. Esimerkiksi tietoturvaloukkausten yhteydessä yritysten on kyettävä havaitsemaan loukkaus, ilmoittamaan siitä hyvin nopeasti ja minimoimaan vahingot. Lisäksi rekisteröidyllä on esimerkiksi oikeus halutessaan saada tietonsa siirrettyä rekisterinpitäjältä toiselle. Näihin velvollisuuksiin vastaaminen edellyttää tietojärjestelmien toimivuuden arviointia ja mahdollista päivittämistä.
