Uutiset 03.05.2017

EU:n tietosuojauudistus ja mitä siitä pitäisi tietää


Euroopan unionin yleinen tietosuoja-asetus on tullut voimaan keväällä 2016 ja sitä aletaan soveltamaan 25.5.2018, jolloin henkilötietojen käsittelyn tulee olla yleisen tietosuoja-asetuksen mukaista. Tietosuoja-asetus tulee sovellettavaksi sekä julkisella että yksityisellä sektorilla. Suomessa henkilötietojen suojaa koskeva kansallinen lainsäädäntö tarkistetaan ja tehtävään on nimitetty työryhmä, jonka mietintö lainsäädännön muutosehdotuksista valmistuu 31.5.2017 mennessä.

Miksi EU:n tietosuojasäännöt uudistetaan?

Tietosuoja-asetuksen tavoitteena on varmistaa yhdenmukainen ja korkeatasoinen luonnollisten henkilöiden suojelu ja poistaa henkilötietojen liikkuvuuden esteet unionissa. Asetuksen myötä koko unionin alueella sovelletaan pääosin yhtenäistä tietosuojasääntelyä.

Voimassa oleva henkilötietodirektiivi on säädetty 1995 ja se takaa kansalaisten perusoikeuksiin kuuluvan tehokkaan tietosuojan. Jäsenvaltioiden väliset erot lain toimeenpanossa ovat kuitenkin aiheuttaneet epätietoisuutta ja lisänneet hallinnollisia kustannuksia. Lisäksi säännöt kaipaavat uudistusta. Tarvitaan säännöstö, joka varmistaa, että ihmisten oikeus henkilötietojen suojaan pysyy voimassa myös digitaaliaikana.

Mikä muuttuu?

Uusi tietosuojasääntely lähtee riskiperustaisesta lähestymistavasta. Suurin osa sääntelystä koskee kaikkea henkilötietojen käsittelyä, mutta velvoitteita on haluttu kohdentaa erityisesti korkeariskiseen toimintaan ja laajamittaiseen henkilötietojen käsittelyyn. Sääntely tuo mukanaan myös näyttövelvollisuuden. Ei riitä, että rekisterinpitäjä vain pyrkii noudattamaan sääntelyä. Tarvittaessa on kyettävänä näyttämään toteen, että asetuksen mukaiset tietosuojavelvoitteet on hoidettu.

Uuden sääntelyn myötä yritysten tulee siis aiempaa tarkemmin pohtia ja ehkäistä henkilötietojen käsittelyyn liittyviä riskejä jo ennakolta. Rekisterinpitäjän tulee arvioida henkilötietojen käsittelyn luonnetta, laajuutta, asiayhteyttä ja tarkoituksia sekä käsittelystä aiheutuvien riskien todennäköisyyttä ja vakavuutta ja sen perusteella toteuttaa tarvittavia suojatoimenpiteitä. On myös varmistettava, että käsitellään ja säilytetään vain tarkoituksen kannalta tarpeellisia henkilötietoja.

Muutokset antavat ihmisille paremmat edellytykset kontrolloida omia henkilötietojaan ja helpottavat tiedonsaantia omien henkilötietojen käsittelystä. Tarkoituksena on varmistaa, että ihmisten henkilötiedot ovat suojassa riippumatta siitä, missä ne lähetetään, käsitellään tai säilytetään – myös EU:n ulkopuolella, kuten verkossa usein tapahtuu.

Tietosuoja-asetus tulee kumoamaan suurelta osin kansallisen tietosuojasääntelyn. Asetuksen sisältöön liittyy kuitenkin vielä useita avoimia tulkintakysymyksiä. Uuden sääntelyn tulkinta ja sitä koskevat ohjeistukset tulevat tarkentumaan siirtymäajan kuluessa.

Mitä hyötyjä uudistus tuottaa?

Uudistus tuottaa työkalut, joilla ihmiset voivat kontrolloida henkilötietojaan. Uudet säännöt takaavat kansalaisille:

Tietosuojan uudistaminen auttaa digitaalisia sisämarkkinoita ja niillä toimivia yrityksiä ottamalla käyttöön:

Tietosuojauudistuksen tarkoitus on edistää talouskasvua vähentämällä kustannuksia ja byrokratiaa. Uusista säännöistä on arvioitu kertyvän peräti 2,3 miljardin euron vuosittaiset säästöt. Uudistus selkeyttää ja yhdenmukaistaa sovellettavia sääntöjä. Sen myös toivotaan parantavan kuluttajien luottamusta.

Miten sääntelyyn pitäisi valmistautua?

Kuten jo yllä todettiin, uutta sääntelyä koskeva ohjeistus tarkentuu siirtymäajan kuluessa. Yritysten kannattaa kuitenkin aloittaa varautuminen muutokseen hyvissä ajoin. Tietosuojavaltuutetun toimisto on julkaissut oppaan auttamaan rekisterinpitäjiä EU:n tietosuoja-asetukseen valmistautumisessa. Oppaassa selvitetään muun muassa riskiperustaisen lähestymistavan merkitystä rekisterinpitäjälle ja rekisteröidyn oikeuksiin tulevia muutoksia.

Valmistautumisen muutokseen voi myös aloittaa selvittämällä itselleen seuraavat muutoksen kannalta keskeiset kokonaisuudet:

  1. Henkilötietojen kerääminen: Mitä tietoja yritykseni kerää asiakkaistaan ja sisältyykö niihin henkilötietoja? Millä perusteella henkilötietoja kerätään ja täyttääkö toiminta nykysääntelyn vaatimukset?
  2. Henkilötietojen käsittely: Onko henkilötietojen käsittely yritykseni toiminnan kannalta tarpeellista ja mitä riskejä tietojen käsittelyyn liittyy? Miten riskejä voitaisiin vähentää? Harjoittaako yritykseni henkilötietojen profilointia?
  3. Suojaus ja tietoturva: Millä tavalla yrityksessäni huolehditaan tiedon, erityisesti henkilötietojen suojauksesta, ja olisiko näissä käytänteissä parannettavaa? Miten yritykseni on varautunut tietoturvaloukkauksiin ja miten se toimii tietoturvaloukkauksen sattuessa?
  4. Tietojen poistaminen: Kuinka pitkään tietoja on tarpeen säilyttää? Miten yritykseni reagoi rekisteröityjen pyyntöön tarkistaa tai poistaa itseään koskeva tieto?
  5. Tietojen siirtäminen: Siirretäänkö yritykseni keräämiä tai käsittelemiä henkilötietoja muille tahoille? Onko siirtämiseen saatu rekisteröityjen suostumus? Onko henkilötietojen siirrosta tehty kirjallista sopimusta? Siirretäänkö henkilötietoja muihin EU-maihin tai EU:n ulkopuolelle?
  6. Vastuut ja järjestelmät: Onko vastuut tietoturvasta ja henkilötietolainsäädännön noudattamisesta selkeitä yrityksessäni? Millaista asiakasrekisteriä yritykseni käyttää tai suunnitteleeko yritykseni uuden järjestelmän hankintaa? Onko järjestelmässä varauduttu uuden tietosuoja-asetuksen säännöksiin?

 

JAA