EU:n tietosuojauudistus lähenee – mitä nyt?

Suomen ja Euroopan unionin tietosuojasääntely uudistuu merkittävästi, kun EU:n yleistä tietosuoja-asetusta (englanniksi lyhennettynä GDPR) aletaan soveltaa toukokuussa 2018. Tietosuojauudistuksen tarkoituksena on muun muassa lisätä henkilötietojen käsittelyn avoimuutta, vahvistaa rekisteröityjen henkilöiden oikeuksia ja päivittää tietosuojasääntely nykyaikaisten käsittelytilanteiden mukaiseksi.

Tietosuoja-asetuksen myötä henkilötietoja käsittelevien yritysten ja viranomaisten velvollisuuksia tiukennetaan.  Asetuksen vastaisesta henkilötietojen käsittelystä voi seurata tuntuvia sakkoja ja vahingonkorvausvelvollisuus. Uudistus tarjoaa kuitenkin samalla mahdollisuuden parantaa rekisteröityjen luottamusta rekisterinpitäjiä ja henkilötietojen käsittelijöitä kohtaan,  kun organisaatioiden tietosuojakäytänteet päivitetään asetuksen vaatimusten mukaisiksi. Tiivistämme tässä kirjoituksessa asetuksen keskeisimmän sisällön ja suositellut toimenpiteet uusiin vaatimuksiin valmistautumiseksi.

Nykytilan arviointi riskiperusteisesti

Asetus koskee lähes kaikkia organisaatioita, jotka käsittelevät henkilötietoja. Henkilötiedoilla tarkoitetaan kaikkia tietoja, joiden avulla henkilö voidaan tunnistaa. Valmistautuminen asetuksen asettamiin vaatimuksiin alkaa jokaisessa organisaatiossa nykytilan arvioinnilla. Asetuksen asettamien tietosuojaperiaatteiden täyttämiseksi ja käsittelyn lainmukaisuuden varmistamiseksi rekisterinpitäjän on muun muassa selvitettävä henkilötietojen käsittelyn laajuus ja se, millä oikeusperusteilla henkilötietoja käsitellään. Rekisterinpitäjän on asetuksen mukaisesti toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että henkilötietojen käsittelyssä noudatetaan asetuksen vaatimuksia.

Uudistus tarjoaa kuitenkin samalla mahdollisuuden parantaa rekisteröityjen luottamusta rekisterinpitäjiä ja henkilötietojen käsittelijöitä kohtaan
Arviointi ja toimenpiteet toteutetaan lähtökohtaisesti riskiperusteisesti, eli ne suhteutetaan henkilötietojen käsittelystä rekisteröidyn oikeuksille ja vapauksille aiheutuvaan riskiin. Nyrkkisääntönä voidaan sanoa, että korkean riskin käsittelytoimenpiteet (esimerkiksi arkaluontoisten henkilötietojen käsittely) edellyttävät tiukempia tietoturvatoimenpiteitä. Riskialttiiseen henkilötietojen käsittelyyn liittyy myös erityisvaatimuksia, kuten tietosuojavastaavan nimittäminen, etukäteen tehtävä tietosuojaa koskeva vaikutustenarviointi ja tietosuojaviranomaisen ennakkokuuleminen.

Koskee rekisterinpitäjiä ja henkilötietojen käsittelijöitä

Rekisterinpitäjien lisäksi asetus tuo uusia velvollisuuksia myös henkilötietojen käsittelijöille. Henkilötietojen käsittelyä ulkoistettaessa on huomioitava, että rekisterinpitäjän ja henkilötietojen käsittelijän on tehtävä henkilötietojen käsittelystä kirjallinen tietojenkäsittelysopimus. Rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka antavat riittävät takeet ja toteuttavat riittävät suojatoimet asetuksen vaatimusten täyttämiseksi. Henkilötietojen käsittelyn yhteydessä ja erityisesti ulkoistuksissa on myös huomioitava, että henkilötietojen käsittely ETA-alueen ulkopuolella on sallittua ainoastaan asetuksen mukaisten edellytysten täyttyessä.

Rekisteröityjä informoitava avoimuusperiaatteen mukaisesti

Asetuksen myötä rekisteröityjen oikeuksia vahvistetaan. Avoimuusperiaatteen mukaisesti rekisterinpitäjän tulee informoida rekisteröityjä henkilötietojen käsittelystä helposti ymmärrettävässä ja saatavilla olevassa muodossa. Rekisterinpitäjillä on myös velvollisuus huolehtia rekisteröityjen oikeuksien toteuttamisesta, kuten mahdollistaa pääsy käsiteltäviin henkilötietoihin, toteuttaa oikaisu-, rajoitus- ja poistovaatimukset sekä tietyissä tapauksissa siirtää tiedot järjestelmästä toiseen. Rekisteröidyillä on myös tietyissä tapauksissa erityisiä oikeuksia, mikäli henkilötietojen käsittelyyn liittyy automatisoituja yksittäispäätöksiä tai profilointia. Rekisterinpitäjän tuleekin käsittelyn arvioinnin ja suunnittelun yhteydessä huolehtia, että rekisteröityjen oikeuksia voidaan toteuttaa käytännössä (myös henkilötietojen käsittelyn ulkoistamisen yhteydessä).

Tietoturvaloukkauksista ilmoitettava tietosuojaviranomaiselle

Henkilötietoihin kohdistuvan tietoturvaloukkauksen yhteydessä rekisterinpitäjän on uuden velvollisuuden mukaisesti pääsääntöisesti ilmoitettava loukkauksesta tietosuojaviranomaiselle ja tietyissä tapauksissa myös rekisteröidyille. Ilmoitusten yhteydessä on annettava asetuksen edellyttämät lisätiedot muun muassa loukkauksen todennäköisistä seurauksista ja suoritettavista toimenpiteistä. Kaikki tietoturvaloukkaukset on myös dokumentoitava. Henkilötietojen käsittelijän on ilmoitettava loukkauksesta rekisterinpitäjälle, mikäli tietoturvaloukkaus kohdistuu käsittelijään. Tietoturvaloukkauksiin valmistautuminen on edellä mainittujen velvollisuuksien vuoksi tärkeä osa henkilötietojen käsittelyn kokonaisvaltaista suunnittelua.

Rekisterinpitäjällä ja henkilötietojen käsittelijällä vahingonkorvausvastuu

Mikäli henkilötietoja käsitellään asetuksen vastaisesti, rekisteröidyillä on oikeus saada täysi korvaus aiheutuneesta vahingosta. Vahingonkorvausvastuu koskee ensisijaisesti rekisterinpitäjää mutta myös henkilötietojen käsittelijää, ellei käsittelijä ole noudattanut asetuksen mukaisia käsittelijän velvoitteita tai rekisterinpitäjän ohjeistusta. Vahingonkorvausvelvollisuuden lisäksi tietosuojaviranomainen voi määrätä rekisterinpitäjille ja henkilötietojen käsittelijöille hallinnollisia sakkoja asetuksen rikkomisen perusteella. Hallinnollisen sakon enimmäismäärä on 20 miljoonaa euroa tai 4 prosenttia yrityksen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

Asetuksessa asetettujen yksityiskohtaisten velvollisuuksien ja vaatimusten täyttämiseksi on tärkeää, että rekisterinpitäjät ja henkilötietojen käsittelijät valmistautuvat yhteistyössä tuleviin muutoksiin. Palaammekin syksyn aikana asiaan ja kerromme yksityiskohtaisesti, miten Intrum tulee varmistamaan asetuksen mukaisen henkilötietojen käsittelyn.

Intrum Oy, Lakiasiainosasto.