EU:n tietosuoja-asetus eli GDPR astuu voimaan 25.5.2018. Asetus tuo yrityksille, järjestöille ja julkisen sektorin organisaatioille useita uusia velvoitteita. Niiden rikkomisesta voidaan rankaista ankarilla sakoilla. Toisaalta asetus tuo jokaiselle EU-kansalaiselle lisää turvaa.

Miksi uusi asetus

Harvassa yrityksessä on innostuttu uudesta asetuksesta. Se tuo lisää vastuuta ja uusia kuluja, ainakin lyhyellä tähtäimellä. Asetuksella on kuitenkin hyvät tavoitteet digitaalisten palveluiden rakentajan näkökulmasta. Ihmiset halutaan saada luottamaan siihen, että heidän henkilötietonsa ovat turvassa digitaalisessa asioinnissa.

EU-komission tutkimuksen perusteella 85 % ihmisistä koki, ettei heillä ole täyttä kontrollia nettipalveluihin luovuttamiinsa henkilötietoihin. 63 % vastaajista ei kokenut luottavansa suosituimpiin digipalveluihin. 

Kansalaisten luottamuksen lisäämisen lisäksi asetuksella myös tavoitellaan tilannetta, jossa yrityksillä kaikkialla EU:ssa on samat pelisäännöt. Mikäli tavoitteet toteutuvat, tuloksena on entistä paremmat edellytykset kasvattaa digitaalista liiketoimintaa Euroopassa.

Asetuksen tulkitseminen on haastavaa

Asetuksen vaikutukset bisnekseen eivät ole helpointa tulkittavaa. Monessa kohtaa on tulkinnanvaraisuutta. Myös kotimaisia viranomaisohjeita on tuotettu, mutta nekään eivät yksiselitteisesti vastaa kaikkiin kysymyksiin. Tulevien kuukausien aikana viranomaisilta lienee luvassa vielä uusia tarkennuksia. 

Epäselvä tilanne varmistaa, että tietosuojaan perehtyneet juristit pysyvät ylityöllistettyinä pitkälle ensi vuoteen ja myös siitä eteenpäin. Todennäköisesti useaan kysymykseen saadaan lopullinen tulkinta vasta, kun asetus on voimassa. Monelta osin vaikutelma on kuitenkin se, että asetuksen tulkinnassa auttaa maalaisjärki. Oikeasti arkaluontoisen henkilötiedon suojaukseen on laitettava paljon paukkuja, kuten kuuluukin.

Yrityksen nykytilan kartoitus on kaiken lähtökohta

Vain pieni osa suomalaisista yrityksistä on kattavasti kartoittanut henkilötietojen käsittelynsä turvallisuutta. Nyt tämä kartoitus tulee eteen jokaisella yrityksellä, joka käsittelee henkilötietoja muodossa tai toisessa. Käytännössä henkilötietoja käsitellään kaikissa yrityksissä.

Nyt tiedon käsittelyn periaatteet on kirjattava ylos. Ja jotta periaatteet voidaan kirjata ylös, pitää samalla miettiä ja ymmärtää, mitä ne oikeastaan ovat. Mietittävää riittää - henkilötiedot nivoutuvat yllättävän moneen liiketoiminnan osa-alueeseen, lähtien tietojärjestelmistä ja ohjelmistoista päätyen henkilökunnan koulutukseen ja vaikkapa kulunvalvontaan.

Enää ei riitä, että yritys noudattaa tietosuojasäädöksiä. Nyt se tulee voida todistaa.

EU:n tietosuoja-asetus välikuva

Keskeisiä henkilötietojen suojauksen periaatteita toukokuusta alkaen

Asetuksen myötä yrityksille on asetettu seuraavia vaatimuksia henkilötiedon käsittelyyn:

  • Henkilötietoa tulee kerätä vain siinä laajuudessa ja säilyttää vain niin pitkään, mitä kuhunkin konkreettisen tarkoitukseen välttämättä tarvitaan.
  • Henkilötiedon suojaaminen pitää ottaa elimelliseksi osaksi kaikkien sellaista tietoa sisältävien tietojärjestelmien suunnittelua.
  • Kun henkilötietoja kerätään, niiden käyttötarkoitus ja -tapa on kerrottava selkeästi ja ymmärrettävästi. 
  • Henkilön on aktiivisesti annettava lupa tietojen keräämiseen. Yrityksen on voitava todistaa, että lupa on saatu.
  • Lapsilla lupa on saatava vanhemmalta. Lapsella tarkoitetaan alle 16-vuotiaita, mutta jäsenmaat voivat päättää alemmasta ikärajasta, alimmillaan 13-vuotta. Ikärajat koskevat myös sosiaalisen median käyttöä. 
  • Ihmisen on saatava helposti selville, minkälaisia henkilötietoja yrityksellä on hänestä.
  • Omat henkilötiedot pitää voida halutessaan poistaa yrityksen rekisteristä (”tulla unohdetuksi”) tai siirtää toiselle yritykselle.
  • Jos yrityksessä tapahtuu tietoturvavuoto tai -loukkaus, siitä on tiedotettava 72 tunnin kuluessa asianomaisille, mikäli heihin kohdistuu vakava uhka. Se mikä uhka on vakava, jättää tulkinnanvaraa.
  • Mitä intiimimpää tietoa (esim. uskonto, terveys, sukupuolinen suuntautuminen) henkilöstä kerätään ja mitä suurempien ihmismäärien tiedoista on kyse, sitä suuremmalla vakavuudella suojaukseen on suhtauduttava.
  • Jos henkilötietojen käsittely on yrityksen ydinliiketoimintaa, tulee yrityksessä valita tietosuojavastaava. Useassa suuremmassa yrityksessä tämä on ajankohtaista liiketoiminnan luonteesta riippumatta.

Yrityksen vastuulla on osoittaa säännösten noudattaminen

Eräs asetuksen uusista vaatimuksista on ns. osoitusvelvollisuus. Enää ei riitä, että yritys noudattaa tietosuojasäädöksiä. Nyt se tulee voida todistaa dokumentilla, jonka voi tarvittaessa toimittaa viranomaisille. Osoitusvelvollisuus tekee nykytilan kartoituksesta ja käytäntöjen suunnittelusta välttämätöntä.

Uhka suurista sakoista kauhistuttaa

Puhuttavin osa EU:n uudesta tietosuoja-asetuksesta määrää suuret rangaistusmaksut säädöstä vastaan rikkoville yrityksille. Sanktiot voivat olla jopa 4 % yrityksen globaalista liikevaihdosta tai 20 miljoonaa euroa, riippuen siitä, kumpi summa on suurempi. Toukokuusta 2018 alkaen on mielenkiintoista nähdä, kuinka matalaksi muodostuu kynnys sakkojen langettamiseen. On arvioitu, että alkuvaiheessa huomautus todennäköisesti yleensä korvaa sakon.

Kumppani on yhtä lailla vastuussa

EU:n tietosuoja-asetus koskettaa merkittävällä tavalla meitä Karhu Helsingissä. Olemme vuosien ajan rakentaneet sovelluksia, joissa keskeisenä tavoitteena on henkilötietojen kerääminen. Tietoturva on aina ollut näissä sovelluksissa avainasemassa. Ensi vuoden toukokuusta lähtien tietoturva on kuitenkin oltava kattavasti dokumentoituna. Tietoturvakysymyksistä on myös tärkeää sopia projekteja ja huolenpitoa koskevissa sopimuksissa.

Jatkamme tietoturva-asetukseen valmistautumista ja olemme asiakkaisiimme yhteydessä koskien dokumentaatiota ja sopimuksia. Jos toivot lisätietoa asetuksen vaikutuksista, projektipäällikkönne ja allekirjoittanut auttavat.

 

Tämän kirjoituksen pohjana on käytetty mm. Tietosuojavaltuutetun toimiston ja oikeusministeriön julkaisemaa Miten valmistautua EU:n tietosuoja-asetukseen? -opasta ja EU-komission julkaisemaa esitettä tietosuoja-asetuksen vaikutuksista.