EU:n Yleinen Tietosuoja-asetus astui voimaan jäsenvaltioissa 25.5.2018. Miltä tilanne tällä hetkellä näyttää?
EU:n tietosuoja-asetuksen GDPR (EU) 2016/679 ja tietosuojadirektiivin (EU) 2016/680 astuttua voimaan, on tapahtunut paljon sekä yrityksissä, että valtionhallinnossa.
GDPR-asetus korvasi vuoden 1995 henkilötietodirektiivin 95/46/EY. Uusi tietosuoja-asetus on yleissäädös, joka koskee organisaatioiden kaikenlaista henkilötietojen käsittelyä. Se sisältää säännökset rekisteröidyn oikeuksista sekä rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuuksista.
Uusi tietosuojadirektiivi korvaa vuonna 2008 annetun puitepäätöksen 2008/977/YOS rikosasioissa tehtävissä sekä poliisi- ja oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta.
Näistä kahdesta yrityksiä koskee siis GDPR-asetus. Asetuksesta eivät kaikki yritykset ole vielä Suomessa tietoisia (lähinnä PK-sektorilla) ja suuri osa yrityksistä ei ole vielä siihen millään tavalla reagoinut, ilmeisesti odotellaan mitä viranomaispuolelta tässä asiassa kuuluu, ennen kuin tositoimiin ryhdytään.
Tietosuoja-asetuksen merkittävimpiin vaatimuksiin kuuluu se, että tavallisesti lainsäädännössä on annettu määräyksiä, miten yrityksen tulee toimia tilanteissa niin, että lainmukaisuus säilyy. GDPR-asetus poikkeaa tästä merkittävästi sen velvoittaessa yritykset etukäteen arvioimaan henkilötietosuoja-käytäntöjään ja vaatii toimenpiteitä tehtäväksi, jotta toiminta olisi säädöksenmukaista. Jos yritys siis ei ole tehnyt vielä mitään asian eteen, on toiminta automaattisesti säädöksen vastaista.
Perusasioita tietosuoja-asetuksesta:
- Ota selvää mitä tarkoittaa henkilörekisteri
GDPR-asetus koskee nimenomaisesti tilannetta joissa yritys käsittelee yksittäisten henkilöiden informaatiota. Mikäli henkilö kyetään tietojärjestelmässä tai paperilla olevasta ”rekisteristä” yksilöimään, on kyseessä henkilörekisteri, johon kohdistuu asetuksessa määritettyjä vaatimuksia.
- Listaa kaikki yrityksen henkilörekisterit
Yrityksen tulee tietää mitä henkilörekisterejä sillä on käytössä itsellään ja minkä henkilörekistereiden ylläpidon se on antanut kumppanin hoidettavaksi.
- Luo yritykselle henkilörekisterien käsittelyyn menettely
Tämä tehdään tavallisesti kahdessa osassa. Ensin laaditaan menettelykuvaukset yleisesti koskien yrityksen yleisiä sääntöjä henkilörekisterien suhteen. Toisessa osassa kullekin henkilörekisterille määritetään sisältö sekä tavat, joilla rekisteriä käsitellään. Tässä yhteydessä usein määritetään myös mikä osa organisaatiota kyseistä rekisteriä käyttää. Myös henkilörekisterin muokkauksesta tulee laatia ohje, joka annetaan sille taholle, joka henkilörekisteriä operoi; yrityksen sisällä tai ulkopuolin toimijan toimesta.
- Laadi rekisteriselosteet
Yrityksellä on hyvä olla kirjattuna toimintamallit, joissa selvitetään miten henkilörekisterejä käsitellään ja mitkä GDPR-asetuksen kohdat/vaatimukset käsittelyä ohjaavat. Rekisteriseloste on dokumentti, joka usein on yrityksen internet-sivustolla ja jota tarvittaessa voi antaa rekisteröidyille.
- Mikäli yritys tekee markkinointia, tulee yrityksellä olla suostumuslomake, jonka asiakas täyttää markkinointikirjeitä saadakseen.
GDPR:n merkittävänä vaatimuksena on, että henkilötietoja voidaan käsitellä kahdella perusteella: Suostumus ja oikeutettu etu. Näistä oikeutettu etu tarkoittaa tilanteita, joissa yritys ei voi toimia normaalimenettelyjen mukaan ellei henkilötietoja käsittelisi. Oikeutettu etu on esimerkiksi olla tietoinen tilaajan tai henkilöstön henkilötiedoista. Näissä (ja vastaavissa) tapauksissa erillistä suostumusta ei tarvita.
- Luo menettelykuvaukset sitä tilannetta varten, että yksityishenkilö tulee pyytämään saada nähdä mitä henkilötietoja yrityksellä hänestä on, luo myös menettelyt sitä tilannetta varten, että henkilö haluaa henkilötietonsa poistettavaksi.
Henkilötiedot tulisi GDPR-asetuksen mukaisesti mahdollisuuksien mukaan tarjota oikeutetulle pyytäjälle nähtäväksi digitaalisena. Erityistä huomiota tulee kuitenkin kiinnittää siihen, että yritys voi kieltäytyä sekä näyttämästä kysyjälle henkilötietoja, että poistamasta niitä. Erityisen tarkka luonnollisesti tulee olla identifioida pyytäjä oikein, jottei kuka tahansa voi pyytää kenen tahansa henkilötietoja. Henkilötietojen ”luovutus” eli näyttö tulee harkita tietoturvallisuus ja tietosuoja huomioiden.
- Ota selville onko yritykselläsi oltava määritettynä: tietosuojavastaava, toimintailmoitus, riskienarviointi, vaikutuksenarviointi
Tässä joitain dokumentaatiovaatimuksia, joita GDPR-asetus antaa erilaisille ja erikokoisille yrityksille ja yhteisöille.
- Laadi jo valmiiksi: tietoturvaloukkausten rekisteri ja sitä varten menettelyt, sekä tietosuojan auditointimenettely lomakkeineen
Kaikkia tarpeellisia lomakkeita ei välttämättä tarvitse itse tehdä. Verkkokaupoista ja internetistä on saatavissa tähän tarkoitukseen apua, esimerkiksi https://gdpr.mycashflow.fi/-palvelusta.