EU:n tietosuoja-asetuksen sisältö hyväksytty – yritysten toimintatapoihin tiedossa muutoksia

Euroopan parlamentti ja neuvosto saivat 15.12.2015 valmiiksi lopullisen version tietosuoja-asetuksen sisällöstä ja Euroopan parlamentin LIBE-valiokunta vahvisti uuden asetuksen sisällön äänestyksessään 17.12.2015.

Uusi tietosuoja-asetus tullaan virallisesti hyväksymään vuoden 2016 alkupuolella, ja se astuu voimaan kahden vuoden siirtymäajan jälkeen vuonna 2018. Asetus tulee korvaamaan Suomen nykyisen henkilötietolain (523/1999) ja siten se vaikuttaa suoraan kaikkiin yrityksiin, jotka toiminnassaan käsittelevät henkilötietoja.

Nykyiset tietosuojalait pohjautuvat EU:n tietosuojadirektiiviin vuodelta 1995 eli ajalta, jolloin Internet ja digitaaliset palvelut olivat jotain aivan muuta kuin tänä päivänä. Uusi asetus tulee harmonisoimaan Euroopan Unionin jäsenvaltioissa nykyisin voimassaolevat tietosuojalait määrittäen yhteiset säännöt henkilötietojen käytölle.

Nyt hyväksytty tietosuoja-asetus tuo mukanaan monia uusia velvoitteita yrityksille. Muutamia tärkeimpiä uudistuksia on kuvattu seuraavassa:

Tilivelvollisuus (Accountability)

Uusi asetus perustuu paljolti tilivelvollisuus-ajatteluun, mikä vaatii yrityksiltä riskilähtöistä, ennakoivaa tietosuojan suunnittelua ja varautumista sekä ennen kaikkea kykyä todistaa tehdyt toimenpiteet. Selkeästi kuvatut vastuut ja ennalta määrätyt henkilötietojen käsittelyn prosessit auttavat tilivelvollisuuden noudattamisessa. Yritysten omat vakuuttelut siitä, että asiat ovat kunnossa eivät riitä. Yritysten tulee pystyä myös osoittamaan, että vaatimusten täyttymisestä on huolehdittu ja että tietosuojariskit on otettu toiminnassa huomioon. Tämä tulee vaatimaan monissa yrityksissä runsaasti muutoksia toimintatapoihin, koska päätöksistä ja suunnitelmista on tarvittaessa löydyttävä konkreettisia näyttöjä. Riittävää tietosuojan tasoa ei voida ylläpitää pelkästään vuosittain järjestettävillä rasti-ruutuun -talkoilla.
 
Tietosuojavastaava (Data Protection Officer, DPO)

Tietosuojavastaava on henkilö, jonka tehtävänä yrityksessä on tietosuojan toteutumisen varmistaminen ja valvonta. Tietosuojavastaava toimii myös yhteyshenkilönä ja neuvonantajana tietosuoja-asioissa. Asetus määrittää, että tietosuojavastaava on nimitettävä rekisterinpitäjänä (data controller) tai henkilötietojen käsittelijänä (data processor) toimiviin yrityksiin, joiden ydintoimintoihin kuuluu rekisteröityjen henkilöiden järjestelmällinen seuranta tai arkaluontoisten henkilötietojen käsittely. Tietosuojavastaavalta vaaditaan hyvää tietosuoja-asioiden tuntemusta. Hän voi olla yrityksen oma työntekijä tai tietosuojavastaavan rooliin on myös mahdollista nimittää palveluntarjoajan tietosuoja-asiantuntija.
 
Henkilötietojen tietoturvaloukkaus (Data breach notification)

Tietosuoja-asetus tuo mukanaan ilmoitusvelvollisuuden henkilötietojen tietoturvaloukkaustilanteissa. Tultuaan tietoiseksi tietoturvaloukkauksesta, rekisterinpitäjä on velvollinen ilmoittamaan viranomaisille tapahtuneesta 72 tunnin kuluessa.

Rekisterinpitäjällä on velvollisuus ilmoittaa tapahtuneesta tietoturvaloukkauksesta viivytyksettä myös rekisteröidyille itselleen siinä tapauksessa, että tietovuoto aiheuttaa suuren riskin rekisteröidyn henkilötietojen suojalle tai yksityisyydelle. Tehtävä riskiarvio pohjautuu mm. vuotaneiden henkilötietojen määrään ja luonteeseen sekä muun muassa siihen miten vuotanut aineisto oli suojattu. Esim. asianmukaisesti toteutetut tekniset suojaustoimenpiteet – kuten tietojen asianmukainen salaus – voi johtaa siihen, ettei ilmoitusta rekisteröidyille itselleen tarvitse tehdä.
Henkilötietojen käsittelijä on myös velvollinen ilmoittamaan havaitsemastaan henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle välittömästi.
 
Tietosuojaa koskeva vaikutusten arviointi (Data Protection Impact Assessment)

Tietosuojaa koskevalla vaikutusten arvioinnilla tarkoitetaan riskiarviota suunniteltujen tietojen käsittelytoimien vaikutuksista henkilötietojen suojalle. Arvio vaaditaan mm. silloin, kun on kyseessä henkilöiden profilointi, eli esim. järjestelmällinen ja kattava automaattinen arviointi ja johtopäätösten teko henkilöön liittyvien tietojen perusteella tai jos käsitellään suuressa määrin arkaluontoisia henkilötietoja (esim. rotu, poliittiset mielipiteet, uskonto, terveystiedot). Lisäksi arvion tarpeellisuuteen vaikuttavat monet muutkin seikat. Tällaisia ovat mm. tietojen käsittelyn laajuus ja tarkoitus sekä henkilötietojen käsittelyssä käytettäväksi suunnitellun teknologian kypsyys. Tietosuojaviranomaiset tulevat antamaan tarkempia ohjeita tapauksista, joissa vaikutusten arviointi on tarpeen.
 
Oikeus tulla unohdetuksi ja oikeus siirtää tiedot järjestelmästä toiseen (Right to be forgotten, Right to data portability)

Tietosuoja-asetus antaa rekisteröidyille henkilöille mm. oikeuden vaatia omien henkilötietojensa poistoa, jos tietojen käsittely ei ole enää tarpeellista eikä käsittelylle ole enää laillista perustetta.
Lisäksi rekisteröidyllä on oikeus saada rekisterinpitäjältä itseään koskevat tiedot yleisesti käytetyssä sähköisessä ja jäsennellyssä muodossa esim. siirrettäväksi toiseen järjestelmään tai palveluun.  
Näiden ja muiden asetuksessa määriteltyjen rekisteröityjen oikeuksien toteuttaminen vaatii lukuisissa yrityksissä lukuisia muutoksia niin toimintatapoihin kuin myös tietojärjestelmiinkin. Asiakkailta tulevien yhteydenottojen määrä saattaa vielä yllättää monen asiakaspalvelun.

Lasten henkilötietojen rekisteröinti (Age of Consent)

Tähän asti monissa verkkopalveluissa ja sosiaalisessa mediassa on noudatettu käytäntöä, jonka mukaan 13-vuotias voi rekisteröityä palveluun ilman vanhempien lupaa. Tätä nuoremmilta palvelu on joko kokonaan estetty tai palvelun käyttö on vaatinut huoltajan luvan. Uuden tietosuoja-asetuksen myötä tilanne muuttuu siten, että EU:n jäsenvaltiot voivat itsenäisesti määritellä ikärajan, jota nuoremmat lapset tarvitsevat huoltajan suostumuksen henkilötietojen rekisteröinnille. Ikäraja voi olla 13–16 vuotta. Mikäli ikäraja määritellään korkeammaksi kuin 13 vuotta, lienee seurauksena suuri joukko pettyneitä palvelua käyttäneitä teinejä, jotka huomaavat sosiaalisen median palvelujen sulkeutuneen odottamaan huoltajan antamaa lupaa.

Hallinnolliset seuraamukset (Administrative sanctions)

Tietosuoja-asetus antaa viranomaisille mahdollisuuden määrätä sakkomaksu yrityksille, jotka eivät noudata asetuksen määräyksiä esimerkiksi jättämällä tietosuojavastaavan nimittämättä. Sakko voi maksimissaan olla jopa neljä prosenttia yrityksen globaalista liikevaihdosta.

Sakkomaksun uhka korostaa kirjoituksen alussa mainittua tilivelvollisuuden merkitystä. Viimeistään tapahtuneen tietoturvaloukkauksen jälkeen viranomaisten voisi kuvitella olevan kiinnostuneita ko. yrityksen henkilötietojen käsittelyyn liittyneistä järjestelyistä, tehdyistä riskiarvioinneista ja tietojen suojauksen tasosta sekä siitä, keiden olisi pitänyt huolehtia asianmukaisesta tietosuojasta.

Uuden tietosuoja-asetuksen lopullisen hyväksymisen odotetaan tapahtuvan alkuvuodesta 2016. Tästä alkaa kahden vuoden mittainen siirtymäaika, jonka aikana yritysten tulee saattaa oma toimintansa vastaamaan tietosuoja-asetuksen velvoitteita.
Suosittelemme, että muuttuviin tietosuoja-säädöksiin valmistautuminen aloitetaan yrityksissä jo nyt.