Tietosuoja-asetus (englanniksi General Data Protection Regulation) on komission ajama, tulossa oleva, mutta ei vielä lopullisessa muodossaan oleva säännös, joka olisi tarkoitus vahvistaa ensi vuonna ja astua voimaan vuonna 2016. Olennaisin ero nykyiseen on teknisten erojen lisäksi siinä, että kyseessä ei ole direktiivi, vaan asetus.
Tietosuoja myllerryksessä, osa II
Juho Heikkilä
Elokuu 21, 2013 at 10:30
Yksi uuden tietosuoja-asetuksen kiistellyistä osista on sen tiukka raportointivelvollisuus viranomaiselle välittömästi, eli 24 tunnin sisällä tietovuodon havaitsemisesta. Vuorokauden sisään olisi pystyttävä raportoimaan vuodon luonne, sisältäen määrä ja kategoriatiedot sekä ihmisistä että tallenteista joita vuoto koskee, tieto yrityksen tietosuojavastaavasta ja hänen yhteystietonsa ja ehdotus toimista joilla vuodon vaikutuksia voidaan minimoida.
Lisäksi raportin tulisi kuvata vuodon seuraukset sekä toimet joita tietojen hallinnoija on ehdottanut tai tehnyt vuodon johdosta. Käytännössä alle vuorokaudessa pitäisi pystyä kartoittamaan, reagoimaan ja raportoimaan, mikä voi olla isolle hiotullekin organisaatiolle haastavaa. Pienelle yritykselle joka ei ole harjoitellut prosessejaan kuntoon voidaan puhua jopa mahdottomasta tehtävästä. Toki viime kädessä haastavuus tulee riippumaan siitä, millaiset vaatimukset raportin kattavuudelle lopulta käytännössä asetetaan.
Asetuksen noudattamatta jättämisen sakot ovat huomattavia, niitä on käytännössä kolme kategoriaa, 0,5%, 1% ja 2% koko konsernin globaalista liikevaihdosta ja myös alihankkijoiden rikkomuksista pitäisi vastata. Alimpaan kategoriaan kuuluu lähinnä tietojen tarkistusmahdollisuuden rajoittaminen tai pyyntöön vastaamatta jättäminen. Tietovuodosta raportoinnista luistaminen kuuluu puolestaan jo 2% kategoriaan. Hyvin perustellulla selityksellä 24 tunnin rajaan voi saada joustoa.
Yksityishenkilö, jolla ei ole kaupallisia tarkoituksia, tai alle 250 hengen yritys jolle henkilötietojen käsittely on vain sivutoimista, voi selvitä ensimmäisestä tahattomasta noudattamatta jättämisestä kirjallisella varoituksella. Yli 250 hengen yrityksessä on myös valittava tietosuojavastaava (data protection officer). Sellainen on valittava myös julkisen puolen toimijoille, sekä yrityksille, joiden ydintoimintaan kuuluu henkilötietojen käsittely, joka vaatii säännöllistä seurantaa.
Kirjoitus on osa neliosaista EU:n tietosuoja-asetusta käsittelevää sarjaa, 1. osassa kävimme läp lyhyen esittelyn tulossa olevaan asetukseen, sen perusteluita sekä pohdintaa mahdollisista vaikutuksista.