EU:n uusi tietosuoja-asetus

Azets Life | 26/06/2017

Kirjoittaja Joonas Kainulainen

 

Yksityisyys ja henkilötietojen käsittelyn suojelu kuuluvat Euroopan Unionissa jokaisen ihmisen perusoikeuksiin. Henkilötietojen käsittely – eli mikä tahansa käyttö, kuten kerääminen, jakaminen tai tallentaminen – on lisääntynyt merkittävästi 2000-luvulla globalisaation sekä digitalisaation vaikutuksesta. Henkilötietojen käsittelyyn perustuvia liiketoimintamalleja kehitetään jatkuvasti, ja ihmiset jakavat myös itse sosiaalisen median kautta henkilötietojaan julkisuuteen.

Tietosuoja-asetus, General Data Protection Regulation – GDPR

Teknologian kehityksen seurauksena nykyinen EU:n tietosuojadirektiivi ja siihen pohjautuvat EU-maiden kansalliset henkilötietojen käsittelyä koskevat lait ovat jääneet jälkeen yksityisyyden suojan turvaamisessa, jonka vuoksi EU:ssa ollaan ottamassa käyttöön uusi tietosuoja-asetus (General Data Protection Regulation, eli GDPR).

Päämääränä henkilötietojen käsittelyn luottamuksellisuus

Asetuksen vahvana periaatteena on kansalaisten luottamuksen ylläpito siihen, kuinka yrityksissä ja julkisella sektorilla kansalaisten henkilötietoja käsitellään. Asetuksella lisätään ihmisten itsemääräämisoikeuksia omiin henkilötietoihinsa esimerkiksi mahdollistamalla omien henkilötietojen käsittelyn valvomisen sekä tietyissä tapauksissa oikeuden vaatia tietojen käsittelyn lopettamista.

Luottamuksen ylläpitoon tähtää myös rekisterinpitäjille asetetut uudet velvoitteet. Enää ei riitä, että rekisterinpitäjät lupaavat käsitellä henkilötietoja lakien mukaisesti, vaan asetuksen noudattaminen on pystyttävä osoittamaan. Tämä tilintekovelvollisuus tarkoittaa kirjallisten prosessien ja dokumentaation laadintaa henkilötietojen käsittelystä ja tietoturvaratkaisuista. Lisäksi henkilötietojen käsittelystä täytyy tiedottaa asiaa koskevia henkilöitä selkokielisesti ja tiedon on oltava helposti saatavilla. Puhutaan siis käsittelyn läpinäkyvyydestä.

Azetsilla yksityisyydensuojasta kerrotaan yleisellä tasolla ns. Privacy Policy:ssa, joka on luettavissa nettisivuillamme. Konkreettisesti henkilötietojen käsittelyn läpinäkyvyyden vaatimus näkyy jo nyt lähes jokaisella nettisivulla esiin pompsahtavan evästeiden käyttö-ilmoituksen muodossa: nettisivut keräävät selaajista henkilötiedon, eli IP-osoitteen, ja voivat käyttää sitä esimerkiksi nettisivun selauskäyttäytymisen analysointiin.

Velvoitteiden laiminlyönnistä sanktioita

Iso puheenaihe GDPR:ään liittyen on sanktiot, jotka voidaan määrätä asetuksen velvoitteiden laiminlyönnistä: suurimmillaan sakot voivat olla jopa 20 miljoonaa euroa tai 4 % koko yrityksen / konsernin globaalista liikevaihdosta. Jättisakkoja toki jaetaan vain laajamittaisesta ja tahallisesta laiminlyönnistä, mutta niiden olemassaolo viestii, ettei asian lakaisu maton alle ole vaihtoehto. On myös huomioitava, että sanktioita voidaan määrätä rekisterinpitäjien lisäksi käsittelijöille, jos he käsittelevät henkilötietoja rekisterinpitäjän ohjeiden vastaisesti.

Azets varautuu muutokseen – asetus voimaan 25.5.2018

GDPR hyväksyttiin keväällä 2016, ja se astuu voimaan 25.5.2018. Elämme paraikaa siis siirtymävaihetta, jonka aikana henkilötietojen käsittelyn ja tietosuojan toimenpiteet on laitettava kuntoon. Olemme Azetsilla kartoittaneet, mitä henkilötietoja järjestelmissämme käsitellään, mikä on käsittelyn laillinen peruste ja mitä tarkoitusta varten henkilötietoja käsitellään. Myös rekisterinpitäjän ja käsittelijän roolin määrittäminen kussakin tietojen käsittelytapauksessa on erittäin tärkeää. Työn alla on myös tietojenkäsittelysopimusten (Data Processing Agreement, eli DPA) päivittäminen asiakas- ja toimittajasopimuksiin sekä uusien vaatimusten mukaisten  kirjallisten prosessikuvausten ja dokumentoinnin laadinta.

Työsarkaa on siis vielä siirtymävaiheen aikana vähintäänkin riittävästi. Koska asetus väkisinkin lisää byrokratian määrää, tulevat yksityisyyden suojan periaatteet olemaan aiempaa suuremmassa roolissa niin meidän, kuin asiakkaidemmekin päivittäisessä toiminnassa. Asetuksen noudattaminen tulee vaatimaan investointeja, aikaa ja vaivannäköä, mutta siihen ei kannata suhtautua vain pakollisena pahana ja kulueränä. 

Toivotamme uuden tietosuoja-asetuksen tervetulleeksi. Olemme valmiita muutokseen yhdessä asiakkaidemme ja muiden kumppaniemme kanssa. 

Kirjoittajasta Joonas Kainulainen

Business Analyst, Azets