EU:n tietosuoja-asetuksen tuomat muutokset ja niihin varautuminen
Entistä globaalimpi toimintaympäristö ja digitalisoituminen ovat lisänneet henkilötietojen käsittelyä ja luoneet uudenlaisia tarpeita tietosuojalle. Näihin tarpeisiin vastaamaan ja vahvistaakseen kansalaistensa oikeuksia Euroopan Unioni on suunnitellut lainsäädäntöuudistuksen.
EU:n tietosuoja-asetus astuu voimaan toukokuussa 2018. Asetus laajentaa henkilötietojen käsitettä ja esittelee listan vaatimuksia, jotka henkilötietoja käsittelevän viranomaisen, yrityksen tai organisaation tulee ottaa huomioon. Velvoitteiden laiminlyöminen voi aiheuttaa henkilötietoja käsittelevälle taholle päänvaivaa ja pahimmillaan merkittäviä taloudellisia seuraamuksia sakkojen muodossa.
Uusia velvollisuuksia rekisterinpitäjälle
Keskeistä tietosuoja-asetuksessa on sen riskiperusteinen lähestymistapa, jonka mukaisesti velvollisuudet kasvavat sen mukaan mitä korkeampia riskejä henkilötietojen käsittelyyn liittyy. Olennaista on myös pystyä osoittamaan, että rekisterinpitäjä noudattaa tietosuoja-asetusta. Tätä kutsutaan osoitusvelvollisuudeksi.
Monin paikoin asetuksessa onkin kyse ennakollisen valmistautumisen merkityksestä. Esimerkiksi mahdollisten tietoturvaloukkausten varalle organisaatiolla tulee olla suunniteltuna selvä prosessi; rekisterinpitäjän uutena velvollisuutena asetus sisältää entistä tarkempia vaatimuksia ilmoitusvelvollisuuteen liittyen. Valvovan viranomaisen lisäksi myös asianomaisella rekisteröidyllä on oikeus saada henkilökohtaisesti ilmoitus, mikäli hänen henkilötietojaan on vuotanut ulkopuolisille luvattomasti.
Rekisteröidyn oikeudet ja prosessit niiden toteuttamiseen
Yrityksen teknisten järjestelmien tulee tukea henkilötietojen käsittelyä tietosuoja-asetuksen mukaisesti. Jo asetuksen henkilötiedoiksi luokiteltavien tietojen tunnistaminen yrityksen eri järjestelmistä voi viedä runsaasti resursseja, puhumattakaan tarkemmista kartoituksista tietojen kulkemisesta järjestelmien välillä.
Myös henkilöön yhdistettävissä olevat tekniset tiedot, kuten IP-osoite, käsitetään henkilötiedoksi. Rekisterinpitäjän roolissa olennaisinta on ymmärtää se, kenen tietoja kerätään, miksi ja mihin tarkoitukseen. Tietojen säilytysaikojen varmistaminen on olennaista samoin kuin rekisteröidyn oikeuksien toteutumisen varmistaminen käytännön tasolla.
Mekanismit tietojen poistolle niiden säilytysajan päättyessä tulee selvittää ja selkeät prosessit on laadittava. Joissain tapauksissa organisaation voi olla tarpeen nimetä erillinen tietosuojavastaava, riippuen esimerkiksi tarpeesta harjoittaa rekisteröityjen säännöllistä seurantaa.
Rekisteröidyn oikeuksien toteuttaminen on yksi rekisterinpitäjän päävelvollisuuksista.
Tietosuoja-asetuksen mukaisesti rekisteröidyllä on muun muassa oikeus:
päästä tarkastelemaan hänestä kerättyjä tietoja
korjata tietoja ja halutessaan keskeyttää tietojen käsittely
“oikeus tulla unohdetuksi”, eli vaatia kerättyjen tietojen kokonaisvaltaista poistamista, sisältäen oikeuden peruuttaa annettu suostumus tietojen käsittelyyn
Organisaatioissa on oltava arvio henkilötietoihin kohdistuvien pyyntöjen lukumäärästä ja sen mukainen manuaalisten työvaiheiden minimointi tietoja koostettaessa. Muiden rekisteröidyn oikeuksien lisäksi myös tietojen siirrettävyyteen liittyvät vaatimukset ovat asetuksessa olennaisessa roolissa.
Uudet vaatimukset teknisille järjestelmille synnyttävät painetta itsepalvelun luomiseen
Tietojen poistamiseen liittyviä teknisen toteutuksen mahdollisuuksia ovat esimerkiksi tietojen merkitseminen siten, ettei niitä enää käsitellä tuotantojärjestelmissä, tai tietojen ylikirjoittaminen. Teknisten järjestelmien tulee pystyä tukemaan esimerkiksi lokitietojen poistamista helposti ja yksinkertaisesti, jotta poistaminen tulisi tehtyä asetuksen vaatimassa yhden kuukauden määräajassa. Tarvittaessa kerättyjä tietoja pitäisi pystyä myös anonymisoimaan.
On huomioitava myös se, että yllä mainittuja oikeuksiaan käyttävän rekisteröidyn henkilöllisyys tulee tunnistaa. Tämä voi tarkoittaa esimerkiksi turvallisen itsepalvelun luomista, josta käsin asiakas voi toteuttaa oikeuksiaan. Sääntelyn mukaisesti rekisteröidyllä tulee joka tapauksessa olla pääsy omiin henkilötietoihinsa, joten vähintään jäljennös käsiteltävistä henkilötiedoista on rekisteröidylle annettava – pääsääntöisesti sähköisessä muodossa ja maksutta.
Tietosuoja-asetus luo yrityksille paineita tarkistaa prosessejaan ja muuttaa niitä tarvittaessa. Olennaista on myös varmistaa uusien, henkilötietoja käsittelevien järjestelmien tai sovellusten hankintaan liittyen, että toimittajan tietosuojataso vastaa asetuksen vaatimuksia. Jotta organisaatio toimisi tietosuoja-asetuksen mukaisesti, on syytä panostaa teknisten muutosten osalta sekä osaavaan suunnitteluun että toteuttamiseen. Mikäli askelia tietosuoja-asetukseen valmistautumiseen ei ole organisaatiossasi vielä otettu, sen aika on nyt.
