Vuosi aikaa valmistautua EU:n uuteen tietosuoja-asetukseen
EU:n uusi tietosuoja-asetus koskee kaikkia yrityksiä liiketoiminta-alasta riippumatta. Se asettaa yrityksille uusia velvoitteita ja tiukentaa asetuksen määräysten rikkomisesta langetettavia sanktioita. Asetus hyväksyttiin huhtikuussa 2016, ja sen siirtymäaika päättyy 28.5.2018, minkä jälkeen asetusta tulee noudattaa täysimääräisesti. Uudistus vaatii lähes kaikilta yrityksiltä toimenpiteitä jo ennen siirtymäajan päättymistä. Uusi asetus tuo mukanaan merkittäviä muutoksia, jotka parantavat rekisteröidyn oikeusasemaa sekä vastavuoroisesti luovat yrityksille uusia velvollisuuksia.
Milloin asetusta sovelletaan?
Tietosuoja-asetus koskee kaikkia yrityksiä sekä julkisia yhteisöjä, jotka käsittelevät toimintansa yhteydessä henkilötietoja EU-alueella. Asetuksen soveltaminen ei ole riippuvainen siitä, missä henkilötietojen käsittely käytännössä tapahtuu, vaan riittää, että yritys harjoittaa toimintaansa EU-alueella. Yritys on siis vastuussa asetuksen mukaisten velvollisuuksien täyttämisestä, vaikka tiedot sijaitsisivat EU:n ulkopuolella olevan ohjelmistopalveluita tarjoavan yrityksen palvelimilla – kuten esimerkiksi pilvipalveluissa.
Asetus soveltuu kaikkeen osittain tai kokonaan automaattisesti tapahtuvaan henkilötietojen käsittelyyn sekä henkilötietoihin, jotka muodostavat rekisterin osan. Käytännön esimerkkinä voidaan mainita järjestelmä, johon on tallennettu työntekijöiden tietoja palkanmaksua varten. Asetus on myös teknologianeutraali, eli se tulee sovellettavaksi käytettävästä teknologiasta riippumatta. Arkaluonteisiin henkilötietoihin, kuten terveystietoihin ja ammattiliiton jäsenyystietoihin, kohdistuu lisäksi erityisvaatimuksia.
Asetuksen keskeiset muutokset
Tietosuoja-asetus pohjautuu vahvasti ennakoitavuuden sekä tilivelvollisuuden lähtökohtiin. Sekä rekisterinpitäjien että henkilötietojen käsittelijöiden tulee ennakolta suunnitella, miten tietosuoja toteutetaan ja miten mahdollisiin loukkauksiin varaudutaan ennakolta. Rekisterinpitäjän tulee myös pystyä osoittamaan valvontaviranomaiselle, miten asetuksen periaatteet ja velvoitteet on käytännössä otettu huomioon sekä järjestelmä- että organisaatiotasolla. Pelkästään periaatteiden noudattaminen ei siis riitä, vaan rekisterinpitäjän pitää pystyä osoittamaan noudattavansa asetuksen vaatimuksia. Käytännössä rekisterinpitäjän tulee dokumentoida ne käytännöt, menettelyt ja toimenpiteet, joilla se voi osoittaa täyttävänsä asetuksen edellyttämät vaatimukset.
Asetus vahvistaa rekisteröityjen henkilötietojen käsittelyä koskevia oikeuksia, kuten oikeutta saada ilmoitus tietojenkäsittelystä, antaa suostumus omien henkilötietojen käsittelyyn tai vastustaa niiden käsittelyä, siirtää henkilötietonsa toiseen järjestelmään ja oikaista virheelliset tiedot. Myös oikeus vaatia henkilötietojen poistoa vahvistuu.
Lainmukaisuusvaatimus edellyttää, että henkilötietojen käsittely perustuu aina johonkin tietosuoja-asetuksen mukaisista käsittelyperusteista. Asetuksessa on kuusi erilaista käsittelyperustetta, joista tilitoimistojen toiminnan kannalta olennaisimmat ovat rekisteröidyn nimenomainen suostumus, henkilötietojen käsittely sopimuksen toimeenpanemiseksi, lakisääteinen velvoite – kuten esimerkiksi työnantajavelvoitteet – ja oikeutettu etu. Oikeutettu etu merkitsee, että rekisterinpitäjän ja rekisteröidyn välille muodostuu merkityksellinen ja asianmukainen suhde esimerkiksi asiakassuhteen nojalla.
Yksi keskeisimmästä organisatorisista vaatimuksista, joita uusi asetus edellyttää, on tietosuojavastaavan nimittäminen. Tietosuojavastaava tulee nimittää rekisterinpitäjänä tai henkilötietojen käsittelijänä toimiviin organisaatioihin, joiden ydintoimintoihin kuuluu esimerkiksi laajamittainen erityisiin tietoryhmiin kohdistuva henkilötietojen käsittely. Erityisesti suurempien tilitoimistojen osalta on todennäköistä, että tarve tietosuojavastaavan nimittämiselle realisoituu, johtuen siitä että käsiteltäviin tietoihin sisältyy yleensä tieto rekisteröityä koskevasta ammattiliiton jäsenyydestä (niin sanottu erityisiin tietoryhmiin kuuluva tieto). Arvio tietosuojavastaavan nimittämisen tarpeellisuudesta tulee tehdä jokaisessa tapauksessa erikseen oman liiketoimintaan liittyvän henkilötietojen käsittelyn laajuuden ja sisällön näkökulmasta.
Keskeisenä uudistuksena on myös rekisterinpitäjän velvollisuus ilmoittaa toimivaltaiselle viranomaiselle henkilötietoihin kohdistuvista tietoturvaloukkauksista. Henkilötietojen käsittelijä on velvollinen avustamaan rekisterinpitäjää asetuksen mukaisten velvollisuuksien täyttämisessä.
Valvonta ja sanktiot
Toimivaltainen viranomainen voi antaa määräyksiä korjaavista toimenpiteistä sekä määrätä rekisterinpitäjälle sekä henkilötietojen käsittelijälle hallinnollisia sakkoja tietosuoja-asetuksen rikkomisesta. Suomessa tietosuoja-asetuksen toteutumista valvovaa toimivaltaista viranomaista ei vielä ole nimitetty.
Sanktioiden osalta muutos aiempaan on hyvin suuri, koska aiemmin tietosuojavelvoitteiden rikkomisesta ei ole ollut mahdollista määrätä sanktioita. Sanktioiden määrät vaihtelevat rikkomuksen kohteen mukaan ja ne ovat osittain sidottu yrityksen liikevaihtoon: hallinnollinen sakko on maksimissaan joko 10 tai 20 miljoonaa euroa tai vaihtoehtoisesti kaksi tai neljä prosenttia yrityksen maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä on suurempi.
Artikkelisarjamme seurava osa käsittelee tarkemmin muun muassa sitä, miten rekisterinpitäjän ja henkilötietojen käsittelijän asetuksen mukaiset vastuut jakautuvat ja miten niistä sovitaan keskinäisissä sopimuksissa.
Määritelmät
- Henkilötiedot tarkoittavat kaikkia rekisteröityä koskevia tietoja, joiden perusteella rekisteröity on suoraan tai epäsuorasti tunnistettavissa. Henkilötietoja ovat esimerkiksi rekisteröidyn nimi, henkilötunnus, sijaintitiedot, verkkotunnistetiedot sekä sellaiset fysiologiset, geneettiset, psyykkiset, taloudelliset, kulttuurilliset ja sosiaaliset tekijät, joiden perusteella rekisteröity voidaan tunnistaa. Myös puhelinnumero ja sähköpostiosoite katsotaan henkilötiedoksi, jos luonnollinen henkilö voidaan näiden perusteella tunnistaa.
- Henkilötietojen käsittelijä tarkoittaa luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Esimerkiksi tilitoimisto, joka käsittelee asiakasyhtiöidensä työntekijöiden tietoja kyseisen asiakasyrityksen lukuun, on henkilötietojen käsittelijä.
- Rekisteri tarkoittaa mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla määritellyillä perusteilla riippumatta siitä, onko tietojoukko keskitetty, hajautettu tai jaettu esimerkiksi toiminnallisilla tai maantieteellisillä perusteilla. Tietokantojen lisäksi esimerkiksi excel-taulukko voi siis muodostaa rekisterin.
- Rekisterinpitäjä tarkoittaa luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Esimerkiksi tilitoimisto on rekisterinpitäjän roolissa käsitellessään itse omien työntekijöidensä henkilötietoja tai ylläpitäessään markkinointia koskevaa rekisteriä, jossa on yksilöity yhteyshenkilöt.
- Rekisteröity tarkoittaa henkilötietojen pohjalta tunnistettavissa olevaa luonnollista henkilöä eli ihmistä, jonka henkilötiedot ovat käsittelyn kohteena.
Miten henkilötietojen anonymisointi ja pseudonymisointi eroavat toisistaan?
Henkilötietojen pseudonymisointi on toimenpide, jolla henkilötiedot muunnetaan sellaiseen muotoon, ettei henkilötietoja voida yhdistää tiettyyn luonnolliseen henkilöön käyttämättä lisätietoja, kuten salausavainta. Pseudonymisoitu tieto on edelleen henkilötietoa.
Henkilötiedot on anonymisoitu silloin, kun henkilötietojen perusteella ei ole mahdollista tunnistaa luonnollista henkilöä edes teknisin toimenpitein. Kun tiedot ovat anonymisoitu, rekisterinpitäjä eikä mikään muukaan taho saa kyetä muuntamaan henkilötietoja takaisin sellaiseen muotoon, että niistä voidaan tunnistaa yksittäinen luonnollinen henkilö. Anonymisoitu tieto ei ole enää henkilötieto, eikä sitä koske asetuksen vaatimukset.
Henkilötietojen käsittelyä koskevat periaatteet
- Lainmukaisuus, kohtuullisuus ja näkyvyys
Henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. Rekisteröidyn tulee siis tietää, mihin tarkoitukseen hänen henkilötietojaan käsitellään. - Käyttötarkoitussidonnaisuus
Henkilötiedot on kerättävä tiettyä ja nimenomaista tarkoitusta varten eikä niiden käsittely myöhemminkään saa tapahtua näiden tarkoitusten kanssa yhteensopimattomalla tavalla. - Tietojen minimointi
Henkilötietoja kerätään vain siinä määrin kuin on tarpeen henkilötietojen käsittelyn tarkoituksen toteuttamiseksi. - Täsmällisyys
Henkilötietojen on oltava täsmällisiä ja niitä on päivitettävä tarpeen mukaan siten, että epätarkat tai virheelliset tiedot poistetaan tai oikaistaan viipymättä. - Säilytyksen rajoittaminen
Henkilötietoja voidaan säilyttää sellaisessa muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kun on tarpeen tietojenkäsittelyn tarkoituksen toteuttamista varten. - Eheys ja luottamuksellisuus
Henkilötietojen käsittely on järjestettävä siten, että tietojen asianmukainen turvallisuus sekä suojaaminen voidaan taata kattaen lainvastaisen tai luvattoman käsittelyn, vahingossa tapahtuvan tuhoutumisen, häviämisen tai vahingoittumisen. - Sisäänrakennettu ja oletusarvoinen tietosuoja
Tietosuoja tulee ottaa huomioon kaikessa yhtiön toiminnassa henkilötietojen käsittelyn suunnitteluvaiheesta alkaen. Rekisteröidyn oikeuksien toteutuminen ja muut asetuksen vaatimukset tulee varmistaa teknisillä ja organisatorisilla toimenpiteillä, kuten henkilöstön ohjeistuksella ja salassapitositoumuksilla, tilavalvonnalla, sähköisellä tietoturvalla sekä tietojen anonymisoinnilla ja pseudonymisoinnilla.
