Suomessa ryhdytään soveltamaan 25.5.2018 lukien EU:n yleistä tietosuoja-asetusta. Asetus tuo mukanaan uusia vaatimuksia yrityksille ja tulee vaikuttamaan merkittävästi kaikkiin yrityksiin ja palveluihin, joissa käsitellään henkilötietoja.
Jokaisen henkilötietoja käsittelevän tahon tulisi ryhtyä valmistautumaan tähän uudistukseen viimeistään nyt!
Mistä on kysymys?
EU:n yleinen tietosuoja-asetus hyväksyttiin keväällä 2016 Euroopan parlamentin ja neuvoston päätöksillä. Asetuksen tavoitteena on luoda Euroopan unionille ajanmukainen, vahva, yhtenäinen ja kattava tietosuojakehys. Asetus korvaa vuonna 1995 annetun henkilötietodirektiivin.
EU:n tietosuoja-asetus koskee lähtökohtaisesti kaikkea henkilötietojen käsittelyä EU:n jäsenvaltioissa, kun rekisterinpitäjä tai henkilötietojen käsittelijä toimii EU:ssa tai kun rekisteröity on EU:ssa.
Asetus on suoraan sovellettava, minkä myötä se tulee yhdenmukaistamaan EU:n jäsenvaltioiden epäyhtenäistä tietosuojasääntelyä.
Mikä muuttuu?
Tietosuojaa koskeva sääntely on ollut Suomessa kattavaa tähänkin asti, mutta käytännössä tämä on sujuvasti sivuutettu organisaation jos toisenkin taholta. Jatkossa muun muassa rekisterinpitäjää koskeva ns. osoitusvelvollisuus pakottaa jokaisen toimijan huomioimaan asetuksen vaatimukset. Osoitusvelvollisuus tarkoittaa, että yrityksen tulee pystyä jälkikäteen osoittamaan, että lainsäädännön vaatimukset ja riskit on otettu toiminnassa asianmukaisesti huomioon. Osoitusvelvollisuuden toteuttaminen edellyttää siis käytännössä suunnittelua, varautumista ja kykyä osoittaa toteutetut toimenpiteet mm. dokumentaation avulla.
Asetuksen myötä yritysten hallinnollinen taakka kasvaa uusien rekisterinpitäjää ja henkilötietojen käsittelijää koskevien velvoitteiden vuoksi. Tätä taakkaa kasvattaa lisäksi muun muassa ilmoitusvelvollisuus tietoturvaloukkauksista sekä tietosuojavastaavan nimitysvelvollisuus tietyissä tilanteissa.
Asetuksella voidaan nähdä olevan kuitenkin myös myönteisiä vaikutuksia, sillä asetus lisää liiketoimintamahdollisuuksia sisämarkkinoilla kaikkien toimijoiden kuuluessa saman sääntelyn piiriin. Unohtaa ei sovi myöskään yksilön – eli meidän kaikkien – tietosuojan tason nousua asetuksen vaatimusten myötä.
Entäpä, jos en noudata asetusta?
Mikäli asetuksen velvoitteita on rikottu, voi hallinnollisena seuraamuksena olla sakko, jonka määrä on riippuvainen rikkomuksen vakavuudesta. Enimmillään sakon määrä voi olla 20 000 000 euroa tai 4 % yrityksen globaalista liikevaihdosta. Sakon lisäksi seuraamuksena voi olla vahingonkorvausvastuu suhteessa rekisteröityyn sekä sopimusperusteinen vahingonkorvausvastuu rekisterinpitäjän ja käsittelijän välisessä sopimussuhteessa. Myös rikosperusteinen vastuu on mahdollista. Unohtaa ei tietenkään sovi muita asetuksen rikkomisesta aiheutuvia lieveilmiöitä, kuten yrityksen maineenmenetys.
Miten valmistautua?
Yrityksessä tulee tehdä sisäinen selvitys henkilötietojen tämänhetkisestä käsittelystä. Tämän jälkeen varmistetaan, että käsittely vastaa asetuksen vaatimuksia. Kaikki tarpeellinen dokumentoidaan ja henkilöstö koulutetaan ja ohjeistetaan henkilötietojen käsittelyyn.
Asetus pakottaa jatkossa huomioimaan tietosuojan myös yrityksen sopimuksissa. Erilaisiin riskeihin on varauduttava ja vastuita on jaettava erinäisissä sopimussuhteissa. Sopimukset tulevatkin määrittelemään keskeisellä tavalla tietojen käsittelyyn osallistuvien tahojen asemaa. Sopimuksissa tulee määritellä muun muassa osapuolten oikeudet tietoon, velvollisuudet tietojen käsittelyn ja tietoturvan suhteen sekä vastuut ongelmatilanteissa. Sopimukset tulee tehdä kirjallisena ja niiden vähimmäissisältö on määritelty asetuksessa.
Summa summarum
Yritysten tietosuojariskit ovat yleisesti kasvussa digitalisoituvassa maailmassa. Yrityksiä sitoo entistä laajemmat lakiperusteiset velvollisuudet ja vastuut tietojen käsittelyssä. Asetuksen velvoitteet luovat välillisesti yritysten tietosuojan ja tietoturvan toteuttamiseen liittyviä vastuita sekä tietojen käsittelyyn liittyvää riskiä.
Tässä toimintaympäristössä sopimukset tulevat toimimaan yhtenä keskeisenä riskienhallinnan välineenä muun etukäteisen varautumisen lisäksi. Me autamme mielellämme yritystäsi sopimusten laadinnassa sekä luonnollisesti muussakin varautumisessa asetuksen vaatimuksiin.
Hakusanat: tietosuoja, tietosuoja-asetus, tietosuojariski
