- 29 maaliskuun, 2023
Kaikkien huulilla on jo vähän aikaa pyörinyt uusi termi, Euroopan Unionin tietosuoja-asetus, tai GDPR, kuten se monesti tunnetaan sen englanninkielisestä nimestään General Data Protection Regulation. Tämä koko EU:n laajuinen lainsäädäntö tekee tuloaan vauhdilla. Siihen liittyvän hypen siivittämänä samalla moni tietoturvan kehittämistä tarjoava palveluntarjoaja varmasti rikastuu melkoisesti.
Tietosuoja-asetus nähdään valtavana mahdollisuutena pelotella yrityksiä massiivisilla hallinnollisilla sakoilla, jotka voivat olla jopa 20 miljoonaa euroa tai enemmän, ja sen jälkeen hyötyä tästä pelosta taloudellisesti.
Totuus asetuksesta on kuitenkin paljon monitahoisempi kuin vain mahdolliset hallinnolliset sanktiot ja niiden uhka. Tässä kirjoituksessa yritetään lyhyesti avata tietosuoja-asetuksen sisältöä ja antaa neuvoja siihen varautumisesta. Samalla pyritään hälventämään niitä pelkoja joita tämän lainsäädännön raflaavimmat yksityiskohdat ovat omiaan ruokkimaan!
Tietojärjestelmät kehittyvät huippuvauhtia
Viimeisten 20 vuoden aikana tapahtunut tietojärjestelmien ja tietoliikenteen huippunopea kehitys on johtanut siihen, että henkilötietoa on alettu kerätä ja käyttää hyväksi yhä massiivisemmassa määrissä. Joskus tämä tiedon kerääminen ja käyttäminen tapahtuu kansalaista hyödyttäen ja joskus tätä hyväksikäyttäen.
Tietosuoja-asetus on keino määrittää vihdoin yhteiset pelisäännöt henkilötiedon käsittelylle koko unionin alueella. EU:n monet jäsenvaltiot ovat jo vuosikymmeniä kehittäneet järjestelmällisesti omaa lainsäädäntöään suojaamaan omien kansalaistensa henkilötietoa.
Tietosuoja-asetus on tämän kehityksen luonnollinen jatke suuremmassa mittakaavassa. Sen tavoitteena on suojata nyt kaikkien eurooppalaisten, siten myös sinun ja minun, oikeuksia omiin tietoihin ja niiden käsittelemiseen eri yhteyksissä. Käytännössä tämä tarkoittaa sitä, että tietosuoja-asetus asettaa jatkossa yrityksille ja viranomaisille uusia rajoituksia käsitellä henkilötietoa, sekä antaa kuluttajille muutamia uusia työkaluja valvoa ja määrätä heidän henkilökohtaisten tietojen käsittelystä entistä paremmin.
Nämä tietosuoja-asetuksen uudet työkalut ja määräykset eivät suinkaan ole mitään täysin uusia ja ennenkuulumattomia: Tällä hetkellä Suomessa voimassa oleva henkilötietolaki (22.4.1999/523) on määrittänyt jo vuosikausia suurimman osan niistä kansalaisen oikeuksista ja yritysten / viranomaisten velvollisuuksista jotka nyt vain tuodaan hieman paranneltuina ja lisättynä uusilla mausteilla koko Euroopan Unionin laajuiseksi ja yhteismitalliseksi lainsäädännöksi.
Ketä tietosuoja-asetus koskee?
Asetus siis koskee kaikkia niitä organisaatioita jotka käsittelevät Euroopan Unionin kansalaisesta kerättyä henkilötietoa, olipa organisaatio laissa tarkoitettu henkilötiedon rekisterinpitäjä tai henkilötiedon käsittelijä. Parempi ehkä avata näitä käsitteitä ennen kuin mennään eteenpäin tässä tarinassa:
Organisaatio on henkilötiedon rekisterinpitäjä jos se kerää ja käsittelee henkilötietoja jonkin määritellyn tarkoituksen mukaisesti. Yhtenä tuttuna esimerkkinä tästä on yrityksen oman henkilökunnan henkilötietorekisteri.
Organisaatio on henkilötiedon käsittelijä jos se käsittelee henkilötietoja jonkun toisen organisaation sijasta, vaikkapa alihankintana tai ulkoistettuna. Esimerkkinä tästä saattaa olla yrityksesi henkilökunnan palkanlaskentaan liittyvä tiedonkäsittely: jos yrityksesi palkanlaskenta on ulkoistettu Talenomille, on Talenom tässä tapauksessa palkanlaskentaan liittyvien henkilötietojen käsittelijä.
Tietosuoja-asetuksessa otetaan kantaa rekisterinpitäjien ja henkilötietojen käsittelijöiden vastuiden jakamiseen ja vaaditaan vastuiden yksilöintiä ja sopimista ennen tietojenkäsittelyn aloittamista. Mitä tämä tarkoittaakaan jo olemassa olevien yritysten välisten sopimusten kannalta, jää nähtäväksi. Ainakin kaikkiin henkilötiedon käsittelyä koskeviin uusiin sopimuksiin pitää tehdä lisäyksiä.
Koska yrityksesi on jo nykyisellään noudatettava Suomen henkilötietolain yrityksille asettamia vaatimuksia, EU:n laajuisen tietosuoja-asetuksen vaatimukset saattavat hyvinkin olla suurimmaksi osaksi jo toteutettu yrityksessäsi! Voit itse arvioida alustavasti oman yrityksesi nykytilaa ja valmiutta tietosuoja-asetuksen vaatimuksiin vastaamalla seuraaviin kysymyksiin:
- Onko yrityksellä selvää käsitystä tallennetuista ja käsiteltävistä henkilötiedoista, joita se käsittelee lainsäädännön mukaisesti?
- Onko yritys määritellyt henkilötiedon käsittelylle lainsäädännön vaatiman käyttötarkoituksen ja ylläpitääkö se henkilötietojen käsittelyä koskevaa rekisterioteita?
- Onko yrityksellä kirjalliset ohjeet henkilötietojen käsittelyyn, ja onko henkilökunta ja mahdolliset alihankkijat koulutettu niiden noudattamiseen?
- Onko henkilötietojen käsittelyyn osallistuvien työntekijöiden ja alihankkijoiden pääsy henkilötietoihin asianmukaisesti rajoitettu ja valvottu?
- Onko yrityksen tietojärjestelmiä suojattu riittävällä tavalla ulkopuoliselta pääsyltä?
- Onko yrityksellä kattava tietoturvapolitiikka, ja onko henkilökunta sekä mahdolliset alihankkijat koulutettu sen noudattamiseen?
Valmistautuminen tietosuoja-asetukseen
Jos vastauksesi kaikkiin yllä oleviin kysymyksiin on ”Kyllä”, valmistautuminen yrityksessäsi on suhteellisen vaivaton toimenpide. Jos vastauksesi ovat enemmänkin ”Ei”, valmistautumiseen on syytä varata aikaa ja resursseja. On kuitenkin tärkeää huomata, että tietosuoja-asetuksen vaatimukset tulee sovittaa yrityksen kokoon ja liikevaihtoon sopiviksi. Ei ole järkevää toteuttaa monimutkaisia ja kalliita tietoturva- ja -suojaratkaisuja, jos ne eivät ole tarpeen tai mahdollisia organisaation koon vuoksi.
Tietosuoja-asetuksen uudet vaatimukset organisaatioille eli siis nykyisen Suomen henkilötietolain vaatimusten lisäksi tulevat uudet vaatimukset ovat käytännössä seuraavat:
- Organisaation on oltava todistusvastuussa tietosuoja-asetuksen noudattamisesta, ja tätä varten on hyvä kerätä todisteita ja dokumentaatiota, kuten prosessikuvauksia, mahdollisten viranomaispyyntöjen varalta.
- Henkilöllä on jatkossa oikeus pyytää henkilötietojensa poistamista tai siirtämistä toisen palveluntarjoajan järjestelmiin, ellei sopimus tai muu lainsäädäntö toisin määrää. Nykyisen lainsäädännön mukaisesti henkilöllä on oikeus tarkastaa tallennetut tietonsa (sisältäen digitaalisen ja paperimuotoisen aineiston) ja pyytää niihin mahdollisia korjauksia.
- Organisaation tulee tiedottaa henkilötietojen käsittelystä selkeästi ja läpinäkyvästi esimerkiksi tietosuojaselosteen avulla, joka on näkyvillä yrityksen verkkosivustolla.
- Sopimusteksteissä organisaation tulee eritellä henkilötietojen käsittelyyn liittyvät rekisterinpitäjän ja käsittelijän vastuut, erityisesti tapauksissa, joissa henkilötietojen käsittely on ulkoistettu palveluntarjoajalle.
- Organisaation on arvioitava tietoturvaan ja tietosuojaan liittyviä riskejä, dokumentoitava ne ja suunniteltava toimenpiteitä tunnistettujen riskien prioriteetin mukaisesti. Riskien tunnistaminen, arviointi, toimenpiteiden suunnittelu ja toteutus tulisi tehdä säännöllisesti osaksi normaalia toimintatapaa.
- Organisaation on luotava prosessi tietovuotojen viranomaisilmoitusten tekemiseen, ja rekisterinpitäjän on ilmoitettava tietovuodoista viranomaisille 72 tunnin kuluessa niiden havaitsemisesta, hallinnollisten sakkouhkausten alla.
Perehdy rauhassa tietosuoja-asetukseen
Luonnollisesti tietosuoja-asetuksen 99 artiklaa sisältävät monia yksityiskohtia ja organisaatioiden jotka käsittelevät suuria määriä henkilötietoa, tai käsittelevät arkaluonteisiksi määriteltyjä henkilötietoja, on syytä tutustua lainsäädännön yksityiskohtiin hieman tämän artikkelin tietoja perusteellisemmin.
Joka tapauksessa yrittäjän ei kannata lähteä, ainakaan suin päin, tilaamaan myyntimiesten mahdollisesti ehdottamia tietosuojan toteutumista arvioivia tutkimuksia, tai ainakaan uskoa jos myyntimies kertoo tietosuoja-asetuksen vaativan yritykseltäsi vaikkapa kalliin tietoturvasertifikaatin hankkimista! Nämä voivat joissakin rajatuissa tapauksissa, yleensä isompien yritysten osalta, olla kannattava sijoitus ja joskus myös yrityksen omien asiakkaiden vaatimus.
Suurimmassa osassa yrityksiä kuitenkin riittää se että pystyy vastaamaan ”kyllä” yllä esitettyihin kysymyksiin ja luo yksinkertaiset, mutta toimivat, prosessit toteuttamaan tietosuoja-asetuksen uusia vaatimuksia ja dokumentoi ne riittävällä tasolla sekä käytännön ohjeistukseksi henkilökunnalle että todisteeksi viranomaisille.
Tietosuoja-asetus astuu täyteen voimaansa 25.5.2018, ja tuolloin kaikkien henkilötietoja käsittelevien organisaatioiden olisi hyvä olla suurimmaksi osaksi valmiita tietosuoja-asetuksen vaatimusten toteuttamisessa, tai ainakin olisi hyvä olla olemassa suunnitelma loppujen vaatimusten toteuttamiseksi,jotka ovat vielä työn alla.
Talousohjelmistot yrityksesi tarpeisiin
Ohjelmisto-, pankki- ja tilitoimistopalvelut pienelle yritykselle
Kattava ratkaisu korkealaatuisia talous- ja konsultointipalveluita