Tietosuoja-asetus ja yrittäjän tuska

Kaikkien huulilla on jo vähän aikaa pyörinyt uusi termi, Euroopan Unionin tietosuoja-asetus, tai GDPR, kuten se monesti tunnetaan sen englanninkielisestä nimestään General Data Protection Regulation. Tämä koko Euroopan Unionin laajuinen lainsäädäntö tekee tuloaan vauhdilla ja siihen liittyvän hypen siivittämänä samalla moni tietoturvan kehittämistä tarjoava palveluntarjoaja varmasti rikastuu melkoisesti. Nimittäin, ja valitettavasti, tietosuoja-asetus on nähty valtavana mahdollisuutena ensin pelotella yritykset ja yrittäjät puolikuoliaaksi asetuksessa mainituilla tietovuodon kohteeksi joutuvia yrityksiä koskevilla massiivisilla hallinnollisilla sakoilla (jopa 20 M€ tai enemmän) ja sitten rahastaa näitä tätä pelkoa hyödyntämällä. Totuus asetuksesta on kuitenkin paljon monitahoisempi kuin vain mahdolliset hallinnolliset sanktiot ja niiden uhka. Tässä kirjoituksessa yritetään lyhyesti avata tietosuoja-asetuksen sisältöä ja antaa neuvoja siihen varautumisesta. Samalla pyritään hälventämään niitä pelkoja joita tämän lainsäädännön raflaavimmat yksityiskohdat ovat omiaan ruokkimaan!

Tietojärjestelmät kehittyvät huippuvauhtia

Viimeisten kahdenkymmenen vuoden aikana tapahtunut tietojärjestelmien ja tietoliikenteen huippunopea kehitys on johtanut siihen, että henkilötietoa on alettu kerätä ja käyttää hyväksi yhä massiivisemmassa määrissä. Joskus tämä tiedon kerääminen ja käyttäminen tapahtuu kansalaista hyödyttäen ja joskus tätä hyväksikäyttäen. Tietosuoja-asetus on keino määrittää vihdoin yhteiset pelisäännöt henkilötiedon käsittelylle koko unionin alueella. Euroopan Unionin monet jäsenvaltiot ovat jo vuosikymmeniä kehittäneet järjestelmällisesti omaa lainsäädäntöään suojaamaan omien kansalaistensa henkilötietoa. Tietosuoja-asetus on tämän kehityksen luonnollinen jatke suuremmassa mittakaavassa ja sen tavoitteena on suojata nyt kaikkien eurooppalaisten, siten myös sinun ja minun, oikeuksia omiin tietoihin ja niiden käsittelemiseen eri yhteyksissä. Käytännössä tämä tarkoittaa sitä, että tietosuoja-asetus asettaa jatkossa yrityksille ja viranomaisille muutamia uusia rajoituksia käsitellä henkilötietoa sekä antaa kuluttajille muutamia uusia työkaluja valvoa ja määrätä heidän henkilökohtaisten tietojen käsittelystä entistä paremmin. Nämä tietosuoja-asetuksen uudet työkalut ja määräykset eivät suinkaan ole mitään täysin uusia ja ennenkuulumattomia: Tällä hetkellä Suomessa voimassa oleva henkilötietolaki (22.4.1999/523) on määrittänyt jo vuosikausia suurimman osan niistä kansalaisen oikeuksista ja yritysten / viranomaisten velvollisuuksista jotka nyt vain tuodaan hieman paranneltuina ja lisättynä uusilla mausteilla koko Euroopan Unionin laajuiseksi ja yhteismitalliseksi lainsäädännöksi.

Ketä koskee?

Asetus siis koskee kaikkia niitä organisaatioita jotka käsittelevät Euroopan Unionin kansalaisesta kerättyä henkilötietoa, olipa organisaatio laissa tarkoitettu henkilötiedon rekisterinpitäjä tai henkilötiedon käsittelijä. Parempi ehkä avata näitä käsitteitä ennen kuin mennään eteenpäin tässä tarinassa: Organisaatio on henkilötiedon rekisterinpitäjä jos se kerää ja käsittelee henkilötietoja jonkin määritellyn tarkoituksen mukaisesti. Yhtenä tuttuna esimerkkinä tästä on yrityksen oman henkilökunnan henkilötietorekisteri. Organisaatio on henkilötiedon käsittelijä jos se käsittelee henkilötietoja jonkun toisen organisaation sijasta, vaikkapa alihankintana tai ulkoistettuna. Esimerkkinä tästä saattaa olla yrityksesi henkilökunnan palkanlaskentaan liittyvä tiedonkäsittely: jos yrityksesi palkanlaskenta on ulkoistettu Talenomille, on Talenom tässä tapauksessa palkanlaskentaan liittyvien henkilötietojen käsittelijä. Tietosuoja-asetuksessa otetaan kantaa rekisterinpitäjien ja henkilötietojen käsittelijöiden vastuiden jakamiseen ja vaaditaan vastuiden yksilöintiä ja sopimista ennen tietojenkäsittelyn aloittamista. Mitä tämä tarkoittaakaan jo olemassa olevien yritysten välisten sopimusten kannalta, jää nähtäväksi. Ainakin kaikkiin henkilötiedon käsittelyä koskeviin uusiin sopimuksiin pitää tehdä lisäyksiä.

Koska yrityksesi on jo nykyisellään noudatettava Suomen henkilötietolain yrityksille asettamia vaatimuksia, Euroopan Unionin laajuisen tietosuoja-asetuksen vaatimukset saattavat hyvinkin olla suurimmaksi osaksi jo toteutettu yrityksessäsi! Voit itse arvioida alustavasti oman yrityksesi nykytilaa ja valmiutta tietosuoja-asetuksen vaatimuksiin vastaamalla seuraaviin kysymyksiin:

• Onko yrityksessä selkeä käsitys mitä henkilötietoa yrityksessä tallennetaan ja käsitellään (henkilötietoa jolle yritys on lainsäädännössä määritelty rekisterinpitäjä tai tiedon käsittelijä)?
• Onko yrityksessä määritelty henkilötiedon käsittelylle lainsäädännön vaatima käyttötarkoitus (onko yrityksellä luotuna nykyisen lainsäädännön mukainen henkilötiedon käsittelyä koskeva rekisteriote kaikista erilaisista henkilötietovarastoista)?
• Onko yrityksessä luotu selkeät kirjalliset ohjeet henkilötietojen käsittelyn osalta ja onko yrityksen henkilökunta ja mahdolliset henkilötietojen käsittelyyn osallistuvat alihankkijat koulutettu noudattamaan näitä ohjeita?
• Onko yrityksen henkilötietoja käsittelevien työntekijöiden ja mahdollisten alihankkijoiden pääsy henkilötietoihin riittävällä tavalla rajoitettu ja valvottu (ovatko henkilötietoa sisältävien järjestelmien käyttöoikeudet ja niiden myöntämiseen käytettävät prosessit määritelty ja säännöllisessä käytössä)?
• Onko yrityksen tietojärjestelmät suojattu ulkopuoliselta pääsyltä riittävällä tavalla (onko yrityksen tietojärjestelmien suojauksessa käytetty ajanmukaisia teknisiä suojauskeinoja)?
• Onko yrityksessä luotu kattava tietoturvapolitiikka ja onko yrityksen henkilökunta sekä mahdolliset alihankkijat koulutettu toteuttamaan kyseisen tietoturvapolitiikan määräyksiä ja ohjeita?

Valmistautuminen

Jos vastauksesi yllä oleviin kysymyksiin ovat kaikkiin ”kyllä” niin valmistautuminen yrityksessäsi voi olla suhteellisen vaivaton toimenpide. Jos taas vastauksesi ovat enemmänkin ”ei” niin valmistautumiseen kannattaa varata jonkin verran aikaa ja resursseja. Tosin tässä jälkimmäisessäkin tapauksessa täytyy muistaa se että tietosuoja-asetuksen vaatimukset tulee toteuttaa organisaatiossa siten, että toimenpiteet suhteutetaan yrityksen kokoon ja liikevaihtoon sopiviksi. Ei kannata tehdä maailman hienoimpia (ja siten myös kalliita) tietoturvan ja -suojan ratkaisuja jos siihen ei ole tarvetta, tai edes mahdollisuutta organisaation koon takia!

Tietosuoja-asetuksen uudet vaatimukset organisaatioille eli siis nykyisen Suomen henkilötietolain vaatimusten lisäksi tulevat uudet vaatimukset ovat käytännössä seuraavat:

• Organisaatiolla on todistusvastuu siitä että tietosuoja-asetuksen vaatimuksia noudatetaan organisaatiossa. Tätä varten on hyvä olla tietosuoja-asetuksen vaatimuksia vastaavat todisteet eli dokumentaatio ja prosessikuvaukset koottuna mahdollisia viranomaispyyntöjä varten.
• Henkilöllä on jatkossa oikeus pyytää henkilötietonsa poistettavaksi (ellei sopimuksen toteuttamien tai toinen lainsäädäntö toisin määrää henkilötiedon käsittelystä) tai siirrettäväksi toisen palveluntarjoajan järjestelmiin. Jo nykyisen lainsäädännön nojalla henkilöllä on oikeus nähdä mitä hänestä on tallennettu (mukaan lukien digitaalinen ja paperiaineisto) ja oikeus pyytää tietoihin korjauksia.
• Organisaation tulee ilmoittaa henkilötietojen käsittelystä selkeällä ja läpinäkyvällä tavalla eli kertoa tietojen käsittelyyn liittyvistä käytännöistä ja henkilötiedon suojaamisesta esimerkiksi luomalla tietosuojaseloste ja asettaa se näkyville yrityksen verkkosivustolle.
• Organisaation tulee yksilöidä sopimusteksteissä henkilötietojen käsittelyyn liittyvät rekisterinpitäjän ja henkilötietojen käsittelijän vastuut niissä tapauksissa joissa henkilötietojen käsittelyä ulkoistetaan palveluntarjoajalle.
• Organisaation tulee arvioida tietoturvaan ja tietosuojaan liittyviä riskejä, dokumentoida ne ja suunnitella mahdollisia toimenpiteitä tunnistettujen riskien prioriteetin mukaisesti. Säännöllisesti toistettava riskien tunnistamien, arviointi, toimenpiteiden suunnittelu ja toteutus tulee ottaa osaksi organisaation normaalia toimintatapaa.
• Organisaation tulee luoda prosessi tietovuotojen viranomaisilmoitusten tekemiseen (rekisterinpitäjän on ilmoitettava tietovuodoista hallinnollisten sakkojen uhalla viranomaisille 72 tunnin kuluessa tietovuodon havaitsemisesta)

Perehdy rauhassa

Luonnollisesti tietosuoja-asetuksen 99 artiklaa sisältävät monia yksityiskohtia ja organisaatioiden jotka käsittelevät suuria määriä henkilötietoa, tai käsittelevät arkaluonteisiksi määriteltyjä henkilötietoja, on syytä tutustua lainsäädännön yksityiskohtiin hieman tämän artikkelin tietoja perusteellisemmin.

Joka tapauksessa yrittäjän ei kannata lähteä, ainakaan suin päin, tilaamaan myyntimiesten mahdollisesti ehdottamia tietosuojan toteutumista arvioivia tutkimuksia, tai ainakaan uskoa jos myyntimies kertoo tietosuoja-asetuksen vaativan yritykseltäsi vaikkapa kalliin tietoturvasertifikaatin hankkimista! Nämä voivat joissakin rajatuissa tapauksissa, yleensä isompien yritysten osalta, olla kannattava sijoitus ja joskus myös yrityksen omien asiakkaiden vaatimus. Suurimmassa osassa yrityksiä kuitenkin riittää se että pystyy vastaamaan ”kyllä” yllä esitettyihin kysymyksiin ja luo yksinkertaiset, mutta toimivat, prosessit toteuttamaan tietosuoja-asetuksen uusia vaatimuksia ja dokumentoi ne riittävällä tasolla sekä käytännön ohjeistukseksi henkilökunnalle että todisteeksi viranomaisille.

Ainiin, yksi tärkeä asia meinasi unohtua: tietosuoja-asetus astuu täyteen voimaansa 25.5.2018 ja tuolloin kaikkien henkilötietoja käsittelevien organisaatioiden olisi hyvä olla suurimmaksi osaksi valmiita tietosuoja-asetuksen vaatimusten toteuttamisessa, tai ainakin olisi hyvä olla olemassa suunnitelma niiden loppujen vaatimusten toteuttamiseksi jotka ovat vielä työn alla!