Tietosuoja-asetus GDPR tulossa 2018

6 loka 2017 • Trendit ja signaalit

Paljon puhutulla GDPR:llä (General Data Protection Regulation) tarkoitetaan EU:n tietosuoja-asetusta, jonka Euroopan Unioni hyväksyi (koko EU:n kattava) 24.5.2016 kahden vuoden siirtymäajalla – tärkeä päivämäärä muistaa onkin 25.5.2018, jolloin tämä uusi asetus astuu voimaan. Asetus sisältää useita kohtia, jotka vaativat aktiivista työtä useimmilta yrityksiltä. Noudattamattomuus voi johtaa 20 m€ maksimisakkoon tai 4 % osuuteen yrityksen globaalista liikevaihdosta sakon muodossa.

Tämän asetuksen ja sen vaatimuksien mukainen toiminta tulee myös pystyä todistamaan, pelkkä noudattaminen ei siis enää riitä. Hyvä olisi myös huomioida yrityksen yleisen tietoturvatason toteutumisesta nykyaikaisesti ja parhaaksi todettujen käytäntöjen mukaisesti.
Muutamia avaintermejä selitettynä:

GDPR = General Data Protection Regulation
Henkilötieto = kaikki tunnistettava luonnollista henkilöä koskeva tieto
Tietosuojavastaava = henkilö, joka vastaa organisaation tietosuoja-asetuksen toteutumisesta
Rekisteröity = henkilö, jonka tietoja käsitellään
Rekisteri = jäsennelty tietojoukko, joka sisältää henkilötietoja
Rekisterinpitäjä = taho, joka määrää henkilötietojen käsittelyn tarkoitukset ja keinot
Käsittelijä = taho, joka käsittelee henkilötietoja rekisterinpitäjän mukaan
Tietotilinpäätös = vapaaehtoinen raportti, joka antaa kokonaiskuvan organisaation tietojenkäsittelystä tällä hetkellä
Anonymisointi = tietojen tunnistettavuuden poistaminen
Suostumus = vapaaehtoinen, tietoinen, yksilöity ja yksiselitteinen ilmaisu, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn

Lyhyesti taustoista

Tietoturvallinen henkilötietojen käsittely ei ole uusi asia mutta sen merkitystä pyritään korostamaan tällä uudella asetuksella. Tarkoitus on suojella kuluttajia, asiakkaita, nopeasti muuttuvan teknologia-alan tuomilta muutoksilta – kansalaiset ovat siis tämän asetuksen keskiössä. Tietosuoja-asetus ja sen vaatimuksien mukaan yrityksen/toimijan tulee nimetä itselleen tietosuojavastaava, jos sen ydintehtävät muodostuvat henkilötietojen käsittelystä sekä se on laajamittaista (esim. sairaalat, pankit, jne.).
Tietosuojavastaava toimii sidoskohtana viranomaisiin ja vastaa asetuksen oikeaoppisesta noudattamisesta sekä sovittujen käytäntöjen toteuttamisesta käytännössä yrityksen sisällä. Kaikki alkaa yleensä kartoituksella tiedon määrästä ja siitä missä sitä säilytetään. Tietoturvarikkomukset tulee myös ilmoittaa 72 tunnin kuluessa rikkomuksen havaitsemisesta tietosuojavaltuutetulle sekä vakavammissa tapauksissa myös rekisteröidyille.

70 % on huolissaan siitä, että yritykset saattavat käyttää tietoja muuhun kuin siihen tarkoitukseen, johon ne on kerätty. (Lähde: Eurobarometri tietosuojasta, 2015)

Tiedonkäsittely ja tietosuoja-asetus

Henkilötiedoksi luokitellaan mikä tahansa tunnistettava ja yksilöivä tieto, esimerkiksi IP-osoite, nimi, puhelinnumero, käyttäjätunnus, henkilötunnus, sähköpostiosoite, jne. Mitä näihin henkilötietoihin itseensä tulee, on niiden siirtäminen ja säilyttäminen vapaata EU-alueen sisäpuolella. Siirrot alueen ulkopuolelle on mahdollista jatkossa vain erityisperustein. Alle 16-vuotiaiden henkilötietojen käsittely ei ole sallittua ilman vanhemman suostumusta mutta jäsenvaltioilla on mahdollisuus soveltaa alempaa ikärajaa, joka voi alimmillaan olla 13 vuotta.
Tiedon oikeaoppiselle käsittelylle ja arkistoinnille tulee aiempaa painavampi merkitys, kansalaisella on oikeus pyytää kaikkia syöttämiään tietoja järjestelmästä koneellisesti siirrettävässä muodossa. Tietosuoja-asetus määrää näin. Myös ”unohdetuksi tuleminen” tulee olla mahdollista eli tietojen täydellinen poistaminen kaikista yrityksen järjestelmistä. Tämä on haaste paperiarkistoinnille ja varmuuskopioiden säilyttämiselle.

Ei hätää, et ole yksin.

Kaikki tulevat uudistukset koskettavat kaikkia yrityksiä ja aikaa on vielä. Meidän oma GDPR-työryhmämme (johon myös itse kuulun) valmistelee ahkerasti yrityksemme yhteensopivuutta ja olemme valmiita auttamaan siinä myös SINUA. Nyt vain tuumasta toimeen ja odottelu sikseen!

Vielä kaksi linkkiä alkupisteeksi lisätutkimuksille: