23.1.2017

EU:n yleinen tietosuoja-asetus

Huhtikuussa 2016 hyväksyttyä EU:n yleistä tietosuoja-asetusta sovelletaan 25.5.2018 alkaen kaikissa EU:n jäsenvaltioissa.

Oikeusministeriö on asettanut työryhmän, jonka tehtävä on 31.5.2017 mennessä selvittää, miten Suomen lainsäädäntöä tulee tämän johdosta muuttaa.

Työryhmää on ohjeistettu ottamaan huomioon tavoite pidättäytyä kansallisesta lisäsääntelystä ja kiinnittämään huomiota mahdollisuuksiin luopua tarpeettomasta erityissääntelystä.

Samat säännöt koko EU:hun

Asetus tuo suomalaisille yrityksille sekä uusia etuja että uusia velvollisuuksia.

Kansainvälinen liiketoiminta muuttuu yksinkertaisemmaksi, kun erilaiset kansalliset tietosuojalait kumotaan ja samat tietosuojasäännöt pätevät kaikkialla EU:ssa mahdollisimman vähäisin poikkeuksin.

Tietosuojavastaavaa tarvitaan vaativissa tapauksissa

Rekisterinpitäjät, joiden toiminta edellyttää ihmisten säännöllistä ja järjestelmällistä seurantaa tai arkaluonteisten henkilötietojen käsittelyä, velvoitetaan nimittämään tietosuojalainsäädäntöä tunteva tietosuojavastaava yrityksen sisä- tai ulkopuolelta.

Korkeat riskit edellyttävät vaikutusten arviointia

Jos yrityksen suunnittelemaan toimintaan todennäköisesti liittyy korkeita riskejä, yritys velvoitetaan toteuttamaan tietosuojaa koskeva vaikutusten arviointi.

Sisäänrakennetun ja oletusarvoisen tietosuojan periaatteiden mukaisesti tietosuoja on otettava huomioon tiedonkäsittelytapoja suunniteltaessa ja oletusarvoisia tiedonkäsittelytapoja määritettäessä.

Oikeus omiin tietoihin laajenee

Ihmisten tiedonsaantioikeutta vahvistetaan määräyksillä, jotka koskevat heille annettavien tietojen sisältöä, toimitustapaa ja selkeyttä.

Kilpailun lisäämiseksi yrityksen on tarjottava ihmisille mahdollisuutta siirtää tietonsa sellaisenaan toisen yrityksen järjestelmään, jos tämä on toteutettavissa.

Myös oikeus kieltää omien tietojen käsittely laajenee.

Yrityksen on huolehdittava tietosuojasta sakon uhalla

Uusi tietosuoja-asetus perustuu osoitusvelvollisuuden (tilivelvollisuuden) periaatteeseen.

Yrityksen on jatkossa pystyttävä osoittamaan, että se on huolehtinut tietosuojaan liittyvistä velvoitteistaan, muun muassa tietoturvasta.

Laiminlyönnistä voi seurata vahingonkorvausvelvollisuus ja huomattava sakkomaksu.  Enimmillään hallinnollinen sakko voi olla 20 miljoonaa euroa tai 4 % yrityksen globaalista liikevaihdosta, näistä suuremman summan mukaan.

Myös alihankkijat ovat vastuussa käsittelemistään henkilötiedoista

Asetuksessa säädetään, että lakisääteinen vastuu tietoturvasta ja monesta muustakin asiasta kuuluu nyt myös sellaisille yrityksille, jotka käsittelevät henkilötietoja toiselta yritykseltä saadun toimeksiannon perusteella.

Sopimukset rekisterinpitäjien ja käsittelijöiden välillä on tehtävä kirjallisesti ja sopimusten sisällön on täytettävä tietyt vaatimukset.

Jos yritys käsittelee henkilötietoja toiselta yritykseltä saadun toimeksiannon perusteella, se ilmoittaa tietoturvaloukkauksesta tilaajalle ja tämä tekee tarvittavat ilmoitukset viranomaisille ja tarvittaessa myös rekisteröidyille henkilöille joiden tietosuoja on vaarantunut.

Yrityksen tulee ilmoittaa henkilötietojen vuotamisesta nopeasti

Tietosuoja-asetus tuo yrityksille velvollisuuden ilmoittaa henkilötietoihin kohdistuneista tietoturvaloukkauksista, esimerkiksi tietojen joutumisesta hakkerien käsiin.

Tällainen velvollisuus on aikaisemmin ollut muun muassa sähköpostipalveluntarjoajilla, mutta nyt ilmoitusvelvollisuuden piiriin tulevat kaikki yritykset.

Henkilötietoihin kohdistuneista tietoturvaloukkauksista on ilmoitettava viranomaisille 72 tunnin aikana loukkauksen tultua ilmi ja joissakin tilanteissa myös niille henkilöille, joiden henkilötiedoista on kyse.

Velvoitteet tarkentuvat tulevaisuudessa

Asetustekstistä ei vielä selviä, mitä monet tietosuojaan liittyvät velvoitteet tarkoittavat käytännössä.

Tarkoituksena onkin, että tarkempia ohjeita sisältyy esimerkiksi kattojärjestöjen laatimiin käytännesääntöihin tai sertifiointielinten myöntämiin sertifiointeihin.

Tietoturvaa koskevat velvoitteet tarkentuvat asetuksen myötä.

Asetuksessa mainitaan esimerkkeinä

  • henkilötietojen pseudonymisointi ja salaus
  • järjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus
  • tietojen nopea palautettavuus vian sattuessa
  • säännöllinen testausmenettely.

Mitä tietosuoja ja tietoturva tarkoittavatimage003?

Sanat ”tietosuoja” ja ”tietoturva” kuulostavat samanlaisilta mutta tarkoittavat kahta eri asiaa.

Sana ”tietosuoja” viittaa ihmisen oikeuksiin, jotka koskevat hänen henkilötietojensa käsittelyä. Henkilötietojen käsittelyssä on kunnioitettava ihmisten yksityisyyttä ja oikeutta määrätä itse tietojensa käytöstä.

”Tietoturva” puolestaan tarkoittaa minkä tahansa tiedon turvaamista muun muassa tuhoutumisen ja luvattoman käytön varalta. Henkilötietojen käsittelyä koskevat tietoturvavaatimukset ovat osa tietosuojaa, sillä ihmisillä on oikeus odottaa, että heidän tiedoistaan pidetään hyvää huolta. Tietoturvajärjestelyjä tarvitaan luonnollisesti myös kaiken muun sähköisen tiedon suojelussa.

© 2022 Asianajotoimisto Lindblad