GDPR-opas 1: Mikä on GDPR?

GDPR eli General Data Protection Regulation on uusi EU:n yleinen tietosuoja-asetus (EU-asetusnumero 2016/679). Se tuli voimaan huhtikuussa 2016 ja sitä alettiin soveltamaan 25.05.2018.

Käytännössä kaikkien organisaatioiden tulee noudattaa tietosuoja-asetusta toukokuusta 2018 alkaen, eli viimeistään silloin henkilötietojen käsittely tulee olla asetuksen vaatimalla tasolla. Tietosuoja-asetus on suoraan sovellettavaa EU-lainsäädäntöä kaikissa EU-jäsenvaltioissa. Tuosta päivämäärästä alkaen GDPR siis korvaa kaikkien Euroopan unionin jäsenvaltioiden kansalliset tietosuojalait, myös Suomen nykyisen henkilötietolain vuodelta 1999 (säädösnumero 523/1999).

GDPR:ään liittyvä tieto ja tulkinnat lisääntyvät koko ajan, mutta käytännön kokemuksia ja viranomaisen ennakkopäätöksiä saadaan vasta asetuksen astuttua voimaan.

Miksi se on laadittu?

1. Taustalla on tarve vastata teknologian kehitykseen, digitalisaatioon ja globalisaatioon liittyviin haasteisiin koskien henkilötietojen suojaa. Tavoitteena on yhtenäistää tietosuojaa koskevaa lainsäädäntöä Euroopan unionissa eli luoda yhdet yhteiset tietosuojapelisäännöt monikansallisille yrityksille. Asetuksen myötä henkilötietojen käsittelyn sääntely yhtenäistyy, kun sama asetus koskee kaikkia EU/ETA-jäsenmaita.

2. Tavoitteena on lisätä henkilötietojen käsittelyn avoimuutta ja läpinäkyvyyttä. Asetus parantaa yksilön perusoikeuksia ja -vapauksia sekä heidän oikeuttaan henkilötietojensa suojaan.

3. Tavoitteena on parantaa kuluttajien luottamusta digitaalisiin sisämarkkinoihin. Muun muassa EU:n sisällä toimivista verkkokaupoista tulee kuluttajille entistä luotettavampia henkilötietojen käsittelyn suhteen.

Keneen sillä on vaikutusta?

Asetus koskee sekä yksityistä että julkista sektoria. Käytännössä kaikkien organisaatioiden, joilla on tallessa henkilötietoja koskien yrityksen omaa henkilökuntaa tai muita sidosryhmiä, tulee noudattaa tietosuoja-asetusta. Ei ole merkitystä toimiiko yritys kuluttaja-asiakkaiden (B2C) vai yritysten (B2B) kanssa, samat säännöt koskevat kaikkia organisaatioita.

Mikä on muuttunut aikaisemmista säädöksistä?

1. Suurin muutos verrattuna aiempaan tietosuojalainsäädäntöön on osoitusvelvollisuus. Ei siis riitä, että organisaatio noudattaa tietosuojalainsäädäntöä, vaan sen on pystyttävä myös konkreettisesti osoittamaan se esimerkiksi dokumentaation avulla, kun aiemmin riitti vain asian sanallinen toteaminen.

2. Organisaatioilla on jatkossa myös velvollisuus ilmoittaa tietoturvaloukkauksista, mikä tarkoittaa, että yrityksellä tulee olla valmiudet tietoturvaloukkauksen havaitsemiseen, niistä ilmoittamiseen sekä vahinkojen minimoimiseen. Tietosuojaloukkaus voi olla esimerkiksi yrityksen asiakasrekisteriin murtautuminen. Rekisterinpitäjän tulee ilmoittaa tietoturvaloukkauksista tietosuojaviranomaiselle 72 tunnin sisällä loukkauksen havaitsemisesta sekä loukatuille rekisteröidyille mikäli kyseessä on korkea riski, kuten henkilötunnuksen joutuminen vääriin käsiin.

3. Henkilöllä on oikeus saada itseään koskevat tiedot tarkasteltavaksi ja hän voi pyytää niiden korjaamista tai poistamista. Pyyntöjen määrää on vaikea arvioida, mutta kannattaa varautua siihen, että niitä tulee jatkossa.

4. Valvovat viranomaiset voivat langettaa organisaatioille sanktioita laiminlyönneistä.

5. Henkilötietoja tulee säilyttää EU/ETA -alueella, jotta tietosuojan taso on varmasti tietosuoja-asetuksen mukainen. EU/ETA-alueen ulkopuolella on kuitenkin olemassa myös riittävän tietosuojatason maita, joissa on komission mielestä riittävän kattava tietosuojan taso. Näihin kuuluu esimerkiksi Yhdysvallat niin kutsutun Privacy Shield -sopimuksen kautta.

Mitä vaikutusta tällä on tavallisen suomalaisen PK-yrityksen arkeen?

Organisaatioiden tulee noudattaa henkilötietojen käsittelyssä tietosuoja-asetusta viimeistään 25.05.2018 alkaen.

Ylipäätään tietoturva- ja tietosuoja-asioiden kuntoon laittaminen on kaikkien organisaatioiden etu. Tässä tapauksessa lainsäätäjät ovat kuitenkin pitäneet huolen, että asetusta myös noudatetaan. Uudessa tietosuoja-asetuksessa on nimittäin varsin ponnekas kannustin: tietosuojaloukkauksista voi seurata yritykselle jopa 20 miljoonan euron tai liikevaihdosta 4 % suuruinen hallinnollinen seuraamusmaksu, kumpi tahansa on suurempi. Rangaistus on niin suuri, että se kaataa tai vähintäänkin rampauttaa suurimman osan suomalaisista PK-yrityksistä. Tietosuojarikkomuksesta voi raportoida valvovalle viranomaiselle kuka tahansa, joka päätyy yrityksen rekistereihin, kuten entinen asiakas tai työntekijä tai jopa kilpailija, joka on esimerkiksi tilannut uutiskirjeen nettisivuilta. Ei siis kannata tuudittautua siihen uskoon, ettei riski olisi todellinen.

Asetuksen noudattaminen tuo myös kilpailuetua, koska asiakkaat valitsevat todennäköisesti mieluiten toimittajan, joka osoittaa luotettavuutensa noudattamalla tietosuoja-asetusta. Tällaisen toimittajan tai palveluntarjoajan käyttäminen on yksi tietosuoja-asetuksen velvoitteista yrityksille ja organisaatioille.

Tietosuoja-asetus konkreettisesti

  1. Kuka tahansa yrityksen kanssa tekemisissä oleva henkilö voi pyytää omat tietonsa tarkasteltavaksi – esimerkiksi entinen työntekijä, asiakas tai markkinointiviestinnän vastaanottaja. Tiedot pitää luovuttaa kuukauden sisällä, selkolukuisessa muodossa ja rekisterinpitäjän on varmistettava rekisteröidyn henkilöllisyyden oikeellisuus ennen tietojen luovuttamista.
  2. Lisäksi tietosuojaloukkauksista, kuten esimerkiksi murroista organisaation asiakasrekisteriin, pitää ilmoittaa 72 tunnin kuluessa. Tässä ajassa pitää osata kertoa, mitä tietoja murtautuja on saanut käsiinsä. Eli tulee tietää, mitä henkilötietoa on joutunut vääriin käsiin, mitkä ovat sen todennäköiset seuraukset, kuinka tilanteeseen on varauduttu sekä mitä toimia sen tai haittavaikutusten ehkäisemiseksi on tehty.
  3. Henkilötietojen rekisteröimiseen pitää jatkossa olla selvästi osoitettavissa oleva suostumus (consent), jolla rekisteröity hyväksyy henkilötietojen käsittelyn.
  4. Tietosuoja-asetuksen yhteensopivuuden sekä noudattamisen osoitusvelvollisuus, jossa osana myös henkilötietojen käsittelystä sopiminen yrityksen tai organisaation toimittajien, palveluntarjoajien sekä muiden käsittelijöiden kanssa.

Mitä kaikkia tietoja  asetus koskee?

Henkilötiedoksi (personal data) luetaan kaikki tunnistettu tai tunnistettavissa oleva luonnolliseen henkilöön liitettävä tieto, kuten nimi (etu- ja sukunimi), osoite, puhelinnumero, sähköpostiosoite, henkilötunnus, IP-osoite, rekisteritunnus, kuva, sijaintitieto, kotiosoite ja pankkitieto.

Henkilöä, josta tällaisia tietoja on tallennettu, kutsutaan rekisteröidyksi (data subject).

Henkilötietoja on tyypillisesti kertynyt lukuisiin eri paikkoihin. Yrityksillä voi olla suuri työ selvittää, mitä henkilötietoa heillä on, missä tietoa on, kenellä on pääsy tietoihin ja kuinka tieto on suojattu. Käytännössä tietoja löytyy esimerkiksi asiakasrekistereistä, tiedotuslistoilta, tilausjärjestelmistä, omien työntekijöiden listauksista ja työterveyden arkistoista.

Mikäli henkilö itse pyytää, on hänelle kerrottava, mitä tällaisia tietoja hänestä on tallennettu ja mistä syystä.

Kuka on vastuussa tietojen suojaamisesta?

Tietojen käsittelyssä ja suojaamisessa erotellaan rekisterinpitäjä ja käsittelijä. On tärkeää huomata, milloin yritys on rekisterinpitäjä ja milloin käsittelijä, jotta vastuunjaosta ollaan selvillä. Rekisterinpitäjä (controller) on se taho, jota varten henkilötiedot tallennetaan rekisteriin ja on siis viimekäden vastuussa rekisterin sisältämistä tiedoista. Käsittelijä (processor) puolestaan käsittelee henkilötietoja rekisterinpitäjän lukuun. Molemmat ovat korvausvastuullisia. Käsittelijällä on myös velvollisuus auttaa rekisterinpitäjää rekisteröityjen tietopyynnöissä sekä mahdollisten loukkausten selvittämisessä.

Rekisterinpitäjä ja käsittelijä ovat kyseessä esimerkiksi silloin, kun työvaateyritys saa asiakasyritykseltä heidän henkilöstönsä nimiä ja vaatekokoja työvaatetilauksen yhteydessä. Tällöin asiakasyritys on rekisterinpitäjä ja työvaateyritys käsittelijä. Työterveyden kohdalla tilanne on hieman monimutkaisempi, sillä yritys on rekisterinpitäjä luovuttaessa työntekijän tietoja työterveydelle, joka toimii tässä tilanteessa käsittelijänä. Mutta työterveydestä tulee rekisterinpitäjä, kun se muodostaa työntekijästä terveystietoa, jota taas yritys ei saa käyttöönsä.

Jokaisen rekisterin kohdalla on hyvä miettiä, kummassa roolissa organisaatio toimii. Käsittelijä ja rekisterinpitäjä sopivat keskenään henkilötiedon käsittelystä, mutta asetus asettaa sopimukselle tiettyjä sisältövaatimuksia. Sopimuksesta tulee käydä ilmi esimerkiksi se, miten rekisteröidyn oikeus tietojen tarkastukseen, korjaamiseen ja poistoon käytännössä toteutetaan.

Kuka valvoo asetuksen noudattamista?

Suomessa valvontaviranomainen on Tietosuojavaltuutetun toimisto. Käynnissä on kuitenkin valvontaviranomaisen toiminnan uudelleenjärjestäminen. Yleisen tietosuojalain myötä Suomessa tietosuojaviranomainen on jatkossa Tietosuojavirasto, jonka alaisuudessa toimii Seuraamuslautakunta.

Apua tietosuoja-asioiden saattamiseksi uuden asetuksen vaatimalle tasolle saa monilta eri toimijoilta, kuten lakitoimistoilta ja ICT-asiantuntijoilta.

GDPR-opas 2: PK-yritys ja tietosuojalainsäädäntö

Toisessa GDPR-oppaassamme pureudumme tarkemmin siihen, mitä PK-yritys voi tehdä täyttääkseen eurooppalaisen tietosuoja-asetuksen vaatimukset.


Lataa ilmainen opas

IT-kilpailuttamisen opas

Pilvipalvelintilan ostajan-opas

PK-yrityksen tietoturvaopas

Varaa 30 minuutin keskusteluaika asiantuntijamme kanssa!

Mietitään yhdessä yrityksesi tilanteeseen sopivat ratkaisut, joilla lisätään työtehoa ja poistetaan tietotekniikkamurheet. Pääset samalla kysymään kaikki mieltäsi askarruttavat kysymykset. Täytä lomake niin olemme sinuun yhteydessä ajan sopimiseksi. Mikäli sinulla on kysymys asiakastukeemme, katso yhteystiedot täältä!