Toukokuussa 2018 voimaan astuva GDPR (General Data Protection Regulation) eli EU:n tietosuoja-asetus on ollut tapetilla jo toista vuotta, mutta monille sen sisältö ja mukanaan tuomat muutokset ovat vielä kysymysmerkki. Tässä kirjoituksessa avaamme hiukan tietosuoja-asetusta ja sitä, miten sen voimaantulo tarkoittaa niin yritysten kuin yksityishenkilöidenkin kannalta.

Terminologiaa

GDPR = General Data Protection Regulation, tietosuoja-asetus

Henkilötieto = tieto, jonka perusteella henkilö voidaan yksilöidä, kuten nimi, osoite, puhelinnumero, syntymäaika, käyttäjätunnus, salasana ja IP-osoite

Rekisterinpitäjä = taho, joka vastaa henkilötietorekisteristä, esim. yritys, viranomainen tai laitos

Henkilötietojen käsittely = kaikenlaiset henkilötietoihin automaattisesti tai manuaalisesti kohdistettavat toimet, kuten henkilötietojen kerääminen, tallentaminen, järjestäminen, säilyttäminen, muokkaaminen, luovuttaminen ja poistaminen

Henkilötietojen käsittelijä = taho, joka käsittelee henkilötietoja rekisterinpitäjän toimeksiannosta, esim. digitaalisten palveluiden toimittajat

GDPR:n tavoitteet

Uuden tietosuoja-asetuksen tavoitteena on

  • yhtenäistää tietosuojakäytäntöjä kaikissa EU-maissa
  • parantaa henkilötietojen suojaa ja lisätä yksityishenkilöiden oikeuksia omiin tietoihinsa
  • vastata digitalisaatioon ja globalisaatioon liittyviin tietosuojakysymyksiin
  • edistää digitaalisten sisämarkkinoiden kehittymistä.

Lähtökohtaisesti tietosuoja-asetusta tullaan soveltamaan kaikkeen henkilötietojen käsittelyyn, ja sitä voidaan myös täydentää ja täsmentää kansallisella lainsäädännöllä.

Yrityksille velvoitteita, kuluttajille oikeuksia

Vaikka yrityksille GDPR tuo lisää velvoitteita, yhdenmukaisen lainsäädännön ansiosta palveluiden tarjoaminen Euroopan Unionin alueella helpottuu. Yrityksillä on osoitusvelvollisuus eli niiden on pystyttävä osoittamaan, että ne ovat huolehtineet henkilötietojen käsittelyn eri osa-alueista, kuten lainmukaisuudesta ja läpinäkyvyydestä, käyttötarkoitussidonnaisuudesta sekä eheydestä ja luottamuksellisuudesta.

Käytännössä tämä tarkoittaa, että useimpiin yrityksiin on nimettävä tietosuoja-asioista vastaava henkilö ja laadittava rekisteri- ja tietosuojaselosteet, joista käy ilmi, mitä henkilötietoja kuluttajista tallennetaan ja mihin tarkoitukseen niitä käytetään.

Paikalliset tietosuojaviranomaiset valvovat asetuksen noudattamista, ja sen noudattamatta jättämisestä voidaan rankaista jopa 20 miljoonan euron sakoilla, joten muutokseen on syytä paneutua.

Kuluttajien kannalta henkilötietojen käsittely muuttuu läpinäkyvämmäksi; kuluttajilla on jatkossa oikeus tarkistaa, mitä tietoja heistä on tallennettu esimerkiksi verkkopalveluihin, ja tulla myös unohdetuksi eli pyytää henkilötietojen poistamista eri rekistereistä.

Muistilista rekisterinpitäjille

Tietosuoja-asetukseen valmistautuminen kannattaa aloittaa mahdollisimman pian, sillä toukokuu on täällä ennen kuin huomaatkaan!

  1. Selvitä, onko organisaatioosi nimettävä tietosuojavastaava. Jos esimerkiksi kohdistat mainontaa kuluttajien verkkokäyttäytymisen perusteella, tietosuojavastaava on nimettävä.
  2. Selvitä, miten ja millä perusteilla henkilötietoja käsitellään organisaatiossasi, ja dokumentoi prosessi.
  3. Arvioi henkilötietojen käsittelyyn liittyvät riskit ja selvitä, miten ne voitaisiin minimoida.
  4.  Huolehdi tietoturvasta ja valmistaudu tiedottamaan mahdollisista tietoturvauhista.
  5. Jos organisaatiosi on ulkoistanut henkilötietojen käsittelyyn liittyviä tehtäviä, varmista, että sopimukset vastaavat asetuksen ehtoja.

Lähteitä:

Miten valmistautua EU:n tietosuoja-asetukseen?
Tietosuojatieto