EU:n tietosuoja-asetuksen muutos on ollut laajamittainen uudistus, joka asettaa uusia vaatimuksia henkilötietojen käsittelylle yrityksissä ja organisaatioissa. Asetus on virallisesti hyväksytty 14. huhtikuuta ja se astuu voimaan kahden vuoden siirtymäajalla keväällä 2018.
Tietosuoja-asetuksen muutoksella EU vastaa teknologioiden nopeaan kehitykseen, digitalisoitumisen haasteisiin ja parannetaan henkilötietojen suojaa verkkopalveluissa.
Tietosuoja-asetuksen mukana tulee uusia oikeuksia ja velvollisuuksia rekisterinpitäjille sekä henkilötietoja käsitteleville tahoille. Monelle ohjelmistoyritykselle muutos tarkoittaa sitä, että tarvitaan muutoksia sovelluksen ja organisaation toimintatapoihin.
Valmistaudu jo nyt
Uuteen asetukseen perehtyminen on syytä aloittaa viimeistään nyt, jotta organisaatiossa ehditään arvioimaan vaikutukset ja valmistautua uusiin velvoitteisiin.
Näin toimimalla organisaatio voi huomioida tietoturvallisuuden ja henkilötietojen suojan järjestelmäarkkitehtuurissa, palveluissa sekä kustannuksissa.
Uusi tietosuoja-asetus koskee kaikkia
Uusi EU:n tietosuoja-asetus tulee koskemaan kaikkia henkilötietojen käsittelyä EU:n jäsenvaltioissa. Näin ollen asetus tulee yhdenmukaistamaan eurooppalaista tietosuojakäytäntöä, joka tällä hetkellä on muodostunut jäsenvaltioiden omista epäyhtenäisistä toimintamalleista. EU:n ulkopuolisille toimijoille asetus pitää sisällään velvollisuuden noudattaa samoja säännöksiä tarjotessaan tavaroita ja palveluita EU:n kansalaisille.
Mikä muuttuu?
1. Tilivelvollisuus
Asetus perustuu suurelta osin tilivelvollisuuteen. Tämä vaatii rekisterinpitäjältä riskilähtöistä, ennakoivaa tietosuojan suunnittelua, varautumista sekä kykyä todistaa toimenpiteet.
Verkkopalvelun tuottajan näkökulmasta tilivelvollisuus tarkoittaa, että asetuksessa määritellyt velvollisuuksien tulee täyttyä niin järjestelmä- kuin organisaatiotasolla. Velvollisuuksien täyttyminen pitää pystyä osoittamaan viranomaisille.
2. Tietosuojavastaava
Rekisterinpitäjänä tai henkilötietojen käsittelijänä toimiviin organisaatioihin, joiden ydintoimintoihin kuuluvat rekisteröityjen henkilöiden järjestelmällinen seuranta tai arkaluontoisten henkilötietojen käsittely, tulee nimittää tietosuojavastaava.
Tietosuojavastaavaan tehtävänä on suunnitella, kehittää, varmistaa sekä valvoa tietosuojan toteutumista organisaation tuottamissa palveluissa. Tietosuojavastaavana voi toimia oman organisaation henkilö tai tämä voidaan ostaa palveluna ulkopuolelta.
Hyvänä lähtökohtana mielestäni toimii, että jokaisesta organisaatiosta löytyy tietosuojavastaava ja häneltä tarvittavat tiedot tietosuoja-asetuksesta.
3. Ilmoitusvelvoite henkilötietojen tietoturvaloukkauksesta
Henkilötietoihin kohdistuvista tietoturvaloukkauksista on ilmoitettava valvontaviranomaiselle viimeistään 72 tunnin kuluessa. Jos loukkauksesta on todennäköisiä haittavaikutuksia rekisteröidyille, on rekisterinpitäjän ilmoitettava tapahtuneesta rekisteröidylle.
Tämä voi esimerkiksi tarkoittaa verkkokaupan tarjoajalle, että palvelun tietoturvaa ja valvontaa on lisättävä, jotta mahdolliset tietomurrot huomataan ja niihin voidaan reagoida nopeasti.
4. Lasten henkilötietojen rekisteröinti
Jos verkkopalvelussa kerätään tietoja alle 16-vuotiaasta, rekisterinpitäjän tulee pystyä todentamaan, että tämä tapahtuu vanhempien luvalla. EU:n jäsenvaltiot voivat paikallisella päätöksellä alentaa tätä ikärajaa alimmillaan 13 vuoteen.
Lasten henkilötietoja joudutaan pohtimaan mm. monessa verkkokaupassa. Palveluntuottajan tulee arvioida, voidaanko luottaa alle 16-vuotiaan omaan ilmoitukseen vanhempien suostumuksesta.
5. Oikeus tulla unohdetuksi ja oikeus siirtää omat tiedot järjestelmästä toiseen
Rekisteröidyllä on oikeus vaatia omien henkilötietojensa poistoa, jos tietojenkäsittely ei ole enää tarpeellista tai käsittelylle ei ole enää laillisia perusteita olemassa. Poistamisen lisäksi rekisteröidyllä on oikeus saada rekisterinpitäjältä itseään koskevat tiedot yleisesti käytetyssä sähköisessä tai jäsennellyssä muodossa, jotta tiedot voidaan siirtää toiseen järjestelmään tai palveluun.
Tälläkin hetkellä palveluun rekisteröityneellä henkilöllä on ollut oikeus pyytää ja saada itseään koskevat tiedot palveluntuottajalta, mutta tietojen toimittamisen formaattia ei ole määritelty. Tiedot voi siis toimittaa esimerkiksi paperisena tulosteena rekisteröidylle. Monien palveluiden kohdalla muutos voi tarkoittaa, että rekisteröidyn tietoja pitää yhdistellä ja jäsenellä digitaalisesti luettavaa muotoon.
6. Hallinnolliset seuraamukset
Tietosuojasäännösten rikkomisesta viranomaiset voivat määrätä sakkomaksun, joka voi olla jopa 4 prosenttia organisaation liikevaihdosta.
7. Henkilötietojen luovutus ja siirtäminen ulkomaille
Asetuksessa vahvistetaan säännöt henkilötietojen siirtämiselle kolmansiin maihin ja kansainvälisille järjestöille. Henkilötietoja voidaan siirtää tietyillä edellytyksillä tai takeilla, etenkin jos komissio on tehnyt päätöksen tietosuojatason riittävyydestä.
Safe Harbor -järjestelmän nojalla tietojen siirtäminen EU:sta Yhdysvaltoihin on todettu pätemättömäksi perustuen EU-tuomioistuminen päätöksen 6.10.2015.
Miten kannattaa valmistautua?
Asetus tulee käyttöön siirtymäajan jälkeen keväällä 2018. Aloita asetukseen valmistautuminen jo hyvissä ajoin. Olen kerännyt alle muutamia ideoita siitä miten kannattaa lähteä liikkeelle.
- Tutustu uuteen asetukseen
- Selvitä missä organisaatiosi palvelimet ja data sijaitsevat.
- Ota uusi asetus huomioon koko järjestelmäarkkitehtuurissa.
- Varmista kokonaisuuden tietoturvataso ja miten sitä seurataan.
- Pohdi kuinka asiakastiedot voidaan toimittaa pyynnöstä rekisteröidylle.
- Mieti, miten todennat, että alaikäisellä on vanhempien lupa verkkopalvelun käyttöön.
- Selvitä, miten varmistua siitä, että rekisteröidyn tiedot on poistettu asiakkaan pyynnöstä järjestelmästä ja kuinka tämä vahvistetaan.