Mitä on tietosuoja-asetus

Euroopan unionin tietosuojalainsäädäntö uudistui, kun yleinen tietosuoja-asetus tuli voimaan 24. toukokuuta 2016, siirtym’aika päättyi 25. toukokuuta 2018 alkaen, jolloin henkilötietojen käsittelyn on oltava tietosuoja-asetuksen mukaista.

Tietosuoja-asetus koskee kaikkia sen soveltamisalaan kuuluvia henkilötietoja käsitteleviä organisaatioita niin rekisterinpitäjiä kuin henkilötietojen käsittelijöitä.  Asetusta sovelletaan niin yksityisellä kuin julkisella sektorilla riippumatta esimerkiksi henkilötietojen käsittelyn laajuudesta, käsiteltävien henkilötietojen luonteesta tai käytetystä teknologiasta. Käytännössä yksityispuolella siis kaikki yritystoimintaa harjoittavat tahot ovat tietosuoja-asetuksen määräysten piirissä.

Tietosuoja-asetusta sovelletaan henkilötietojen käsittelyyn, kun henkilötiedot muodostavat henkilörekisterin tai sen osan. Henkilörekisteri on kyseessä silloin kun tietojoukosta pystytään yksilöimään yksittäinen ihminen. Esimerkki: jos sinulla lukee jossain Matti Mäkinen, kyse ei ole henkilörekisteristä, koska ei voida yksilöidä tiettyä Matti Mäkistä kaikista Suomen Mäkisen Mateista. Jos samassa yhteydessä on Matin puhelinnumero tai sähköpostiosoite tai työpaikan nimi – tällöin on juuri tietty Matti Mäkinen yksilöitävissä ja sinulla on siis henkilörekisteri. Tällöin kaikki EU:n tietosuoja-asetuksen (ja Suomen tietosuojalainsäädännön) vaatimukset koskevat tuota henkilörekisteriä.

Organisaation on tietosuoja-asetuksen vaikutuksia arvioidessaan hahmotettava kokonaiskuva henkilötietojen käsittelyn nykytilasta. Organisaatio voi esimerkiksi kuvata, mitä henkilötietovarantoja sen hallussa on, miten tietosuojaperiaatteet on otettu huomioon, toimintaan liittyvät henkilötietovirrat, henkilötietojen käsittelyn oikeusperusteet, miten tietoturvasta on huolehdittu ja miten henkilötietojen käsittelyyn liittyvä riskienhallinta
on toteutettu.

Osoitusvelvollisuuden toteuttaminen edellyttää uudenlaista suhtautumista tietosuojaa koskeviin kysymyksiin, koska organisaatiolla on oltava kyky osoittaa noudattavansa asetusta henkilötietoja käsitellessä sekä toteuttavansa tietosuojaperiaatteita myös käytännössä. Tämä on keskeinen muutos, koska henkilötietolain aikana on riittänyt,
että säännöksiä noudatetaan.

Osoitusvelvollisuus edellyttää käsittelyyn liittyvien prosessien sekä tietosuojaperiaatteiden käytännön toteuttamisen dokumentointia.

Henkilötietojen käsittelyn oikeutus perustuu joko lainsäädännölisiin tai muihin vastaaviin määräyksiin tai siihen että henkilöltä saadaan vapaaehtoinen suostumus henkilötietojen käsittelyyn. Yritystoiminnassa esimerkiksi asiakkaan yhteyshenkilö on olellinen ja mahdollisesti sopimuksellinen peruste, tällöin ei tarvita erillistä suostumusta. Esimerkki suostumuksesta voisi olla vaikkapa urheiluseuran jäsenrekisteri. Jos henkilötietoja käsitellään suostumuksen perusteella, on kiinnitettävä huomiota siihen, miten suostumus pyydetään. Asetuksen mukaan suostumus on annettava selkeästi suostumusta ilmaisevalla toimella, kuten kirjallisella, sähköisellä tai suullisella lausumalla. Dokumenttipaketissamme on kaikki tähänkin asiaan liittyvät lomakkeet ohjeineen ja esimerkkeineen.

Osana henkilötietojen käsittelyä koskevan toiminnan arviointia on myös huomioitava, ulkoistetaanko tietojen käsittelyyn liittyviä tehtäviä henkilötietojen käsittelijälle. Tällä tarkoitetaan esimerkiksi tietojen säilytys- ja analysointipalveluiden ostamista toiselta organisaatiolta, vaikkapa kirjanpitäjän toimintaa. Rekisterinpitäjän on tunnistettava tietosuoja-asetuksen vaatimukset henkilötietojen käsittelyn ulkoistamiselle, sillä tietosuoja-asetuksessa henkilötietojen käsittelijän roolia ja velvoitteita on terävöitetty henkilötietolakiin nähden. Tietosuoja-asetuksessa säädetään myös muun muassa siitä, mistä seikoista rekisterinpitäjän ja toimeksisaajan välisissä toimeksiantosopimuksissa on erityisesti sovittava. Asianmukaiset ohjeet lomakkeineen dokumenttipaketissa.

Asetuksessa säädetään rekisteröidyn oikeudesta saada pääsy tietoihin, jota koskeva sääntely on hieman yksityiskohtaisempaa henkilötietolain mukaiseen tarkastusoikeuteen nähden. Asetuksen mukaisen oikeuden nojalla rekisteröidyllä on oikeus saada jäljennös häntä koskevista henkilötiedoista. Jos rekisteröity esittää oikeutta koskevan pyynnön sähköisesti, rekisterinpitäjän on toimitettava tiedot yleisesti käytetyssä sähköisessä muodossa kuukauden sisällä.

Tietosuoja-asetus takaa rekisteröidylle tietyin poikkeuksin oikeuden tietojen oikaisemiseen sekä oikeuden tietojen poistamiseen eli niin kutsutun oikeuden tulla unohdetuksi. Ohjeet ja lomakkeet tietojen oikaisemisesta tai muuttamisesta sekä mahdollisuudesta kieltäytyä tästä ovat dokumenttipaketissamme.

Rekisterinpitäjän tai henkilötietojen käsittelijän on arvioitava henkilörekisterin käsittelyyn liittyvät riskit ja toimittava näiden riskien lieventämiseksi. Toimenpiteiden avulla varmistetaan asianmukainen turvallisuustaso, kun otetaan huomioon uusin tekniikka ja toteuttamiskustannukset suhteessa tietojenkäsittelyn riskeihin ja suojeltavien henkilötietojen luonteeseen. Käytännössä hyvä tapa tämän selvittämiseksi on esimerkiksi auditointi tai erillinen riskien arviointi. Työkalut tähän löytyvät dokumentaatiopaketistamme.