Tiesitkö, että EU:n uusi tietosuoja-asetus tulee vaikuttamaan kaikkiin yrityksiin Suomessa?
Sonera on nyt Telia.
Lakimies Kari-Matti Lehti kertoi Telia Cygaten aamiaistilaisuudessa EU:n uudesta tietosuoja-asetuksesta sekä siitä, miten se tulee vaikuttamaan kaikkiin suomalaisiin yrityksiin kokoluokasta riippumatta astuessaan voimaan keväällä 2018. Uuden asetuksen myötä esimerkiksi arkaluontoisia henkilötietoja ei saa luovuttaa vaikkapa amerikkalaisille tai intialaisille yhtiöille ilman, että rekisteröityä itseään on informoitu asiasta.
Mikä on henkilötieto?
Henkilötieto on mikä tahansa tietojoukko, joka voidaan yhdistää luonnolliseen henkilöön. Tällaiseksi katsotaan esimerkiksi valokuva, nimi, sähköpostiosoite, some-päivitys tai auton rekisterinumero. Digitalisaation myötä esimerkiksi paikkatietojen liittäminen luonnolliseen henkilöön kasvaa merkittävissä määrin, ja nämä katsotaan henkilötiedoksi, jota tietosuoja-asetus koskee.
Henkilötietolakia sovelletaan henkilötietojen joukkoon, jota käsitellään jossain määrin automaattisesti. Esimerkiksi pöytälaatikon pohjalla lojuvat käyntikortit eivät muodosta henkilörekisteriä, johon lakia voidaan soveltaa. Sen sijaan, jos kortit on lajiteltu aakkosjärjestykseen, ne muodostavat henkilörekisterin. Sähköisessä muodossa olevat henkilötiedot muodostavat lähtökohtaisesti aina henkilörekisterin.
Mikä uuden asetuksen myötä muuttuu?
Nykyisellään suomalainen yritys saa henkilötietolain rikkomisesta tiukkasävyisen kirjeen ohjeineen tietosuojavaltuutetulta. Uhkasakkoa voidaan käyttää tilanteessa, jossa kirjeen ohjeita ei noudateta ja henkilötietolain rikkominen jatkuu. Jatkossa yrityksille voidaan määrätä sakkoja perustuen yrityksen tai konsernin globaaliin liikevaihtoon. Lisäksi henkilötietojen käsittelijä voi joutua suoraan vastuuseen rikkomuksesta.
Kuka on rekisterinpitäjä ja henkilötietojen käsittelijä?
Rekisterinpitäjä on esimerkiksi oikeushenkilö, luonnollinen henkilö tai viranomainen, joka yksin tai yhdessä muiden tahojen kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Tietosuoja-asetuksen mukaan rekisterinpitäjällä on velvollisuus omata riittävä oikeusperusta henkilötietojen käsittelyyn (esimerkiksi suostumus tai lakisääteinen velvollisuus). Henkilötietoja saa kerätä vain tiettyä, nimenomaista ja laillista tarkoitusta varten ja tietojen tulee olla täsmällisiä, päivitettyjä ja tarpeellisia. Rekisterinpitäjän tulee toteuttaa riittävät toimenpiteet tietojen suojaamiseksi.
Henkilötietojen käsittelijä on esimerkiksi oikeushenkilö tai viranomainen, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Henkilötietojen käsittelijä on siten esimerkiksi palkkahallinnon ammattilainen tai tietotekniikan palveluntarjoaja, jonka järjestelmissä tiedot fyysisesti sijaitsevat. Nykyisellään henkilötietojen käsittelijällä ei ole suoraa omaa vastuuta, vaan rekisterinpitäjän on huolehdittava, että henkilötietojen käsittelijä noudattaa lakia henkilötietojen käsittelyssä. Uuden asetuksen myötä henkilötietojen käsittelijän on itse huolehdittava siitä, että lakia noudatetaan. Tämä tuo mukanaan myös haasteita – miten palveluntarjoaja voi vaikkapa varmistaa, että henkilötiedot ovat oikein ja tietokanta on laillisesti kerätty?
Uusi asetus kannattaa ottaa huomioon jo nyt esimerkiksi tuotekehityksessä. Tietosuoja, elinkaarimallit sekä henkilötietojen käsittelyn minimointi tulee rakentaa järjestelmiin sisälle. Moni palvelu tulee asetuksen myötä muuttumaan laittomaksi. Lisäksi yritykset tulevat todennäköisesti tarjoamaan asiakkailleen pelkistettyjä versioita palvelustaan sekä tuunattuja versioita, joiden käyttö edellyttää, että asiakas antaa suostumuksensa henkilötietojen käsittelyyn.
Sekä rekisterinpitäjällä että henkilötietojen käsittelijällä on velvollisuus rakentaa järjestelmät sellaisiksi, että niistä varmuudella pystytään poistamaan kaikki jäljet ihmisestä. Tietoja pitää myös pystyä siirtämään järjestelmästä toiseen ilman lisäkustannuksia rekisteröidylle. Tietojen tulee esimerkiksi olla siirrettävissä lääkäriasemalta toiselle. Myös tämä kannattaa huomioida sekä olemassa olevissa että uusissa järjestelmissä ja sopimuksissa palveluntarjoajien kanssa. Yritykset joutuvat asetuksen myötä käymään läpi nykyisen sopimuskantansa sekä järjestelmät. Ylimmän johdon on ehdottomasti oltava tietoinen asetuksesta sekä siihen liittyvistä rooleista, oikeuksista ja velvollisuuksista.
Henkilötietojen käsittelijällä ja rekisterinpitäjällä on asetuksen mukaan velvollisuus ilmoittaa tietoturvaloukkauksista eli tapauksista, joissa henkilötietoihin pääsee käsiksi taho, jolla ei ole laillista oikeutta käsitellä tietoja. Lisäksi henkilötietojen käsittelijä ja rekisterinpitäjä ovat velvollisia näyttämään toteen, että lakia on noudatettu.
– Mari Rihti työskentelee Soneralla B2B-sisältömarkkinoinnin asiantuntijana.