Uutta Tietosuoja-asetusta sovelletaan 25.5.2018 alkaen

Tietosuoja-asetus muuttui, miten tulee toimia?

Yleinen tietosuoja-asetus tuli voimaan toukokuussa 2016, mutta sitä sovelletaan 25.5.2018 lähtien. Siirtymäaika tarjoaa mahdollisuuden saada tietosuoja käytännöt ja järjestelmät asetuksen mukaisiksi ennen soveltamisen aloittamista.

Uusi tietosuoja- asetus korvaa aiemman henkilötietodirektiivin ja henkilötietolain. Koko asetuksen lähtökohtana on riskiperusteinen lähestymistapa, jotta mahdollisia tietovuotoja ei syntyisi.

Uusi asetus tiukentaa ja tarkentaa Henkilötietolain määräyksiä. Uutena asiana tietosuoja-asetukseen tulee yhteisösakko, joka voi olla jopa 4 % liikevaihdosta max. 20 milj.  Asetuksessa, ei riitä, että sitä noudatetaan vaan asiat pitää pystyä myös osoittamaan.

Tietosuoja-asetuksen tärkeimpiä termejä

-          Rekisteröity, henkilö kenen tiedoista on kyse

-          Henkilörekisteri, paperilla, ohjelmistossa tai tietokantana yms. muodossa säilytettävä joukko tietoa henkilöistä

-          Rekisterinpitäjä, yritys kenen kyseinen rekisteri on

-          Käsittelijä, yritys joka rekisterinpitäjän lukuun käsittelee tietoa

-          Käsittely, kaikki mitä tiedolle tehdään (kerätään, prosessoidaan, arkistoidaan, tuhotaan…)

Rekisteröidyllä on oikeus tietää, kuka tietoja käsittelee ja mitä tietoja rekisteröidystä kerätään. Rekisteröidyllä on oikeus tulla unohdetuksi. Arkaluontoisia tietoja saa käsitellä vain rekisteröidyn luvalla tai hänen edukseen. Arka-luontoiset tiedot on laissa ja asetuksessa lueteltu.

Mitä yrityksen tulisi tehdä ennen 25.5.2018?

Yrityksen tulisi kartoittaa mitä henkilötietoja yrityksessä käsitellään. Jotta yritys pysyy tekemään suunnitelman tietojen käsittelystä tietoryhmittäin, tulisi pohtia seuraavia asioita:

-          Mitä tietoja vastaanotetaan?

-          Mistä tietoja vastaanotetaan?

-          Missä muodossa vastaanotetaan tietoja?

-          Luokitus, onko tietoa arkaluontoinen vai normaali?

-          Miten tiedot suojataan?

-          Kuinka tietoja jatko käsitellään?

Henkilötietojen käsittelyn turvallisuus on varmistettava ja se on dokumentoitava. Kenellä yrityksessä on oikeus nähdä tiedot? Lisäksi työntekijälle on tehtävä ohjeistus, joka hänelle on annettava rekrytoitaessa. Ohjeistuksessa on kerrottava hänen oikeutensa, miten tietoa käsitellään ja kuka käsittelee.

Jotta yritys pystyy osoittamaan noudattavansa tietosuoja-asetusta, tulisi olla tarvittavat selosteet ja lomakkeet, joita ovat:

-          rekisteripitäjän seloste

-          käsittelijän seloste

-          käytävä läpi mitä tietoa annettava rekisteröidylle

-          tehtävä arkistointisuunnitelma

Tietosuojavastaavan valinta voi tulla kysymykseen, jos arkaluontoisten tietojen käsittely on laajamittaista tai yrityksessä on yli 250 työntekijää. Tietosuojavastaavan valintaan on tulossa vielä tarkennuksia lain valmistuessa.

Käsittelijän selosteessa tulee olla tiedot asiakkaan lukuun tehtävistä käsittelytoimista. Yleisluontoinen kuvaus prosesseista ja tiedot asiakaskohtaisista lisäpalveluista. Selosteessa tulee olla henkilötietojen käsittelijän nimi ja yhteystiedot sekä yleinen kuvaus turvatoimista.

Rekisterinpitäjän selosteessa eli yrityksen omassa selosteessa on käytännössä samat tiedot kuin käsittelijän selosteessa.

Tietoturvaloukkaukset, entä jos sellainen tapahtuu?

Yrityksen on ilmoitettava sille, kenen tietoja tilanne koskee ilman aiheetonta viivästystä. Ilmoitus on tehtävä viranomaisille 72 tunnin kuluessa. Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset ja loukkaukseen liittyvät seikat.

Yhteenvetona:

-          Käy yrityksen prosessit läpi

-          Laadi tarvittavat kuvaukset prosesseista

-          Laadi arkistointisuunnitelma

-          Laadi tarvittavat selosteet

-          Seuraa lainsäädännön valmistumista