EU:n uusi tietosuoja-asetus koskettaa lähes jokaista yritystä ja yhdistystä
Jaa sivu:
Suomen oma tietosuojalaki tuli voimaan 1.1.2019
Samassa yhteydessä vahvistettiin myös valvova viranomainen, joka on tietosuojavaltuutettu.
Eduskunta hyväksyi GDPR:ää täydentävät tietosuojalait 13.11.2018
Eduskunta on hyväksynyt EU:n tietosuojapakettiin liittyvän tietosuojalain sekä lain henkilötietojen käsittelystä rikosasioissa.
Eduskunta tiedotti asiasta 13. marraskuuta 2018, ja tiedote on luettavissa myös tietosuojavaltuutetun toimiston sivulta tietosuoja.fi. Lait menevät vielä presidentin esittelyyn, jossa ne on mahdollista joko hyväksyä tai hylätä sellaisenaan.
Uusi tietosuojalaki täydentää ja täsmentää EU:n yleistä tietosuoja-asetusta (GDPR) ja sitä sovelletaan jatkossa GDPR:n rinnalla. Tietosuoja-asetus on jo itsessään suoraan sovellettavaa oikeutta, eikä sitä voi kokonaan korvata kansallisella lainsäädännöllä. Asetus kuitenkin antaa joissakin asioissa kansallista vapautta, minkä soveltamisesta säädetään uudessa tietosuojalaissa.
Henkilötietojen käsittely rikosasioissa on rajattu EU:n tietosuoja-asetuksen ulkopuolelle. Eduskunnan nyt hyväksymä uusi laki henkilötietojen käsittelystä panee täytäntöön rikosasioiden tietosuojadirektiivin. Se sisältää säännökset rekisteröidyn oikeuksista sekä rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuuksista.
Rikosasioiden suojadirektiivin tarkoituksena on esimerkiksi helpottaa tietojen vapaata liikkuvuutta EU-maiden poliisi- ja oikeusviranomaisten välillä sekä varmistaa henkilötietojen suoja rikosasioita käsiteltäessä. Sitä voidaan soveltaa esimerkiksi silloin, kun kyse on rikosten ennalta ehkäisystä, selvittämisestä, syytetoimista tai rikosasian käsittelystä tuomioistuimessa.
Mikäli presidentti allekirjoittaa lait, ne julkistetaan sen jälkeen kokonaisuudessaan.
Eduskunta hyväksyi lakiehdotukset hallintovaliokunnan mietintöjen HaVM 13/2018 ja HaVM 14/2018 mukaisina. Molemmat mietinnöt sekä kirjaston tietopaketti EU:n yleisen tietosuoja-asetuksen toimeenpanosta löytyvät alla olevista linkeistä.
Tietosuoja-asetus / GDPR – mitä tietosuoja-asetus tarkoittaa käytännössä?
Euroopan unionin yleinen henkilötietoja koskeva tietosuoja-asetus tuli voimaan toukokuussa 2016. Kaksi vuotta kestänyt siirtymäaika umpeutui 25.5.2018, ja sen jälkeen sitä ryhdyttiin soveltamaan täysimääräisesti.
Kaikissa henkilötietoja käsittelevissä organisaatioissa asioiden pitää olla asetuksen edellyttämässä kunnossa. Asetuksesta käytetään yleisesti lyhennettä GDPR (General Data Protection Regulation).
GDPR koskee kaikkia rekisterinpitäjiä, joilla on henkilödataa, myös yrityksen omasta henkilöstöstä kerättyjä tietoja. Viimekädessä tämän henkilödatan asetuksen mukaisesta käsittelystä vastaa organisaation johto. Johdolla ja esimiehillä on keskeinen rooli tietosuojan toteutumisessa, sillä he tekevät henkilötietoja koskevat päätökset – siis käyttävät rekisterinpitäjälle kuuluvaa valtaa.
Asetus vaatii reagoimista myös kunnilta, seurakunnilta, säätiöiltä sekä eri järjestöiltä, esimerkiksi urheiluseuroilta, poliittisilta järjestöiltä ja aatteellisilta yhdistyksiltä.
Suomi on yhdistysten luvattu maa: patentti- ja rekisterihallituksen rekisterin mukaan Suomessa oli vuonna 2016 kaikkiaan 137 890 yhdistystä – saman verran kuin Jyväskylässä on asukkaita.
Tietosuoja-asetus koskee lähes kaikkia yrityksiä, eikä se rajaa pois pienintäkään rekisterinpitäjää, joten niin henkilötietoja käsittelevien mikroyritysten kuin yhden miehen tai naisen palveluyrittäjienkin (esimerkiksi kirjanpitäjien, kampaajien, isännöitsijöiden, terapeuttien, kiinteistövälittäjien) on sitä noudatettava. Yli 90 prosenttia Suomen noin 300 000 yrityksestä on 1–9 henkilöä työllistäviä mikroyrityksiä.
(juttu jatkuu videon jälkeen)
Pro Pilvipalveluiden HSEQ-järjestelmä kalvosarjana
Olemme koostaneet ytimekkään kalvosarjan, jonka avulla voitte tutustua palvelutarjontaamme. Lataa pdf-muotoinen kalvosarja alla olevasta linkistä.
HSEQ-järjestelmä videona
www.propilvipalvelut.fi/pro-palveluiden-esittely
Mitä tietoja kerätään ja mihin tarkoitukseen?
Uusi tietosuoja-asetus on tehty ennen kaikkea suojaamaan yksityistä ihmistä. Yritysten, järjestöjen, julkishallinnon ja muiden organisaatioiden on pyydettäessä pystyttävä antamaan yksityishenkilölle kaikki ne tiedot, jotka yrityksellä on hänestä.
Käyttäjälle on myös tarjottava selkeästi mahdollisuus hyväksyä tai kieltää tietojen kerääminen.
Yrityksille ja muille henkilötietoja tallentaville organisaatioille – esimerkiksi sosiaaliselle medialle, ruokakaupoille, harrastusseuroille – se tarkoittaa muun muassa sitä, että rekisterinpitäjän on kyettävä tarvittaessa yksilöimään kaikki yksittäisestä ihmisestä kertyneet henkilötiedot koko tietomassastaan, ja pyydettäessä ne on siis pystyttävä myös poistamaan.
Tietosuoja-asetus velvoittaa dokumentointiin
Asetus edellyttää, että henkilötietorekisterin pitäjän on pystyttävä todistamaan, että sen keräämät henkilötiedot ovat ”asianmukaisia” ja rajoittuvat vain siihen, mikä on tiedon käsittelyn kannalta tarpeellista.
Uuden asetuksen myötä rekisteriselosteista on tultava kattavampia kuin aiemmin. Rekisteröitävälle on selosteessa ilmoitettava muun muassa henkilötietojen säilytysaika ja se, mihin ja miten tietoja käytetään.
Oleellinen muutos aiempaan vuonna 1995 hyväksyttyyn henkilötietodirektiiviin on se, että jokaisen henkilörekisteriä pitävän on pystyttävä dokumentein osoittamaan, että on noudattanut asetuksen velvoitteita.
Mitkä sitten ovat henkilötietoja?
Henkilötietoja ovat kaikki ne tiedot, joiden perusteella henkilö voidaan tunnistaa joko suoraan tai epäsuorasti. Nimi on tietenkin yksinkertaisin esimerkki, mutta myös henkilötunnus, puhelinnumero, sähköpostiosoite, veronumero ja sijaintieto ovat henkilötietoja.
Henkilötietoja sisältävät lisäksi muuan muassa työvuorolistat tai palkkarekisteri, valvontakameramateriaali, käyttäjätiedot ja vaikkapa ruokakauppojen kanta-asiakasohjelmat. Kaikki nämä ovat tietosuojalainsäädännön piirissä.
Tietoturva-asiantuntijat totesivat vielä vuoden 2018 alkupuolella, etteivät tietosuoja-asiat ole läheskään kaikilla tahoilla asetuksen edellyttämässä kunnossa. Tieto uudesta asetuksesta ei ole vielä tavoittanut kaikkia yrityksiä, järjestöjä ja organisaatioita.
Miten varaudun GDPR:ään?
Parasta, mitä yritykset voivat viimeistään nyt tehdä GDPR:n suhteen, on valmistautuminen ja ennakointi tulevaisuuden varalle. Viimeistään nyt on aika luoda vahva kivijalka, jolle tietoturva-asiat rakennetaan.
Käytännön työn kannalta on aivan ensimmäiseksi tärkeää selvittää, mitä henkilötietoja yrityksessä tai organisaatiossa ylipäätään käsitellään. Niitä käsitellään yllättävän monissa yhteyksissä jo aivan pienissäkin yrityksissä, joissa ollaan esimerkiksi tekemisissä asiakkaiden kanssa.
On nimiä, osoitteita, puhelinnumeroita, sähköpostiosoitteita, laskutusosoitteita, pankkiyhteyksiä jne. Tietoja on monien ihmisten hallussa ja monien laitteiden muisteissa. Osa tiedoista on paperiarkistoissa, ja uutta tietoa skannataan jatkuvasti näkyville.
GDPR:n tuomat haasteet ja ongelmat
Lähes kaikilla työpaikoilla on monia eri laitteita, joissa on tallentava muisti, ja niihin tallentuu henkilödataa. Esimerkkeinä voidaan mainita kopiokoneet ja tulostimet, jotka harvoin mielletään tietosuojan kannalta ongelmallisiksi.
GDPR:n mukaisiin vaatimuksiin sopeuduttaessa on käytävä läpi myös oman henkilöstön ja vieraiden kulunvalvonta ja henkilödatan näkyvillä olo omassa työpisteessä. Paperitulosteiden tuhoamiseksikin on syytä luoda käytänteet.
– Tärkeintä yrityksissä on aivan aluksi kartoittaa henkilödatan määrä ja sijainti ja tehdä sen kriittisyysluokittelu, sanoo tietoturva-asiantuntija, Principal Adviser Jarno Lindqvist SAS Institutesta.
Kartoitus on tehtävä myös esimerkiksi yhdistyksissä ja järjestöissä, joiden rekistereissä on runsaasti henkilötietoja. Tietoja käsittelevien luottamushenkilöiden koulutus ja vastuuttaminen tehtäviinsä on mittava urakka.
Organisaatioon on nimettävä tietosuojavastaava, jos sen ydintoimintoihin kuuluu arkojen henkilötietojen tai laajojen henkilötietorekistereiden käsittely. Tällaisia yrityksiä ovat esimerkiksi pankit, vakuutusyhtiöt sekä vartiointiliikkeet.
Asetus suosittaa, että tietosuojavastaava nimettäisiin kaikkiin yrityksiin. Ellei näin tehdä, organisaatiossa olisi kuitenkin hyvä olla tietosuojasta vastaava henkilö, joka toimii yhteyshenkilönä rekisteröidyn oikeuksiin ja viranomaisvalvontaan liittyvissä kysymyksissä.
Halu nähdä tai poistaa henkilötiedot kasvaa
Henkilötietoja kertyy paljon. Asetus koskee paitsi yrityksiä ja julkishallintoa myös esimerkiksi urheiluseuroja, poliittisia järjestöjä ja harrastusorganisaatioita.
Kaikkien näiden olisi selvitettävä, mitä mahdollisia muutoksia henkilötietojen suojalle, tietoturvalle ja niiden käsittelemisen käytänteisiin ja laitteistoihin tarvitaan.
Joidenkin mielipidekyselyjen perusteella näyttää siltä, että ihmisten kiinnostus omia tietojaan kohtaan on kasvanut. Henkilörekistereistä puhuttaessa unohtuu joskus, että erilaisilla järjestöillä on hallussaan valtava määrä henkilötietoja yksityisistä ihmisistä.
Tietosuoja-asetus toi mukanaan rajut pelotteet
Yrityksiä on peloteltu rajuilla rangaistuksilla, mikäli asetuksen vaateita ei noudateta. Totta on, että asetus sisältää rikkomuksista mittavat sakot: enintään 20 miljoonaa euroa tai 4 prosenttia edellisen tilikauden maailmanlaajuisesta liikevaihdosta, kumpi sitten onkin suurempi.
Ihan ensimmäiseksi yritys ei kuitenkaan joudu rangaistavaksi, vaikka tietotuoja-asetuksen jokainen pykälä ei olisikaan kohdallaan. Lainsäätäjällä on käytössään myös varoituksia, huomautuksia ja määräyksiä ennen koko arsenaalin laukaisemista. Valvontaviranomainen voi myös keskeyttää ja kieltää henkilötietojen käsittelyn.
Sakkojen pelotearvon uskotaan vaikuttavan niinkin, että yritykset jo imagosyistä pyrkivät pistämään asiansa järjestykseen välttyäkseen pahimmassa tapauksessa jopa taloudelliselta katastrofilta, johon esimerkiksi tietomurto voi johtaa.
Muutosten tekeminen on parasta varautumista myös tietoturvaloukkauksiin ja odottamattomiin tilanteisiin.
Vilkaistaanpa vähän omia tietoja
Kun joku haluaa ”vähän vilkaista” omia tietojaan, ei homma hoidu pelkällä vilauttamisella. Jonkun yrityksessä pitää tuolloin tietää, mitä kaikkia henkilöön liittyviä tietoja yrityksellä on tallennettu, ja missä ne ovat.
Rekisterin pitäjällä on valtava työ edessään, mikäli yksityiset ihmiset intoutuvat selvittämään, mitä kaikkea heistä on tallennettu erilaisiin asiakasrekistereihin. Asetus edellyttää myös henkilörekistereiden jatkuvaa huoltamista.
Yksittäisen ihmisen kiinnostus voi kohdistua vaikkapa entisen työpaikan työvuorolistoihin tai palkkatietoihin. Nämäkin yrityksen on kyettävä esittämään samoin kuin kaiken muunkin kysyjästä tallennetun tiedon. Tietoa voi olla esimerkiksi työntekijän osaamisvahvuuksista tai heikkouksista, kouluttautumisesta ynnä muusta.
Tietojen kaivaminen esiin ja niiden poistaminen ei käy hetkessä, varsinkaan, ellei tietohallinta ole ajan tasalla. Sen päivittämisestä aiheutuu eittämättä myös kustannuksia, joiden takaisin kuittaaminen voi olla vaikeaa.
Miksi GDPR-uudistus tehtiin?
Uusi asetus yhdenmukaistaa henkilötietojen käsittelyä koskevan lainsäädännön koko EU:n alueella. Sen ensisijainen tavoite on parantaa kansalaisten yksityisyyden suojaa ja luoda edellytyksiä EU:n sisäisille digitaalisille markkinoille. Tavoite on helpottaa markkinoilla toimivien yritysten toimintaa.
Myös unionin ulkopuolisten toimijoiden on taivuttava asetuksen vaatimuksiin, jos niillä on toimintaa EU:ssa.
Uudistuksen uskotaan myös lisäävän turvallisuutta. Vauhdilla digitalisoituva arki tuo tullessaan samaa vauhtia kasvavia uhkia, muun muassa jo aiemmin mainitut tietomurrot, joilla voidaan kaapata miljoonien ihmisten luottokorttitietoja ja salasanoja.
Asetuksen positiivinen puoli yritykselle ja yhdistyksille
Tietosuoja-asetuksen vaatimuksiin sopeutumisessa voi olla myös hyvä, jopa tuottava puoli. Kun yrityksen tietojärjestelmä joutuu läpivalaistavaksi, voi samalla löytyä turhia töitä ja ylimääräisiä kuluja aiheuttavia tai tuottamattomia teknisiä ratkaisuja, joista voidaan luopua.
Parhaassa tapauksessa muutos johtaa toimintatapojen ja järjestelmien tehostamiseen sekä paremmin yrityksen nykyisiä tarpeita vastaaviin ja kustannuksia alentaviin ratkaisuihin.
Tietosuojajärjestelmien ajantasaisuus voi olla myös kilpailuvaltti yritysten ja organisaatioiden keskinäisessä kaupankäynnissä. Jos ja kun henkilötietorekistereiden ylläpito tai käyttö ulkoistetaan, on palvelun ostajan voitava olla varma, että järjestelmät ja käytänteet ovat uuden lain mukaiset.
Tässä tapauksessa asiakkaan on myös voitava olla varma siitä, että järjestelmä pidetään jatkuvasti asetuksen vaatimusten tasalla.
Kybervakuutus tulee apuun
Kaiken voi vakuuttaa. Niin myös tietoturvan. Vakuutusyhtiöt ovat kehittäneet tuotteen myös tietoturvavahinkojen varalle. Yhtiöiden vakuutustarjonnassa tuotetta kutsutaan yleisesti kyber- tai tietoturvavakuutukseksi.
Vakuutus korvaa esimerkiksi liiketoiminnan keskeyttämisestä aiheutuvan taloudellisen vahingon, joka voi syntyä vaikkapa tietomurrosta, tietokoneviruksesta, palvelunestohyökkäyksestä tai haittaohjelmasta.
Tällöin minimissään edellytetään, että palomuuri on päivitetty ja virusohjelma on ajan tasalla ja että päivittäinen varmuuskopiointi on tehty asianmukaisesti. Sakkoja, viivästyssakkoja tai vastaavia vakuutus ei korvaa.
Uuden tietoturva-asetuksen laiminlyönnistä johtuvat tietoturvaan liittyvät vahingonkorvausvaateet voivat nousta yrityksen tai järjestön liikevaihtoon nähden kohtuuttomiksi esimerkiksi terveystietojen tai muiden kriittisiksi luokiteltavien tietojen vuotamisesta.
Kybervakuutusten markkinointi ja hankkiminen ovat uuteen tilanteeseen varauduttaessa vahvassa nousussa. Liikevaihdosta riippuen vakuutusmaksut alkavat alle 200 eurosta vuodessa.
Järkevä hinnoittelu!
Pro Tietosuoja on työkalu, jolla pystyt täyttämään tietosuoja-asetuksen asettamat vaatimukset.
Pro Tietosuoja -palvelun hinta
alk. 199 €
/vuosi/palvelu (alv. 0%)
Pro Tietosuoja -palvelu
Tästä voit katsoa Pro Tietosuoja -palvelun käytön nopean esittelyn videomuodossa.