Monessa yrityksessä on alkanut keskustelu siitä, mitä uusi tuloillaan oleva eurooppalainen tietosuojasäännöstö (GDPR) tuo tullessaan. Nyt on luonnollinen ajankohta selvittää ja miettiä, miten tietosuoja-asiat yrityksessäsi hoidetaan ja mihin kaikkeen pitää jatkossa varautua. EU on julkaissut uuden tietosuoja-asetuksen ja -direktiivin. Uuden tietosuoja-asetuksen soveltaminen alkaa 25.5.2018. Mikä oikein muuttuu?
Uusi tietosuoja-asetus koskee henkilötietojen käsittelyä EU:ssa. Se on suoraan sovellettava eli sitä ei saateta erikseen voimaan Suomessa tai muissa EU-maissa. Näin pyritään yhdenmukaistamaan eurooppalaista tietosuojasääntelyä. Tällä hetkellä voimassa oleva tietosuojadirektiivi on yli 20 vuotta vanha ja sitä sovelletaan epäyhtenäisesti eri EU:n jäsenmaissa. Uudet säännökset tuovat tähän selkeän parannuksen. Yhtenäisillä säännöksillä pyritään myös tukemaan rajojen yli tapahtuvaa kauppaa lisäämällä muun muassa luottamusta verkkokauppaan.
Uudistuksen lähtökohtana on henkilötietojen käsittelyyn liittyvät riskit. Näin on pyritty välttämään vähäriskisten toimintojen ylisääntelyä. Toisaalta on haluttu taata henkilötietojen suojan korkea taso, erityisesti kun tietoja käsitellään korkean riskin toiminnassa. Korkeariskistä on esimerkiksi yksilön terveystietojen käsittely. Rekisterinpitäjä ja henkilötietojen käsittelijä velvoitetaan ottamaan huomioon kulloinkin käsiteltävinä oleviin tietoihin liittyvä riski ja toimimaan sen mukaisesti.
Uusi säännöstö koskee kaikkia toimijoita EU:ssa. Nyt on oikea aika alkaa opetella yhteisiä uusia pelisääntöjä ja miettiä, miten tietosuoja voisi auttaa ja toimia yrityksen liiketoiminnan edistäjänä. Kun yritys on hoitanut oman tietosuojansa hyvin, tukee se parhaimmillaan yrityksen liiketoimintaa ja omalta osaltaan vahvistaa kuluttajien luottamusta.
Melkein kaikki yritykset käsittelevät henkilötietoja. Niitä löytyy yritysten asiakas- ja markkinointirekistereistä kuten myös omia työtekijöitä koskevista rekistereistä. Uusi asetus sisältää tietyille toimijoille velvoitteen tehdä henkilötietojen käsittelyä koskevan vaikutusarvioinnin eli DPIA:n, joka tulee englannin kielen sanoista Data protection impact assessment. Siinä arvioidaan henkilötietojen käsittelyn tarpeellisuutta, riskejä ja sitä, miten riskejä voidaan vähentää sekä miten niihin voitaisiin puuttua. Vaikka yritys ei olisikaan velvollinen tekemään uuden asetuksen mukaista vaikutusarviota, kannattaa selvittää ja arvioida uusien vaatimusten valossa oman yrityksen henkilötietojen käsittelyn nykytila. Selvitys voisi kohdistua siihen, mitä henkilötietoja yrityksessä käsitellään ja miten tällä hetkellä toimitaan voimassa olevan henkilötietolain mukaisesti. Harvalla yrityksellä kaikki GDPR:n vaatimukset toteutuvat täydellisesti, joten hyvin monelle yritykselle on luvassa toimenpiteitä.
Uuden asetuksen myötä yksilön oikeudet vahvistuvat. Henkilöä, jonka henkilötiedot on tallennettu rekisteriin, kutsutaan rekisteröidyksi. Hänen oikeutensa säilyvät pääsääntöisesti voimassa aivan kuten nyt henkilötietolain mukaisesti. Rekisteröidyillä on oikeus tarkistaa itseään koskevat tiedot, ja rekisterinpitäjän on oikaistava virheelliset tiedot. Myös tarpeettomat ja vanhentuneet henkilötiedot on poistettava. Tätä kutsutaan oikeudeksi tulla unohdetuksi. CRM järjestelmien läpikäynti on siis paikallaan.
Uudessa asetuksessa on myös pyritty huomioimaan teknologinen kehitys ja digitalisoituminen. Jatkossa rekisteröity voi saada sähköisesti itseään koskevia tietoja ja hän voi nykyistä helpommin siirtää antamansa henkilötiedot järjestelmästä toiseen. Rekisterinpitäjän tulee jatkossa antaa enemmän tietoa rekisteröidylle siitä, miten hänen tietojaan käsitellään ja mihin käsittely perustuu.
Jatkossa rekisteröity voi tietyissä tilanteissa kieltäytyä profiloinnista. Profiloinnilla tarkoitetaan henkilötietojen automaattista käsittelyä, jossa tietoja käyttämällä arvioidaan henkilön tiettyjä henkilökohtaisia ominaisuuksia analysoimalla tai ennakoimalla näkökohtia, jotka liittyvät henkilön esimerkiksi mieltymyksiin tai kiinnostuksen kohteisiin. Rekisteröity voi kieltäytyä olemasta sellaisen päätöksenteon kohteena, mikä pohjautuu pelkästään automaattisella tietojen käsittelyllä tehtävään henkilökohtaisten ominaisuuksien arviointiin. Profilointia käytetään esimerkiksi verkkokaupassa.
Erilaiset tietoturvaloukkaukset ovat nykyisin yhä tavallisempia. Tietoturvasta huolehtiminen on erittäin tärkeätä. Jokaisen yrityksen on syytä huolehtia virustorjunnasta, varmuuskopiosta, palomuureista, vahvoista salasanoista jne. Uusi asetus tuo mukanaan tiukennuksia nykysääntelyyn. Jokainen yritys on jatkossa velvollinen ilmoittamaan henkilötietoihin kohdistuvasta tietoturvaloukkauksesta sekä valvovalle viranomaiselle että rekisteröidylle. Määräaika ilmoituksen tekemiseen on lyhyt: viranomaiselle tulee ilmoittaa 72 tunnin kuluessa loukkauksen havaitsemisesta ja rekisteröidylle ilman aiheetonta viivytystä. Jatkossa yrityksen on kyettävä siis havaitsemaan loukkaus, ilmoittamaan siitä ja vielä pyrittävä minimoimaan vahinkojen aiheutuminen.