Uuden, jo voimassa olevan GDPR-tietosuoja-asetuksen keskiössä ovat henkilötiedot ja niiden käsittely. General Data Protection Regulation -asetus astui voimaan toukokuussa 2016, ja sen siirtymäaika päättyy toukokuussa 2018.

– Tietosuoja-asetus tulee korvaamaan Suomen nykyisen henkilötietolain ja vahvistaa henkilöiden oikeuksia valvoa omien tietojensa käsittelyä. Yrityksille se tuo uusia velvoitteita, tiivistää OPn tietosuojavastaava Hannu Järvinen.

Asetus koskee kaikkea henkilötietojen käsittelyä niiden koko elinkaaren ajan tietojen keräämisestä lopulliseen poistamiseen. Käsittely pitää dokumentoida tarkemmin, ja kenellä tahansa on oikeus pyytää omat tietonsa yrityksiltä.

Henkilötietoja ovat kaikki ne tiedot, jotka voidaan suoraan tai epäsuorasti yhdistää luonnolliseen henkilöön.

– Tästä esimerkkinä ovat asiakastiedot ja työntekijätiedot. Jos yrityksellä on B to B -toimintaa ja se kerää omaan asiakasrekisteriinsä toisten yritysten johtohenkilöiden yhteystietoja, toiminta kuuluu myös asetuksen piiriin. Pelkkä sähköpostiosoitekin on yleensä aina henkilötieto.

Esimerkiksi kampaajalla saattaa olla oma listaus asiakkaiden yhteystiedoista, jota hän hyödyntää asiakaspalvelussa ja markkinoinnissa.

– Tavoitteena on lisätä henkilötietojen käsittelyn avoimuutta ja läpinäkyvyyttä. Muutos koskee kaikkia: sekä pk-yrityksiä että suurempia yrityksiä ja viranomaisia. Asetuksella reagoidaan digitalisaatioon ja sen mukanaan tuomiin muutoksiin.

Nykyisen henkilötietolain juuret ulottuvat vuoteen 1995. Vuosien kuluessa maailma on digitalisoitunut, ja lainsäädännön päivittäminen on tullut ajankohtaiseksi.

Tietosuoja-asetus on Euroopan unionin laajuinen muutos, joka yhtenäistää toimintatapoja ja tuo jäsenmaat digitaaliseen aikaan.

Näillä vinkeillä valmistaudut muutokseen:

1. Perehdy viimeistään nyt

Asetus edellyttää useimmiten muutoksia yritysten henkilötietoja koskeviin käytäntöihin ja prosesseihin. Yrityksen on huolehdittava, että se täyttää toukokuuhun 2018 mennessä uuden lainsäädännön vaatimukset.

Suomeen tullaan todennäköisesti perustamaan uusi tietosuojavirasto, joka alkaa valvoa yritysten tapaa noudattaa asetusta. Se myös reagoi mahdollisiin puutteisiin. Esimerkiksi kuluttaja voi ilmoittaa niistä virastolle.

Tietosuojavaltuutetun toimisto julkaisi keväällä oppaan muutoksesta, johon tutustuminen auttaa alkuun. Myös muutokseen perehtyneitä yrityksiä on olemassa, ja niiltäkin saa apua uudistukseen.

2. Osoita, mitä henkilötietoja käsittelet

Uuden lainsäädännön myötä yritysten on pystyttävä osoittamaan viranomaisille, että ne noudattavat lakia. Kyse on niin sanotusta osoitusvelvollisuudesta.

Henkilötietoihin liittyvät prosessit on käytävä tarkasti läpi.

– Pitää olla tieto siitä, mitä henkilötietoja yritys käsittelee, mihin tietoja mahdollisesti luovutetaan ja mikä on niiden elinkaari keräämisestä käsittelyyn ja loppujen lopuksi tuhoamiseen.

Toimintatavat tulee myös dokumentoida sisäisesti. Kuten nykyisinkin, käsittelystä on kerrottava avoimesti rekisteröidyille esimerkiksi tietosuojaselosteissa.

– Dokumentaation avulla osoitetaan, että tietosuoja-asetusta ja erityisesti sen yleisiä periaatteita on noudatettu. Niillä tarkoitetaan esimerkiksi velvoitetta kerätä vain tarpeellisia henkilötietoja. Mikäli yritys kerää esimerkiksi henkilöiden sukupuolesta tietoa omaan asiakasrekisteriinsä, keräämisen tarpeellisuus tulee pystyä perustelemaan.

Järvinen kehottaa pohtimaan, mitä henkilötietoja käsittelet ja miten. Ota huomioon, että muutos voi vaikuttaa myös yritysten välisiin sopimuksiin.

– Jos on hankittu ICT-palveluita tai käytetty alihankkijoita henkilötietojen käsittelyssä, kuten palkanlaskentajärjestelmässä, tietosuoja-asetus edellyttää, että tietyistä asioista sovitaan kirjallisesti. Mikäli asetuksen edellyttämiä ehtoja ei ole nykyisessä sopimuksessa, sopimusta on muutettava ennen toukokuuta.

3. Valmistaudu täyttämään oikeudet

Asetuksessa rekisteröidyillä, kuten asiakkailla ja työntekijöillä, on vastaavat oikeudet kuin nykyisessäkin lainsäädännössä. Rekisteröidyillä on siis oikeus saada tietää esimerkiksi, mitä tietoja yritys hänestä käsittelee. Asetus tuo myös uusia oikeuksia.

– Asiakkailla on oikeus pyytää itse toimittamansa tiedot koneellisesti luettavassa muodossa. Jatkossa on myös oikeus tulla unohdetuksi, eli oikeus tietojen poistamiseen tietyissä tapauksissa. Yrityksen täytyy aina suunnitella nämä prosessit ja niiden toteutus etukäteen.

4. Tietoturvaloukkaukset tulee raportoida

Järvinen neuvoo yritystä huolehtimaan kaikkien henkilötietoja sisältävien järjestelmien tietoturvasta ja valmistautumaan tietoturvaloukkauksiin.

– Asetus edellyttää, että jos tietoturvaloukkaus koskee henkilötietoja ja ne joutuvat vaaraan, siitä pitää ilmoittaa mahdollisimman pian viranomaiselle. Tietoturvaloukkaukset eivät tarkoita pelkästään kyberhyökkäyksiä tai teknisiin järjestelmiin kohdistuvia tietomurtoja. Myös inhimilliset virheet, kuten henkilötietojen huolimaton käsittely sähköpostilla, voivat olla tietoturvaloukkauksia.

Oikea taho tietoturvaloukkauksia koskeville ilmoituksille on perusteilla oleva tietosuojavirasto. Loukkauksiin kannattaa varautua jo etukäteen, sillä niistä on ilmoitettava 72 tunnin kuluessa.

5. Sakko on viimeinen keino

Tietosuojavirasto valvoo yritysten toimia. Jos se huomaa puutteita, yritys voi saada esimerkiksi varoituksen, huomautuksen tai määräyksen. Vasta viimeisenä vaihtoehtona harkitaan sakkoa. Virheestä ei siis heti sakoteta, mutta ne kannattaa pitää mielessä.

Hallinnollinen sakko voi olla maksimissaan neljä prosenttia yrityksen maailmanlaajuisesta liikevaihdosta.

Pohjola Vakuutuksen kybervakuutus auttaa yritystäsi varautumaan kyberriskeihin ja muuttuvaan sääntelyyn.

Vakuutuksen myöntää Pohjola Vakuutus Oy. Asiantuntijapalvelut tuottaa CGI.

Osuuspankit toimivat Pohjola Vakuutuksen asiamiehenä.