Yleinen tietosuoja-asetus on tullut voimaan 24.5.2016 ja sen soveltaminen alkaa 25.5.2018. Henkilötietojen käsittelyn tulee olla yleisen tietosuoja-asetuksen mukaista toukokuussa 2018. Tällä hetkellä sovellettavan henkilötietolain pääperiaatteet säilyvät yleisessä tietosuoja-asetuksessa. Yleisessä tietosuoja-asetuksessa on kuitenkin myös uusia velvoitteita rekisterinpitäjälle ja oikeuksia rekisteröidylle. Tällainen on esimerkiksi rekisteröidyn oikeus siirtää tiedot järjestelmästä toiseen.
Missä tietoja käsitellään ja säilytetään?
Uuden tietosuoja-asetuksen myötä henkilörekisterin pitäjillä ja henkilötietoja käsittelevillä on oltava tieto ja vastuu siitä, missä paikassa henkilötietoja käsitellään ja säilytetään. Rekisterin pitäjällä tulee olla myös asianmukaiset menetelmät sekä tarvittavat tekniset ja organisatoriset toimenpiteet asetuksen noudattamiseksi. Vastuu tietojen turvallisesta käsittelystä on aina rekisterinpitäjällä. Jos asetusta rikotaan, sanktiona voi pahimmassa tapauksessa olla korvausvelvollisuus.
Datan sijainnin osalta pilvipalvelut luovat haasteen: uusi asetus rajoittaa henkilötietojen siirtoa Euroopan talousalueen ulkopuolelle, missä monien kansainvälisten pilvipalvelun tarjoajien palvelimet sijaitsevat. Myös tietoliikenteen ja sen turvallisuuden varmistamisen merkitys kasvaa entisestään – suojauksien verkkorikollisuutta vastaan on oltava kunnossa.
Rekisteröidyllä oikeus kieltää tietojensa käyttö
Rekisterinpitäjän tulee jatkossa antaa enemmän tietoa rekisteröidylle siitä, miten hänen tietojaan käsitellään ja mihin käsittely perustuu. Jatkossa rekisteröity voi tietyissä tilanteissa kieltäytyä profiloinnista. Profiloinnilla tarkoitetaan henkilötietojen automaattista käsittelyä, jossa tietoja käyttämällä arvioidaan henkilön tiettyjä henkilökohtaisia ominaisuuksia analysoimalla tai ennakoimalla näkökohtia, jotka liittyvät henkilön esimerkiksi mieltymyksiin tai kiinnostuksen kohteisiin. Tätä tapahtuu muun muassa palvelu- ja hoitosuunnitelmissa. Rekisteröity voi kieltäytyä olemasta sellaisen päätöksenteon kohteena, mikä pohjautuu pelkästään automaattisella tietojen käsittelyllä tehtävään henkilökohtaisten ominaisuuksien arviointiin.
Tietojen luovuttaminen kolmannelle taholle
Uuden asetuksen myötä yrityksen tulee tehdä kirjallinen sopimus, jos yritys on ulkoistanut henkilötietojen käsittelyä yrityksen ulkopuoliselle taholle. Tällaisia voivat olla esimerkiksi asiakkaisiin kohdistuvaa myyntityötä tekevä alihankkija tai ulkopuolinen tietohallinnon tarjoaja. Sopimukselta edellytetään tiettyjä sisällöllisiä vaatimuksia, jotka käyvät ilmi asetuksesta. Yrityksen kannattaa tarkistaa ja tarpeen vaatiessa päivittää sopimuksensa vastaamaan uusia vaatimuksia.
Henkilötietoja käsitteleville tahoille on uudessa tietosuoja-asetuksessa asetettu tilivelvollisuus. Tietosuojaa koskevilta toimilta edellytetään ennakoitavuutta, kuten suunnittelua, varautumista ja kykyä osoittaa toteutetut toimenpiteet. Tässä auttavat selkeästi määritellyt vastuut ja etukäteen määrätyt tavat sekä menetelmät käsitellä henkilötietoja. Yrityksen tulee pystyä jälkikäteen osoittamaan, että lainsäädännön vaatimukset ja riskit on otettu sen toiminnassa asianmukaisesti huomioon.
Anja Karvonen-Kälkäjä
OTT, VT, vanhuusoikeuden asiantuntija
Lisätietoa:
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf