Tiedonhallinta, Tietosuoja

6 kohtaa, joilla varmistat yritykselläsi hallussa olevien henkilötietojen ja niiden käsittelyn lainmukaisuuden (EU:n tietosuoja-asetus)

EU:n tietosuoja-asetusta aletaan soveltaa Suomessa 25.5.2018 alkaen. Tämä tuo yrityksille uusia velvoitteita ja niiden myötä myös sanktioita. Oletko sinä valmistautunut tietosuoja-asetuksen tuomiin uusiin velvoitteisiin? Tiedätkö koskevatko velvoitteet sinun yritystäsi ja täytyykö sinun tehdä asialle jotain? Oletko edes kuullut koko tietosuoja-asetuksesta?

EU:n tietosuoja-asetus muuttaa tietosuojakäytäntöjä

Tietosuoja-asetuksen tarkoituksena on ajantasaistaa tietosuojaa koskevaa sääntelyä, jotta voidaan vastata teknologian kehitykseen ja globalisaatioon liittyviin henkilötietojen suojaa koskeviin haasteisiin. Asetuksen tarkoituksena on myös tukea digitaalitalouden kehitystä sisämarkkinoiden alueella yhdenmukaistamalla jäsenvaltioiden tietosuojaa koskevat säännökset sekä rakentamalla luottamusta.

Suomessa on tähän asti eri organisaatioissa käsitelty tietosuoja-asioita ehkä vähän vasemmalla kädellä. Valitettavasti ilmiö on ollut kaikkein eniten pienten ja keskisuurten yritysten ongelma. Suuremmat yritykset ovat joutuneet asian kanssa ehkä vähän useammin tekemisiin, joten heillä asiaa on jo joku henkilö hoitanut. Julkisella sektorilla tietosuoja-asiat ovat olleet toiminnan luonteen vuoksi tapetilla jo vähän virallisemminkin. Henkilötietojen käsittelyä sääntelee tällä hetkellä henkilötietolaki (HetiL), joka käytännössä sääntelee yrityksissä henkilörekistereitä ja niiden käsittelyä. Puhekielessä käytetään myös termiä tietosuojalaki.

Usein tietosuoja-asioiden käsittely on yhdistetty tietoturvaa toteuttavaan tehtäväään, esimerkiksi tietoturvavastaavalle tai tietoturvapäällikölle. Joissakin yrityksissä tai organisaatioissa asiaa hoitaa turvallisuuspäällikkö, juristi tai henkilöstöpäällikkö.

Tietosuojaan kuuluvat ihmisten yksityiselämän suoja ja muut sitä turvaavat oikeudet henkilötietoja käsiteltäessä. (Tietosuoja.fi)

Kun puhutaan yritysten tietosuojasta, se tyypillisimmin koskee joko asiakastietokantoja tai henkilöstöstä pidettävää rekisteriä. Asiakastietokantoja ovat yksinkertaisimmillaan erilaiset postituslistat tai sähköpostilistat, mikäli niihin on yhdistetty osoitteen lisäksi muutakin tietoa asiakkaasta. Yleensä erilaiset asiakkuuksienhallintajärjestelmät (CRM) tai laskutusjärjestelmät täyttävät henkilörekisterin määritelmän. Yrityksessäsi voi olla myös työsuhteiden hallintaa hoitava järjestelmä, jossa on yrityksesi työntekijöiden tietoja, kuten nimi, osoite, puhelinnumero, työsuhteen alkupäivä, pankkiyhteydet, jne.

Henkilötietojen käsittelyllä tarkoitetaan henkilötietojen keräämistä, tallettamista, järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistä, suojaamista, poistamista, tuhoamista sekä muita henkilötietoihin kohdistuvia toimenpiteitä. (Tietosuoja.fi)

6 kohtaa, joilla voit varmistaa henkilötietojen käsittelyn lainmukaisuuden EU:n tietosuoja-asetuksen voimaantulon jälkeen

25.5.2018 on siis henkilötietojen käsittely oltava tietosuoja-asetuksen mukaista. Mitä se sitten tarkoittaa sinulle? Lue seuraavat 6 kysymystä ja mieti niihin vastaukset.

1. Onko yrityksessäsi käytössä henkilörekistereitä?

Henkilörekisteri (HetiL 3 §)

Henkilörekisterillä tarkoitetaan käyttötarkoituksensa vuoksi yhteenkuuluvista merkinnöistä muodostuvaa henkilötietoja sisältävää tietojoukkoa, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla taikka joka on järjestetty kortistoksi, luetteloksi tai muulla näihin verrattavalla tavalla siten, että tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta (ns. looginen henkilörekisteri). (Tietosuoja.fi)

2. Miten tietosuojaperiaatteet on yrityksessäsi otettu huomioon?

Sinun tulee selvittää, käsitelläänkö henkilötietoja lainmukaisesti, kohtuullisesti ja läpinäkyvästi. Käytetäänkö henkilötietoja vain siihen tarkoitukseen, kuin mihin rekisteriselosteessa on viitattu ja onko henkilörekisterin käyttö ylipäätään tarpeellista. Selvitä, mitä kaikkea tietoa rekisteri pitää sisällään ja varmista, että mitään ylimääräistä tietoa ei ole. Muista, että rekisteröidyllä (henkilöllä, jonka tietoja rekisterissäsi on) on oikeus pyytää itseään koskeviin tietoihin korjauksia sekä pyytää kaikki itseään koskevat tiedot tarkastettaviksi. Sinulla on ne velvollisuus myös toimittaa. Henkilörekisterissä olevien tietojen tulee olla täsmällisiä.

Henkilöä koskevia tietoja tulee käsitellä ja säilyttää vain sillä tavalla ja vain sen aikaa, kun tietoja tarvitaan. Tiedot täytyy tämän jälkeen poistaa. Tietoja täytyy käsitellä luottamuksellisesti ja sinun täytyy huolehtia siitä, että tiedot säilyvät eheinä. Jokaisella henkilörekisterillä on oltava nimetty rekisterinpitäjä, joka vastaa rekisterin asianmukaisuudesta ja lainmukaisesta käsittelystä.

Rekisteriseloste (HetiL 10 §)

Henkilötietolaissa määritelty asiakirja, joka jokaisen rekisterinpitäjän on laadittava ja pidettävä jokaisen saatavilla. Siitä ilmenee: 1) rekisterinpitäjän ja tarvittaessa tämän edustajan nimi ja yhteystiedot; 2) henkilötietojen käsittelyn tarkoitus; 3) kuvaus rekisteröityjen ryhmästä tai ryhmistä ja näihin liittyvistä tiedoista tai tietoryhmistä; 4) mihin tietoja säännönmukaisesti luovutetaan ja siirretäänkö tietoja Euroopan unionin tai Euroopan talousalueen ulkopuolelle; sekä 5) kuvaus rekisterin suojauksen periaatteista.

3. Millaisia henkilötietovirtoja toimintaasi liittyy?

Missä prosessissa henkilötietoja syntyy? Mitä tietoa mikäkin prosessi tuottaa?

4. Mitkä ovat yrityksesi henkilötietojen käsittelyn oikeusperusteet?

Henkilötietojen käsittelylle on aina oltava laissa säädetty käsittelyn  oikeusperuste. Käsittelyn oikeusperusteista säädetään tietosuoja-asetuksen 6 artiklassa.

5. Miten tietoturvasta on yrityksessäsi huolehdittu?

6. Miten henkilötietojen käsittelyyn liittyvä riskienhallinta on toteutettu?

Miten varmistat, että henkilötietoja käsitellään vain niiden tahojen toimesta, kuin on sovittu, vain siten, kuin on sovittu ja vain siihen tarkoitukseen kuin on sovittu. Muista, että nämä asiat tulee olla kirjattuna rekisteriselosteeseen, jonka olet velvollinen toimittamaan pyydettäessä.

Rekisteröidyllä on:

  • Oikeus saada läpinäkyvää informaatiota henkilötietojen käsittelystä.
  • Oikeus saada pääsy itseään koskeviin tietoihin.
  • Oikeus tietojen oikaisemiseen ja oikeus tulla unohdetuksi.
  • Oikeus käsittelyn rajoittamiseen ja rekisterinpitäjän velvollisuus ilmoittaa rajoituksesta.
  • Oikeus siirtää tiedot järjestelmästä toiseen (tietyin ehdoin).
  • Vastustamisoikeus (henkilötietojen käsittelyn vastustamisoikeus tietyissä tilanteissa).
  • Oikeus vaatia estämään automatisoidut yksittäispäätökset ja profilointi (tiedot käsittelee luonnollinen henkilö, eikä ryhmäprofilointia tehdä, voidaan kuitenkin sallia poikkeustilanteissa).

Tuumasta toimeen

Kun olet kartoittanut yrityksesi henkilötietojen käsittelyn nykytilan, mieti, mitä konkreettisia muutoksia ja toimenpiteitä sinun tulee tehdä ennen tietosuoja-asetuksen voimaanastumista.

Uutena asiana tietosuoja-asetuksessa säädetään rekisterinpitäjän velvollisuudesta ilmoittaa henkilötietojen tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle. Tietoturvaloukkauksella tarkoitetaan loukkausta, jonka seurauksena on henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.

Lähteet:

  • Tietosuojavaltuutetun toimisto (tietosuoja.fi, 19.4.2017)
  • Oikeusministeriön julkaisu (4/2017): Miten valmistautua EU:n tietosuoja-asetukseen?

Lue lisää:

http://tietosuoja.fi/fi/

Vastaa