Tietosuoja-asetus tulee – oletko valmis?

Kirjoitettu: 15.1.2018

Tietosuoja ei ole enää ICT:n tai IT-ammattilaisten asia vaan se vaikuttaa kaikkien kansalaisten elämään ja yritysten toimintaan. Tietosuoja-asetuksella suojataan luonnollisen henkilön oikeuksia ja vapauksia sekä yksityisyyttä. Toisaalta tietosuoja-asetus yhdenmukaistaa ja harmonisoi tietosuojasääntelyn EU:n sisä-markkinoilla ja siten helpottaa yritysten toimintaa. Tietosuoja-asetuksella edelleen helpotetaan ja yh-denmukaistetaan henkilötietojen ja siten palvelujen vapaata liikkuvuutta EU:n sisämarkkinoilla.

Henkilötiedon määritelmä on tietosuoja-asetuksessa erittäin laaja. Yksinkertaistaen voidaan sanoa, että mikä tahansa tieto, mikä on suoraan tai epäsuorasti yhdistettävissä luonnolliseen henkilöön on henkilötie-to. Henkilön nimen, osoitteen, henkilötunnuksen ja muiden perinteisten henkilötietojen lisäksi henkilö-tiedon määritelmää on uudessa tietosuoja-asetuksessa laajennettu huomattavasti. Henkilötietoja voivat olla muun muassa paikka- ja sijaintitieto, asiakastunnus, verkkotunnistetieto (ID) ja teleoperaattorien välitystiedot. Uusi teknologia kehittyessään tuo jatkuvasti uusia sovellutuksia sekä uusia liiketoiminnan alueita, joissa liikkuu henkilöä koskevia tietoja. Lähitulevaisuudessa yhä suurempi määrä tavaroista on kytketty internetiin (esineiden internet ja teollinen internet). Teollisen internetin on arvioitu myös tuo-van Aalto-yliopiston, VTT:n ja Etlan arvion mukaan lähes 50.000 työpaikkaan vuoteen 2023 mennessä. Ihmisten profilointi- ja sijaintietoja käytetään laajasti markkinoinnissa. Toisaalta rekisteröidyn oikeuksia valvoa ja seurata omien tietojensa käsittelyä on tietosuoja-asetuksen myötä laajennettu. Rekisteröity voi muun muassa aina esittää omia tietojaan koskevan tietopyynnön rekisterinpitäjälle. Rekisteröity voi myös rajoittaa henkilötietojensa käsittelyä sekä pyytää tietyin edellytyksin unohdetuksi tulemista. Rekisterinpi-täjän ilmoitusvelvollisuutta suhteessa rekisteröityyn on myös laajennettu. Rekisterinpitäjällä on velvolli-suus ilmoittaa rekisteröidylle, jos esim. on tapahtunut henkilötietojen tietosuojaloukkaus ja on vaarana, että loukkauksesta seuraa vahinkoa rekisteröidylle.

Tietosuoja-asetus sisältää ankaran vastuun elementtejä

Tietosuoja-asetuksessa on lukuisia periaatteita, joita rekisterinpitäjien ja henkilötietojen käsittelijöiden tulee noudattaa. Pelkkä noudattaminen ei edes riitä vaan yritysten tulee pystyä osoittamaan toimineensa periaatteiden mukaisesti. Osoitusvelvollisuuden laiminlyönti saattaa aiheuttaa huomattavia taloudellisia seuraamuksia, kuten hallinnollisen sanktion ja vahingonkorvausvelvollisuuden. Tietovuodoista ja muista henkilötietovahingoista aiheutuu myös huomattavia mainevahinkoja rekisterinpitäjälle. Ankarien seu-raamusten riskin viimeistään herättää kaikki ”mattimyöhäiset” ja muut perässähiihtäjät toimimaan siten, että asetukset vaatimukset huomioidaan

Julkisyhteisöt ja yritykset joutuvat huomioimaan tietosuoja-asetuksen velvoitteet toiminnassaan ja sopi-muksissaan. Tämä lisää edelleen byrokratiaa ja hallinnollista taakkaa. Lisäksi työntekijöiden osaamiseen tulee panostaa, jotta he voivat työskennellä muuttuneessa toimintaympäristössä. Jokaisen työntekijän tulisi tunnistaa omassa työssään, sisältääkö palvelu tai muu sopimuksen kohden henkilötietoja. Rekiste-rinpitäjien tulee luoda tekniset ja organisatoriset toimenpiteet, miten henkilötietoja kussakin järjestel-mässä käsitellään. Näin luodaan kokonaan uudenlainen hallinnonala ja kulttuuri yrityksiin. Käytännön tasolla joudutaan käymään läpi kaikki vanhat sopimukset ja tarvittaessa muuttamaan ne vastaamaan tie-tosuoja-asetuksen vaatimuksia. Tämä saattaa aiheuttaa myös lisätöitä ja mahdollisesti lisäkustannuksia.

Tietosuojan johdosta sopimusten merkitys kasvaa entisestään

Koska tietosuoja-asetus sisältää uusia velvoitteita ja ankaria sanktioita, tulee sopimukset laatia huolelli-sesti. Tietosuoja-asetus jo sinänsä edellyttää, että osapuolet sopivat tietosuojasta kirjallisella sopimuksel-la. Sopimus on keskeisin osapuolten välinen tietosuojaa koskeva ohjaava instrumentti.

Sopimuksessa on ainakin sovittava käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötieto-jen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet sekä käsittelypaikka. Huomioitava on, että tietosuojaa koskevat velvoitteet on syytä kirjata uusiin sopimuksiin jo niitä tehtäes-sä eikä jälkikäteen, koska velvoitteiden jälkikäteinen kirjaaminen sopimukseen voi olla työlästä neuvotella ja todennäköisesti lisää kustannuksia.

Tietosuoja-asetus edellyttää myös tietosuojavastaavan asettamisen organisaatioon. Tietosuojavastaava on tietosuojan ammattilainen, jonka kanssa on syytä sopimukset huolella käydä läpi.

Tietosuoja kuten tietosuojakonsultointi tuo myös monia uusia liiketoimintamahdollisuuksia yrityksille.

Mikäli tietosuoja kiinnostaa, Logy ry:n yritysjäsenillä on erinomainen tilaisuus tulla 31.1.2018 Messukeskukseen Hankintaforumin tilaisuuteen kuulemaan lisää yritysten ja hankintayksiköiden valmistautumisesta tieto-suojaan.

Tiina Ekholm,

Hankintajohtaja, Vantaan kaupunki