EU:n tietosuoja-asetus tulee – enää vuosi aikaa valmistautua

EU:n uuden tietosuoja-asetuksen soveltaminen alkaa täsmälleen vuoden kuluttua eli 25.5.2018, jolloin siirtymäaika päättyy. Nyt on siis vielä 12 kuukautta aikaa laittaa oman yrityksen tietosuoja-asiat kuntoon vastaamaan uusittuja säännöksiä.

Tällä hetkellä Suomessa odotellaan kuumeisesti luonnosta yleisestä henkilötietolaista, joka täydentää EU:n tietosuoja-asetusta. Vaikka pääosa asetuksen säännöksistä on jo sellaisenaan suoraan sovellettavia ja velvoittavia, voidaan kansallisella lailla täsmentää asetusta liikkumavaran sallimissa rajoissa.Tällä hetkellä voimassa oleva henkilötietolaki kumotaan, kun uusia säännöksiä aletaan vuoden kuluttua soveltaa.

Uusi henkilötietolaki tulee sisältämään lapsia koskevan ikärajan määrittelemistä koskevat periaatteet, kun lapsen tietoja käsitellään esimerkiksi sosiaalisen median palveluissa. Mahdollinen ikäraja voi olla 13, 14, 15 tai 16 vuotta. Samoin ehdotuksessa tulee olemaan säännökset koskien kotimaista valvontaviranomaista ja sen toimintaa. Myös tiettyjä henkilötietojen käsittelyn erityistilanteita, kuten henkilötunnuksen käyttämistä, sananvapautta, julkisuutta, tutkimusta ja tilastointia, tultaneen säätelemään kansallisesti. Mielenkiintoista on, mitä tässä yhteydessä julkisen puolen sanktioista tullaan ehdottamaan ottaen huomioon, että yrityksiä koskevat hallinnolliset sakot on asetuksella määrätty huomattaviksi.

Meillä on tähän asti toiminut hyvin järjestelmä, jossa keskeiset tietosuojaa koskevat menettelytavat ovat muodostuneet tietosuojavaltuutetun ohjauksessa ja neuvonnassa. Uusien eurooppalaisten säännösten myötä on oletettavaa, että viime kädessä tietosuojan yksityiskohdat selkiytyvät eurooppalaisella tasolla ja viimeistään oikeuskäytännön kautta. Yritykset tarvitsevat kuitenkin ohjausta ja neuvontaa myös kotimaassa jatkossakin.

Perehdy uusiin ohjeisiin

EU:n tietosuojavaltuutetuista koostuva WP29-tietosuojatyöryhmä on julkaissut kevään aikana uusia ja päivitettyjä ohjeita, jotka koskevat niin tietosuojavastaavan toimenkuvaa, rekisteröidyn siirto-oikeutta kuin myös valvontaviranomaisten toimivallan jakoa. Tällä hetkellä päivitettävänä on myös ohjeistus koskien vaikutusten arvioinnin tekemistä. Tätä ohjeistusta kannattaa seurata, sillä on hyvin todennäköistä, että se muuttuu alan toimijoilta saatujen kommenttien vuoksi.

Lisäksi valmisteilla on ohjeet koskien suostumusta, profilointia ja tietoturvaloukkausten ilmoittamista. Niitä odotetaan vuoden loppuun mennessä. Kaikki ohjeistukset ovat saatavilla englanninkielisinä, mutta ne tullaan kääntämään myös suomeksi ja ruotsiksi. Ohjeilla viranomaiset pyrkivät tarkentamaan, miten uusia säännöksiä tulisi tulkita ja soveltaa käytännössä.

Mikä muuttuu?

Tietosuojan osalta yrityksissä ollaan tekemässä loikkaa henkilötietojen rekisterinpidosta henkilötietojen käsittelyyn. Jatkossa henkilötietojen suoja tulee sisällyttää yrityksen kaikkeen toimintaan. Kannattaa muistaa, että uudet säännökset pohjautuvat jo kaksikymmentä vuotta voimassa olleeseen lainsäädäntöön, eli aivan uudesta asiasta ei ole siis kyse, vaan eräänlaisesta jatkumosta. Uusissa säännöksissä määritellään muun muassa eri toimijoiden vastuuta henkilötietojen käsittelyn eri vaiheissa, esimerkiksi kirjallinen sopiminen on pakollista rekisterinpitäjän ja henkilötietojen käsittelijän välillä.

Parhaimmillaan tietosuojan huomioiminen toiminnassa avaa suomalaisille yrityksille mahdollisuuden parantaa omaa osaamista ja profiloitua toimijana, joka pitää hyvää huolta asiakkaidensa tiedoista. Vaikka uuden asetuksen mukaiset sanktiot ovat huomattavia, on hyvä pitää fokus tosiasioissa, suunnitella oma ajankäyttö vielä olevan siirtymäajan osalta ja toteuttaa tietosuojan edellyttämät muutokset sortumatta uskomaan liiallisia pelottelupuheita, joita on kummunnut erityisesti hallinnollisen sakon osalta. Viime kädessä henkilötietojen käsittelyssä asiakkaan luottamus on ratkaiseva tekijä.

Keskuskauppakamari on koonnut perustason valmistautumisohjeita yrityksille tietosuoja-asetuksen uudistumiseen liittyen: https://kauppakamari.fi/2016/03/31/eun-tietosuoja-asetus-tulee-valmistaudu-ajoissa/  

Asiaa käsitellään Keskuskauppakamarin Tietosuojaa ja tietoturvaa yrityksille -tilaisuudessa 30.5.2017. Lisätiedot ja ilmoittautuminen: https://kauppakamari.fi/hankkeet/tapahtumat/tietosuojaa-tietoturvaa-yrityksille/