GDPR-opas yritysjohdolle

 

Yleisen EU:n tietosuoja-asetuksen taustaa

 

Nykyinen käytössämme oleva henkilötietoja koskeva lainsäädäntö on EU:n henkilötietodirektiivistä vuodelta 1995. Tätä nykyä ollaan huomattu, että kyseinen direktiivi on tähän hetkeen hieman vanhentunutta ja myös eri jäsenvaltioiden väliset erot direktiivin täytäntöönpanossa ovat aiheuttaneet tiettyä epävarmuutta ja oikeudellista eroavaisuutta. Lisäksi nämä eroavaisuudet jäsenvaltioiden välillä ovat tietyin määrin estäneet myös henkilötietojen vapaata liikkumista ja vääristäneet kilpailua.

GDPR opas

 

Tästä syystä henkilötietojen käsittelystä ja henkilötietojen suojasta säädetään EU:n tietosuoja-asetuksessa, jota on sellaisenaan sovellettava suoraan jokaisessa Euroopan unionin jäsenvaltiossa. Asetus mahdollistaa täsmentävän ja täydentävän kansallisen sääntelyn erityisesti julkisella sektorilla mutta kansallinen sääntely ei voi olla kuitenkaan ristiriidassa tietosuoja-asetuksen sääntelyn kanssa. Tämän johdosta henkilötietojen suojaa koskeva lainsäädäntö onkin yhtenäistettävä.

 

 

 

Kilpailukyky ja digitaalitalous osana tietosuoja-asetusta

 

Yhtenä EU:n tietosuoja-asetuksen tarkoituksena on myös parantaa digitaalisten palveluiden ja tuotteiden saantia koko Euroopassa ja täten mahdollistaa digitalouden kasvupotentiaali. Tietosuoja-asetus edistää osaltaan tätä tavoitetta yhtenäistämällä EU:n jäsenvaltioiden tietosuojaa koskevat säädökset. Tällöin poistettaisiin myös henkilötietojen vapaan liikkuvuuden esteet. Euroopan komissio on arvioinut, että näillä toimenpiteillä tullaan säästämään jopa 2,3 miljardia euroa vuosittain Euroopan unionin alueella.

 

Kehittyneen teknologian ja useiden digitaalisten palveluiden myötä myös henkilötietoihin kohdistuneet kysymykset ovat nousseet kuumaksi puheenaiheeksi. Kenellä on oikeus nähdä kenenkin henkilötietoja ja mihin tarkoitukseen? Saako henkilötietoja kerätä ylös kuka vain ja mihin tarkoitukseen vain? Yhtenäinen tietosuoja-asetus pyrkiikin vastaamaan näihin kysymyksiin ajantasaistamalla ja yhtenäistämällä lainsäädäntöä. EU:n tietosuoja-asetusta voidaan myös soveltaa EU:n ulkopuolelle sijoittuneisiin rekisterinpitäjiin ja henkilötietojen käsittelijöihin. Uudessa tietosuoja-asetuksessa tullaan korostamaan myös erityisesti lasten henkilötietosuojaa digitaalisessa toimintaympäristössä.

 

Kilpailukyky unionin alueella toteutuu myös siten, että asiakkaat äänestävät aina jaloillaan, joten kumppaniksi valitaan tietosuojan ja tietoturvan osalta luotettava ja hyvä kumppani.

 

 

 

Tietosuoja-asetuksen termistöä ja yleisiä käytäntöjä

 

Ennen tarkempaa analyysiä on syytä sisäistää tietosuoja-asetukseen liittyvää termistöä, mikä auttaa hahmottamaan kokonaiskuvaa. Tärkeimmät roolit tietosuoja-asetuksen ympärillä ovat rekisterinpitäjät, henkilötietojen käsittelijät, rekisteröidyt sekä esimiehet ja johto.

 

 

 

Rekisterinpitäjä:

 

Tietosuoja-asetuksessa rekisterinpitäjällä tarkoitetaan sitä tahoa, joka määrittää henkilötietojen käsittelyn tarkoitukset sekä keinot. Julkisella sektorilla voidaan erikseen määrittää rekisterinpitäjä jopa laissa tai sen nojalla. Yleisesti rekisterinpitäjä huolehtii henkilötietojen käsittelyn lainmukaisuudesta ja siitä, että rekisteröityjen oikeudet toteutuvat.

 

Rekisterinpitäjän velvollisuutena on myös ilmoittaa mahdollisesta tietoturvaloukkauksesta sekä tietosuojaviranomaiselle että rekisteröidylle. Rekisterinpitäjän tulee myös dokumentoida kaikki tietoturvaloukkaukset, loukkauksen laajuus ja vaikutus sekä siihen tehdyt korjaavat toimenpiteet

 

Muita rekisterinpitäjän velvollisuuksia ovat muun muassa henkilötietojen käsittelijöiden ohjeistus, rekisteröityjen informoiminen heidän henkilötietojensa käsittelystä sekä ennakoiva riskienhallinta.

Ennakoiva riskienhallinta tulee olemaan merkittävin muutos perinteisiin rooleihin. Riskienhallinta on aikaisemmin nähty vain johdon vastuulla erityisissä hankkeissa ja projekteissa mutta nyt riskienhallintaa tulisi laajentaa koko organisaatioon ja ennen kaikkea osaksi tietosuojaa. Tällöin tietosuoja ja tietoturva tulee olla myös sisäänrakennettuna organisaation päivittäisessä toiminnassa.

 

Rekisterinpitäjän on myös osattava osoittaa, että henkilötietojen käsittelyssä noudatetaan tietosuoja-asetusta.

 

 

 

Henkilötietojen käsittelijä:

 

Henkilötietojen käsittelijä on taasen rekisterinpitäjästä täysin ulkopuolinen taho, joka käsittelee henkilötietoja rekisterinpitäjän lukuun ja toimeksiannosta. Henkilötietojen käsittelijä voi olla esimerkiksi luonnollinen henkilö, yritys, viranomainen tai virasto.

 

Henkilötietojen käsittelijällä on velvollisuus ilmoittaa rekisterinpitäjälle välittömästi mahdollisesti toteutuneesta tietoturvaloukkauksesta

 

 

Tietoturvaloukkaus tarkoittaa siis sitä, että organisaation henkilötietoja on luvattomasti luovutettu tai vuodettu eteenpäin tai joku on murtautunut henkilötietoihin. Myöskin henkilötietojen lainvastainen tuhoaminen, hävittäminen tai tietojen muuttaminen lasketaan tietoturvaloukkaukseksi.

 

 

 

Rekisteröidyt:

 

Rekisteröidyillä tarkoitetaan henkilöitä, joiden tietoja säilytetään organisaation henkilötietorekisterissä. Rekisteröidyillä ei ole tietosuoja-asetuksessa velvoitteita – ainoastaan oikeuksia.

 

tietosuoja

Rekisteröityjen oikeuksia ovat muun muassa:

 

Oikeus saada läpinäkyvää informaatiota heitä koskevien henkilötietojen käsittelystä.

Oikeus nähdä omat tietonsa rekisterissä.

Oikeus tietojensa oikaisuun.

Oikeus tulla unohdetuksi.

Oikeus omien henkilötietojensa käsittelyn rajoittamiseen.

Oikeus henkilötietojensa siirtämiseen järjestelmästä toiseen.

 

 

 

Johto esimerkin näyttäjänä:

 

Johto on merkittävin auktoriteetti muutoshankkeen käynnistämisessä ja ”GDPR-aikakauden” ylläpitämisessä. Esimerkiksi valtioneuvoston tietosuojavaltuutettu, Reijo Aarnio, tuo esiin, että ”usein johto on tähän asti ollut se heikoin lenkki, vaikka sen rooli on kaikista tärkein”. Tällä hän tarkoittaa sitä, että usein johto ei ole tietoinen kaikista velvollisuuksistaan eikä tunne yrityksensä henkilöstön rooleja tarpeeksi hyvin. Hyvän johdon täytyy myös tilanteessa kuin tilanteessa osata ohjeistaa henkilöstöä, siitä mitkä heidän oikeudet ja velvollisuudet tietoturvan saralla ovat sekä siitä, millä tavalla henkilöstön toimintaa seurataan silloin kun henkilötietoja käsitellään.

 

Johdolla ja esimiehillä on myös keskeinen rooli itse tietosuojan toteutumisessa, sillä he tekevät päätökset koskien henkilötietojen käsittelyä. Eli käyttävät rekisterinpitäjälle kuuluvaa määräysvaltaa.

 

Johdon ja esimiesten rooli myös esimerkinnäyttäjänä on keskeinen. Jos johto ei osoita kiinnostustaan uuteen tietosuoja-asetukseen, ei sen täydellistä noudattamista voi myöskään vaatia ja odottaa henkilöstöltä.

 

 

 

Johdon velvoitteet

 

Tietosuojan tulee vastedes olla johdon jatkuvana seurauksen kohteena. Valtiovarainministeriön VAHTI-pääsihteerin, Kimmo Rouskun, mukaan tätä varten olisikin suotavaa luoda organisaation yleinen linjaus koskien tietosuoja-asetusta. Tallainen voisi olla esimerkiksi yrityksen oma tietosuojapolitiikka, jossa johto osoittaa oman sitoumuksensa tietosuojan toteuttamisessa. Tietosuojapolitiikasta tulisi käydä myös ilmi henkilöstön ja muiden sidosryhmien roolit ja vastuut tietosuoja-asetuksessa. Yhteinen linjaus pitäisi olla henkilöstön nähtävillä ja tiedossa.

 

Johdon on myös tunnistettava henkilöstönsä tarkat roolit, jotta syntyisi tarkka käsitys siitä, kuka henkilöstöstä on esimerkiksi eniten tekemisisissä henkilötietojen parissa.

On myös tärkeää, että itse henkilöstö tietää kukin oman roolinsa ja näin ollen pystyy toimimaan lainsäädännön edellyttämällä tavalla. Tämä kaikki edellyttää johdolta jatkuvaa koulutusta ja neuvonantoa henkilöstölle.

 

Tietosuojan kehitystä ja toteutumista on helppo seurata esimerkiksi vuosittain tehtävistä tietotilinpäätöksistä.

 

 

 

Riskienhallinta

 

Johdon olisi syytä varmistaa, että yrityksen riskienhallintaprosessi toimii kaikilla organisaation tasoilla. Onnistunut riskienhallinta pohjautuu ennen kaikkea eheään tietoturvaan.

 

Mahdollisen tietoturvaloukkauksen sattuessa organisaation tulee osoittaa, että sillä on toimivat menetelmät tietoturvan ja tietosuojan parantamiseen.

Organisaation tulisi tietää, miten tietoturvaloukkauksia pystytään ennalta tunnistamaan sekä ennaltaehkäisemään. Tällöin organisaatiolla olisi selkeät käytännöt, miten minimoidaan riskit ja korjataan mahdolliset vahingot.

 

Eri skenaarioita varten olisikin syytä luoda selkeä riskienhallintasuunnitelma ja –prosessi. Tämän lisäksi on ensiarvoisen tärkeää, että henkilöstöä ollaan koulutettu oikein mahdollisen tietoturvaloukkauksen sattuessa, jotta henkilöstö tietäisi, miten loukkauksen sattuessa tulee konkreettisesti toimia.

 

Johdon tulee aktiivisesti valvoa, että riskienhallinnan ja tietoturvaloukkausten eri prosessit saadaan sovitusti toteutettua ja pidettyä toiminnassa.

 

 

 

Organisaatiota koskevat velvollisuudet

 

Organisaation tulee selvittää, tarvitseeko heidän nimetä erillistä tietosuojavastaavaa. Se riippuu täysin yrityksen koosta ja toimialasta. Lähes kaikkien julkisten hallinnon organisaatioiden on kuitenkin nimitettävä tietosuojavastaava.

Mikäli tietosuojavastaava organisaatiossa nimetään, se EI POISTA organisaation yhteistä vastuuta tietosuojan toteutumisesta. Eli täytyy muistaa, että henkilötietojen käsittelyn lainmukaisuuden varmistaminen kuuluu aina johdolle.

 

Nimitetty tietosuojavastaava voi olla organisaation sisältä luonnollinen henkilö tai tehtävä on voitu ulkoistaa erillisellä palvelusopimuksella.

Jos kyseessä on konserni tai esimerkiksi useampi julkishallinnon elin, voivat he tietyin edellytyksin nimittää organisaatioon yhteisen tietosuojavastaavan. Nimitettäessä tai ulkoistaessa tietosuojavastaavaa tulee olla varma henkilön pätevyydestä tehtävään sekä hänen yleisestä osaamisestaan ja asiantuntemuksestaan tietosuojalainsäädännöstä ja sen eri käytänteistä.

 

Tietosuojavastaavan on oltava riippumaton eikä hän saa olla vaikutusaltis. Tietosuojavastaavaa ei saa myöskään erottaa eikä rangaista hänen tehtäviensä oikeanmukaisesta hoidosta, vaikka johdolla olisikin eroava näkemys ko. tilanteeseen.

Johto ei saa myöskään omalla toiminnallaan rajoittaa tai estää tietosuojavastaavan työskentelyä ja johdon on otettava tietosuojavastaava mukaan tietosuojaa koskeviin neuvotteluihin sekä tarjottava työskentelyn mahdollistavat resurssit.

 

Tietosuojavastaava on velvollinen raportoimaan työskentelystään suoraan organisaation ylimmälle johdolle ja vastaavasti organisaation tulee julkistaa tietosuojavastaavan yhteystiedot ja ilmoittaa niistä eteenpäin valvontaviranomaiselle.

 

 

 

Tietosuoja hankinnoissa, sopimuksissa ja tietojen luovuttamisessa

 

EU:n tietosuoja-asetuksessa määrätään erillisellä sopimuksella henkilötietojen käsittelijän suorittamaa henkilötietojen käsittelyä. Tällöin sopimuksessa on myös määriteltävä ehdot, mikäli henkilötietoja annetaan rekisterinpitäjän ulkopuoliselle taholle. Sopimuksessa tulee käydä esimerkiksi ilmi, mitä se koskee: koskeeko sopimus henkilötietojen säilytystä pilvipalvelussa vai koskeeko se henkilötietojen käsittelyä tietyssä tilanteessa, kuten rekrytoinneissa ja palkanlaskennassa.

 

Mikäli yritykselläsi on tällä hetkellä voimassa olevia sopimuksia sidosryhmien kesken, tulisi sinun tarkistaa sisältyykö kyseiseen sopimukseen ehtoja, jotka ovat ristiriidassa asetuksen ehtojen kanssa.

 

 

 

Seuraamukset tietosuoja-asetuksen rikkomisesta

 

Organisaatiolle voidaan määrätä sakkoja, mikäli se on rikkonut asetusta. Seuraamukset sekä keinot valvoa asetuksen noudattamista ovat samanlaisia ja yhtenäisiä kaikissa EU:n jäsenvaltioissa. Sakkojen lisäksi tai niiden sijaan organisaatiolle voidaan antaa huomautus, varoitus, määräys tai henkilötietojen käsittelykielto tietosuoja-asetuksen rikkomisesta.

 

Suurin vahinko on kuitenkin yritykselle tai yhteisölle koituva imagollinen vahinko. Menetetty luottamus yleisön silmissä on vaikea saada takaisin.

 

 

 

Mikäli sinua askarruttaa organisaatiosi tietosuojan tila tai laitteiden yhteensopivuus asetuksen kanssa, niin ota meihin yhteyttä, niin autamme sinua!

 

 

 

Lue samalla myös GDPR-oppaamme loppukäyttäjille!

 

 

 

Ota yhteyttä
  • Piispantilankuja 6 a, 02240 Espoo
  • Pitkämäenkatu 11, 20250 Turku
  • Vaihde: 09 86773500
Asiakaspalvelu
Twiitit