EU:n yleisen tietosuoja-asetuksen soveltaminen alkoi – Mitä henkilötietojen käsittelyssä tulee huomioida viimeistään nyt?

Tietosuoja-asetuksen soveltaminen alkoi 25.5.2018. Asetus sääntelee henkilötietojen käsittelyä kaikissa EU-maissa. Suomessa kansallisen lainsäädännön päivitys on viivästynyt. Suomen henkilötietolaki on voimassa, kunnes se kumotaan ehdotetulla tietosuojalailla. EU-oikeuden etusijaperiaatteen vuoksi tietosuoja-asetuksen kanssa ristiriidassa olevaa kansallista lainsäädäntöä ei kuitenkaan sovelleta. Siksi kannattaakin huolehtia siitä, että henkilötietojenkäsittely on järjestetty asetuksen mukaisesti.

Monella organisaatiolla on kuitenkin vielä paljon kysymyksiä asetuksen velvollisuuksiin liittyen.

Mitä pitäisi tehdä, jos kaikkia tietojen käsittelyyn liittyviä velvoitteita ei ole ehditty järjestää tai asetuksen vaatimusten noudattamista ei ole dokumentoitu? Miten on mahdollista varmistaa, että kaikki tarvittava on huomioitu?

Mitä suurempia riskejä henkilötietojen käsittely aiheuttaa, sitä enemmän velvollisuuksia henkilötietojen käsittelyyn liittyy. Lakien noudattaminen taas puolestaan on osoitettava riittävällä suunnittelulla, dokumentoinnilla ja toteutuksella.

Asetus edellyttää aktiivisia toimia. Mikäli kysymyksiä ja epävarmuutta on, kannattaa toimenpiteisiin ryhtyä aktiivisesti. Jos rekisterinpitäjä ei pysty osoittamaan noudattavansa tietosuoja-asetuksen velvoitteita tai edes pyrkivänsä velvoitteiden noudattamiseen, tämä voi aiheuttaa maineriskin lisäksi muun muassa hallinnollisia seuraamuksia.

Tietosuojakartoitus on hyvä lähtökohta menettelyjen tarkistamiseen. Kartoituksen avulla selvitetään, mitä toimenpiteitä uuden asetuksen vaatimukset edellyttävät tai onko nykyisessä tilanteessa puutteita. Selvitettäviä kysymyksiä ovat esimerkiksi seuraavat:

  • mitä henkilötietoja kerätään ja käsitellään?
  • mikä on tiedon keräämisen ja käsittelyn peruste?
  • mitä varten ja miten tietoja käsitellään, missä ja kenen toimesta?
  • mitä toimintatapoja ja ohjeita noudatetaan?
  • onko kaikki oleelliset asiat dokumentoitu?
  • onko organisaatiota koulutettu tietojenkäsittelyyn liittyvissä asioissa?
  • mitä ja miten henkilötietojen käsittelystä tulisi tiedottaa?

Asetus myös velvoittaa muun muassa:

  • tietyt toimijat nimittämään tietosuojavastaavan sekä tekemään tietoturvaloukkauksia koskevan toimintasuunnitelman
  • järjestämään henkilöiden, joiden tietoja käsitellään, yhteydenottoihin ja tietopyyntöihin vastaamisen tarvittavalla tavalla
  • keräämään tarvittaessa suostumukset
  • järjestämään tietojenkäsittelyn tarvittavan tietoturvalliseksi
  • sopimaan kirjallisesti henkilötietojen käsittelystä sopimussuhteen perusteella (esimerkiksi IT-palveluntarjoajien sekä markkinointi- ja viestintätoimistojen kanssa)
  • tietyissä tilanteissa laatimaan selosteen/selosteet käsittelytoimista

Valvontaviranomainen, eli tietosuojavaltuutettu, voi tarvittaessa arvioida käsittelytoimien lainmukaisuutta kirjallisen käsittelykuvauksen perusteella ja tarvittavat asiakirjat on pyydettäessä toimitettava valvontaviranomaiselle tarkasteltavaksi. Tämän johdosta toimenpiteissä onkin keskeistä panostaa tarvittavien asiakirjojen laadintaan, eli dokumentointiin. Vähintäänkin yhtä tärkeää on varmistaa, että tietosuojaa toteuttavat toimenpiteet myös tosiasiassa implementoidaan organisaatioon.

Uuden tietosuoja-asetuksen sisältö on laaja, joten kokeneenkin toimijan voi olla haastavaa ottaa kaikkia lainsäädännön yksityiskohtia huomioon. Tärkeintä on pystyä osoittamaan, että toimenpiteisiin tietosuojan eteen on ryhdytty aktiivisesti oikeasisältöisin toimenpitein.

Properta on neuvonut useita organisaatioita valmistautumisessa asetuksen soveltamiseen sekä tarjoaa jatkuvaa neuvontaa tietosuojalainsäädäntöön liittyvissä kysymyksissä. Otathan yhteyttä, jos teillä on kysymyksiä asiaan liittyen. Tarjoamme asiakkaillemme muun muassa tietosuojakartoituksen kiinteään hintaan.

Tiedustelut:

Emilia Lasanen, asianajaja
emilia.lasanen@properta.fi
+358 44 750 5628