EU:n uusi tietosuoja-asetus koskettaa lähes jokaista yritystä ja yhdistystä

Työkalu, jonka avulla täytät asetuksen vaatimukset

Eduskunta hyväksyi GDPR:ää täydentävät tietosuojalait 13.11.2018

Eduskunta on hyväksynyt EU:n tietosuojapakettiin liittyvän tietosuojalain sekä lain henkilötietojen käsittelystä rikosasioissa.

Eduskunta tiedotti asiasta 13. marraskuuta 2018, ja tiedote on luettavissa myös tietosuojavaltuutetun toimiston sivulta tietosuoja.fi. Lait menevät vielä presidentin esittelyyn, jossa ne on mahdollista joko hyväksyä tai hylätä sellaisenaan.

Uusi tietosuojalaki täydentää ja täsmentää EU:n yleistä tietosuoja-asetusta (GDPR) ja sitä sovelletaan jatkossa GDPR:n rinnalla. Tietosuoja-asetus on jo itsessään suoraan sovellettavaa oikeutta, eikä sitä voi kokonaan korvata kansallisella lainsäädännöllä. Asetus kuitenkin antaa joissakin asioissa kansallista vapautta, minkä soveltamisesta säädetään uudessa tietosuojalaissa.

Henkilötietojen käsittely rikosasioissa on rajattu EU:n tietosuoja-asetuksen ulkopuolelle. Eduskunnan nyt hyväksymä uusi laki henkilötietojen käsittelystä panee täytäntöön rikosasioiden tietosuojadirektiivin. Se sisältää säännökset rekisteröidyn oikeuksista sekä rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuuksista.

Rikosasioiden suojadirektiivin tarkoituksena on esimerkiksi helpottaa tietojen vapaata liikkuvuutta EU-maiden poliisi- ja oikeusviranomaisten välillä sekä varmistaa henkilötietojen suoja rikosasioita käsiteltäessä. Sitä voidaan soveltaa esimerkiksi silloin, kun kyse on rikosten ennalta ehkäisystä, selvittämisestä, syytetoimista tai rikosasian käsittelystä tuomioistuimessa.

Mikäli presidentti allekirjoittaa lait, ne julkistetaan sen jälkeen kokonaisuudessaan.

Eduskunta hyväksyi lakiehdotukset hallintovaliokunnan mietintöjen HaVM 13/2018 ja HaVM 14/2018 mukaisina. Molemmat mietinnöt sekä kirjaston tietopaketti EU:n yleisen tietosuoja-asetuksen toimeenpanosta löytyvät alla olevista linkeistä.

Tietosuoja-asetus / GDPR - mitä tietosuoja-asetus tarkoittaa käytännössä?

Euroopan unionin yleinen henkilötietoja koskeva tietosuoja-asetus tuli voimaan toukokuussa 2016. Kaksi vuotta kestänyt siirtymäaika umpeutuu 25.5.2018, ja sen jälkeen sitä ryhdytään soveltamaan täysimääräisesti.

Kaikissa henkilötietoja käsittelevissä organisaatioissa asioiden pitäisi tuolloin olla asetuksen edellyttämässä kunnossa. Asetuksesta käytetään yleisesti lyhennettä GDPR (General Data Protection Regulation).

GDPR koskee kaikkia rekisterinpitäjiä, joilla on henkilödataa, myös yrityksen omasta henkilöstöstä kerättyjä tietoja. Viimekädessä tämän henkilödatan asetuksen mukaisesta käsittelystä vastaa organisaation johto. Johdolla ja esimiehillä on keskeinen rooli tietosuojan toteutumisessa, sillä he tekevät henkilötietoja koskevat päätökset – siis käyttävän rekisterinpitäjälle kuuluvaa valtaa.

Asetus vaatii reagoimista myös kunnilta, seurakunnilta, säätiöiltä sekä eri järjestöiltä, esimerkiksi urheiluseuroilta, poliittisilta järjestöiltä ja aatteellisilta yhdistyksiltä.

Suomi on yhdistysten luvattu maa: patentti- ja rekisterihallituksen rekisterin mukaan Suomessa oli vuonna 2016 kaikkiaan 137 890 yhdistystä – saman verran kuin Jyväskylässä on asukkaita.

Tietosuoja-asetus koskee lähes kaikkia yrityksiä, eikä se rajaa pois pienintäkään rekisterinpitäjää, joten niin henkilötietoja käsittelevien mikroyritysten kuin yhden miehen tai naisen palveluyrittäjienkin (esimerkiksi kirjanpitäjien, kampaajien, isännöitsijöiden, terapeuttien, kiinteistövälittäjien) on sitä noudatettava. Yli 90 prosenttia Suomen noin 300 000 yrityksestä on 1–9 henkilöä työllistäviä mikroyrityksiä.

Mitä tietoja kerätään ja mihin tarkoitukseen?

Uusi tietosuoja-asetus on tehty ennen kaikkea suojaamaan yksityistä ihmistä. Yritysten, järjestöjen, julkishallinnon ja muiden organisaatioiden on pyydettäessä pystyttävä antamaan yksityishenkilölle kaikki ne tiedot, jotka yrityksellä on hänestä.

Käyttäjälle on myös tarjottava selkeästi mahdollisuus hyväksyä tai kieltää tietojen kerääminen.

Yrityksille ja muille henkilötietoja tallentaville organisaatioille – esimerkiksi sosiaaliselle medialle, ruokakaupoille, harrastusseuroille – se tarkoittaa muun muassa sitä, että rekisterinpitäjän on kyettävä tarvittaessa yksilöimään kaikki yksittäisestä ihmisestä kertyneet henkilötiedot koko tietomassastaan, ja pyydettäessä ne on siis pystyttävä myös poistamaan.

Tietosuoja-asetus velvoittaa dokumentointiin

Asetus edellyttää, että henkilötietorekisterin pitäjän on pystyttävä todistamaan, että sen keräämät henkilötiedot ovat ”asianmukaisia” ja rajoittuvat vain siihen, mikä on tiedon käsittelyn kannalta tarpeellista.

Uuden asetuksen myötä rekisteriselosteista on tultava kattavampia kuin aiemmin. Rekisteröitävälle on selosteessa ilmoitettava muun muassa henkilötietojen säilytysaika ja se, mihin ja miten tietoja käytetään.

Oleellinen muutos aiempaan vuonna 1995 hyväksyttyyn henkilötietodirektiiviin on se, että jokaisen henkilörekisteriä pitävän on pystyttävä dokumentein osoittamaan, että on noudattanut asetuksen velvoitteita.

Mitkä sitten ovat henkilötietoja?

Henkilötietoja ovat kaikki ne tiedot, joiden perusteella henkilö voidaan tunnistaa joko suoraan tai epäsuorasti. Nimi on tietenkin yksinkertaisin esimerkki, mutta myös henkilötunnus, puhelinnumero, sähköpostiosoite, veronumero ja sijaintieto ovat henkilötietoja.

Henkilötietoja sisältävät lisäksi muuan muassa työvuorolistat tai palkkarekisteri, valvontakameramateriaali, käyttäjätiedot ja vaikkapa ruokakauppojen kanta-asiakasohjelmat. Kaikki nämä ovat tietosuojalainsäädännön piirissä.

Tietoturva-asiantuntijat totesivat vielä vuoden 2018 alkupuolella, etteivät tietosuoja-asiat ole läheskään kaikilla tahoilla asetuksen edellyttämässä kunnossa. Tieto uudesta asetuksesta ei ole vielä tavoittanut kaikkia yrityksiä, järjestöjä ja organisaatioita.

Miten varaudun GDPR:ään?

Parasta, mitä yritykset voivat viimeistään nyt tehdä GDPR:n suhteen, on valmistautuminen ja ennakointi tulevaisuuden varalle. Viimeistään nyt on aika luoda vahva kivijalka, jolle tietoturva-asiat rakennetaan.

Käytännön työn kannalta on aivan ensimmäiseksi tärkeää selvittää, mitä henkilötietoja yrityksessä tai organisaatiossa ylipäätään käsitellään. Niitä käsitellään yllättävän monissa yhteyksissä jo aivan pienissäkin yrityksissä, joissa ollaan esimerkiksi tekemisissä asiakkaiden kanssa. 

On nimiä, osoitteita, puhelinnumeroita, sähköpostiosoitteita, laskutusosoitteita, pankkiyhteyksiä jne. Tietoja on monien ihmisten hallussa ja monien laitteiden muisteissa. Osa tiedoista on paperiarkistoissa, ja uutta tietoa skannataan jatkuvasti näkyville. 

GDPR:n tuomat haasteet ja ongelmat

Lähes kaikilla työpaikoilla on monia eri laitteita, joissa on tallentava muisti, ja niihin tallentuu henkilödataa. Esimerkkeinä voidaan mainita kopiokoneet ja tulostimet, jotka harvoin mielletään tietosuojan kannalta ongelmallisiksi.

GDPR:n mukaisiin vaatimuksiin sopeuduttaessa on käytävä läpi myös oman henkilöstön ja vieraiden kulunvalvonta ja henkilödatan näkyvillä olo omassa työpisteessä. Paperitulosteiden tuhoamiseksikin on syytä luoda käytänteet.

– Tärkeintä yrityksissä on aivan aluksi kartoittaa henkilödatan määrä ja sijainti ja tehdä sen kriittisyysluokittelu, sanoo tietoturva-asiantuntija, Principal Adviser Jarno Lindqvist SAS Institutesta.

Kartoitus on tehtävä myös esimerkiksi yhdistyksissä ja järjestöissä, joiden rekistereissä on runsaasti henkilötietoja. Tietoja käsittelevien luottamushenkilöiden koulutus ja vastuuttaminen tehtäviinsä on mittava urakka.

Organisaatioon on nimettävä tietosuojavastaava, jos sen ydintoimintoihin kuuluu arkojen henkilötietojen tai laajojen henkilötietorekistereiden käsittely. Tällaisia yrityksiä ovat esimerkiksi pankit, vakuutusyhtiöt sekä vartiointiliikkeet. 

Asetus suosittaa, että tietosuojavastaava nimettäisiin kaikkiin yrityksiin. Ellei näin tehdä, organisaatiossa olisi kuitenkin hyvä olla tietosuojasta vastaava henkilö, joka toimii yhteyshenkilönä rekisteröidyn oikeuksiin ja viranomaisvalvontaan liittyvissä kysymyksissä.

Halu nähdä tai poistaa henkilötiedot kasvaa

Henkilötietoja kertyy paljon. Asetus koskee paitsi yrityksiä ja julkishallintoa myös esimerkiksi urheiluseuroja, poliittisia järjestöjä ja harrastusorganisaatioita. 

Kaikkien näiden olisi selvitettävä, mitä mahdollisia muutoksia henkilötietojen suojalle, tietoturvalle ja niiden käsittelemisen käytänteisiin ja laitteistoihin tarvitaan. 

Joidenkin mielipidekyselyjen perusteella näyttää siltä, että ihmisten kiinnostus omia tietojaan kohtaan on kasvanut. Henkilörekistereistä puhuttaessa unohtuu joskus, että erilaisilla järjestöillä on hallussaan valtava määrä henkilötietoja yksityisistä ihmisistä.

Järjestöjen kannattaa olla hereillä, sillä viidennes SAS Instituten kyselytutkimukseen vastanneista ilmoitti harkitsevansa tietojensa poistopyynnön esittämistä esimerkiksi poliittisten järjestöjen tai hyväntekeväisyysjärjestöjen tietokannasta. Kysely tehtiin joulukuussa 2017.

Tuolloin yhdeksän prosenttia suomalaisista ilmoitti heti asetuksen lainvoimaisuuden jälkeen käyttävänsä oikeuttaan päästä käsiksi omiin tietoihinsa. Määrän arvioidaan kasvavan, kun tieto asetuksesta leviää suurelle yleisölle.

Tietosuoja-asetus toi mukanaan rajut pelotteet

Yrityksiä on peloteltu rajuilla rangaistuksilla, mikäli asetuksen vaateita ei noudateta. Totta on, että asetus sisältää rikkomuksista mittavat sakot: enintään 20 miljoonaa euroa tai 4 prosenttia edellisen tilikauden maailmanlaajuisesta liikevaihdosta, kumpi sitten onkin suurempi.

Ihan ensimmäiseksi yritys ei kuitenkaan joudu rangaistavaksi, vaikka tietotuoja-asetuksen jokainen pykälä ei olisikaan kohdallaan. Lainsäätäjällä on käytössään myös varoituksia, huomautuksia ja määräyksiä ennen koko arsenaalin laukaisemista. Valvontaviranomainen voi myös keskeyttää ja kieltää henkilötietojen käsittelyn. 

Sakkojen pelotearvon uskotaan vaikuttavan niinkin, että yritykset jo imagosyistä pyrkivät pistämään asiansa järjestykseen välttyäkseen pahimmassa tapauksessa jopa taloudelliselta katastrofilta, johon esimerkiksi tietomurto voi johtaa.

Muutosten tekeminen on parasta varautumista myös tietoturvaloukkauksiin ja odottamattomiin tilanteisiin.

Laita tietosuoja-asiat kuntoon yhdellä työkalulla

Vilkaistaanpa vähän omia tietoja

Kun joku haluaa ”vähän vilkaista” omia tietojaan, ei homma hoidu pelkällä vilauttamisella. Jonkun yrityksessä pitää tuolloin tietää, mitä kaikkia henkilöön liittyviä tietoja yrityksellä on tallennettu, ja missä ne ovat.

Rekisterin pitäjällä on valtava työ edessään, mikäli yksityiset ihmiset intoutuvat selvittämään, mitä kaikkea heistä on tallennettu erilaisiin asiakasrekistereihin. Asetus edellyttää myös henkilörekistereiden jatkuvaa huoltamista. 

Yksittäisen ihmisen kiinnostus voi kohdistua vaikkapa entisen työpaikan työvuorolistoihin tai palkkatietoihin. Nämäkin yrityksen on kyettävä esittämään samoin kuin kaiken muunkin kysyjästä tallennetun tiedon. Tietoa voi olla esimerkiksi työntekijän osaamisvahvuuksista tai heikkouksista, kouluttautumisesta ynnä muusta. 

Tietojen kaivaminen esiin ja niiden poistaminen ei käy hetkessä, varsinkaan, ellei tietohallinta ole ajan tasalla. Sen päivittämisestä aiheutuu eittämättä myös kustannuksia, joiden takaisin kuittaaminen voi olla vaikeaa.

Miksi GDPR-uudistus tehtiin?

Uusi asetus yhdenmukaistaa henkilötietojen käsittelyä koskevan lainsäädännön koko EU:n alueella. Sen ensisijainen tavoite on parantaa kansalaisten yksityisyyden suojaa ja luoda edellytyksiä EU:n sisäisille digitaalisille markkinoille. Tavoite on helpottaa markkinoilla toimivien yritysten toimintaa.

Myös unionin ulkopuolisten toimijoiden on taivuttava asetuksen vaatimuksiin, jos niillä on toimintaa EU:ssa. 

Uudistuksen uskotaan myös lisäävän turvallisuutta. Vauhdilla digitalisoituva arki tuo tullessaan samaa vauhtia kasvavia uhkia, muun muassa jo aiemmin mainitut tietomurrot, joilla voidaan kaapata miljoonien ihmisten luottokorttitietoja ja salasanoja.

Asetuksen positiivinen puoli yritykselle ja yhdistyksille

Tietosuoja-asetuksen vaatimuksiin sopeutumisessa voi olla myös hyvä, jopa tuottava puoli. Kun yrityksen tietojärjestelmä joutuu läpivalaistavaksi, voi samalla löytyä turhia töitä ja ylimääräisiä kuluja aiheuttavia tai tuottamattomia teknisiä ratkaisuja, joista voidaan luopua. 

Parhaassa tapauksessa muutos johtaa toimintatapojen ja järjestelmien tehostamiseen sekä  paremmin yrityksen nykyisiä tarpeita vastaaviin ja kustannuksia alentaviin ratkaisuihin.

Tietosuojajärjestelmien ajantasaisuus voi olla myös kilpailuvaltti yritysten ja organisaatioiden keskinäisessä kaupankäynnissä. Jos ja kun henkilötietorekistereiden ylläpito tai käyttö ulkoistetaan, on palvelun ostajan voitava olla varma, että järjestelmät ja käytänteet ovat uuden lain mukaiset.

Tässä tapauksessa asiakkaan on myös voitava olla varma siitä, että järjestelmä pidetään jatkuvasti asetuksen vaatimusten tasalla.

Kybervakuutus tulee apuun

Kaiken voi vakuuttaa. Niin myös tietoturvan. Vakuutusyhtiöt ovat kehittäneet tuotteen myös tietoturvavahinkojen varalle. Yhtiöiden vakuutustarjonnassa tuotetta kutsutaan yleisesti kyber- tai tietoturvavakuutukseksi. 

Vakuutus korvaa esimerkiksi liiketoiminnan keskeyttämisestä aiheutuvan taloudellisen vahingon, joka voi syntyä vaikkapa tietomurrosta, tietokoneviruksesta, palvelunestohyökkäyksestä tai haittaohjelmasta.

Tällöin minimissään edellytetään, että palomuuri on päivitetty ja virusohjelma on ajan tasalla ja että päivittäinen varmuuskopiointi on tehty asianmukaisesti. Sakkoja, viivästyssakkoja tai vastaavia vakuutus ei korvaa.

Uuden tietoturva-asetuksen laiminlyönnistä johtuvat tietoturvaan liittyvät vahingonkorvausvaateet voivat nousta yrityksen tai järjestön liikevaihtoon nähden kohtuuttomiksi esimerkiksi terveystietojen tai muiden kriittisiksi luokiteltavien tietojen vuotamisesta.  

Kybervakuutusten markkinointi ja hankkiminen ovat uuteen tilanteeseen varauduttaessa vahvassa nousussa. Liikevaihdosta riippuen vakuutusmaksut alkavat alle 200 eurosta vuodessa. 

Mitä sanoo laki?

EU:n yleistä tietosuoja-asetusta sovelletaan kaikissa EU-maissa 25.5.2018 lähtien. Sitä täydennetään ja täsmennetään kansallisella lainsäädännöllä. 

Oikeusministeriön asettama työryhmä on ehdottanut uutta kansallista tietosuojalakia, joka tulisi voimaan samanaikaisesti, kun tietosuoja-asetusta ryhdytään soveltamaan.

Tietosuoja-asetus sekä oikeusministeriön työryhmän mietintö uudeksi kansalliseksi tietosuojalaiksi löytyvät tietosuojavaltuutetun toimiston nettisivustolta: http://www.tietosuoja.fi/fi/index/euntietosuojauudistus.html#tietosuoja-asetus

Laita tietosuoja-asiat kuntoon yhdellä työkalulla

Pro Tietosuoja -palvelun esittely

Tästä voit katsoa Pro Tietosuoja -palvelun käytön nopean esittelyn videomuodossa.

Työkalu, jolla pystyt täyttämään tietosuoja-asetuksen asettamat vaatimukset

Pyydä henkilökohtainen esittely - ei velvoita mihinkään!

Lisenssityyppi 1–9 henkilöä 10–29 henkilöä 30–49 henkilöä 50–99 henkilöä
Perus 99 € / vuosi (1–9 henkilöä) 199 € / vuosi (10–29 henkilöä) 299 € / vuosi (30–49 henkilöä) 599 € / vuosi (50–99 henkilöä)

Pyydä esittely

Hinnat ovat arvonlisäverottomia ja niihin lisätään voimassa oleva arvonlisävero 24%.

Yli sadan hengen lisenssikokonaisuudet sopimuksen mukaan.

Pro Tietosuoja -peruslisenssin ominaisuudet:

  • käyttäjätunnusten ja -oikeuksien hallinta
  • asetuksen edellyttämän organisaation dokumentaation tekeminen
  • asetuksen edellyttämä riskien arviointi
  • organisaation henkilöstön koulutus ja tarvittava dokumentaatio siitä
  • organisaation koulutusten hallinnointi koulutusrekisterin avulla
  • poikkeamailmoituksen tekeminen (tietoturvaloukkaukset)

Tutustu muihin pilvipalveluihimme täällä!

Palvelua toteuttamassa