Tietosuoja-asetus muuttaa velvollisuuksia ja oikeuksia

05.06.17

Kesäkuun Aamukahvi Annankadulla -tilaisuuden aihe, 25.5.2018 voimaan tuleva EU:n tietosuoja-asetus kiinnosti laajasti. Luvassa on merkittäviä muutoksia rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuuksiin sekä rekisteröidyn oikeuksiin. Nyt on korkea aika varautua muutoksiin ja hioa järjestelmät prosessit siihen kuntoon, että tulevan lainsäädännön vaatimuksiin pystytään vastaamaan sujuvasti.

Rekisterinpitäjää koskevat uudistukset ovat velvollisuus nimittää tietosuojavastaava, arvioida vaikutuksia, ilmoittaa tietoturvaloukkauksista ja osoittaa rekisteröityjen tietojen tarpeenmukaisuus. Rekisteröidyn näkökulmasta uutta on oikeus rajoittaa omien henkilötietojen käsittelyä, tulla unohdetuksi tietyssä rekisterissä sekä mahdollisuus siirtää henkilötiedot järjestelmästä toiseen. Henkilötietojen käsittelysopimuksille asetetaan jatkossa sisältövaatimukset, ja rekisterinpitäjällä ja tietojen käsittelijällä on itsenäinen ja erillinen vastuu lainmukaisesta toiminnasta.

Ei tiedonkeruuta ilman tarkoitusta

Valmisteilla oleva sääntely on yksityiskohtaista muun muassa sen osalta, millä perusteella rekistereitä voi kerätä ja tietoja käsitellä. ”On entistäkin tärkeämpää dokumentoida huolellisesti rekisterien tarkoitus ja se, että asiat on mietitty tarkkaan”, painotti Sami Tenhunen HPP Asianajajilta. Tavoitteena on lisätä henkilötietojen rekisteröinnin läpinäkyvyyttä. Tärkeitä asiakirjoja ovat rekisteriseloste sekä rekisterinpitäjän ja tietojen käsittelijän välinen toimeksiantosopimus. Kiinteistöalalla tällainen solmitaan esimerkiksi kiinteistöomistajan ja huoltoyhtiön välille.

Tietosuoja-asetus herättää paljon keskustelua jo nyt, vuotta ennen vuomaantuloaan. Yrityksissä muutokseen on herätty ja tietosuojavastuuhenkilöitä nimetään kiivaasti ainakin suurimmissa organisaatioissa. ”Lakimuutos tuo mukanaan väärinkäytöksistä perittävät merkittävät hallinnolliset sakot, jotka ovat selvästi lisänneet myös johdon kiinnostusta tietosuoja-asetusta ja sen mukanaan tuomia vaatimuksia kohtaan”, kertoi Sami Tenhunen.

Varmista järjestelmien toimivuus nyt

Muutosta vuokranantajan näkökulmasta tarkasteli Panu Koskimäki Kojamolta. Vuokraustoiminnassa rekisterit sisältävät pääasiassa tietoihin, joiden kerääminen on asiakassuhteen johdosta perusteltua. ”Yhden haasteen voi tuoda rekisteröidyn laajentuva tarkastusoikeus. Pitää olla hyvin selvillä siitä, missä rekistereissä saman henkilön tietoja on, jotta hän saa halutessaan ne kaikki nähtäväksi”, muistutti Panu Koskimäki. Hän suositteli yleisen tietosuojaliitteen lisäämistä sopimuksiin sekä selkeän kuvauksen laatimista siitä, miten tietoturva on yrityksen prosesseissa varmistettu.

Uusien velvollisuuksien täyttämiseen pitää järjestelmien kehittämisessä varautua ennakkoon. Esimerkiksi ilmoitus tietoturvaloukkauksesta pitää tehdä rekisteröidyille 72 tunnin kuluessa, joten valmius siihen pitää olla heti tällaisen tapahduttua. ”Pitää myös olla mahdollisuus poistaa henkilön tiedot sujuvasti sekä rekisteristä että mahdollisista varmuuskopioista, jos henkilö haluaa käyttää oikeuttaan tulla unohdetuksi”, Koskimäki korosti ja jatkoi: ”Myös siitä pitää varmistua, ettei kuormitus ja käsityön määrä kasva liian suureksi, jos useat rekisteröidyt haluavat tarkistaa omat tietonsa asetuksen tullessa voimaan.” Prosessit on siis syytä pistää kuntoon nyt, kun siihen vielä on aikaa.

Panu Koskimäen toimenpidesuositukset tietosuoja-asetuksen voimaantuloon varautumiseksi:

  1. Tietosuojavastaavan nimittäminen
    • Koko organisaation osallistaminen
    • "Tietosuojaryhmä"?
  2. Sopimusten läpikäynti
    • Yleisen "tietosuojaliitteen" laatiminen?
  3. Prosessit kuntoon
    • Tarkastusoikeus, tietojen poistaminen, tietoturvaloukkauksista tiedottaminen...
  4. Ulkopuolisen avun hankkiminen