Tietosuoja-asetus tulee – mitä organisaatiossani on tehtävä?

EU:n tietosuoja-asetus astui voimaan 24.5.2016 ja sen soveltaminen alkaa 25.5.2018 2 vuoden siirtymäajan jälkeen. Aikaa on vielä, mutta paljon on myös tekemistä. Aihetta on käsitelty paljon rekisteröidyn näkökulmasta. Tässä neljä kohtaa, mitä se tarkoittaa yrityksissä, yhdistyksissä ja kaikissa henkilötietoja keräävissä organisaatioissa.


Uutta aikasempaan henkilötietolainsäädäntöön on organisaatiokeskeinen ja riskilähtöinen lähestymistapa. Jatkossa ei voi ladata tietosuojavaltuutetun toimiston sivuilta valmiita rekisteriselosteita, joihin valmiisiin kenttiin vastaamalla täyttäisi lain vaatimukset. Vaikka työtä on enemmän, asioiden toteuttaminen tuo kuitenkin paljon muitakin hyötyjä kuin lain vaatimusten täyttäminen.

Olennaista on se, että organisaatiossa toteutetaan vähintään seuraavat toimet:

1. Henkilötietojen käsittelyä koskeva arviointi

Jokaisen täytyy käydä läpi oman organisaation osalta henkilötietojen keräämisen, tallentamisen, käsittelyn ja poistamisen elinkaari. Samassa yhteydessä on arvioitava riskejä, joita henkilötietoihin kohdistuu. Tämä on koettu yrityksissä aluksi työlääksi, mutta projektimme jälkeen palaute on ollut ihan erilainen. Asiakkaamme ovat olleet tyytyväisiä siihen, että arvioinnin läpikäynti on opettanut omasta organisaatiosta ja sen toiminnasta paljon muutakin. Joissain projekteissa on kyetty parantamaan ja tehostamaan myös yrityksen perustoimintoja, kun omia käytänteitä ja järjestelmiä katsotaan vähän uudesta näkökulmasta.

2. Ilmoitusvelvollisuus tietoturvaloukkauksista 

Yritysten on ilmoittettava rekisteröidyille ja valvovalle viranomaisille henkilötietoihin kohdistuvista tietoturvaloukkauksista. Tämä tarkoittaa sitä, että loukkaukset on myös kyettävä havaitsemaan! Lisäksi täytyy olla menettelytavat vahinkojen rajaamiseksi ja minimoimiseksi. Samalla kun nämä vaatimukset toteutetaan, parannetaan ja tehostetaan myös tietotekniikan toimintavarmuutta ja tietoturvallisuutta organisaatiossa. Nämä parannukset säästävät pidemmällä aikavälillä myös rahaa vikamäärien laskiessa ja IT:n toimintavarmuuden parantumisessa.

3. Tietosuojavastaava

Arvioinnin tuloksena voi olla, että organisaatiossa tarvitaan tietosuojavastaava. Tietosuojavastaava valvoo henkilötietojen käsittelyä, kouluttaa ja tukee henkilökuntaa, toimii yhteyshenkilönä yrityksen sisällä ja viranomaisiin ja raportoi suoraan organisaation johdolle. Tietosuojavastaavan pätevyydelle on joitain perusvaatimuksia. Tietosuojavastaava voi olla joko organisaation omasta henkilöstöstä nimetty tai hän voi olla sopimusperusteisesti organisaation lukuun toimiva henkilö.

4. Tilivelvollisuus

Organisaation on kyettävä jälkikäteen osoittamaan, että lain vaatimukset on huomioitu ja tarvittavat toimet on viety käytäntöön. Vastuut on oltava määriteltyinä, riskienarviointiprosessi on oltava kirjallinen ja sen toimenpiteet on dokumentoitava. Myös ennakointi ja varautuminen ennalta kuuluu suunnitella ja dokumentoida etukäteen.

Entä jos…?

Erilaista aikaisempaan lainsäädäntöön on myös tiukempi sanktiointi. Aiemmin korvausvastuita ja sanktioita mietitiin vain, jos jotain sattui. Myös lainsäädännön vaatimukset koettiin epäselviksi ja niiden toteuttamista voitiin tulkita monella eri tavalla. Nyt asetus määrittelee tietyt toimet hyvin selkeästi. Toki paljon avoimiakin kysymyksiä vielä on. Sanktiot ovat aika tuntuvia. 2 – 4 % yrityksen maailmanlaajuisesta kokonaisliikevaihdosta on minkä kokoiselle yritykselle tahansa kova maksu.
Toisaalta velvoitteiden toteuttamiseen vaadittavat investoinnit on myös suhteessa organisaation kokoon ja toimintatapaan. Pienemmissä organisaatioissa henkilötietojen käsittelyprosessit ovat usein yksinkertaisempia ja hallittavampia. Toimintaympäristö on myös yksinkertaisempi. Näin ollen myös tietojen suojaamisen suunnittelu ja toimenpiteet eivät vaadi välttämättä monia tuhansia euroja. 
Olemme mielellämme auttamassa alkuun ja ohjaamassa näissä asioissa. Kannattaa kuitenkin olla ajoissa liikkeellä, sillä toimenpiteet on hyvä päästä toteuttamaan ajoissa. Näissäkin asioissa kiire tulee yleensä kalliiksi.