Euroopan komissio on ehdottanut muutoksia GDPR:n soveltamiseen pienissä ja keskisuurissa yrityksissä. Tavoitteena on keventää hallinnollista taakkaa, erityisesti poistamalla tai helpottamalla velvoitetta ylläpitää käsittelytoimien (huom.! art. 30 GDPR, tämä ei siis koske tietosuojaselosteita, joilla toteutetaan käsittelystä tiedottamista). Muutokset eivät koske julkishallintoa. Mutta mitä tämä tarkoittaa käytännössä yrityksille?
Mitkä asiat muuttuvat?
- Henkilöstömäärän raja nostetaan 750 henkilöön
Nykyisin vapautus käsittelytoimien selosteen ylläpidosta koskee yrityksiä, joissa on alle 250 työntekijää ja kun käsittely on satunnaista. Uudessa ehdotuksessa raja nostetaan alle 750 työntekijän organisaatioihin. Tämä tuo kevennyksiä erityisesti niille kasvaville yrityksille, jotka ovat ylittäneet pk-yritysten rajan mutta eivät vielä ole suuryrityksiä. Suositus puhuu ”mid-cap enterprise” -luokasta, joka on yritys, jossa on alle 750 henkilöä, vuosittainen liikevaihto on enintään 150 M€ ja vuotuinen taseen loppusumma on enintään 129 M€.
- Poikkeus soveltuu, ellei tietojenkäsittely aiheuta todennäköisesti korkeaa riskiä
Yritysten ei tarvitse ylläpitää käsittelytoimien selostetta, jos tietojenkäsittely ei todennäköisesti aiheuta korkeaa riskiä ihmisten oikeuksille ja vapauksille. Siten poikkeus soveltuisi myös muuhun kuin satunnaiseen käsittelyyn, kunhan käsittelyssä ei ole tunnistettu korkeita riskejä. Tämä tuo käytännössä vapautuksen selosteiden ylläpidosta monille yrityksille, mutta edellyttää silti käsittelytoimien riskiarviota. Mikäli riski katsotaan korkeaksi, on käsittelytoimien selostetta sen käsittelytoimen osalta edelleen pidettävä.
- Poistetaan vaatimus käsittelytoimien selosteesta sen perusteella, että käsitellään erityisiä henkilötietoryhmiä
Aiemmin pelkkä erityisten henkilötietoryhmien (esim. terveystiedot, rikostiedot) käsittely edellytti käsittelytoimien selosteen ylläpitoa. Nyt näiden tietojen käsittely on kirjattava käsittelytoimien selosteelle vain, jos niiden käsittely on todennäköisesti korkeariskistä.
- Laajennetaan artikloiden 40(1) ja 42(1) soveltuvuutta keskisuuriin yrityksiin
Tämä tarkoittaa, että myös keskisuuret yritykset voidaan ottaa huomioon, kun laaditaan toimialakohtaisia käytännesääntöjä ja sertifiointimekanismeja tietosuojan tueksi.
Miten muutokset hyödyttävät yrityksiä?
Aiempaa suuremmat yritykset vapautuvat osittain käsittelytoimien selosteen ylläpidon velvollisuudesta, kunhan käsittely ei aiheuta korkeita riskejä ihmisille. Yritykset voivat valita vapaammin muita tapoja osoittaa vaatimustenmukaisuuden toteutumista, mikä voi olla kustannustehokkaampaa. Yritykset voivat keskittyä todellisiin tietosuojaa uhkaaviin riskeihin, sen sijaan että tuhlaavat aikaa vähäriskisen käsittelyn dokumentointiin ja sen ylläpitoon. Ehdotus korjaa tilanteen, jossa yritys menetti helpotuksia heti ylittäessään pk-yrityksen rajan. Lisäksi velvoite sidotaan pelkästään riskitasoon, ei satunnaisuuteen tai tiettyihin henkilötietoryhmiin.
Mitkä velvoitteet yrityksille silti jäävät?
Vaikka käsittelytoimien selosteen vaatimusta kevennetään, muita GDPR-velvoitteita ei muuteta. Yritysten on edelleen noudatettava kaikkia muita GDPR:n periaatteita ja velvollisuuksia (mm. rekisteröityjen oikeudet, tietoturva, vaikutustenarviointi, kansainvälisten siirtojen tunteminen, ym.). Yrityksen tulee jatkossakin arvioida kaiken henkilötietojen käsittelyn osalta, aiheuttaako käsittely korkean riskin. Käsittelytoimien selosteen puuttuminen ei vapauta myöskään yritystä osoitusvelvollisuudesta GDPR:n noudattamisesta valvontaviranomaisille. Komissio toteaakin, että joissakin tilanteissa käsittelytoimien selosteen ylläpito voi silti olla suositeltavaa ja paras tapa osoitusvelvollisuuden täyttämiseksi.
Yrityskin voi joutua luokitelluksi julkishallinnon organisaatioksi, mikäli se tuottaa julkisia palveluita tai hoitaa julkista tehtävää. Tähän sovelletaan tällä hetkellä samaa määrittelyä kuin tietosuojavastaavan nimittämisessä (wp243 rev.1). Joukkoliikennepalvelut, vesi- ja energiahuolto ja esim. julkinen asuntotuotanto ei siten kuuluisi jatkossakaan poikkeusten piiriin.
Lopuksi: mitä nyt tulee tehdä?
Käytännössä lähestulkoon samat asian kuin tähänkin mennessä. Kaikkien käsittelytoimien riskitaso on jatkossakin arvioitava vähintäänkin sen osoittamiseksi, ettei korkeita riskejä ole tunnistettu. Jos päättää luopua käsittelytoimien selosteista, on jotenkin silti ratkaistava, miten muu osoitusvelvollisuus toteutetaan ja millainen dokumentaatio siihen riittää. Ja kannattaa muistaa, että kyseessä on vasta ehdotus, lopullinen muoto voi vielä muuttua!
