<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1335718923188186&amp;ev=PageView&amp;noscript=1">

BLC blogi

EU Tietosuoja-asetus - Onko teidän IT enää laillinen 25.5.2018 jälkeen?

Posted by Ville Soikkola on 1.3.2017 13:40

EU-tietosuojan kokonaisuudistus astuu voimaan 25.5.2018. Valtiovarainministeriön suosituksen mukaisesti jokaisen viranomaisen, yrityksen tai organisaation suositellaan tarkastamaan, miten tuleva lainsäädäntö on omalta osalta huomioitava jo nyt. Direktiivissä pykäliä ja lakitekstiä on satoja sivuja ja Valtiovarainministeriö on julkaissut asiasta keväällä oman noin 50 sivuisen selonteon. Onnistuin itse referoimaan keskeisen sisällön yhdelle sivulle.

 

Nykysääntelystä poiketen, asetus määrittelee velvollisuuksia rekisterin lisäksi jatkossa myös järjestelmätasolle, sekä suoraan henkilötietojen käsittelijälle. Pelkkä vaatimustenmukaisuus ei enää riitä, vaan rekisterinpitäjän on pystyttävä osoittamaan, miten se on varmistunut tietosuojavelvollisuuksien toteutumisesta toiminnassaan. Rekisterinpitäjän tietosuojavelvollisuudet koskettavat kaikkia organisaation käsittelemiä henkilötietoja, olipa kyseessä yksityishenkilöiden, yhteistyökumppaneiden, asiakkaiden tai organisaatioiden henkilöstön tiedot.

 

Rekisteriin kohdistuvia uusia määrityksiä tarkastellessa on erityisesti huomioitavaa että myös sähköpostijärjestelmä on rekisteri (henkilörekisteri). Käytännössä tämä tarkoittaa että uudistus koskettaa jokaista suomalaista yritystä. Rekisteri muodostuu, kun saadaan/käsitellään/tallennetaan vähintään kaksi eri tietoa - henkilörekisteri muodostuu, kun nämä voidaan kohdistaa yksilöön. Sähköpostin ollessa kyseessä, tästä ei ole mitään epäselvyyttä.

 

Järjestelmätaso & prosessit on oltava kunnossa

Uusi tietosuoja-asetus velvoittaa rekisterinpitäjää toteuttamaan asianmukaiset tekniset ja organisatoriset toimenpiteet, jotta henkilötietojen käsittely on turvattua: verkon tulee olla turvallinen, palomuurit kunnossa, pääsynhallinta kontrollissa, fyysisestä turvallisuudesta huolehdittu jne.

Järjestelmätasolle vaikuttavaksi asiaksi voidaan katsoa myös pakollinen rekisteriseloste ja tietosuojaseloste. Käytännössä nämä ovat yksi dokumentti, joka rekisterinpitäjän tulee laatia ja pitää yleisesti saatavilla. Sen tulee kuvata henkilötietojen käsittely tiiviisti esitellyssä, avoimessa ja helposti ymmärrettävässä muodossa.

 

Rekisteritasolla muutoksia tulee enemmän

Oletusarvoisesti jatkossa saadaan kerätä vain henkilötietoja, jotka ovat välttämättömiä ja tarpeellisia käsittelytarkoituksen kannalta. Tietoja ei saa kerätä enempää, eikä saa säilyttää kauempaa, kun on tarkoituksenmukaista, eikä henkilötietoja saa asettaa rajoittamattoman henkilömäärän saataville.

Rekisterin pitäjälle asetetaan myös uusi vaatimus rekisteröidyn tiedollisesta itsemääräämisoikeudesta. Käytännössä tämä tarkoittaa, että jokaisella rekisteristä löytyvällä henkilöllä on oikeus jatkossa päästä lukemaan tietojansa, oikaista tai poistaa tietojaan, oikeus rajoittaa tietojensa käsittelyä sekä siirtää tietonsa toiseen järjestelmään. Rekisteröidyn henkilön pyyntöihin näitä oikeuksia koskien tulee vastata kuukauden kuluessa pyynnön vastaanottamisesta. Monimutkaisiin pyyntöihin, tai poikkeuksellisen ruuhkan vuoksi aikaa saa kuitenkin vielä kaksi kuukautta lisää.

Organisaation tulee jatkossa kyetä osoittamaan, että se on huolehtinut (tiedollisen itsemääräämisoikeuden lisäksi) myös seuraavista henkilötietojenkäsittelyn osa-alueista:

  • Lainmukaisuus, kohtuullisuus ja läpinäkyvyys (esim. henkilöiden suostumukset tietojen keräämisestä ym. täytyy löytyä tarvittaessa)
  • Käyttötarkoitussidonnaisuus (ennakkoon täytyy tietää mihin ko. rekisteriä tarvitaan ja varmistaa että sitä käytetään myös vain ennakkoon määriteltyyn tarkoitukseen)
  • Tietojen minimointi (et saa säilyttää kuin tietoja joita välttämättä tarvitset)
  • Tietojen täsmällisyydestä huolehtiminen
  • Säilytyksen rajoittaminen
  • Tietojen luottamuksellisuus
  • Riskienhallinta ja vaikutustenarviointi (pakollinen dokumentoida mikäli tietomurto aiheuttaisi yksilöiden oikeuksien tai vapauksien kannalta riskejä)

Näiden täyttyminen voidaan osoittaa esimerkiksi tietotilinpäätöksellä, joka on organisaation laatima raportti vapaaehtoisessa muodossa.

 

Ilmoitusvelvollisuus tietoturvaloukkauksista

Jos henkilötietojen luottamuksellisuus on vaarantunut (järjestelmä tai rekisteritasolla) niin, että se todennäköisesti aiheuttaa korkean riskin rekisteröityjen oikeuksille ja vapauksille, on rekisterin pitäjä ilmoitusvelvollinen tietoturvaloukkauksesta. Tällaisena korkeana riskinä voidaan pitää esimerkiksi tilanteita jossa tietoturvaloukkaus altistaa käyttäjän identiteettivarkaudelle, maksuvälinepetokselle tai jollekin muulle rikolliselle toiminnalle.

 

Sanktionti

Asetusten vaatimusten täytäntöönpanoa ohjaa tuntuva sakko, jonka valvontaviranomainen voi määrätä rekisterinpitäjälle ja/tai rekisterin tietojen käsittelijälle. Sakon enimmäismäärä on 20M€ tai 4 % yrityksen globaalista liikevaihdosta.

 

Mikäli et ole varma onko yrityksenne IT-infrastruktuuri järjestelmän tasolta tulevien vaatimusten mukaisesti rakennettu, jätä yhteystietosi chat-palvelun kautta tai soita minulle suoraan niin kerron, kuinka voimme auttaa.

 

 Ota yhteyttä: 

https://www.blc.fi/yrityksille/it/taito/yhteystiedot/

 

 


 Lataa tästä pilviopas

Topics: IT

Tilaa blogi sähköpostiisi

Viimeisimmät artikkelit: