EU:n tietosuoja-asetus astuu käytäntöön siirtymäajan päättyessä 25.5.2018. Asetus tiukentaa henkilötietojen käsittelyä koko EU:n alueella.
Tietosuoja on osa yksilön perusoikeuksia tarkoituksena taata henkilöille yksityisyyden suojaa. Tietosuoja määrittelee millä edellytyksellä henkilötietoja voidaan käsitellä laillisesti, mitkä ovat yrityksen oikeudet ja velvollisuudet tietojen käsittelyssä ja mitkä ovat yksilön oikeudet omiin tietoihinsa. Tietosuoja-asetus koskee kaikkia yhteisöjä, jotka käsittelevät henkilötietoja tai pitävät mitä tahansa rekisteriä sisältäen henkilötietoja.
Tietosuoja-asetus vaalii meidän jokaisen omistusoikeutta omiin henkilötietoihimme.
TIETOSUOJA VAI TIETOTURVA
Tietoturva on yksi osa tietosuojaa, sillä se tarkoittaa tiedon saatavuuden, luottamuksellisuuden ja eheyden ylläpitämistä. Tietoturvatoimenpiteillä pyritään suojaamaan tietoja ulkopuolisilta ja väärinkäytöksiltä. Tietosuojalla tarkoitetaan yksilön yksityisyyden ja luottamuksen turvaamista. Tietosuojassa on kysymys rekisteröidyn oikeuksista.
TIETOSUOJA-ASETUKSEN VAIKUTUKSET
Yrityksille tietosuoja-asetus luo uudenlaisia velvollisuuksia, kun henkilötietojen käsittelyä koskevat vaatimukset tiukentuvat. Henkilötietojen käsittelyyn liittyvät prosessit on dokumentoitava ja henkilötietojen käsittelystä on sovittava yksityiskohtaisesti kirjallisella sopimuksella palveluntarjoajan ja yrityksen välillä. Palveluntarjoajan on huomioitava tietosuojavaatimukset. Samaan aikaan yksilöillä tulee olemaan enemmän oikeuksia määrätä omista henkilötiedoistaan. Lisäksi viranomaisille annetaan laajemmat toimivaltuudet asetuksen valvontaan ja tietosuojarikkomuksista on asetettu merkittäviä seuraamusmaksuja.
Jokaisen yrityksen on tärkeää huolehtia sekä asiakkaiden tietojen suojaamisesta että yhtiön omien työntekijöiden tietosuojasta. Yrityksissä laaditaan tietosuojaan liittyvät ohjeet ja niitä myös ylläpidetään päivittämällä säännöllisin väliajoin. Jokaisen yrityksen on pohdittava ja dokumentoitava henkilötietojen käsittelyyn liittyvät prosessit kuntoon.
TIETOSUOJAAN LIITTYVÄT MÄÄRITELMÄT JA ROOLIT
Henkilötieto
Henkilötietoa on luonnolliseen henkilöön liittyvä tieto, josta hänet voidaan tunnistaa vaikka vain välillisesti. Henkilötiedon tulkinta on hyvin laaja, esimerkiksi sähköpostiosoite, käyttäjätunnus, pankkitilinumero, henkilönumero, IP-osoite ja monet muut yrityksen työntekijöihin tai vastuuhenkilöihin liittyvät tiedot ovat henkilötietoja.
Henkilötietojen käsittely voi olla aktiivista tai passiivista, kuten arkistointi. Myös pelkkä tietojen säilytys tai saatavilla olo on henkilötietojen käsittelyä.
Rekisterinpitäjä
Rekisterinpitäjä on taho, jonka hyväksi henkilötietoja käsitellään. Rekisterinpitäjä päättää mihin tarkoitukseen ja miten tietoja käsitellään. Esimerkiksi työnantajayritys on rekisterinpitäjä, joka rekisteröi henkilökunnan tietoja. Jos palkat lasketaan tilitoimistossa, työnantaja on edelleen rekisterinpitäjä
Henkilötietojen käsittelijä
Käsittelijä käsittelee henkilötietoja rekisterinpitäjän puolesta. Käsittelijä on velvollinen noudattamaan rekisterinpitäjän antamia ohjeita. Käsittelijä ei omista henkilötietoja eikä voi käsitellä niitä omiin tarkoituksiinsa. Tilitoimisto toimii pääasiassa käsittelijänä tarjoamiensa palveluiden osalta.
YKSILÖN OIKEUDET
Yksilöillä on omien henkilötietojen tarkastusoikeus, oikeus saada läpinäkyvästi tietoa henkilötietojen käsittelystä sekä oikeus määrätä omista tiedoistaan. Oikeudet eivät kuitenkaan ole absoluuttisia, sillä soveltuminen riippuu mm. käsittelyperusteesta, henkilötietojen luonteesta tai siitä mihin tarkoitukseen henkilötietoja käsitellään. Esimerkiksi yksilöllä on aina oikeus kieltää suoramarkkinointi, mutta ei välttämättä profilointia. Rekisterinpitäjä päättää oikeuksien toteuttamisesta. Jos henkilötietojen käsittelijä saa pyynnön, ilmoittaa hän tästä rekisterinpitäjälle.
TIETOTURVA
Henkilötiedot on turvattava teknisin ja hallinnollisin toimenpitein. Teknisiä toimenpiteitä ovat esimerkiksi sähköpostin salaus ja vahva tunnistus tietojärjestelmiin kirjauduttaessa. Hallinnollisia toimenpiteitä ovat esimerkiksi ohjeet ja käyttöoikeuksien rajoittaminen. Turvaamisessa on otettava huomioon tekniikka, kustannukset, käsittelyn luonne ja riski yksilölle. Tietoturva ei koske vain tietojärjestelmiä vaan kaikkea käsittelyä, kuten esimerkiksi henkilötietojen siirtäminen erilaisissa tilanteissa, lähetys aina salattuna tai toimitus salatun tietojärjestelmän kautta. Henkilötiedot on turvattava aina ulkopuolisilta tietosuoja-asetuksen perusteella.
TIETOTURVALOUKKAUS
Tietoturvaloukkaus tarkoittaa, että henkilötietojen luottamuksellisuus, eheys tai saatavuus vaarantuu tai on vaarantunut. Tällainen tilanne voi syntyä, kun esimerkiksi sähköposti päätyy vahingossa väärälle vastaanottajalle tai on tapahtunut tietomurto. Prosessi mahdollista tietoturvaloukkausta varten on oltava valmiiksi suunniteltuna ja dokumentoituna.
Tietosuoja-asetus velvoittaa ilmoittamaan tietoturvaloukkauksesta:
- valvontaviranomaiselle 72 h:n sisällä, jos loukkaus todennäköisesti aiheuttaa riskiä yksilölle
- yksilölle ilman viivästystä, jos loukkaus todennäköisesti aiheuttaa korkean riskin yksilön oikeuksille ja vapauksille
- rekisterinpitäjälle ilman viivästystä, kun toimitaan henkilötietojen käsittelijänä
MUITA YRITYKSIÄ KOSKEVIA UUSIA VELVOITTEITA
Yrityksillä on osoitusvelvollisuus, jolloin on pystyttävä näyttämään toteen, että tietosuoja-asetusta noudatetaan. Tietosuoja-asetuksen noudattaminen osoitetaan dokumentoimalla käsittelytoimet ja käsittelytoimiin liittyvien riskien säännöllisellä arvioinnilla.
KÄYTÄNNÖN TOIMENPITEITÄ YRITYKSESSÄ
- Laadi ohjeet Henkilötietojen käsittelystä ja huolehdi, että niitä noudatetaan organisaatiossasi
- Jos tilitoimisto hoitaa yrityksesi palkanlaskennan, tulee sopimukseen laatia Rekisterinpitäjän ohjeistus käsittelijälle eli tilitoimistolle
- Mieti ja dokumentoi tietosuojaan liittyvät prosessit ja toimintatavat
- Huolehdi salassapitosopimukset kuntoon
- Kiinnitä huomiota mihin henkilötietoja tallennetaan ja miten niitä siirretään henkilötietojen sensitiivisyys huomioiden
- Muista, että voit aina kysyä apua tilitoimistostasi
Lue lisää muutoksista tietosuojavaltuutetun sivuilta: http://www.tietosuoja.fi/fi/index/euntietosuojauudistus.html
Suomen Yrittäjät ovat laatineet myös kätevän tietosuojaoppaan:
https://www.yrittajat.fi/sites/default/files/yrittajat_tietosuojaopas_2018_130418.pdf
Vastaa