Rekisteröidyllä on jo nykyisen henkilötietolain mukaan oikeus muun muassa tarkastaa omat tietonsa sekä vaatia niiden oikaisua ja poistamista rekisteristä. Asetus säilyttää nämä vanhat rekisteröidyn oikeudet mutta tarjoaa rekisteröidylle entistä vahvemman kontrollin omiin tietoihinsa, asianajaja Eija Warma kertoo.
Hän luennoi samasta aiheesta Lakimiesliiton jäsenille hieman ennen uuden tietosuoja-asetuksen sisällön vahvistamista.
Eija Warma kertoo uuden asetuksen pääkohdista ja antaa ohjeita siitä, miten valmistautua tietosuoja-asetuksen voimaantuloon.
– Asetus tuo tullessaan myös uusia oikeuksia, kuten oikeuden tietojen siirtoon tietyissä tilanteissa sekä oikeuden kieltäytyä profiloinnista. Jatkossa tietoja on mahdollisuus siirtää ilman välikäsiä rekisterinpitäjien välillä. Oikeus tietyissä tilanteissa kieltäytyä profiloinnista puolestaan tarkoittaa sitä, että rekisteröidyllä on oikeus kieltäytyä olemasta sellaisten päätösten kohteena, jotka perustuvat ainoastaan automaattisella tietojenkäsittelyllä – eli ilman ihmisen puuttumista – tapahtuvaan tiettyjen henkilökohtaisten ominaisuuksien arviointiin. Esimerkkinä profiloinnista voisi olla muun muassa online-luottohakemuksen automaattinen epääminen tai sähköisen rekrytoinnin käyttö ilman ihmisen osallistumista, Warma tiivistää.
**
Valmistaudu tietosuoja-asetukseen jo nyt
Asianajaja Eija Warman mukaan niin yksityisellä kuin julkisellakin sektorilla olisi hyvä aloittaa valmistautuminen uuteen tietosuoja-asetukseen mahdollisimman pian. Seuraavilla ohjeilla pääsee hyvään alkuun.
Arvioi nykytila
DPIA (Data protection impact assessment) -selvityksessä eli vaikutusten arvioinnissa arvioidaan henkilötietojen käsittelyn tarpeellisuutta, riskejä sekä niiden minimoimista. Vaikka DPIA ei ole kaikille yrityksille pakollinen, kannattaa yritysten toteuttaa tietosuoja-asetuksen velvoitteita silmällä pitäen nykytilan arviointi.
Ainakin seuraavat asiat kannattaa selvittää:
- mitä henkilötietoja käsitellään
- onko käsittely nykyisen henkilötietolain mukaista
- miten rekisteröidyille tiedotetaan heidän tietojensa käsittelystä
- mitä toimintatapoja, prosesseja ja dokumentteja tulisi asetuksen vuoksi muuttaa tai luoda.
Nimeä tietosuojavastaava
Uusi tietosuoja-asetus velvoittaa tietyt toimijat nimittämään tietosuojavastaavan. Velvollisuus koskee muun muassa julkista sektoria ja sellaisia yrityksiä, joiden keskeiset tehtävät koostuvat rekisteröityjen laajamittaisesta ja järjestelmällisestä seurannasta tai laajamittaisesta arkaluonteisten tietojen käsittelystä. Muidenkin olisi suositeltavaa vastuuttaa tietosuoja-asioista huolehtiminen ja vaatimusten noudattamisen seuranta yhdelle taholle. Yrityksen sisäisistä käytännöistä riippuen sopivia tahoja voivat olla lakiasiat, tietohallinto, henkilöstöhallinto tai sisäinen tarkastus.
Tietosuojavastaavalta vaaditaan asiantuntemusta niin tietosuojalainsäädännöstä kuin sen käytännön soveltamisesta yrityksen toimintaan. Parhaimmassa tapauksessa tietosuojavastaava toimii liiketoiminnan mahdollistajana ja sen edelleen kehittäjänä.
Tarkista sopimukset
Tietosuoja-asetus edellyttää kirjallisen sopimuksen tekemistä henkilötietoja käsittelevän ulkoisen palveluntarjoajan kanssa. Asetus asettaa sopimukselle tietyt sisällölliset vaatimukset. Jos yritys on ulkoistanut tietojenkäsittelyään kolmannelle osapuolelle, kannattaa myös sopimusten sisältö käydä läpi ja tarkistaa, vastaako se myös jatkossa asetuksen vaatimuksia. Tällainen ulkoinen henkilötietojen käsittelijä voi olla esimerkiksi yrityksen palkkahallinto, pilvipalveluiden tarjoaja tai vaikka asiakasmyyntiä tekevä ulkoinen yritys.
Valmistaudu ilmoittamaan tietoturvaloukkauksista
Uuden asetuksen vaikutuksesta jokainen yritys on velvollinen ilmoittamaan henkilötietoihin kohdistuvista tietoturvaloukkauksista niin valvontaviranomaiselle kuin rekisteröidyillekin. Määräaika ilmoituksen tekemiselle on lyhyt: ilmoitus tulee tehdä viranomaisille 72 tunnin kuluessa tietomurron havaitsemisesta ja rekisteröidyille ilman aiheetonta viivytystä.
Yrityksillä on näin ollen oltava valmiudet mahdollisten tietoturvaloukkausten havaitsemiseen, niistä ilmoittamiseen sekä vahinkojen minimointiin.
**
Eija Elina Warma
Koulutus:
- 2009 LL.M., University of Minnesota Law School
- 2008 Asianajaja
- 2004 OTK, Lapin yliopisto
- 1996 Ylioppilas
- Työura:
- 2005 alkaen AAtsto Castrén & Snellman Oy
- 2009 Smith, Gambrell & Russell LLP (USA) työkomennus
- 2004 Tietosuojavaltuutetun toimisto
**
Teksti: Ritva Juntunen