GDPR (General Data Protection Regulation) eli suomeksi EU:n tietosuoja-asetus

Oleellisimmat tietosuoja-asetuksen mukanaan tuomat muutokset ja toimenpiteet

1) Keskeiset määritelmät

Henkilötieto: Kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot (esim. nimi, henkilötunnus, pankkitieto, valokuva, sähköpostiosoite, terveydentilaa koskevat tiedot, työmenestys, tilaukset, ostokset, koulutus ja pätevyys, sijainti, käyttäjätunnus, salasana, harrastukset, tavat, elämäntapa, IP-osoite).

Tunnistettavissa olevana pidetään henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, sijaintitiedon, verkkotunnistetietojen tai yhden tai useamman henkilölle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

Henkilötietojen erityiset tietoryhmät ”arkaluotoiset henkilötiedot”: Tiedot, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, geneettisiä tietoja, biometriset tiedot, terveydentilaa koskevia tietoja, sukupuolista suuntautumista koskevat tiedot tai rikollista tekoa, rangaistusta tai muuta turvallisuustoimenpidettä koskeva tieto.

Henkilötietojen käsittelijä: Luonnollinen tai oikeushenkilö, viranomainen, virasto tai muu elin, joka käsittelee henkilötietoja rekisterinpitäjän toimesta. Tyypillisesti henkilötietojen käsittelijät ovat tietotekniikan palveluntarjoajia tai palkkahallinnon ammattilaisia.

Henkilötietojen käsittely: Kaikenlaiset toiminnot, joita kohdistetaan henkilötietoihin joko automaattista tietojenkäsittelyä hyödyntäen tai manuaalisesti. Käsittelyä ovat esimerkiksi henkilötietojen kerääminen, tallentaminen, järjestäminen, jäsentäminen, säilyttäminen, muokkaaminen, haku, käyttö, luovuttaminen, levittäminen tai saattaminen muutoin saataville, yhteensovittaminen, yhdistäminen, rajoittaminen, poistaminen ja hävittäminen.

Rekisterinpitäjä: Luonnollinen tai oikeushenkilö, julkinen viranomainen, virasto tai muu elin, joka yksin tai yhteistyössä muiden kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.

Rekisteröity: Henkilö, jonka henkilötietoja käsitellään.

2) Henkilötietojen käsittelyn arviointi

Yrityksen on tietosuoja-asetuksen vaikutuksia arvioidessaan selvitettävä kokonaiskuva henkilötietojen käsittelyn nykytilasta. Yritys voi esim. kuvata, mitä henkilötietovarantoja sen hallussa on, miten tietosuojaperiaatteet on toteutettu, toimintaan liittyvät henkilötietovirrat, henkilötietojen käsittelyn oikeusperusteet, miten tietoturvasta on huolehdittu ja miten henkilötietojen käsittelyyn liittyvä riskienhallinta on toteutettu. Kartoituksen voi tehdä laatimalla tietotilinpäätöksen, joka on yrityksen sisäisen tarkastelun tuloksena laadittu raportti tietojen käsittelyä koskevista keskeisistä asioista.

Kun yritys on kartoittanut henkilötietojen käsittelyn nykytilan, tulee selvittää, mitä konkreettisia muutoksia ja toimenpiteitä tietosuoja-asetus henkilötietojen käsittelylle tarkoittaa.

Ohjeistusta tietotilinpäätöksen tekemiseen löytyy tietosuojavaltuutetun sivuilta: http://www.tietosuoja.fi/fi/index/ajankohtaista/tiedotteet/2012/04/mikaontietotilinpaatos.html

3) Henkilötietojen käsittelyn periaatteet

Tietosuoja-asetuksessa säädetään henkilötietojen käsittelyä koskevista periaatteista, jotka ohjaavat rekisterinpitäjää käsittelemän henkilötietoja rekisteröityjen oikeuksia ja vapauksia kunnioittavalla tavalla. Henkilötietojen käsittelyssä on noudatettava seuraavia vaatimuksia:

• Henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja läpinäkyvästi

• Henkilötiedot on kerättävä nimenomaista ja laillista tarkoitusta varten (käyttötarkoitussidonnaisuus)

• Henkilötietojen oltava asianmukaisia, olennaisia ja rajoitettuja suhteessa käsittelyn tarkoituksiin (tietojen minimointi)

• Henkilötietojen oltava täsmällisiä ja päivitettyjä, toteutettava kaikki mahdolliset kohtuulliset toimenpiteet epätarkkojen ja vanhentuneiden tietojen poistamiseksi ja oikaisemiseksi (tietojen täsmällisyys)

• Henkilötietoja säilytettävä ainoastaan käsittelyn edellyttämän ajan (säilytyksen rajoittaminen)

• Käsittely tavalla, jolla varmistetaan asianmukainen turvallisuus käyttäen asianmukaisia teknisiä ja organisatorisia suojatoimia (eheys ja luottamuksellisuus)

Rekisterinpitäjän on huolehdittava siitä, että tietosuojaperiaatteita noudatetaan kaikissa henkilötietojen käsittelyvaiheissa. Rekisterinpitäjää koskevan osoitusvelvollisuuden johdosta rekisterinpitäjän on pystyttävä osoittamaan, että periaatteita noudatetaan.

4) Henkilötietojen käsittelyn lainmukaisuus

Henkilötietojen käsittely on lainmukaista kun käsittely perustuu:

• Rekisteröidyn suostumukseen (esim. verkkopalvelu);

• Sopimuksen täytäntöönpanoon (esim. työsopimus);

• Rekisteröidyn elintärkeiden etujen suojaamiseen (esim. terveydenhuolto);

• Rekisterinpitäjän lakisääteiseen velvollisuuteen (esim. työantajavelvollisuudet ja tietojen luovuttaminen eri rekistereihin);

• Yleiseen etuun (esim. epidemiat, luonnonkatastrofit ja niiden jälkihoito);

• Rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseen (esim. asiakassuhde, suoramarkkinointi tai petosten estämistarkoitus)

•  Ns. erityisiä henkilötietoryhmiä (”arkaluontoiset henkilötiedot”) koskeva käsittely on lähtökohtaisesti kiellettyä

5) Osoitusvelvollisuus

Tietosuoja-asetuksen mukaan rekisterinpitäjän vastaa siitä, että periaatteita ja vaatimuksia noudatetaan. Tämän lisäksi rekisterinpitäjän on pystyttävä osoittamaan, että kyseisiä periaatteita ja vaatimuksia on noudatettu.

Rekisterinpitäjän on huolehdittava siitä, että tietosuojaperiaatteita noudatetaan kaikissa henkilötietojen käsittelyvaiheissa. Rekisterinpitäjän on etukäteen arvioitava, mitä periaatteet käytännössä tarkoittavat ja miten ne toteutuvat omassa toiminnassa ja dokumentoida tämä arviointi.

Tietosuoja-asetuksen mukaan rekisterinpitäjän ja henkilötietojen käsittelijän on ylläpidettävä selostetta, sen vastuulla olevista käsittelytoimista, jotta voidaan osoittaa, että ne ovat asetuksen mukaiset.

6) Sisäänrakennettu ja oletusarvoinen tietosuoja

Sisäänrakennettu tietosuoja edellyttää, että henkilötietojen käsittelyn periaatteet ovat osana henkilötietojen käsittelyä sisältävissä toiminnoissa.

Oletusarvoinen tietosuoja merkitsee, että rekisterinpitäjä oletusarvoisesti käsittelee vain käsittelyn tarkoituksen kannalta tarpeellisia henkilötietoja. Velvollisuus koskee henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Rekisterinpitäjän tulee toteuttaa toimenpiteet, jotka varmistavat etenkin sen, ettei henkilötietoja oletusarvoisesti saateta rajoittamattoman henkilömäärän saataville.

Rekisterinpitäjän tulee määritellä ja itse käsittelyn yhteydessä toteutettava tietosuojaperiaatteiden täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet. Teknisillä ja organisatorisilla toimenpiteillä tarkoitetaan suojatoimenpiteitä, kuten henkilöstön koulutusta, henkilöstölle annettavia ohjeita ja määräyksiä, salassapitositoumuksia, tilavalvontaa, käytönvalvontaa, tietojärjestelmien tietoturvaa, tietojen salausta, tietojen anonymisointia, tietojen pseudonymisoinitia, auditointeja, etäkäyttöyhteyksiä, teknisiä rajoituksia, tietotilinpäätösprosessia, käytännesääntöjen ja sertifikaattien käyttöönottoa.

Sisäänrakennetun ja oletusarvoisen tietosuojan periaatteet edellyttävät, että tietosuojaa koskevat kysymykset tunnistetaan ja otetaan huomioon jo siinä vaiheessa, kun suunnitellaan henkilötietojen käsittelyä sisältäviä toimintoja tai kehitetään tietojärjestelmiä.

7) Riskiperusteinen lähestymistapa

Tietosuoja-asetuksessa rekisterinpitäjän velvoitteiden määräytymisen osalta on omaksuttu riskiperusteinen lähestymistapa. Riskiperusteinen lähestymistapa tarkoittaa, että tietosuoja-asetuksen velvoitteet ja asianmukaiset suojatoimet on suhteutettava henkilötietojen käsittelystä rekisteröidyn oikeuksille ja vapauksille aiheutuvaan riskiin.

Jotta rekisterinpitäjä voi toteuttaa asetuksen sisäänrakennettua ja oletusarvoista tietosuojaa ja muita asetuksessa säädettyjä velvollisuuksia, tulee rekisterinpitäjän tehdä perusteellinen arvio henkilötietojen käsittelyyn liittyvistä riskeistä. Tietosuoja-asetuksessa riskeillä tarkoitetaan henkilötietojen käsittelystä rekisteröidylle mahdollisesti aiheutuvia fyysisiä, aineellisia tai aineettomia vahinkoja esimerkiksi silloin, kun käsittely saattaa johtaa syrjintään, identiteettivarkauteen tai petokseen, taloudellisiin menetyksiin, sosiaaliseen vahinkoon tai pseudonymisoinnin kumoutumiseen.

8) Tietosuojaa koskeva vaikutustenarviointi

Jos henkilötietojen käsittelyyn todennäköisesti kohdistuu suuri riski, tulee rekisterinpitäjän tehdä tietosuoja-asetuksen mukaan tietosuojaa koskeva vaikutustenarviointi. Riskin tasoa arvioitaessa tulee ottaa huomioon henkilötietojen käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset.

Vaikutustenarviointi on tehtävä erityisesti silloin, kun otetaan käyttöön uutta teknologiaa ja tilanteissa, joissa on kyse järjestelmällisestä ja kattavasta automaattiseen päätöksentekoon perustuvasta arvioinnista.

Vaikutustenarviointi soveltuu laajoihin käsittelytoimiin, joissa käsitellään suuria määriä henkilötietoja tai, jotka voivat vaikuttaa suureen määrään rekisteröityjä.

9) Henkilötietojen käsittelyn ulkoistaminen

Henkilötietojen käsittelyn ulkoistamisesta on kyse kun rekisterinpitäjän henkilötietoja käsitellään toimeksiantosopimuksen perusteella esim. tietojen säilytys- ja analysointipalveluiden ostaminen toiselta organisaatiolta.  

Tietosuoja-asetuksen mukaan jos rekisterinpitäjä ja henkilötietojen käsittelijä ovat eri tahoja, henkilötietojen käsittelijän suorittama tietojen käsittely tulee perustua kirjalliseen sopimukseen. Sopimuksessa vahvistetaan mm. käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmien ja rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuudet ja oikeudet.                 

10) Rekisteröidyn oikeudet

Rekisterinpitäjän yhtenä velvollisuutena on toteuttaa rekisteröityjen oikeuksia. Rekisteröidyn oikeudet vastaavat suurilta osin henkilötietolain mukaisia oikeuksia, mutta tietosuoja-asetuksessa oikeuksien toteuttamiseen liittyvä sääntely on yksityiskohtaisempaa. Asetuksen mukaiset rekisteröidyn oikeudet:

• Oikeus saada läpinäkyvää informaatiota henkilötietojen käsittelystä

• Oikeus saada tietää käsitteleekö rekisterinpitäjä hänen henkilötietojaan, jos käsittelee annettava pääsy tietoihin sekä seuraavat tiedot:

  • Käsittelyn tarkoitukset ja henkilötietoryhmät

  • Vastaanottajat, joille henkilötietoja on luovutettu

  • Tietojen säilytysaika tai sen määräämiskriteerit

  • Oikeus tietojen oikaisuun tai poistoon sekä käsittelyn rajoittamiseen/vastustamiseen

  • Tieto mahdollisesta automaattisen päätöksenteon olemassaolosta, profilointi mukaan lukien

  • Käytettävissä olevat oikeussuojakeinot

  • Mistä tiedot on saatu, jos muualta kuin rekisteröidyltä

• Oikeus epätarkkojen ja virheellisten tietojen oikaisemiseen

• Oikeus tietojen poistamiseen, jos:

  • Henkilötietoja ei tarvita enää niihin tarkoituksiin, joita varten ne kerättiin

  • Peruuttaa suostumuksen

  •  Rekisteröity vastustaa käsittelyä

  • Henkilötietojen käsittely on lainvastaista

• Oikeus käsittelyn rajoittamiseen

• Oikeus siirtää tiedot järjestelmästä toiseen

• Vastustamisoikeus tietyissä tilanteissa, kuten suoramarkkinointi

• Oikeus saada ilmoitukset tietoturvaloukkauksista, jos tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin rekisteröidyn oikeuksille ja vapauksille

11) Tietoturva

Rekisterinpitäjän tai henkilötietojen käsittelijän on selvitettävä, vastaavatko sen tietojen suojaamista koskevat käytännöt ja toimenpiteet tietosuoja-asetuksen riskiperusteista ja osittain henkilötietolakia yksityiskohtaisempaa sääntelyä.

Tietojen suojaamisesta on huolehdittava kaikissa käsittelyn vaiheissa alkaen tietojen keräämisestä ja päättyen tietojen tuhoamiseen. Käsittelyn turvallisuus edellyttää esimerkiksi kykyä taata järjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus sekä kykyä palauttaa tietojen saatavuus ja pääsy tietoihin nopeasti fyysisen tai teknisen vian sattuessa. Tietojen suojaaminen edellyttää myös henkilötietojen käsittelyn seuraamista ja valvontaa.

12) Henkilötietojen tietoturvaloukkauksiin valmistautuminen

Tietosuoja-asetuksessa säädetään rekisterinpitäjän velvollisuudesta ilmoittaa henkilötietojen tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle.

Tietoturvaloukkauksella tarkoitetaan loukkausta, jonka seurauksena on henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.

Rekisterinpitäjän on tehtävä loukkausta koskeva ilmoitus valvontaviranomaiselle mahdollisuuksien mukaan 72 tunnin kuluessa loukkauksen ilmitulosta. Ilmoitusvelvollisuus koskee myös rekisteröityjä, jos loukkaus todennäköisesti aiheuttaa suuren riskin luonnollisten henkilöiden oikeuksille ja vapauksille.

13) Tietosuojavastavan nimittäminen

Rekisterinpitäjien ja henkilötietojen käsittelijöiden on varmistuttava siitä, onko organisaatioon asetuksen mukaan nimettävä tietosuojavastaava. Tietosuojavastaava on nimitettävä kun:

• On kyse julkisen sektorin toimijasta, joka ei ole tuomioistuin
• Yrityksen ydintehtävät muodostuvat henkilötietojen käsittelytoimista, jotka edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa
• Yrityksen ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu erityisiin henkilöryhmiin 

14) Sanktiot

Tietosuoja-asetuksen laiminlyönnistä yritykselle voidaan antaa huomautus tai määrätä sakkoa. Sanktio voi olla enimmillään 20 milj. euroa tai 4 % yrityksen vuotuisesta kokonaisliikevaihdosta.