Mitä EU:n uusi tietosuoja-asetus tuo tullessaan PK-yrityksille?

Mikä tietosuoja-asetus?

Huhtikuun 14. päivänä 2016 hyväksytty EU:n yleinen tietosuoja-asetus tulee sovellettavaksi 25.5.2018.

Henkilötietojen merkityksen kasvu nykyisessä liiketoiminnassa on luonut EU:lle jo pitkään paineita yhtenäistää henkilötietojen kohtelua unionin alueella. Luonnollisten henkilöiden suojelu henkilötietojen käsittelyn yhteydessä katsotaan perusoikeudeksi. Yleinen tietosuoja-asetus onkin sellaisenaan velvoittavaa lainsäädäntöä koko unionin alueella ja tulee sovellettavaksi myös sellaisissa tilanteissa, joissa henkilötietoja käsitellään EU:n ulkopuolella.

Henkilötieto määritellään varsin laajasti ja määritelmä käsittää kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot (ns. henkilödata). Toisin sanoen, edellä mainituilla tiedoilla tarkoitetaan kaikkea sitä tietoa, jota tietty yritys kerää, jolla voidaan tunnistaa tiedon kohteena oleva henkilö. Tähän laajaan määritelmään lukeutuu, ei ainoastaan henkilön sosiaaliturvatunnus, vaan myös mm. tiedot liittyen henkilön terveyteen tai uskonnolliseen vakaumukseen. Jatkossa henkilödataa keräävien yrityksien tuleekin aina pystyä osoittamaan, että tietojen kohteena olevaa henkilöä on asianmukaisesti informoitu tietojen keräämisestä.

Mitä se tarkoittaa yritykselleni?

Yleinen tietosuoja-asetus lisää nykyistä henkilötietojen käsittelyä koskevaa sääntelyä. Se parantaa luonnollisten henkilöiden tietosuojaa huomattavasti, mutta samalla lisää merkittävästi henkilötietoja keräävien velvollisuuksia. Rekisterinpitäjälle, eli yritykselle, asetetaan velvollisuus mm. ilmoittaa tietomurroista ja muista tietoturvaloukkauksista 72 tunnin kuluessa toimivaltaiselle kansalliselle viranomaiselle, asettaa tietyissä tilanteissa erillinen tietosuojavastaava sekä huolehtia, että henkilötietorekisterissä on oma sisäänrakennettu tietosuojamekanismi.

Lapset asetetaan tietosuoja-asetuksessa erityisasemaan. Suostumukseen perustuva alle 16-vuotiaiden lasten henkilötietojen käsittely edellyttää lapsen huoltajan valtuutusta tai suostumusta. Tämä luo henkilötietojen keräämiseen omat oikeudelliset riskinsä, sillä esimerkiksi vanhempiensa tietokonetta käyttävä lapsi on vaikeasti tunnistettavissa vanhemmasta erilliseksi henkilöksi.

Asetus asettaa rekisterinpitäjälle myös ns. tilintekovelvollisuuden. Rekisterinpitäjän on siis kyettävä aktiivisesti osoittamaan, että hän on huomioinut tietosuojamääräykset toiminnassaan ja sen suunnittelussa. Rekisterinpitäjän tulee myös kerätä ja varastoida henkilötiedot tavalla, että tiedot löytyvät helposti ja ovat jaettavassa muodossa, mikäli asiakas tiedustelee hänestä kerättyjä tietoja. Todistustaakka sekä näyttövelvollisuus velvollisuuksien asianmukaisesta hoidosta ja täyttämisestä langetetaan rekisterinpitäjälle itselleen, joka epäonnistuessaan näyttämään toteen asianmukaisen menettelynsä, voi kohdata pahimmassa tapauksessa sakon. Sakko on maksimissaan 20 miljoonaa euroa tai summa, joka vastaa neljää prosenttia maailmanlaajuisesta liikevaihdosta.

Tulevassa tietosuoja-asetuksessa on myöskin syytä huomioida se, että henkilötieto on käsitteenä määritelty varsin laajasti. Ottaen huomioon esimerkiksi suomalaisen median jokavuotisen ilmoittamisvimman liittyen yksityishenkilöiden tulotietoihin, voinee tuleva tietosuoja-asetus tuoda tullessaan sen, että media ei ainakaan enää samalla yksityiskohtaisella tavalla voi julkaista yksityishenkilöiden tulotietoja. On kuitenkin huomattava, että tietosuojeluvaltuutettu on kiistänyt em. tulkinnan, mutta se jää nähtäväksi miten tuleva tietosuoja-asetus loppupeleissä tulee vaikuttamaan verotietojen julkisuuteen.

Tuottoisampaa liiketoimintaa selkeiden pelisääntöjen kautta

Ottaen huomioon tulevan tietosuoja-asetuksen tuomat laajat muutokset henkilötietojen käsittelyyn liittyen, on suositeltavaa, että yrityspäättäjät vähintään perehtyvät tietosuoja-asetukseen. Etenkin tietosuoja-asetusta seuraava kansallinen lainsäädäntö tulee hyvin tarkasti huomioida jokapäiväisessä liiketoiminnassa. Tietosuoja-asetuksessa annetaan nimittäin kansalliselle lainsäätäjälle tietynasteinen liikkumavara, eikä säännöksien tarkkaa sisältöä voida kaikilta osin päätellä pelkästään asetusta tarkastelemalla.

On toki yleisellä tasolla huomattava, että Suomea voidaan luonnehtia henkilötietojen suojaamisen osalta edelläkävijäksi verrattuna moniin muihin EU-valtioihin ja moni määräys tulevasta tietosuoja-asetuksesta onkin jo sisällytetty nykyiseen henkilötietolakiin. Tietosuoja-asetus tulee kuitenkin luomaan yhtenäiset pelisäännöt EU:ssa, joka taas on omiaan selkeyttämään EU-laajuista liiketoimintaa harjoittavan suomalaisen yrityksen liiketoimintaa eri EU-valtioissa. Selkeät pelisäännöt tarkoittavat taas usein kustannustehokkaampaa ja tuottoisampaa liiketoimintaa, joka puolestaan on aina yrityksien mieleen.

Lataa talteen viisi tärkeintä vinkkiä liittyen tietosuoja-asetuksiin:

YOM_lataamo

Kirjoittaja on Jon Hautamäki, partneri, Nordic Law