EU:n uusi tietosuoja-asetus (GDPR) – mitä asioita tulee ottaa huomioon?

Euroopan unionin ja sitä kautta myös Suomen tietosuojalait ovat uudistumassa. Ensimmäinen muutosvaihe tapahtui jo itseasiassa 24.05.2016 kun EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR) tuli voimaan. Toinen ja merkittävämpi muutosvaihe tapahtuu 25.5.2018 kun asetusta aletaan soveltaa kahden vuoden siirtymäajan jälkeen. Tämä päivämäärä onkin hyvä laittaa mieleen ja alkaa jo nyt varautua tuleviin muutoksiin.

Uuden asetuksen yhtenä päätarkoituksena on ajantasaistaa tietosuojaa koskevaa sääntelyä ja yhdenmukaistaa EU:n jäsenvaltioiden tietosuojaa koskevat säännökset. Asetus luo pohjan henkilötietojen käsittelyyn koko EU:n alueelle ja sitä täsmennetään kansallisilla lainsäädännöillä. Suomen osalta lakia valmistellaan tällä hetkellä oikeusministeriössä ja sen on tarkoitus tulla voimaan samanaikaisesti uuden tietosuoja-asetuksen kanssa.

Mistä asetuksessa on kyse?

Uusi sääntely syrjäyttää Suomessa nykyisen 1990-luvun lopulta peräisin olevan henkilötietolainsäädännön ja tuo monia entistä lainsäädäntöä merkittävästi tiukempia ja tarkempia säädöksiä voimaan. Jo asetuksen lähtökohdat tekevät siitä laajan ja merkittävän:

  • Asetusta sovelletaan kaikkeen henkilötietojen käsittelyyn, oli kyseessä esim. tiedon tallentaminen, kerääminen, muokkaaminen, siirtäminen tai poistaminen
  • Asetus koskee kaikkia henkilötietoja käsitteleviä yrityksiä ja organisaatioita niin julkisella kuin yksityisellä sektorilla riippumatta niiden koosta

Henkilötiedoiksi lasketaan kaikki tiedot, joiden perusteella henkilö voidaan suoraan tai epäsuoraan tunnistaa. Tällaisia tietoja ovat muun muassa:

  • Nimi
  • Henkilötunnus
  • Osoite
  • Sähköpostiosoite
  • Luottokorttitiedot
  • Maantieteellinen sijaintitieto
  • Verkkotunnistetieto (esim. IP-osoite)

Lähes kaikki yritykset ja organisaatiot käsittelevät henkilötietoja jollain tavalla toiminnassaan. Tietoa kerääntyy järjestelmiin mm. asiakkaista, jäsenistä, työntekijöistä, kontakteista ja kumppaneista.

Teknologioiden kehityksen myötä tietoa kerääntyy nykyään helposti myös moneen eri järjestelmään tai tietokantaan. CRM-järjestelmät, kävijätietoja tallentavat sivustoanalytiikkaohjelmat, sähköpostimarkkinoinnin ohjelmistot tai markkinoinnin ja myynnin automaatiopalvelut ovat merkittävästi lisänneet kerättyjen ja tallennettujen henkilötietojen määrää.

Uutta asetusta sovelletaan kaikkiin tallennettuihin henkilötietoihin ja se koskee myös ennen asetuksen voimaanastumispäivää tallennettuja tietoja. On myös hyvä huomioida, että vaikka palvelu tai järjestelmä, johon henkilötietoja tallennetaan, olisi ulkopuolisen ylläpitämä tai hallinnoima, lakisääteinen vastuu on edelleen rekisterinpitäjällä eli henkilötietoja keräävällä toimijalla.

Mitä muutoksia asetus tuo?

Asetus laajentaa rekisteröityjen oikeuksia ja parantaa yksityisyyden suojaa. Omia henkilötietojaan on vastaisuudessa helpompi suojata ja kontrolloida. Asetuksen myötä ihmiset voivat vahvemmin vaatia, ettei heidän tietojaan käsitellä esim. yrityksen järjestelmissä (ns. oikeus tulla unohdetuksi).  

Yrityksen on tällöin poistettava tallennetut henkilötiedot, ellei esteenä ole sopimus- tai lakisääteinen velvollisuus tietojen säilyttämiseen tiettyyn aikaan asti. Myös oikeus saada tietoa, miten omia henkilötietoja käsitellään, kasvaa.

Vastaavasti henkilötietoja käsittelevien yritysten tai organisaatioiden velvoitteet lisääntyvät erityisesti dokumentoinnin osalta. Asetuksessa on määritetty useita tietosuojaperiaatteita henkilötietojen käsittelyyn ja näiden periaatteiden noudattaminen pitää pystyä myös osoittamaan.

Esimerkiksi artikla 5 määrittää, että henkilötietoja tulee kerätä vain tiettyä nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Henkilötietoja tulee myös käsitellä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi.

Miksi asetus on hyvä huomioida jo nyt?

Uudessa tietosuoja-asetuksessa on määritetty monia kohtia, jotka vastaavat tai ovat lähellä jo nykyisin voimassaolevia säädöksiä. Mukana on kuitenkin uusia ja osittain hyvinkin tulkinnanvaraisia kohtia, jonka vuoksi uusi asetus on hyvä tutkia tarkasti läpi, vaikka nykyinenkin säädäntö olisi hallussa.

Mikäli rekisteriselosteen päivittämisestä on kulunut aikaa, on entistä suurempi syy tarkastaa nykyinen tilanne ja päivittää rekisteriseloste ajantasaiseksi tietosuojaselosteeksi. Olemassa olevat tietokannat ja järjestelmät sekä tietojen keräämisen ja hallinnan prosessit ovat myös syytä käydä läpi huolellisesti. Vanhentuneet järjestelmät voivat tuoda esille yllättäviä ongelmia. Myös tietojen ja prosessien päivittäminen vastaamaan uutta asetusta voivat viedä arvioita enemmän aikaa ja resursseja.

Tietosuoja-asetuksen noudattaminen kannattaa ottaa tosissaan, sillä EU aikoo tehostaa valvontaa ja taloudelliset sanktiot nousevat merkittävästi entisestä, maksimissaan jopa miljoonien eurojen tasolle. Sanktioiden pelko ei kuitenkaan ole tarkoituksena olla uudistusta ajavana päätekijänä vaan halu on luoda selkeämpi ja luotettavampi toimintapohja tulevaisuuden digitaalisille markkinoille.

Uudistus aiheuttaa varmasti töitä yrityksissä ja organisaatioissa, mutta parantunut tietosuoja ja luottamus tietojenkäsittelyn turvallisuuteen ovat lopulta meidän kaikkien eduksi.

Kuinka uusi tietosuoja-asetus vaikuttaa liiketoimintaan? Millaisia asioita tulisi kartoittaa ja miten edetä? Miten tietosuoja-asetus muuttaa markkinointia? Kaipaatko sparrausta tietosuoja-asioissa?

Digimoguli voi auttaa yritystänne tai organisaatiotanne päivittämään tietouden ja käytännön markkinointitoimet vastaamaan tulevan tietosuoja-asetuksen vaatimuksia. Ota yhteyttä niin keskustellaan asiasta tarkemmin.