Tulostusversio

3/2012

Uusi tietosuojalainsäädäntö, osa 3: Varaudu uutuuksiin jo nyt

Teksti: Markus Salminen

EU:n tietosuoja-asetuksessa on luvassa uusia velvoitteita rekisterinpitäjille. Niihin voi varautua jo nyt.

EU:n tietosuoja-asetusehdotuksen osoittama kehityksen suunta on luontevaa jatkoa nykyiselle lainsäädännölle. Mukana on kuitenkin myös useita merkittäviä uusia kokonaisuuksia, joita tässä käsitellään tarkemmin.

Vaikka arvioitavana on vasta ehdotus, voi sen perusteella jo päätellä EU:n tietosuojan suuntaviivoja, joihin rekisterinpitäjän kannattaa perehtyä hyvissä ajoin.

Joko toteutatte tilivelvollisuutta?

Merkittävä oikeustilaa konkretisoiva velvollisuus on niin sanottu tilivelvollisuuden periaate (Accountability), jonka mukaan rekisterinpitäjän on itse kyettävä todentamaan, että se noudattaa asetusta. Konkreettiset vaatimukset kattavasta dokumentoinnista vahvistavat tätä velvoitetta.

Kuinka moni henkilötietoja käsittelevistä yrityksistä tai yhteisöistä pystyy nyt osoittamaan toiminnan lainmukaisuuden? Tilivelvollisuus periaatteen toteuttaminen vaatii käytännössä, että rekisterinpitäjän on kuvattava koko henkilötietojen käsittelytoiminta ja tarkasteltava systemaattisesti, miten asetuksen velvoitteet toteutuvat.

Aiemminkin on ollut hyvä käytäntö toimia näin, mutta velvoittava säännös aiheuttanee uusia toimenpiteitä ja uusia kustannuksia suurimmalle osalle rekisterinpitäjiä ja henkilötietojen käsittelijöitä.

Henkilötiedot kulkevat asiakkaan mukana

Asetusehdotuksessa säädetään henkilötietojen luovuttamisesta rekisteröidylle siten, että tiedot ovat siirrettävissä toiseen järjestelmään. Tarkoituksena lienee helpottaa asiakkaiden liikkumista sähköisestä, esimerkiksi sosiaalisen median, palvelusta toiseen.

Ehdotus koskee sellaisia rekisteröidyn henkilötietoja, jotka hän itse on antanut esimerkiksi suostumuksen tai sopimuksen perusteella. Rekisterinpitäjän on annettava ne hänelle pyydettäessä sellaisessa sähköisessä muodossa, jossa ne voi siirtää toiseen järjestelmään.

Rekisterinpitäjälle tietojen toimittaminen sähköisessä muodossa on uusi vaatimus, joka vaatii useimmiten myös tietojärjestelmien kehittämistä.

Riskitilanteiden vaikutukset on arvioitava ennakkoon

Uusi konkreettinen velvollisuus rekisterinpitäjille on myös vaikutustenarviointi (Privacy Impact Assessment). Rekisterinpitäjän tai henkilötietojen käsittelijän on laadittava arvio suunniteltujen käsittelytoimien vaikutuksesta henkilötietojen suojalle, jos tietojen käsittelyyn liittyy niiden luonteen, laajuuden tai tarkoitusten vuoksi erityisiä riskejä. Tällaisia riskejä voi ehdotuksen mukaan liittyä esimerkiksi profilointiin, videovalvontaan sekä arkaluonteisten tai lasten tietojen käsittelyyn.

Vaikutustenarvioinnissa kuvataan henkilötietojen käsittely, riskiarvio ja riskienhallinnan toimenpiteet. Suunnitellusta henkilötietojen käsittelystä on myös pyydettävä rekisteröityjen tai näiden edustajien näkemyksiä.

Vaikutustenarviointi on toimitettava valvontaviranomaiselle, jota on kuultava, jos arviosta ilmenee erityisiä riskejä. Viranomainen voi tarvittaessa kieltää käsittelyn asetuksen vastaisena ja esittää ehdotukset puutteiden korjaamiseksi.

Ilmoitusvelvoite pakottaa varautumaan

Tietoturvaloukkauksista ilmoittamisen velvollisuus koskee Suomessa nykyisin lähinnä teleyrityksiä ja perustuu sähköisen viestinnän tietosuojalakiin. Asetuksen myötä ilmoitusvelvollisuus laajenee myös muihin rekisterinpitäjiin. Niiden on ilmoitettava henkilötietojen tietoturvaloukkauksista (Data Breach Notification) valvontaviranomaiselle 24 tunnin kuluessa tai perusteltava mahdollinen viivästys. Ilmoituksessa on kuvailtava loukkaus, tehdyt toimenpiteet ja seuraukset.

Jos loukkauksesta on todennäköisiä haittavaikutuksia rekisteröidyille, rekisterinpitäjän on ilmoitettava tapahtuneesta myös heille.

Ilmoitusvelvollisuudella on käytännön vaikutuksia rekisterinpitäjien toimintaan, sillä niiden pitää varautua poikkeustilanteessa toimimiseen ja ilmoituksen tekemiseen. Tietoturvaloukkaus ja siitä tehtävä ilmoitus vaikuttavat yrityksen imagoon ja kiinnittävät valvontaviranomaisen huomion. Nämä toiminevat hyvinä syinä välttää poikkeustilanteita huolehtimalla tietosuojasta etukäteen.

Profilointi käy, jos asiakas suostuu

Uutena käsitteenä asetusehdotukseen on tuotu profilointi. Sen lähikäsite nykyisessä henkilötietolaissa on automatisoitu päätös, jonka profilointisäännökset aikanaan korvaavat.

Profilointia on ihmisen henkilökohtaisten ominaisuuksien automaattinen arviointi siten, että arvioinnilla on merkittäviä vaikutuksia hänelle. Profilointia on myös ammatillisen suorituskyvyn, taloudellisen tilanteen, sijainnin, terveyden, mieltymysten, luotettavuuden ja käyttäytymisen automaattinen analysointi tai ennakointi. 

Asetusehdotus sallii profiloinnin, kun se tehdään sopimuksen tekemisen tai täytäntöönpanon yhteydessä ja siihen osallistuu ihminen. Tämä kattaa suuren osan palveluntarjoajien tekemästä profiloinnista.

Jos profiloinnin tarkoituksena on vain markkinointi, rekisterinpitäjän kannattaa seurata tarkasti, ovatko profilointia koskevat sanamuodot muuttuneet asetuksen voimaantulevassa versiossa.

Selvästi nykyistä kovemmat sanktiot

Asetusehdotuksessa valvontaviranomaiselle, Suomessa tietosuojavaltuutetulle, on annettu merkittäviä uusia valtuuksia. Valvontaviranomainen saa oikeudet ennakkokuulemiseen ja ennakkohyväksyntään. Valvontaviranomaisella on myös mahdollisuus kieltää käsittely väliaikaisesti tai pysyvästi, mikä Suomessa kuuluu nykyisin tietosuojalautakunnan toimivaltaan.

Tietosuojavaltuutetulle ehdotetaan myös merkittäviä valtuuksia määrätä hallinnollisia seuraamuksia aina miljoonaan euroon tai kahteen prosenttiin maailmanlaajuisesta liikevaihdosta saakka. Hallinnolliset seuraamukset eivät sulje pois rikosoikeudellista vastuuta tai vahingonkorvausvelvollisuutta vaan täydentävät niitä. Mittakaavaltaan ne ovat siis jatkossa huomattavia ja todennäköisesti nostavat tietosuojan merkitystä rekisterinpitäjien toiminnassa ja riskianalyyseissä.

Hallinnollisen seuraamuksen raskaimmasta luokasta löytyy hyvinkin perustavanlaatuisia, mutta myös tavanomaisia rikkomuksia. Esimerkiksi vaikutusarvioinnin laiminlyönti tai tietosuojavastaavan nimittämättä jättäminen kuuluvat miljoonan euron seuraamusluokkaan. Ennen asetuksen lopullista versiota seuraamusten hinnastossa voi tosin tapahtua vielä merkittäviäkin muutoksia.

Tietosuojasta huolehtineilla ei ole hätää

Vaikka asetusehdotus ei ole vielä valmis tai hyväksytty, rekisterinpitäjä voi hyvin jatkaa tietosuojan kehittämistä nykyisen oikeustilan mukaisesti.  Asetuksen todennäköisin voimaantuloaika on vuoden 2013 loppupuolella.

Asetuksen voimaantultua alkanee todennäköisesti kahden vuoden siirtymäaika, jolloin toimintaa voi kehittää voimassaolevan asetuksen sanamuodot huomioiden. Jos rekisterinpitäjän tietosuojatoiminta on siirtymäajan alkaessa lähellä lainmukaista, aikaa uutuuksien toteutukseen on hyvin.

Ellei tietosuojatoimintaa vielä ole järjestetty, alkaa olla kiire.

---

[KIRJOITTAJA]

Lex-Dialog Oy:n tietosuoja-asiantuntija Markus Salminen on erikoistunut kuluttajaliiketoiminnan tietosuojan kehittämiseen. Hänellä on aihealueen juridisen (OTM) ja kaupallisen (KTM) osaamisen lisäksi yli 15 vuoden käytännön kokemus liiketoiminnan ja tietojärjestelmien kehittämishankkeista.

---

Tunnetko tietosuoja-asetusehdotuksen?

Artikkeleissa tarkastellaan, millaisia vaikutuksia mahdollisesti vuoden sisällä hyväksyttävällä EU tietosuoja-asetusehdotuksella voisi olla suomalaiseen henkilötietojen käsittelyyn.

Asetusehdotuksen sisältö on luokiteltu suuripiirteisesti kolmeen artikkeliin:

Osa 1: Nykyisen oikeustilan selkiyttäminen (vain netissä)

Osa 2: Nykyisten säädösten täydentäminen ja laajentaminen (vain netissä)

Osa 3: Kokonaan uutta sääntelyä

Lue myös

Uusi tietosuojalainsäädäntö: Tunnetko ehdotuksen? »
Uusi tietosuojalainsäädäntö, osa 1: Tarkennuksia nykyisiin pykäliin »
Uusi tietosuojalainsäädäntö, osa 2: Nykylinjaa täydentäen »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.