Tietosuojainfoa

EU:n tietosuoja-asetus

EU-maiden yhteinen tietosuoja-asetus vaikuttaa 25.5.2018 alkaen suoraan Euroopassa asuvien ihmisten tietosuojaan liittyviin menettelyihin ja velvoittaa rekisterinpitäjiä ja henkilötiedon käsittelijöitä.

Osoitusvelvollisuus ja sanktiot

Tietosuoja-asetus määrää, että henkilötietojen käsittelyyn liittyen on etukäteen kyettävä erilaisin ennakkoarvioin, dokumentaatioin ja toimenpitein osoittamaan, että henkilötietojen käsittely ei vaaranna rekisteröityjen oikeuksia ja on asetuksen vaatimusten mukaista. Erityisesti osoitusvelvollisuuden rikkomisen ja muun vaatimustenmukaisuuden valvonnan osalta viranomaisten sanktiomahdollisuudet kasvavat huomattavasti – seuraamusmaksut ulottuvat jopa 20 miljoonaan euroon tai 4 prosenttiin organisaation globaalista liikevaihdosta.

Rekisterinpitäjän ja henkilötiedon käsittelijän velvollisuudet

Henkilötietojen käsittelyyn liittyvien tahojen on huolehdittava huomattavasta määrästä erilaisia velvollisuuksia. Päävelvoite on tietenkin huolehtia, että henkilötietojen käsittelyssä noudatetaan lainsäädäntöä, ja että henkilötiedot ovat kulloisenkin riskitason huomioiden turvassa. Tärkein keino tehdä tämä on huolehtia osoitusvelvollisuuden noudattamisesta, mikä käytännössä pilkkoutuu useaksi pienemmäksi velvollisuudeksi. Toimet eivät kuitenkaan pääasiassa poikkea normaalista järkevästä liiketoiminnan suunnittelusta ja dokumentoinnista. Tämä siksi, että on käytännössä mahdotonta osoittaa noudattavansa asetusta samalla myös huolehtimatta käytännön tietosuojasta dokumentoinnin, ohjeistuksen sekä toimintamallien ja tietoturvan osalta. 

Rekisteröidyn oikeudet

Rekisteröidyllä on oikeus omiin henkilötietohinsa ja määrätä mitä niillä tehdään. Henkilö, joka on rekisteröity, voi esimerkiksi vaatia henkilötietojaan käsitteleviä tahoja muun muassa näyttämään, korjaamaan tai siirtämään tietoja sekä luovuttamaan henkilötiedon käsittelyyn liittyviä tietoja itselleen. Varmista siis, että toimintasi on suunniteltu niin, että teidän on mahdollisimman helppoa toteuttaa rekisteröidyn oikeudet kaikissa tilanteissa.

Sopimukset ja tietosuoja-asetus

Asetus määrää suoraan, että aina kun rekisterinpitäjä siirtää henkilötiedon käsittelyä edes vähäisissä määrin jonkun toisen tehtäväksi, asiasta on sovittava osapuolten välillä kirjallisesti, ja erityisesti juuri asetuksen määräämällä tavalla. Olit sitten palveluiden ostaja tai myyjä, tulet varmasti törmäämään tietosuojaliitteisiin tai muihin vastaaviin asiakirjoihin. Valmistaudu haasteeseen laadittamalla omat vakiosopimusehtosi sekä keräämällä tietämystä henkilötietojen käsittelyn ulkoistamiseen liittyvistä vastuista.

Vaikutustenarviointi, tietosuojavastaava sekä muut syvempää asiantuntiemusta vaativat asiat

Asetuksen mukaan organisaationne saattaa tulla nimetä tietosuojavastaava tai suorittaa jotakin henkilörekisteriä koskien laajempi dokumentoitu riskianalyysi eli vaikutustenarviointi (DPIA). Asetus on kuitenkin valitettavasti muotoiltu siten, että sen sisällöstä ei useinkaan suoraan ilmene mitä juuri sinun organisaatiosi on tai ei ole kulloikin esimerkiksi tietosuojavastaavan nimittämisen suhteen tehtävä. Ota ajoissa yhteys asiantuntijaan välttääksesi ali- tai ylimitoitetut toimet. Pienellä panostuksella saattaa yllättäen välttää huomattavat turhat kulut.

EU:n yleisen tietosuoja-asetuksen löydät helposti EU:n sivuilta (uusi sivu).

Peruskäsitteet

Henkilötieto ja henkilötietorekisteri

Henkilötiedolla tarkoitetaan tunnistettavissa olevaan henkilöön liittyviä tietoja. Henkilötietorekisterillä tarkoitetaan jäsenneltyä näitä tietoja sisältävää tietojoukkoa, kuten asiakasrekisteriä. Henkilötiedot on saatavilla rekisteristä tietyin perustein, vaikka tietojoukko olisi keskitetty, hajautettu taikka toiminnallisin tai maantieteellisin perustein jaettu.

Rekisterinpitäjä ja henkilötietojen käsittely

Rekisterinpitäjä on taho, joka  määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Henkilötietojen käsittely tarkoittaa toimintoja, joita kohdistetaan henkilötietoihin ja se voi olla automaattista tai manuaalista, kuten tietojen keräämistä, tallentamista, muokkaamista tai katselemista.

Henkilötietojen käsittelijä

Henkilötietojen käsittelijä on se, joka käsittelee henkilötietoja rekisterinpitäjän lukuun, esimerkiksi kun yrityksen palkanlasku on ulkoistettu, palkanlaskija on henkilötietojen käsittelijä.

Suostumus ja muut perusteet käsittelylle

Ilman rekisteröidyn suostumusta ei henkilötietoja saa käsitellä, ja suostumuskin on pyydettävä oikealla tavalla. Ilman suostumustakin tietoja voidaan käsitellä jos kyseessä on sopimuksen täytäntöönpano, lakisääteiset velvoitteet, elintärkeiden etujen suojelu, yleinen etu tai julkinen tehtävä taikka rekisterinpitäjän tai kolmannen oikeutettu etu, esimerkiksi suoramarkkinointi.

Sisäänrakennettu ja oletusarvoinen tietosuoja

Sisäänrakennettu tietosuoja edellyttää, että toiminta on aina suunniteltu myös tietosuojan näkökulmasta. Oletusarvoinen tietosuoja tarkoittaa sitä, että henkilötietoja saa käsitellä ainoastaan siinä määrin, kuin on tarpeen kussakin yksittäisessä tapauksessa.

Osoitusvelvollisuus ja läpinäkyvyys

Rekisterinpitäjän ja käsittelijän on kyettävä osoittamaan, että se noudattaa tietosuoja-asetusta käsitellessään henkilötietoja. Läpinäkyvyyden periaatteen mukaisesti henkilötietojen käsittelyyn liittyvien tietojen ja viestinnän on oltava helposti saatavilla ja ymmärrettävissä ja niissä on käytettävä selkeää ja yksinkertaista kieltä.

Tee testi

Vastaa kysymyksiin ja katso tulokset. Valitse tilannettanne parhaiten kuvaava vaihtoehto

Organisaatioomme on nimetty tietosuoja-asioista vastaava henkilö tai henkilöitä:

Organisaatiossamme on käytössä tietosuojaohjeistus:

Organisaatiomme toimintaan liittyy erilaisia henkilötietorekisterejä:

Organisaatiomme henkilötietojen käsittelyn ydintehtävät muodostuvat:

Tietosuoja-asiat on otettu huomioon tietojärjestelmiämme suunniteltaessa:

Henkilöstömme osaaminen tietosuoja-asioissa on riittävällä tasolla:

Henkilöstöämme koulutetaan tietosuoja-asioissa:

Henkilöasiakkaamme voivat muokata ja päivittää tietojaan sekä pyytää tietojensa poistamista:

Organisaatiomme poistaa rekistereistään vanhat henkilötiedot:

Luovutamme henkilötietoja myös kolmansille osapuolille:

Keräämiämme tietoja käytetään sähköiseen suoramarkkinointiin:

Organisaatiollamme on asiakkaille toimitettava tietosuojaseloste:

Organisaatiollamme on sisäiset käytänteet tietoturvaloukkausten varalta:

Organisaatiollamme on käytäntö tietosuojaloukkauksista ilmoittamiseksi rekisteröidylle:

Organisaationne henkilörekisterejä käsittelee ulkopuolinen palveluntarjoaja, jonka kanssa on dokumentoidusti sovittu tietojen käsittelystä ja suojaamisesta:

Palvelut

Näin pääset alkuun

Asiantuntijamme auttavat sinua ja organisaatiotasi tarjoamalla erilaajuisia palvelukokonaisuuksia.

1. Alustava arvio

Lyhyt konsultaatio tietosuoja-asioista, jossa käydään tiiviisti läpi uusi EU-asetus ja hahmotetaan minkälaisia henkilörekistereitä organisaatiolla on ja mikä on tietosuojanne tilanne yleisellä tasolla.

Asiantuntijamme selittää sinulle ja kollegoillesi peruskäsitteet ja tietosuoja-asetuksen pääpiirteissään, minkä lisäksi hän pyrkii selvittämään toimintanne henkilötietojen käsittelyyn liittyvät toiminnot, henkilörekisterit sekä muut seikat. Lopputuloksena saatte lyhyen arvion henkilötietojenne käsittelyn tilasta sekä toimenpidesuositukset tietosuojatyön aloittamiseksi.

2. Perusdokumentaatio ja sopimukset

Vanhan henkilötietolain mukaiset rekisteriselosteet ja muut aineistot on asetuksen myötä käytävä läpi ja päivitettevä vastaamaan vaatimuksia. 

  • Rekisteriselosteen (jatkossa tietosuojaseloste) tarkastaminen

  • Puuttuvien asiakirjojen ja selvitysten laatiminen

Organisaation sopimussuhteet on tärkeä arvioida myös tietosuoja-asetuksen näkökulmasta. 

  • Onko yrityksellä oston tai myynnin kautta joko rekisterinpitäjän tai henkilötiedon käsittelijän rooli

  • Käydään läpi kaikki sopimukset tietosuojanäkökulmasta ja laaditaan tarvittaessa tietosuojaliite / tietosuojalausekkeita

3. Tietosuoja-DD / laaja selvitys

Organisaationne tietosuojatilanteen yksityiskohtainen analyysi perustuen due diligence -tyyppiseen aineiston ja toimintanne läpikäymiseen. Tarkastus sisältää ennakkokyselyn, henkilökohtaisen haastattelun tietosuoja-aineiston läpikäymisen sekä organisaationne toiminnan tietosuoja-analyysin.

Lopputuloksena selvityksestä saat seikkaperäisen kirjallisen raportin toimenpidesuostuksineen ja ohjeistuksineen jatkotoimenpiteistä.

4. Koulutukset ja räätälöidyt kokonaisuudet

Olemme pitäneet kymmenittäin koulutuksia tietosuojasta  asiakaskohtaisesti suunniteltuina sekä laajemmin muun muassa kauppakamarin toimeksiannosta. Peruskoulutus kestää noin tunnin, laajemmat tiedot ja käytännön näkökulmaa pystymme kouluttamaan noin puolessa päivässä. Vastaavasti toteutamme myös muun mittaisia tapahtumia tai esimerkiksi esiinnymme vierasäänenä tapahtumassanne.

Asiantuntijoiltamme voit tilata myös räätälöityjä tietosuojaratkaisuja. Autamme mielellämme sinua kohdistamaan organisaatiosi huomion oleelliseen ja valitsemaan niin tietoturvaan kuin muihinkin osa-alueisiin tarvittavat yhteistyökumppanit.

 

Pyydä hinta-arvio!

PYYDÄ TARJOUS Lähetä lomakkeella yhteystietosi niin olemme yhteydessä, ja saat tarjouksen palveluistamme.

Lähettämällä alla pyydetyt tiedot hyväksyn, että tietoja käsitellään tietosuojaselosteemme mukaisesti osana markkinointirekisteriämme voidaksemme markkinoida palveluitamme edustamallesi organisaatiolle.

TATU KULMALA
Asianajaja, varatuomari, osakas

010 320 8418
etunimi.sukunimi@lrhto.fi

KIMMO TENHOVIRTA
Asianajaja, varatuomari, osakas

010 320 8453 
etunimi.sukunimi@lrhto.fi 

MIRJA ROPO
Asianajaja, varatuomari

010 320 8474 
etunimi.sukunimi@lrhto.fi