billionphotos 1657995 small500Tutkimuksen (International Association of Privacy Professionals, IAPP) mukaan tarvitaan vähintään 28.000 tietosuojavastaavaa (Data Protection Officer, DPO) vastaaman EU:n tietosuoja-asetuksen haasteisiin pelkästään Euroopassa. Myös esimerkiksi amerikkalaiset yritykset noudattavat EU:n tietosuoja-asetuksen vaatimuksia operoidessaan Euroopassa.

Suomessa tuhansia tietosuojavastaavia SOTE-sektorilla ja apteekeissa

Suomessa tietosuojavastaavat ovat olleet jo n. 10 vuotta pakollisia SOTE-sektorilla ja apteekeissa sekä Kelassa. SOTE-sektorilla ja apteekeissa on arviolta n. 5.000 palvelujen antajaa Suomessa. Lisäksi yritykset ovat käytännössä nimittäneet vapaaehtoisuuden pohjalta ilman lain vaatimustakin työntekijöitään hoitamaan tietosuoja-asioita eri nimikkeillä.

Jatkossa lisää tietosuojavastaavia myös Suomessa

EU:n tietosuoja-asetus laajentaa organisaatioiden velvollisuutta nimittää tietosuojavastaava. Tietosuojavastaava on jatkossa nimitettävä laajasti julkisella sektorilla (pois lukien tuomioistuimet) Suomessa. Myös yksityisellä sektorilla yritys tai organisaatio on velvollinen nimittämään tietosuojavastavan, kun se käsittelee päätoimenaan arkaluonteisia henkilötietoja suuressa määrin tai käsittelee päätoimenaan säännöllisesti ja systemaattisesti suuressa määrin rekisteröityjen henkilötietoja seurantaan (monitoring). Lisäksi EU:n jäsenmaat voivat kansallisessa lainsäädännössään säätää, että muulloinkin on johtajan nimitettävä organisaatioonsa tietosuojavastaava.

Lue lisää tutkimuksesta (IAPP) tästä linkistä.

Käytännön riskienhallinta muuttuu radikaalisti

Näyttäisi usein käytännössä siltä, että organisaation johto pitää tietosuojaa kyllä sinänsä erittäin tärkeänä ja tunnistaa tietosuojariskit, mutta riskien hallintaa ei käytännössä toteuteta tietosuojatyön organisoinnin ja tietosuojatyön tekemisen keinoilla. Tähän epäkohtaan EU:n tietosuoja-asetus tuo muutoksen. EU:n tietosuoja-asetuksen ns. accountability-periaatteen mukaan yrityksen on ankaran hallinnollisen sakon (jopa miljoonia euroja) uhalla osoitettava "tilintekokykyisyytensä" eli käytännössä toteutetut tietosuojatoimenpiteet sekä tietosuojatyön organisoinnin ja tietosuojatyön tekemisen dokumentaatiovelvollisuus. Enää ei riitä että pelkästään noudattaa lakeja "do it" vaan vaaditaan, että rekisterinpitäjä osoittaa "prove it" aktiivisesti ottaneensa tietosuojavaatimukset huomioon etukäteissuunnittelussa ja varsinaisessa tietosuojatyön toteuttamisessa, hyvä niin.

Euroopassa on ollut jo vuosia yleistä määrätä organisaatiolle tuntuvia hallinnollisia sakkoja tietosuojan ja -turvan laiminlyönneistä. Valvontaviranomaisen sakotuskäytäntö tulee EU:n tietosuoja-asetuksen myötä myös Suomeen. Kun yrityksen kohtaa esimerkiksi tietomurto, haetaan syyllisiä niistä, jotka ovat vastuussa suojauksen pettämisestä!

Lue lisää riskien hallinnasta, johtajan tietosuojatyön organisoinnista ja tietosuojavastaavan tietosuojatyön tekemisestä tuoreesta kirjastamme (Tietosuojakäsikirja johdolle (2016), 2. uudistettu laitos, 3. painos. https://www.linkedin.com/pulse/tietosuojak%C3%A4sikirja-johdolle-uusittu-ja-ajantasainen-ylipartanen?trk=hp-feed-article-title-comment

Tietoja

billionphotos 1652391 small500Tuoretta suomenkielistä tietoa on nyt huhtikuussa julkaistu liittyen EU:n yleiseen tietosuoja-asetukseen julkaisijana Oikeusministeriö. Toinen tuore päivitys on Euroopan unionin Neuvoston 8.4.2016 hyväksyntä EU:n yleisestä tietosuoja-asetuksesta perusteluineen. Lopussa Neuvosto suosittelee asetusta Euroopan unionin Parlamentille hyväksyttäväksi sellaisenaan. 14.4.2016 tuli tieto, että EU:n yleinen tietosuoja-asetus on lopullisesti hyväksytty Euroopan parlamentin ja neuvoston päätöksillä. Oikeusministeriö käynnisti jo helmikuussa mittavan hankkeen toteuttaakseen kansalliset toimenpiteet, joita uudistus edellyttää.

Oikeusministeriön tiedote on hyvä tiivistys ja siinä käsitellään mm. seuraavia asioita:

Mikä muuttuu asetuksen myötä?
Tietosuoja-asetus päivittää ja uudistaa periaatteita, joilla taataan oikeus henkilötietojen suojaan. Asetuksella vahvistetaan ihmisten oikeuksia ja EU:n sisämarkkinoita sekä sujuvoitetaan henkilötietojen kansainvälisiä siirtoja.
Muutokset antavat ihmisille paremmat edellytykset kontrolloida omia henkilötietojaan ja helpottavat tiedonsaantia omien henkilötietojen käsittelystä. Tarkoituksena on varmistaa, että ihmisten henkilötiedot ovat suojassa riippumatta siitä, missä ne lähetetään, käsitellään tai säilytetään – myös EU:n ulkopuolella, kuten internetissä usein on asian laita.

Mitkä ovat uudistuksen hyödyt kansalaisille?
Uudistus tarjoaa työkalut, joilla ihmiset voivat kontrolloida henkilötietojaan, joiden suojaaminen on yksi Euroopan unionin perusoikeuksista.
Kymmenestä eurooppalaisesta yhdeksän on huolestunut mobiilisovelluksista, jotka keräävät tietoja ilman heidän suostumustaan, ja seitsemän kymmenestä on huolissaan siitä, mihin yritykset voivat käyttää tietoja.

Uudet säännöt vastaavat näihin huolenaiheisiin seuraavasti:
· Oikeus tulla unohdetuksi: Kun käyttäjä ei enää halua, että hänen tietojaan käsitellään, tiedot poistetaan, paitsi jos on olemassa jokin laillinen peruste säilyttää ne. Tarkoitus on taata kansalaisten yksityisyydensuoja, ei hävittää menneitä tapahtumia tai rajoittaa lehdistönvapautta.

· Tiedonsaanti helpottuu: Ihmiset saavat tietoa siitä, miten heidän tietojaan käsitellään, ja tämä tieto on annettava heille selkeällä ja ymmärrettävällä tavalla. Oikeus siirtää omat tietonsa tietojärjestelmästä toiseen helpottaa henkilötietojen siirtämistä palveluntarjoajalta toiselle.

· Oikeus saada tieto tietoturvaloukkauksesta: Yritysten ja organisaatioiden on raportoitava kansalliselle tietosuojaviranomaiselle tietoturvaloukkauksista. Käyttäjille on ilmoitettava vakavista loukkauksista mahdollisimman pian, jotta nämä voivat ryhtyä tarvittaviin toimiin.

· Sisäänrakennettu ja oletusarvoinen tietosuoja: Tietosuojatakeet otetaan huomioon tuotteissa ja palveluissa jo suunnitteluvaiheessa, ja yksityisyydensuojaa edistävät oletusarvot (asetukset) ovat automaattisesti  käytössä esimerkiksi sosiaalisessa mediassa ja mobiilisovelluksissa.

· Tiukemmat seuraukset rikkomuksista: tietosuojaviranomaiset voivat antaa EU-sääntöjä rikkovalle yritykselle sakon, joka on jopa neljä prosenttia yhtiön maailmanlaajuisesta liikevaihdosta.

Lue aiheesta tarkemmin Oikeusministeriön tiedotteesta (julkaistu OM:n kotisivulla 7.4.2016)

sekä Euroopan unionin Neuvoston hyväksynnästä perusteluineen tästä linkistä.

 

Tietoja
  1. Tietosuojakäsikirja johdolle on uusittu!
  2. EU:n tietosuoja-asetus käytännössä -koulutuspäivä ke 2.3.2016
  3. Tietotilinpäätös - teoriasta käytännöksi SOTE-sektorilla
  4. Viisas johtaja sijoittaa tietosuojaan ja tietoturvaan