tietotilinpäätösEuroopan unionissa (EU) pitkään valmistellun yleisen tietosuoja-­asetuksen tavoitteina ovat olleet yksilön oikeuksien vahvistaminen, sisä­markkinaulottuvuuden lujittaminen, tietosuojan globaalin ulottuvuuden huomioiminen sekä tietosuojasääntöjen täytäntöön­panon valvonnan tehostaminen. Asetus patistaa rekisterinpitäjiä ja yrityksiä tarkistamaan tietosuojakäytäntöjensä lainmukaisuuden. Yritysten tulee myös varmistaa tietoturvansa riittävyys ja varautua ongelmatilanteisiin. Toteutuessaan tietosuoja-asetus edellyttää esimerkiksi tietosuojavastaavan tehtävän perustamista kaikkiin julkis­yhteisöihin ja yrityksiin, jotka käsittelevät vuosittain yli 5 000 henkilön tietoja. Uudella sääntelyllä halutaan ohjata yhteisöt ja yritykset ottamaan tietosuoja-asiat kokonaisvaltaisesti huomioon toimintansa suunnittelussa. Viimeisten tietojen mukaan EU:ssa on kuitenkin painetta säilyttää jatkossakin päätösvalta tietosuojavastaavien pakollisuudesta eri toimialoilla kansallisella lainsäätäjällä.

Suomessa ollaan kuitenkin varautumattomia tietosuojasäännösten tiukentumiseen. EU:n yleinen tietosuoja-asetus pakottaa julkisyhteisöt ja yritykset muuttamaan toimintamallejaan. Asetuksen myötä Suomessa tulee arvioitavaksi uudelleen koko kansallinen erityislainsäädännön viidakko. Kansallinen lainsäädäntö ei nimittäin voi olla ristiriidassa tulevan EU:n yleisen tietosuoja-asetuksen kanssa.

Keskeisiä termejä asetukseen liittyen ovat mm. : privacy by design, privacy by default ja accountability. Varsinkin viimeinen termi aiheuttaa painetta dokumentoida tietosuojaprosessit huolellisesti ja saavuttaa täten rekisterinpitäjän "tilinpäätöskykyisyys". Tähän liittyen tietosuojavaltuutettu Reijo Aarnio on jo vuosia suositellut laadittavaksi nk. tietotilinpäätöksen, joka on varmasti järkevä ja perusteltu tapa raportoida sisäisesti tai yhtä hyvin ulkoisesti tietosuojan ja tietoturvan tilaa organisaatiossa.

Euroopan parlamentti hyväksyi jo 12. maaliskuuta 2014 parlamentin raportoijien raportit yleisestä tietosuoja-asetuksesta. Asetus on siirtynyt käsiteltäväksi Euroopan unionin neuvostoon eli ministeri­neuvostoon. Ministerineuvoston ei odoteta hyväksyvän edellisen Euroopan parlamentin hyväksymää tietosuoja-asetusta sellaisenaan. Asetuksen käsittely siirtyneekin Euroopan parlamentin, komission ja ministerineuvoston kolmikantaneuvotteluihin, joissa pyritään löytämään kompromissi asetuksen lopullisesta sisällöstä. Kun asetus on lopullisesti hyväksytty, suomalaisilla organisaatioilla on asetusehdotuksen mukaan kaksi vuotta aikaa sopeuttaa toimintansa EU:n tietosuoja-asetuksen vaatimusten mukaiseksi. Arvioiden mukaan asetuksen valmistelu saadaan päätökseen vuonna 2015.

Ehdotus koskee henkilötietojen, esimerkiksi työntekijöiden tai asiakkaiden tietojen, käsittelyä riippumatta siitä, onko rekisterin­pitäjä yksityisen vai julkisen sektorin toimija. Ehdotus sisältää täsmennyksiä voimassa olevaan sääntelyyn sekä merkittäviä ­uusia velvoitteita ja sanktioita. Tietosuojavelvoitteensa laiminlyöville rekisterin­pitäjille voidaan langettaa merkittäviä seuraamusmaksuja. Enimmillään maksut olisivat 100 miljoonaa euroa tai 5 prosenttia yrityksen kokonaisliikevaihdosta (mikäli tämä summa on suurempi kuin 100 miljoonaa euroa).

Tällä hetkellä tietosuojan yleissääntely perustuu Suomessa henkilötietolakiin (523/1999), joka tuli voimaan 1. kesäkuuta 1999. Lisäksi eri sektoreiden ja toimialojen henkilötietojen käsittelyä sääntelevät lukuisat kansalliset erityislait. Esimerkiksi sosiaali- ja terveydenhuollossa on laajaa erityissääntelyä, osin juuri asiakastietojen arkaluonteisuuden vuoksi. Valmisteilla oleva EU:n yleinen tietosuoja-asetus eli Euroopan parlamentin ja neuvoston asetus yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta on yksi Euroopan parlamentin tulevan istunto­kauden tärkeimmistä lainsäädäntöhankkeista.

Toivon, että pystymme OpiTietosuojaa.fi -sivustolla tarjoamaan vähintäänkin perustyökalut siihen, että jokainen organisaatio tullee selviämään tulevista vaatimuksista liittyen tietosuoja-asioiden ymmärtämiseen ja hoitamiseen!

 

Saatiin hartaasti suunnittelemamme web-palvelu OpiTietosuojaa.fi julkaistua internettiin 24.4.2015. Toivottavasti tästä portaalista saadaan aiheesta kiinnostuneiden keskeinen tapaamispaikka ja jonkinlainen vertaistuki esimerkiksi tietosuojavastaaville, joita tulee organisaatioihin toivottavasti lisää koko ajan.

Tähän portaalin kehitysprosessiin liittyi paljon huomioitavia asioita sekä teknisesti että ideologisesti. Oppia kuitenkin ikä kaikki. Osa ihmisistä pitää tietosuoja-asioita turhanpäiväisinä ja omien tarkoitusperien toteutumista hidastavina haasteina. Yleensä se johtuu siitä, että asioita ei ole suunniteltu "Privace by design" -ideologian mukaisesti vaan ne on lykätty projekteissa viime tippaan, jolloin lyhyellä aikataululla joudutaan ohjausryhmissä ruveta pohtimaan "ai niin, pitikös jotain niitä tietoturvajuttujakin huomioida". Jonkinlaiset perustiedot tietosuoja-asioihin liittyen olisi hyvä olla kaikilla kansalaisilla. Onhan tietosuoja perusoikeus. Jatkossa Eu:n tietosuoja-asetus tullee saamaan vipinää punttiin varsinkin toiminnan johdolla, kun halutaan saada nykytilankartoitus eli tietosuojan tilannekuva ensinnäkin tietoon ja sen jälkeen alkaa pohtiminen, että onkos asiat nyt hoidettu ja dokumentoitu vähintäänkin riittävällä tasolla.

Kun tietosuoja-asioita haukkaa opeteltavaksi pienen palan kerrallaan, mutta pitää aihepiirin koko ajan omassa organisaatiossa ja omassa työssä ajankohtaisena -auttaa se kaikkia. Sekä yritysjohtoa että yksittäisen työntekijän oikeusturvaa! Jokainen meistä on monessa roolissa. Välillä työntekijä, välillä asiakas ja toisinaan edustaa toista henkilöä esimerkiksi huoltajan ominaisuudessa. Roolit eivät saa sekoittua, mutta valveutuneisuutta pitää olla siihen, miten missäkin roolissa toimitaan yksityisyyden suojaa kunnioittaen. Luottamuksen voi menettää vain kerran ja sen jälkeen takaisin saaminen on liki mahdotonta.

Toivomme, että sivustoltamme löytyy mielenkiintoisia artikkeleita ja että saamme sivustoa kehitettyä aina vain paremmaksi!

Tervetuloa: Opitietosuojaa.fi palvelun ylläpitäjät Ari Andreasson ja Juha Koivisto

billionphotos 847153 xsmall150