EU:n tietosuoja-asetuksen velvoitteet johdolle
EU:n yleinen tietosuoja-asetus hyväksyttiin keväällä 2016 (14.4.2016) Euroopan parlamentin ja neuvoston päätöksillä. Oikeusministeriö käynnisti jo helmikuussa 2016 mittavan hankkeen toteuttaakseen kansalliset toimenpiteet, joita uudistus edellyttää. EU:n tietosuoja-asetuksesta (2016/679) löytyy virallinen suomennos
Lisäksi yleisen tietosuoja-asetuksen artiklat on kerätty www.privacy-regulation.eu sivustolle suomenkieliseen koosteeseen, jossa on sekä kyseinen artikla auki kirjoitettuna että linkitys perusteluteksteihin.
EU:n yleisen tietosuoja-asetuksen tavoitteina ovat yksilön oikeuksien ja vapauksien vahvistaminen, sisämarkkinaulottuvuuden lujittaminen, tietosuojan globaalin ulottuvuuden huomioiminen sekä tietosuojasääntöjen täytäntöönpanon valvonnan tehostaminen. Asetuksen tavoitteena on luoda Euroopan unionille ajanmukainen, vahva, yhtenäinen ja kattava tietosuojakehys. Lisäksi pyritään parantamaan luottamusta online-palveluihin ja näin edistää EU:n digitaalista sisämarkkinoiden kehittämistä.
EU:n yleinen tietosuoja-asetus korvaa vuonna 1995 annetun henkilötietodirektiivin. Asetus sisältää säännökset mm. henkilötietojen käsittelyä koskevista periaatteista, käsittelyn lainmukaisuudesta, rekisterinpitäjän ja henkilötietojen käsittelijän velvoitteista ja vastuista (myös sopimukset), rekisteröiden suostumuksen edellytyksistä ja arkaluonteisten tietojen käsittelystä.
EU:n yleinen tietosuoja-asetus patistaa rekisterinpitäjiä ja yrityksiä tarkistamaan tietosuojakäytäntöjensä lainmukaisuuden eli tekemään käytännössä 2 vuoden siirtymäaikana 25.5.2018 mennessä ns. tietosuojan/henkilötietojen käsittelyn nykytila-arvion ja analyysin vastaako rekisterinpitäjän henkilötietojen käsittely- ja tietosuojakäytänteet kansallisen lainsäädännön, ja EU:n tietosuoja-asetuksen uusia vaatimuksia. Organisaatioiden tulee myös varmistaa tietoturvansa riittävyys sekä varautua ongelmatilanteisiin - myös kriisiviestintään. Uudella sääntelyllä halutaan ohjata yhteisöt ja yritykset ottamaan tietosuoja-asiat kokonaisvaltaisesti huomioon jo toimintansa suunnittelussa.
EU:n yleisen tietosuoja-asetuksen (2016/679) valmistelun vaiheet
Maaliskuussa 2012 Euroopan komissio esitti henkilötietosuojaa koskevan EU:n oikeudellisen kehyksen uudistamista. Komission ehdotuksen pohjalta keskusteltiin yksityiskohtaisesti sekä parlamentissa että neuvostossa. Euroopan parlamentin LIBE-valiokunta äänesti mietinnöstään asetuksesta lokakuussa 2013 ja Euroopan parlamentti äänesti kannastaan yleiseen tietosuoja-asetusehdotukseen maaliskuussa 2014. Se hyväksyi LIBE-valiokunnan mietinnön sellaisenaan.
Asetus siirtyi käsiteltäväksi Euroopan unionin neuvostoon eli ministerineuvostoon. Euroopan unionin oikeus- ja sisäasioiden neuvosto hyväksyi kokouksessaan 15.6.2015 yleisnäkemyksen ehdotukseksi Euroopan parlamentin ja neuvoston asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus). Ministerineuvosto ei hyväksynyt edellisen Euroopan parlamentin hyväksymää tietosuoja-asetusta sellaisenaan.
Asetuksen käsittely siirtyi 24.6.2015 Euroopan parlamentin, komission ja ministerineuvoston kolmikantaneuvotteluihin, joissa pyritiin löytämään kompromissi asetuksen lopullisesta sisällöstä. Kun asetus lopullisesti hyväksyttiin keväällä 2016, suomalaisilla organisaatioilla on asetuksen mukaan kaksi vuotta aikaa sopeuttaa toimintansa EU:n tietosuoja-asetuksen vaatimusten mukaiseksi 25.5.2018 mennessä. EU:n yleinen tietosuoja-asetus eli Euroopan parlamentin ja neuvoston asetus yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta oli yksi Euroopan parlamentin istuntokauden tärkeimmistä lainsäädäntöhankkeista.
Milloin EU:n tietosuoja-asetus tulee voimaan?
EU:n tietosuoja-asetus on hyväksytty keväällä 2016, ja sitä ryhdytään soveltamaan kahden vuoden siirtymäajan jälkeen eli 25.5.2018.
Mitä EU:n tietosuoja-asetus koskee?
EU:n tietosuoja-asetus koskee lähtökohtaisesti kaikkea henkilötietojen käsittelyä EU:n jäsenvaltioissa. Koska kyseessä on kaikissa jäsenvaltioissa suoraan sovellettava asetus, tulee se yhdenmukaistamaan eurooppalaista tietosuojasääntelyä, joka tällä hetkellä muodostuu jäsenvaltioiden epäyhtenäisestä sääntelystä.
Miten EU:n tietosuoja-asetusta sovelletaan Suomessa?
EU:n tietosuoja-asetus tulee olemaan suoraan sovellettavaa lainsäädäntöä Suomessa. Oikeusministeriö vastaa Suomessa asetuksen täytäntöönpanon edellyttämistä lainsäädäntötoimista. Joissakin osissa asetus antaa kuitenkin tilaa tarkemmille säännöksille kansallisessa lainsäädännössä (ns. kansallinen liikkumavara) ja Suomen säännökset henkilötietojen käsittelystä voivat siksi olla myös jatkossa voimassa joillakin aloilla. Tämä koskee esimerkiksi henkilötietojen käsittelyä viranomaisissa.
Miten asetus muuttaa henkilötietojen käsittelyä?
Asetus sisältää täsmennyksiä voimassa olevaan sääntelyyn sekä merkittäviä uusia velvoitteita ja sanktioita. Tietosuojavelvoitteensa laiminlyöville rekisterinpitäjille voidaan langettaa merkittäviä seuraamusmaksuja.
Tällä hetkellä tietosuojan yleissääntely perustuu Suomessa henkilötietolakiin (523/1999), joka tuli voimaan 1. kesäkuuta 1999. Lisäksi eri sektoreiden ja toimialojen henkilötietojen käsittelyä sääntelevät lukuisat kansalliset erityislait. Esimerkiksi sosiaali- ja terveydenhuollossa on laajaa erityissääntelyä, osin juuri asiakastietojen arkaluonteisuuden vuoksi.
EU:n tietosuoja-asetuksessa luetellaan rekisteröidyn eli henkilötietojen käsittelyn kohteena olevan henkilön oikeudet. Tällaisia oikeuksia ovat omia henkilötietoja koskeva tiedonsaantioikeus, oikeus saada tiedot oikaistua, oikeus tulla unohdetuksi sekä oikeus tietojen poistamiseen ja tietojenkäsittelyn vastustamiseen. Lisäksi asetuksessa säädetään rekisterinpitäjien (eli tietojenkäsittelystä vastaavien) velvollisuudesta antaa rekisteröidyille avoimia ja helposti saatavia tietoja heidän tietojensa käsittelystä.
EU:n tietosuoja-asetuksen sääntelyn lähtökohtana on ns. riskipohjainen lähestymistapa. Sääntelyssä otetaan huomioon henkilötietojen käsittelyyn kulloinkin liittyvät riskit. Pyrkimyksenä on yhtäältä välttää vähäriskisten toimien ylisääntelyä ja toisaalta varmistaa rekisteröidyn suoja korkean riskin toiminnassa (huomioiden mm. tietojen laatu/luonne, käsittelytarkoitus ja laajuus). Rekisterinpitäjä ja henkilötietojen käsittelijä velvoitetaan ryhtymään toimiin, jotka vastaavat henkilötietojen käsittelyyn kulloinkin liittyvää riskiä.
Eräitä asetukseen sisältyviä muutoksia:
- Entistä tarkempia määritelmiä erilaisista käsitteistä kuten suostumus, geneettiset tiedot, biometriset tiedot jne.
- Selkeämpiä sääntöjä henkilötietojen käsittelijöiden vastuusta, erityisesti rekisterinpitäjien, mutta myös rekisterinpidossa avustavien osalta.
- Asetuksen tullessa voimaan organisaatiolle ei riitä, että se noudattaa asetusta, vaan organisaation on pystyttävä osoittamaan, että tietosuojasäännökset huomioidaan rekisterinpitäjän toiminnassa.
- Ilmoitusvelvollisuus vähäistä suurempien tietoturvaloukkausten tapahtuessa.
- Tietosuojavastaavien asettaminen
- Oikeus saada itseään koskevat tiedot koneluettavassa muodossa. Asetuksen mukaan rekisteröidyllä olisi oikeus siirtää henkilötietonsa ja kaikki muut rekisteröidyn antamat tiedot toiseen järjestelmään silloin, kun rekisteröity itse on antanut henkilötiedot ja kun niiden käsittely perustuu suostumukseen tai sopimukseen.
- Asetuksella säädetään myös tietosuojaviranomaisen toimivallasta, tehtävistä ja valtuuksista. Jokainen tietosuojaviranomainen on toimivaltainen oman jäsenvaltionsa alueella. Kun kyse on jäsenvaltioiden rajat ylittävästä henkilötietojen käsittelystä, on rekisterinpitäjän päätoimipaikan tietosuojaviranomainen yleensä toimivaltainen käsittelemään asiaa.
- Jäsenvaltioiden tietosuojaviranomaisten yhteistyötä varten asetuksella luodaan uusi ns. yhdenmukaisuusmekanismi ja yhden luukun mekanismi. Näin halutaan varmistaa se, että unionin uutta tietosuojasääntelyä sovelletaan yhdenmukaisesti kaikissa jäsenvaltioissa ja että ratkaisukäytäntö olisi mahdollisimman yhdenmukaista. Yhdenmukaisuusmekanismin keskeinen toimija on asetuksella perustettava Euroopan tietosuojaneuvosto (EDPB, European Data Protection Board), jolla on mahdollisuus antaa sitovia päätöksiä tietosuoja-asetuksen soveltamisesta.
- Asetuksen mukaan valvontaviranomaisella on valtuudet langettaa hallinnollisia seuraamuksia asetuksessa luetelluista teoista määräämällä sakkoja tiettyyn enimmäismäärään asti kuhunkin tapaukseen liittyvät olosuhteet asianmukaisesti huomioon ottaen.
Valmistautuminen asetuksen velvoitteisiin
Asetus tulee luomaan Euroopan unionille ajanmukaisen ja yhtenäisen kehyksen henkilötietojen käsittelyyn. Asetuksen tavoitteena on parantaa luottamusta online-palveluihin ja näin edistää EU:n digitaalista sisämarkkinoiden kehittämistä. Organisaation henkilötietojen käsittelyyn liittyvien toimintatapojen läpikäynti ja sopeuttaminen uutta asetusta vastaavaksi on hyvä aloittaa ajoissa. Monet asetukseen sisältyvät velvoitteet sisältyvät jo nykyisin Suomen henkilötietolakiin.
Tietojen korkea laatu ja toimivat lainmukaiset menettelytavat tietojen käsittelyssä vaikuttavat positiivisesti kaikkiin organisaation toiminnan osa-alueisiin. Tieto on arvokas ja ainoa voimakkaasti kasvava tuotannontekijä. Erilaisten tietovarantojen ympärille kehittyy jatkuvasti uusia palveluja, jotka ovat tärkeitä koko tietoyhteiskunnan menestymiselle.
Erityisesti verkkoympäristössä henkilötietojen käsittelyyn liittyvät puutteet koetaan ongelmana asioinnin luotettavuuden ja käytettävyyden kannalta. Asiakkaiden ja sidosryhmien luottamus organisaation menettelytapoihin henkilötietojen käsittelyn on toimintaa vahvasti tukeva tekijä. Riskien minimointi, hyvän maineen rakentaminen, kansalaisten ja kuluttajien luottamuksen säilyttäminen ovat asioita, joista on tulossa ratkaisevan tärkeitä kaikkien sektoreiden toiminnan menestymiselle.
Suomessa ollaan varautumattomia tietosuojasäännösten tiukentumiseen. EU:n yleinen tietosuoja-asetus pakottaa julkisyhteisöt ja yritykset muuttamaan toimintamallejaan. Asetuksen myötä Suomessa on eri ministeriöissä arvioitavana uudelleen koko kansallinen erityislainsäädäntö. Kansallinen lainsäädäntö ei nimittäin voi olla ristiriidassa 25.5.2018 sovellettavan EU:n yleisen tietosuoja-asetuksen kanssa.
Tietosuojavastaavien kannattaa nostaa voimakkaasti esille tietosuoja- ja tietoturva-asiat sekä niiden mahdolliset epäkohdat. Näin tietojen ja käyttövaltuuksien omistajat eli palveluntuottajat sekä vastuullinen toiminnan johto ehtivät varautua siihen, että tietoturva- ja tietosuoja-asioiden hallinnollinen työ todennäköisesti lisääntyy jatkossa. Asetuksen velvoitteisiin ja sen riskeihin on tärkeää varautua pikimmiten, sillä uudistukset tulevat voimaan pian. Asetukseen pitää resursoida riittävästi aikaa ja rahaa. Varmaa on, että organisaatioilta vaaditaan entistä perusteellisempia ja ajantasaisempia tietosuojadokumentteja ja erilaisia prosessikuvauksia.
Asetuksessa tuo rekisterinpitäjille noudatettavaksi niin sanottua accountability -periaatetta (tilintekokykyisyys). Näin ollen jatkossa ei riitä, että rekisterinpitäjä passiivisesti noudattaa lakia (compliance), vaan rekisterinpitäjän on pystyttävä kysyttäessä aktiivisesti osoittamaan (tilinteko/osoitusvelvollisuus), että tietosuojasäännökset huomioidaan yhteisön tai yrityksen toiminnan suunnittelussa ja toteutuksessa. Todistustaakka ja näyttövelvollisuus tietosuojakysymysten lainmukaisesta hoidosta ja velvoitteiden täyttymisestä tulee lankeamaan rekisterinpitäjille, joista tehdään tilintekovelvollisia huomattavien sakkojen uhalla.
Tietosuojavaltuutetun toimisto ja oikeusministeriö on julkaissut rekisterinpitäjille suunnatun oppaan EU:n yleiseen tietosuoja-asetukseen valmistautumisesta. Oppaassa kerrotaan muun muassa henkilötietojen käsittelyn arvioinnista ja oikeusperusteista, tietosuojaperiaatteiden toteuttamisesta sekä tietoturvaloukkauksiin valmistautumisesta. Oppaassa selvitetään myös esimerkiksi riskiperustaisen lähestymistavan merkitystä rekisterinpitäjille ja rekisteröidyn oikeuksiin tulevia muutoksia.
Eduskunnan nettisivuilla on hyvä kooste erilaisista julkaisuista, työryhmäpäätöksistä ja mietinnöistä, joita asetukseen liittyy
YHTEENVETO:
Käytä siirtymäaika hyväksesi - tee nykytila-arvio organisaatiosi henkilötietojen käsittely- ja tietosuojakäytänteistä
Rekisterinpitäjän hallinnollisen johdon on syytä yhdessä nimeämänsä tietosuojavastaavan kanssa (ja mahdollisesti organisaation eri osastojen edustajien kanssa) tehdä henkilötietojen käsittelyn nykytila-arvio ja analyysi tietosuojakäytänteistään vastaavatko ne kansallisen lainsäädännön, ja EU:n tietosuoja-asetuksen velvoitteita ja vaatimuksia. Oman organisaation tietosuojakäytänteiden nykytila-arvion ja analyysin jälkeen tulee ryhtyä tarvittaviin toimenpiteisiin tietosuojakäytänteiden saattamiseksi kansallisen lainsäädännön ja EU:n yleisen tietosuoja-asetuksen velvoitteiden ja vaatimusten mukaiseksi. Tärkeää on pystyä luomaan pysyvä prosessi, jossa henkilötietojen oikeaoppinen käsittely on hallinnassa.
Lisäksi korkeariskinen henkilötietojen käsittely edellyttää asiakkaiden tietosuojan, oikeuksien ja vapauksien vaikuttavuusarvion (DPIA, Data Protection Impact Assessment) tekemistä. DPIA on syytä nyt siirtymäaikana muutoinkin tehdä eri henkilötietojen käsittelyprosesseista rekisterinpitäjän oman edun ja oikeusturvan takia luonnollisena osana EU:n tietosuoja-asetuksen suunnitteluvelvollisuuden (Privacy by Design) ja sisäänrakennetun ja oletusarvoisen tietosuoja (Privacy by Default) toteutumisen varmistamista. Näin DPIA palvelee myös rekisterinpitäjän Accountability-periaatetta eli tilintekokykyisyyttä ja osoitusvelvollisuutta.
Näin teet käytännössä organisaatiosi nykytila-arvion ja analyysin: Lue lisää OpiTietosuojaa.fi-sivuston blogitekstistä
Lisätietoa aiheeseen mm. infografiikkaa Unionin nettisivuilla http://www.consilium.europa.eu/fi/policies/data-protection-reform/data-protection-regulation-infographics/
Lisäksi julkisella sektorilla on tehty nyt todella hyvää työtä ja tuotettu tietosuojatyöpajojen tuotoksena (JUHTA-VAHTI-yhteistyö) materiaalia http://vm.fi/juhta-vahti-yhteishankkeiden-materiaalit