GDPR tuo yrityksille lisää velvollisuuksia, mutta samalla se yhdenmukaistaa tietosuojalainsäädäntöä EU-alueella ja helpottaa näin palveluiden tarjoamista koko EU-markkinalla.

Kuluttaja-asiakkaalle GDPR lisää varmuutta siitä, että eri palveluihin tallennetuista henkilötiedoista huolehditaan asianmukaisesti ja tietoturvalle on asetettu tietyt vaatimukset. Kuluttajan henkilötietoja ei saa myöskään luovuttaa EU-alueen ulkopuolelle ilman henkilön lupaa.

Kuluttajalla on lisäksi oikeus pyytää rekisterin tiedot itselleen ja tulla unohdetuksi, kunhan se ei ole ristiriidassa muun lainsäädännön kanssa. Esimerkiksi verottajan rekisteristä tuskin pääsee unohdetuksi ensi vuonnakaan.

GDPR-terminologiaa lyhyesti

Henkilötieto (personal data)

Tietosuoja-asetus ei yksityiskohtaisesti määrittele, mikä on henkilötietoa, vaan asetuksen mukaan kaikki henkilöä yksilöivä tieto on henkilötietoa. Henkilötietoja ovat näin ollen esimerkiksi nimi, kotiosoite, valokuva, sähköpostiosoite, sosiaalisen median päivitykset, tilaukset ja ostokset, pankkitiedot, käyttäjätunnus ja salasana, maksukorttinumero sekä IP-osoite.

Henkilötietojen käsittelijä (data processor)

Henkilötietojen käsittelijä on taho, joka käsittelee henkilötietoja rekisterinpitäjän toimeksiannosta. Esimerkiksi digitaalisten palveluiden toimittajat käsittelevät usein asiakasyritystensä asiakkaiden tietoja toimittamissaan palveluissa. Verkkokauppoihin ja kirjautumista vaativiin palveluihin syntyy väistämättä henkilötietorekisteri.

Rekisterinpitäjä (data controller)

Henkilötietorekisteristä vastaa rekisterinpitäjä, joka voi olla yritys, viranomainen, yhdistys, laitos tai säätiö. Rekisterinpitäjä on juridisessa vastuussa rekisteristä, määrää rekisterin käytöstä sekä on taho, jonka käyttöä varten rekisteri on luotu. Rekisterinpitäjän on lain mukaan laadittava rekisteriseloste, josta käy ilmi muun muassa rekisterin käyttötarkoitus, kerättävät tiedot ja niiden tietolähteet, rekisterin suojaus sekä rekisterinpitäjän yhteystiedot.

Tietosuojavastaava (data protection officer)

Organisaatioon on nimettävä tietosuojavastaava, jos organisaation ydintoimintoihin kuuluu arkojen henkilötietojen tai laajojen henkilötietorekistereiden käsittely. Asetuksessa suositellaan nimeämään kaikkiin yrityksiin tietosuojavastaava.

Tietosuojavastaavan tehtäviin kuuluu asiantuntija-avun antaminen sekä organisaation henkilöstölle että organisaation johdolle tietosuojaan liittyvissä kysymyksissä. Tietosuojavastaavan tulee myös toimia organisaatiossa henkilötietojen käsittelyä valvovana tahona sekä yhdyssiteenä valvontaviranomaisiin, kuten tietosuojavaltuutettuun.

Tietotilinpäätös (data balance sheet)

Tietosuoja-asetus edellyttää yrityksiä dokumentoimaan rekistereiden hallintaan liittyvät tietoturvakäytännöt. Dokumentoinnin voi tehdä muullakin tapaa kuin tietotilinpäätöksellä, mutta se on ollut tietosuojavaltuutetun suosittelema tapa jo ennen uutta lainsäädäntöä.

Tietosuojavaltuutetun julkaiseman oppaan mukaan tietotilinpäätöksen tavoitteena on antaa kuvaus tietojen käsittelyn nykytilasta sekä arvio tietosuojan ja tietoturvan toteutumisesta. Tietotilinpäätös osoittaa organisaation noudattavan hyvää tietojenkäsittelytapaa ja se toimii myös yhtenä keinona tietosuoja-asetuksen osoitusvelvollisuuden toteuttamisessa. 

GDPR-yhteensopivuuteen valmistautuminen – toimi näin

GDPR-asetus muuttaa tietosuojakäytäntöjä ja vaatii yrityksiä kiinnittämään tietoturvaan nykyistä enemmän huomiota. Muutokset ja GDPR-yhteensopivuuden saavuttaminen vaativat monissa yrityksissä paljon työtä.

Alla on lista tehtävistä, jotka jokaisessa yrityksessä tulee suorittaa:

  1. Kartoita tietojen käsittelyn nykytila ja listaa henkilötietorekisterit. Ota huomioon myös mahdolliset henkilötietojen käsittelyn ulkoistukset.
  2. Päivitä prosessit asetuksen mukaisiksi. Hanki henkilöiltä lupa tietojen keräämiseen.
  3. Nimeä organisaatioon tietosuojavastaava.
  4. Tarkista sopimustilanne asiakkaiden, palveluntuottajien, alihankkijoiden sekä toimittajien kanssa ja varmista, että henkilötietojen käyttöä ja käytäntöjä koskeva sisältö on GDPR-asetuksen vaatimusten mukainen.
  5. Dokumentoi tietoturvakäytännöt ja laadi tietotilinpäätös.

Suosittelen myös tutustumaan tietosuojavaltuutetun toimiston ja oikeusministeriön julkaisemaan oppaaseen Miten valmistautua EU:n tietosuoja-asetukseen.

Olli Maksimainen avatar