Tietosuoja-asetus edellyttää huolellisuutta ja tarkkaa toimintatapaa henkilötietojen käsittelyssä

to 12. lokakuuta 2017 13.37.00

Uuden EU:n tietosuoja-asetuksen on määrä tulla voimaan samanlaisena koko EU:ssa 25.5.2018.

Asetuksen sisältö on jo tiedossa, mutta miten sitä sovelletaan käytännössä, jää nähtäväksi. Olennaista on, että yritykset, järjestöt ja organisaatiot joutuvat päivittämään toimintatapansa tietosuoja-asetuksen mukaiseksi.

 

Tietosuoja-asetus koskee henkilötietoja ja niiden käsittelyä. Asetuksella halutaan parantaa yksilön suojaa. Tietosuoja-asetuksen piiriin kuuluvia henkilötietoja ovat esimerkiksi nimi, osoite, puhelinnumero, laitetunniste ja IP-osoite.

 

– On tärkeä hahmottaa, milloin käsitellään henkilötietoja. Täytyy siis tietää, missä kaikkialla henkilötietoja liikkuu ja mitä velvoitteita niihin liittyy, asianajaja Laura Teirikko kertoi Opintokeskus Siviksen tietosuoja-asetuskoulutuksessa 26.9.2017.

 

Vain tarpeellinen ja perusteltu määrä tietoa

Henkilötietoja saa käsitellä ainoastaan siinä tarkoituksessa, mitä varten henkilötiedot on alun perin kerätty. Jos henkilötietoja kerätään esimerkiksi tapahtumaa varten, niitä ei voida automaattisesti käyttää suoramarkkinointiin eikä luovuttaa kolmannelle osapuolelle.

Lisäksi tietoa saa kerätä vain tarpeellisen määrän. Se voi joissakin tapauksissa tarkoittaa suurtakin tietomäärää, mutta kerääjän täytyy pystyä perustelemaan, miksi tiedot kerätään.

 

– Uutta on, että rekisterin pitäjän täytyy nykyistä paremmin dokumentoida, miten henkilötietoja käsitellään. Rekisterin pitäjä on se, joka päättää tietojen keräämisestä ja käyttämisestä, Laura Teirikko kertoi.

 

Jokaisella on jatkossa oikeus saada kopio rekisterissä olevista henkilötiedoistaan. Esimerkiksi yhdistyksen jäsen voi pyytää selvitystä, minkälaisia henkilötietoja hänestä on kerätty ja mihin tarkoitukseen. Rekisterin pitäjän täytyy pystyä reagoimaan selvityspyyntöihin kuukauden kuluessa.

 

– Yhdistyksille tulee nykyistä tarkempi informointivelvollisuus. Informaation on jatkossa oltava tarkkaa, selkeää ja ymmärrettävää.

 

Vanhentuneita tietoja ei saa käsitellä eikä säilyttää. Jäsenrekisteriä ja muita yhteystietolistoja täytyy siis päivittää säännöllisesti.

 

– Merkittävää on tietojen säilytysaika. Jollain tavalla pitäisi pystyä kertomaan, että tietoja säilytetään esimerkiksi jäsenyyden ajan.

 

Suoramarkkinointi kuluttajille vaatii luvan

Suoramarkkinoinnin perussääntöjen mukaan kuluttajalle ei saa lähettää markkinointiin liittyviä tekstiviestejä tai sähköposteja ilman vastaanottajan suostumusta. Alle 16-vuotiaille ei saa lähettää sähköistä suoramarkkinointia ilman vanhempien lupaa.

Monesti suoramarkkinointiin pyydetään lupaa ikään kuin vaivihkaa esimerkiksi pieneen kokoon muokatulla tekstillä. Se ei enää käy, vaan jatkossa suostumus on pyydettävä selkeästi.

 

Lisäksi kuluttajalle on tarjottava selkeä ja helppo tapa perua suoramarkkinoinnin vastaanottaminen.

 

– Aina kun kuluttajalle lähetetään suoramarkkinointia, kuten sähköpostia tai tekstiviestejä, siihen täytyy olla vastaanottajan suostumus, Laura Teirikko korostaa.

 

Sen sijaan yrityksen ja järjestön edustajalle sekä viranomaiselle voi lähettää sähköistä suoramarkkinointia ilman etukäteissuostumusta, kunhan tarjoaa samalla mahdollisuuden markkinoinnin vastaanottamisen perumiseen.

 

Jos laiminlyöt tahallaan, saat tuimat sakot

Kovat sanktiot ovat herättäneet paljon kohua. Jos rikkoo tahallaan uutta EU:n tietosuoja-asetusta, saa sakon.

Sakko on vähintään 10 miljoonaa euroa tai 2 % yrityksen liikevaihdosta riippuen siitä, kumpi summista on suurempi. Joistakin laiminlyönneistä voidaan rangaista jopa 20 miljoonan euron sakolla tai sakko voi olla jopa 4 % liikevaihdosta.

 

– Tähän mennessä suurin uhka on ollut maineen menettäminen, mutta jatkossa voi tulla myös sakkoja, jos on toiminut törkeän huolimattomasti tai tahallisesti. Lähtökohtaisesti sakot edellyttävät kuitenkin vakavia laiminlyöntejä ja piittaamattomuutta.

 

Laura Teirikko toivoo, että sakkouhan sijaan keskityttäisiin henkilötietojen käsittelyprosessien ajantasaistamiseen.

 

– Tietosuoja tulisi nähdä kilpailuetuna ja menestystekijänä, jonka avulla saavutetaan rekisteröidyn luottamus.  

 

Uudessa tietosuoja-asetuksessa henkilötietojen käsittelystä ja tietosuojasta ovat vastuussa kaikki, joilla on näppinsä pelissä. Rekisterin pitäjän lisäksi henkilötietojen käsittelijät, kuten kirjanpitäjät, it-vastaavat ja muut alihankkijat joutuvat kantamaan osan vastuusta.

 

Vakavasta tietoturvaloukkauksesta on ilmoitettava tietosuojaviranomaiselle 72 tunnin kuluessa. Jos esimerkiksi verkkoon lipsahtaa henkilötietoja tai hakkerit murtautuvat tiedostoihin, on kolme vuorokautta aikaa tehdä asianmukainen ilmoitus. Vakavissa tilanteissa myös rekisteröidyille on ilmoitettava tietoturvaloukkauksesta selkeästi ja ilman aiheetonta viivyttelyä.

 

– Jokaisessa organisaatiossa täytyy miettiä, ketkä ovat vastuuhenkilöitä ja kuka on se, joka ilmoittaa tietosuojavaltuutetulle. Aikarajat ovat niin tiukkoja, että on suunniteltava etukäteen, miten ilmoitus tehdään ja miten rekisteröidyille ilmoitetaan. Jos vaikka jouluaattona ilmenee tietovuoto, täytyy jonkun pystyä silloinkin huolehtimaan informointivelvoitteista, Laura Teirikko huomautti.

 

Järjestöt ryhtyivät heti viilaamaan tietosuojaa

Marita Manninen Myllypuron Martoista hoksasi Opintokeskus Siviksen koulutuksessa, että tulossa oleva tietosuoja-asetuksen uudistus on laaja ja monipolvinen kokonaisuus.

– Nyt vasta tajusin, miten suuri muutos on kysymyksessä. Lisäksi ymmärsin, että tähän täytyy perehtyä vielä tarkemmin, Manninen sanoi.

 

Mitä kaikkea tuleman pitää, on vielä hämärän peitossa. Myllypuron Martat ei ole vielä saanut ohjeistusta omalta keskusjärjestöltään.

 

– Muutos tarkoittaa meille ainakin sitä, että jäsenrekisterin kanssa on oltava entistäkin tarkempi ja varovaisempi.

 

Suomen Syöpäyhdistyksessä on jo ryhdytty valmistautumaan muutokseen. Järjestö on nimennyt tietosuojavastaavan ja tehnyt uudistussuunnitelman. Tällä hetkellä menossa on kartoitusvaihe, jonka perusteella päätetään, minkälaisia muutoksia tietojenkäsittelyyn tehdään.

 

– Ainakin täytyy terävöittää, millä perusteella henkilötietoja milloinkin käsitellään. Opintokeskus Siviksen koulutuksessa selvisi, että suostumuksen lisäksi henkilötietoja voi käsitellä esimerkiksi oikeutetun edun perusteella, Carita Åkerblom Suomen Syöpäyhdistyksessä sanoi.

 

Hänen mieleensä jäi päällimmäisenä vertaistuki: monet muutkin järjestöt kamppailevat saman asian kanssa, joten pulmia ei tarvitse ratkoa yksin.


Teksti: Tia Yliskylä

Kuvat: Jarmo Siira

 

 

 

 

Tietosuoja-asetus numeroina 

  • Tietosuoja-asetus tulee voimaan 25.5.2018. 
  • Vakavasta tietoturvaloukkauksesta on tehtävä ilmoitus 72 tunnissa tietosuojavaltuutetulle. 
  • Rekisteröidyn selvityspyyntöihin on vastattava viipymättä ja viimeistään 4 viikossa. 
  • Tahallinen laiminlyönti tai törkeä huolimattomuus voi tuoda jopa 10–20 miljoonan euron sakot.