Tärkeää tietoa GDPR-tietosuoja-asetuksesta Resurs Bankin toimittajille

Henkilötietojen käsittelyä koskeva EU:n yleinen tietosuoja-asetus 2016/679 (”tietosuoja-asetus) astuu voimaan 25.5.2018 ja tuo mukanaan muutoksia. Englanniksi asetus kulkee nimellä General Data Protection Regulation eli GDPR. Asetus koskee kaikkia EU:n jäsenmaita ja sen tarkoitus on parantaa yksilöiden suojaa henkilötietojen käsittelyssä. Asetus ja sitä täydentävä lainsäädäntö korvaavat nykyisin sovellettavan henkilötietolain. Nykyisen lainsäädännön voimassaolo lakkaa, kun uusi tietosuoja-asetus ja siihen perustuva tietosuojalaki astuvat voimaan.

Tietosuoja-asetus vaikuttaa kaikkiin aloihin, yrityksiin ja organisaatioihin, jotka käsittelevät henkilötietoja. Tämän vuoksi on tärkeää, että henkilötietoja käsittelevät tahot ottavat käyttöön uudet, henkilötietojen käsittelyä koskevat menettelytavat.

Milloin tietosuoja-asetusta sovelletaan?

Tietosuoja-asetusta sovelletaan henkilötietojen kokonaan tai osittain automaattiseen käsittelyyn sekä myös sellaisten henkilötietojen manuaaliseen käsittelyyn, jotka muodostavat rekisterin. Tietosuoja-asetus kattaa siten periaatteessa kaikenlaisen henkilötietojen käsittelyn.

Kuka on velvollinen noudattamaan tietosuoja-asetusta?

Tietosuoja-asetus on voimassa henkilötietojen käsittelyssä, joilla on jokin yhteys EU:hun. Se tarkoittaa, että asetus on voimassa aina, kun henkilötietoja käsittelevän tahon toimipaikka on EU:ssa ja henkilötietoja käsitellään toimipaikalla harjoitettavaan toimintaan liittyen. Sillä, missä henkilötietoja varsinaisesti käsitellään, ei ole siis merkitystä. Joissain tapauksissa tietosuoja-asetus koskee myös yrityksiä, jonka toimipaikka on EU:n ulkopuolella. Tietosuoja-asetusta sovelletaan myös silloin, kun rekisterinpitäjä tai henkilötietojen käsittelijä, jonka toimipaikka ei ole EU:n alueella, tarjoaa tuotteita ja palveluja EU:n alueella asuville henkilöille, tai kun rekisterinpitäjä tai henkilötietojen käsittelijä tarkkailee ihmisten toimia EU:n alueella. Viimeksi mainittu tarkoittaa esimerkiksi sitä, että yritys tallentaa yksittäisten ihmisten toimintaa verkossa ja luo tietojen avulla asiakasprofiileja tai vastaavaa.

Tietosuoja-asetuksen uudet vaatimukset

Monet tietosuoja-asetuksen vaatimuksista ovat jo nykyisessä henkilötietolaissa. Tietosuoja-asetus on tietyiltä osin vain päivitys aiempaan lainsäädäntöön. Rekisteröityjen (niiden, joiden henkilötietoja käsitellään) suojaa parannetaan siten, että henkilötietoja käsitteleviltä tahoilta vaaditaan enemmän. Tämä koskee kaikkia yrityksiä, organisaatioita ja viranomaisia, jotka käsittelevät henkilötietoja. Eräs tietosuoja-asetuksen uudistuksista on, että henkilötietoja käsittelevän tahon on kyettävä osoittamaan, että asetusta noudatetaan (osoitusvelvollisuus). Lyhyesti se tarkoittaa sitä, että henkilötietoja käsittelevän tahon on pystyttävä osoittamaan, että tietosuoja-asetuksen periaatteita ja vaatimuksia noudetaan henkilötietojen käsittelyssä. Tietosuoja-asetuksen perusperiaatteet ovat samat kuin vanhassa henkilötietolaissa. Voit lukea periaatteista lisää tietosuoja-asetuksen luvusta II – Periaatteet.

Rekisteröidyn oikeuksia on uudessa tietosuoja-asetuksessa laajennettu, vahvistettu ja määritelty tarkemmin vanhaan lainsäädäntöön verrattuna. Yleisesti voidaan todeta, että rekisterinpitäjien on ilmoitettava rekisteröidylle entistä tarkemmin, mitä tietoja tallennetaan. Rekisteröidyt saavat siis tietoa siitä, milloin ja miten heidän henkilötietojaan käsitellään. He saavat myös mahdollisuuden hallita omia tietojaan. Rekisteröidyillä on kuten aiemminkin oikeus saada tietoa siitä, mitä henkilötietoja hänestä käsitellään sekä pyydettäessä jäljennös näistä tiedoista. Uutta on, että pyyntö tällaisten tietojen saamiseksi voidaan kirjeen sijasta tehdä myös muulla tavoin, esimerkiksi sähköisesti. Eräs uudistuksista on myös se, että henkilötietonsa jättäneellä henkilöllä on tietyissä tapauksissa oikeus pyytää siirtämään tietonsa toiselle rekisterinpitäjälle, jos se on teknisesti mahdollista (tietojen siirto).

Tietosuoja-asetus sisältää myös vaatimukset sisäänrakennetusta (privacy by design) ja oletusarvoisesta (privacy by default) tietosuojasta. Se tarkoittaa, että tietosuojaperiaatteiden ja tietosuojan toteutumisesta on huolehdittava jo IT-järjestelmien kehitysvaiheessa ja henkilötietoja käsittelevän tahon on varmistettava, että tietoja ei käsitellä turhaan. Tietosuoja-asetusta sovelletaan kokonaisuudessaan kaikessa henkilötietojen automatisoidussa käsittelyssä, joten se koskee esimerkiksi henkilötietojen julkaisua verkkosivulla tai muussa juoksevassa tekstissä.

Rekisterinpitäjä ja henkilötietojen käsittelijä

Henkilötietoja yhden tai useamman yrityksen toimeksiannosta käsittelevä taho on henkilötietojen käsittelijä. Taho, joka päättää mihin ja miten henkilötietoja käytetään, on rekisterinpitäjä. Tietosuoja-asetuksessa säädetään henkilötietojen käsittelijöitä koskevista seikoista pääasiassa artikloissa 28–31 ja niihin liittyvissä säännöksissä. Kun rekisterinpitäjä käyttää henkilötietojen käsittelijää, on heidän välilleen solmittava kirjallinen sopimus asetuksen mukaan. Henkilötietojen käsittelijän sopimuksessa on oltava maininta, että henkilötietojen käsittelijä saa käsitellä henkilötietoja vain rekisterinpitäjän kirjallisten ohjeiden mukaan. Eräs tietosuoja-asetuksen muutoksista on se, että aiemmin vain rekisterinpitäjiä koskeneet vaatimukset koskevat nyt myös henkilötietojen käsittelijöitä. Tällaisia vaatimuksia ovat esimerkiksi selosteen laatiminen käsittelytoimista, soveltuvan turvallisuustason varmistaminen ja joissain tapauksissa tietosuojavastaavan nimeäminen. Henkilötietojen käsittelijän toiminta voi tulla tarkistuksen kohteeksi, tälle voidaan määrätä sakkoja tai asettaa vahingonkorvausvastuuseen. Siksi on tärkeää, että henkilötietojen käsittelijä on tietoinen tietosuoja-asetuksen sisällöstä.

Henkilötietoja käsittelevän tahon on huolehdittava riittävästä turvallisuustasosta teknisesti ja organisaation tasoilla. Henkilötietojen käsittelijän on mm. annettava riittävät takuut erityisesti asiantuntemuksesta, luotettavuudesta ja resursseista soveltuvien teknisten ja organisatoristen toimenpiteiden toteuttamiseen tavalla, joka täyttää tietosuoja-asetuksen vaatimukset ja varmistaa rekisteröityjen oikeuksien suojan. Tämä tarkoittaa, että soveltuvin osin on käytettävä henkilötietojen pseudonymisointia ja salausta, kyettävä varmistamaan luottamuksellisuus, riittävä tietosuoja sekä käsittelyjärjestelmien ja -palveluiden saatavuus ja kestävyys, kyettävä palauttamaan henkilötietojen saatavuus ja niihin pääsy riittävässä ajassa häiriöiden yhteydessä, sekä kyettävä säännöllisesti testaamaan, tutkimaan ja arvioimaan käsittelyn turvallisuuden varmistamiseen tähtäävien teknisten ja organisatoristen toimenpiteiden tehokkuutta.

Henkilötietojen käsittelijän on myös varmistettava, että henkilötietojen käsittelijän alaisuudessa toimivat henkilöt, joilla on pääsy henkilötietoihin, käsittelevät niitä vain rekisterinpitäjän ohjeiden mukaisesti, ellei unionin oikeudessa tai jäsenvaltion lainsäädännössä niin vaadita. Tähän sisältyy myös sen varmistaminen, että henkilötietojen käsittelyyn valtuutetut henkilöt ovat sitoutuneet salassapitoon tai kuuluvat riittävän lakisääteisen vaitiolovelvollisuuden piiriin.

Henkilötietojen käsittelijän velvollisuuksiin kuuluu muun muassa rekisterinpitäjän auttaminen mahdollisuuksien rajoissa soveltuvien teknisten ja organisatoristen toimenpiteiden avulla siten, että rekisterinpitäjä voi täyttää velvollisuutensa rekisteröidyn pyyntöön vastaamisessa silloin, kun rekisteröity haluaa harjoittaa tietosuoja-asetuksessa nimettyjä oikeuksiaan. Henkilötietojen käsittelijän tulee edesauttaa rekisterinpitäjän tai tämän valtuuttaman tarkastajan toteuttamien tutkimusten ja tarkastusten läpivientiä.

Arkaluonteiset henkilötiedot

Tietyt henkilötiedot ovat luonteeltaan erityisen arkaluonteisia, joten niiden suojelusta määrätään tarkemmin tietosuoja-asetuksessa. Tällaisilla henkilötiedoilla tarkoitetaan esimerkiksi tietoja, joista käy ilmi henkilön rotu tai etninen alkuperä, poliittiset mielipiteet tai terveystiedot. Tietosuoja-asetuksessa tämänkaltaisiin tietoihin viitataan nimellä henkilötietojen erityisryhmät. Myös termiä ”arkaluonteiset henkilötiedot” käytetään usein. Lähtökohta on se, että arkaluonteisten henkilötietojen käsittely on kiellettyä. Sääntöön on kuitenkin useita poikkeuksia.

Myös henkilötunnus voidaan laskea erityisen arkaluonteiseksi henkilötiedoksi. Henkilötunnuksen ja väliaikaisen henkilötunnuksen käsittely on katsottu Suomessa sallituksi kaupallisessa toiminnassa mm. silloin kun henkilön yksiselitteinen yksilöiminen on tärkeää rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi.

Muu henkilötietojen käsittelijä (mukaan lukien konsultit)

Henkilötietojen käsittelijä ei saa käyttää muuta tahoa henkilötietojen käsittelyyn ilman erityistä tai yleistä rekisterinpitäjän ennalta antamaa kirjallista lupaa tai yleistä kirjallista lupaa. Mikäli henkilötietojen käsittelijä käyttää muuta henkilötietojen käsittelijää tiettyjen käsittelytehtävien suorittamiseen rekisterinpitäjän lukuun, tällä muulla taholla on samat tietosuojaa koskevat velvollisuudet kuin käsittelijällä, rekisterinpitäjän ja henkilötietojen käsittelijän välisen sopimuksen mukaan. Mikäli muu henkilötietojen käsittelijä ei täytä tietosuojaan liittyviä velvoitteitaan, alkuperäinen henkilötietojen käsittelijä on vastuussa rekisterinpitäjälle muun henkilötietojen käsittelijän velvollisuuksien täyttämisestä.

Henkilötietojen siirto kolmanteen maahan

Tietosuoja-asetus takaa, että kaikissa EU:n jäsenvaltioissa (mukaan lukien ETA-maat Norja, Islanti ja Liechtenstein) on yhtäläinen henkilötietojen ja yksityisyydensuojan suojelukäytäntö. Henkilötietoja voi siis siirtää tämän alueen sisällä rajoituksetta. Koska EU- ja ETA-maiden ulkopuolella ei ole vastaavaa säännöstöä, henkilötietoja saa siirtää EU- ja ETA-maiden ulkopuolelle (kolmansiin maihin) vain tiettyjen ehtojen täyttyessä. Tällaista siirtoa koskevat siis erityissäännöt, katso tietosuoja-asetuksen artiklat 44–50. Henkilötietojen käsittelijä saa siirtää henkilötietoja kolmansiin maihin vain rekisterinpitäjän antamien kirjallisten ohjeiden mukaan, paitsi jos unionin oikeudessa tai henkilötietojen käsittelijän jäsenvaltion lainsäädännössä niin vaaditaan.

Seloste käsittelytoimista

Sekä rekisterinpitäjän että henkilötietojen käsittelijän on tietosuoja-asetuksen mukaan ylläpidettävä selostetta vastuullaan olevista käsittelytoimista. Selosteen sisältöä käsitellään tarkemmin tietosuoja-asetuksen artiklassa 30.

Vaikutustenarviointi ja ennakkokuuleminen

Joskus henkilötietoja käsittelevän tahon (sekä rekisterinpitäjän että henkilötietojen käsittelijän) tulee tehdä tietosuojaa koskeva vaikutustenarviointi. Tietosuoja-asetuksen artiklassa 35 määritellään, milloin kyseinen arviointi on tarpeen. Vaikutusarvioinnin voi joutua laatimaan esimerkiksi silloin, kun henkilöitä arvioidaan tai pisteytetään, kuten luottotietoyrityksessä tai Internetin käyttäjiä profiloivassa yrityksessä, tai kun henkilötietoja käsitellään laajamittaisesti, kun henkilötietoja yhdistetään kahdesta tai useammasta lähteestä tavalla, jota rekisteröity ei osaa ennakoida, esimerkiksi rekisterien yhdistämisen yhteydessä, tai kun henkilötietoja käsitellään tavalla, joka estää rekisteröidyn pääsyn palvelun tai sopimuksen piiriin, esimerkiksi silloin, kun pankki tutkii asiakkaidensa luottotietoja tietokannasta päättääkseen, tarjotaanko heille lainaa. Tarkoitus on vähentää riskejä korkean riskin aiheuttavien henkilötietojen käsittelyssä. Jos henkilötietojen käsittelyn arvioidaan silti aiheuttavan korkean riskin, rekisterinpitäjän on kuultava valvontaviranomaista ennen tietojen käsittelyn aloittamista. Katso artikla 36 ennakkokuulemisesta.

Tietomurtoihin ja muihin henkilötietojen tietoturvaloukkauksiin liittyvän raportoinnin vaatimukset

Jos tapahtuu jotakin, mikä aiheuttaa riskin henkilötietojen päätymisestä vääriin käsiin, asia täytyy ilmoittaa valvontaviranomaiselle. Rekisterinpitäjän on ilmoitettava henkilötietojen tietoturvaloukkauksesta (personal data breach) valvontaviranomaiselle 72 tunnin kuluessa sen ilmitulosta. Henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan sen tietoonsa.

Tietosuojavastaava

Kaikkien henkilötietoja käsittelevien ja tietosuoja-asetuksen piiriin kuuluvien tahojen, myös henkilötietojen käsittelijöiden, tulee tehdä oma arvio siitä, tuleeko niiden nimetä tietosuojavastaava. Katso erityisesti asetuksen artiklat 37–39 ja niihin liittyvät säännökset. Henkilötietojen käsittelijä voi tarvita tietosuojavastaavan, vaikkei heidän toimeksiantajansa sellaista tarvitsisikaan. Näin voi olla esimerkiksi siinä tapauksessa, että henkilötietojen käsittelijällä on monia samankaltaisia asiakkaita ja se käsittelee suuria määriä eri asiakkailta peräisin olevia henkilötietoja.

Käytännesäännöt ja sertifiointi

Henkilötietojen käsittelevät tahot voivat sitoutua noudattamaan käytännesääntöjä osoittaakseen, että ne noudattavat tietosuoja-asetuksen määräyksiä. Käytännesäännöt ovat suuntaviivoja, joiden mukaan tietty yritys, ala tai sektori käsittelee henkilötietoja tietosuoja-asetuksen mukaisesti. Säännöt voi laatia esimerkiksi toimialajärjestö. Valvontaviranomainen hyväksyy ja rekisteröi käytännesäännöt. Käytännesääntöjä ei voida hyväksyä ennen tietosuoja-asetuksen voimaantuloa 25.5.2018. Tietosuoja-asetuksen mukaan tietosuojan sertifiointimekanismeja, sinettejä ja merkkejä voidaan käyttää sen osoittamiseen, että tietosuoja-asetusta noudatetaan.

Sanktiot

Tietosuoja-asetus sisältää säännöksiä hallinnollisista seuraamusmaksuista, joiden tarkoitus on varmistaa, että tietosuoja-asetusta noudatetaan. Seuraamusmaksu voi nousta jopa 20 miljoonaan euroon tai – kun kyseessä on yritys – neljään prosenttiin sen edellisen budjettivuoden maailmanlaajuisesta liikevaihdosta, riippuen siitä kumpi summa on korkeampi. Lisäksi jokaisella EU:n jäsenvaltiolla on oikeus päättää tietosuoja-asetuksen laiminlyönnistä johtuvista lisäsanktioista.

Resurs Bankin työ tietosuoja-asetuksen parissa pääpiirteittäin

Resurs Bank käy läpi toimintaansa. Tavoitteena on varmistaa, että tietosuoja-asetuksen vaatimukset täyttyvät. Työhön kuuluu muun muassa se, että pankki täydentää hakemuksissa, sopimuksissa ja palveluehdoissa olevat tiedot henkilötietojen käsittelystä. Pankki tarkistaa myös henkilötietojen käsittelijöiden sopimukset ja varmistaa, että ne täyttävät tietosuoja-asetuksen vaatimukset. Nimetty tietosuojavastaava varmistaa, että pankki noudattaa tietosuoja-asetusta.

 

Lisätietoja tietosuoja-asetuksen luvusta IV – Rekisterinpitäjä ja henkilötietojen käsittelijä sekä osoitteesta http://www.tietosuoja.fi/fi/index/euntietosuojauudistus.html

Jos sinulla on kysyttävää, ota meihin yhteyttä, liiketuki@resurs.fi