Lounais-Häme

Ensi vuonna voimaan tuleva EU:n tietosuoja-asetus lisää velvollisuuksia ja vastuita

EU:n yhtenäinen ja kattava tietosuoja-asetus GDPR (General Data Protection Regulation) tuli voimaan toukokuussa 2016. Sen siirtymäaika päättyy 25. toukokuuta 2018 ja asia on herättänyt kiinnostusta laajalti.

Toukokuun 25. päivän jälkeen rekisterinpitäjän, käytännössä esimerkiksi yrityksen, yhdistyksen tai julkishallinnon vastuu kasvaa ja laiminlyönneistä uhataan kovilla sanktioilla. Toisaalta taas rekisteröidylle eli tavalliselle kansalaiselle on luvassa enemmän oikeuksia.

Muutos koskee yrityksiä ja yhdistyksiä, jotka käsittelevät EU-kansalaisten henkilötietoja. Henkilötieto voi olla paljon muutakin kuin nimi, puhelinnumero, sosiaaliturvatunnus tai sähköpostiosoite. Esimerkiksi IP-osoite tai sijaintitieto voi olla henkilötiedot paljastavaa dataa.

Microsoftin teknologia-arkkitehti Ari Auvinen näkee päivitetyn tietosuoja-asetuksen tuovan selkeyttä ja yhdenmukaisuutta henkilötietojen suojaamiseen.

-Perinteinen tietosuoja on murroksessa. Yhä useampi sovellus ja palvelu saadaan pilvipalvelun kautta, mistä syystä tietojen suojaus on entistä tärkeämpää, forssalaisen Blackbelt IT oy:n aamuseminaarissa vieraillut Auvinen muistuttaa.

Blackbelt IT:n yrittäjän Petri Syrjäsen arvion mukaan ainoastaan suuriin yrityksiin kohdistuvat tietomurrot kiinnostavat julkisuudessa. Siksi tietomurroista uutisoidaan paljon vähemmän kuin niitä tapahtuu.

-Yli 60 prosenttia tietomurroista kohdistuu pieniin ja keskisuuriin yrityksiin, Syrjänen kertoo.

Auvinen sen enempää kuin Syrjänenkään eivät osaa sanoa, mitä tapahtuu 25. toukokuuta jälkeen ja miten tietosuojavaltuutettu reagoi laiminlyönteihin. Auvinen uskoo, että laiminlyöntitapauksissa tietosuojavaltuutetun huomio kiinnittyy ensisijaisesti isoihin organisaatioihin ja tietovuodot katsotaan tapauskohtaisesti.

Jokaisen henkilötietoja käsittelevän organisaation tulee ilmoittaa tietosuojaloukkauksesta viranomaiselle 72 tunnissa siitä kun loukkaus on havaittu. Tietosuojaloukkaus voi olla vaikka vuoden vanha, ratkaisevaa on havaintohetki. Kun tietomurto ilmenee, siitä pitää ilmoittaa myös kohteelle.

Organisaation on suositeltavaa myös nimetä tietosuojavastaava ja dokumentoida lain vaatimat toimenpiteet siltä varalta, että jotain tapahtuu. Pakollista se on siinä tapauksessa, jos yrityksen toiminnassa seurataan henkilötietoja laajassa mitassa tai jos käsitellään arkaluontoisia henkilötietoja, tai toimitaan julkisella sektorilla.

Blackbelt IT:n toinen yrittäjä Rami Hirsimäki näkee, että valtaosassa yrityksistä tietosuoja-asetukset eivät ole tällä hetkellä vaatimusten tasolla.

-Yrityksen luotettavuus ja houkuttelevuus kasvavat kun tietosuoja on kunnossa. Helppoa se ei ole, eikä sitä voi ulkoistaa, mutta apua on saatavilla, Hirsimäki sanoo.

– Tietämättömyys ei poista organisaation johdon vastuuta, Syrjänen muistuttaa.

Oma lukunsa on lapsen asema uudessa tietosuojassa. Lain mukaan alle 16-vuotias ei voi käyttää esimerkiksi sosiaalista mediaa ilman vanhempiensa lupaa. Joissain maissa raja tosin on 13 vuotta.

Lapsen asemasta on EU:ssa muutenkin tulkintaeroa. Jossain maassa sama henkilö voidaan tulkita lapseksi, jossain aikuiseksi ja tiedot on muokattava asuinmaan mukaiseksi.

-Suoramarkkinointia ei saisi kohdistaa lapsiin nytkään, mutta ennen siirtymäajan päättymistä se ei ole sanktioitua, Auvinen kertoo. FL

Velvollisuudet ja oikeudet
Yksityishenkilön oikeudet:Voi vaatia rekisterinpitäjältä itseensä kohdistuvat tiedot, saatava kuukaudessa.Pyytää korjaamaan väärät tiedot.Pyytää poistamaan tietoja, mutta missä tahansa tapauksessa se ei onnistu.Kieltää henkilökohtaisten tietojensa käsittelyn.Saada yrityksen hallussa olevat henkilökohtaiset tiedot itselleen.Rekisterinpitäjän velvollisuudet:Osoitusvelvollisuus lain noudattamisesta, pelkkä lain noudattaminen ei riitä.Ilmoitusvelvollisuus tietomurroista 72tunnissa tapauksen tultua ilmi.Tieto on annettava myös henkilöille, joita tietomurto koskenut.Tiedot on säilytettävä.

Uusimmat