Samat säännöt kaikille
EU:n tietosuoja-asetus takaa samat säännöt kaikille EU:n alueella toimiville yrityksille ja organisaatioille, jotka käsittelevät henkilötietoja. Kussakin maassa on ollut omia säännöksiä, joiden noudattaminen ylirajojen tapahtuvassa liiketoiminnassa on ollut raskasta. Jo EU:ssa toimivien yritysten tiedottamiskustannukset 28:lle eri viranomaiselle ovat olleet vanhassa järjestelmässä 130 miljoonaa euroa vuodessa. Samat säännöt kaikille helpottaa liiketoimintaa ja on myös reilumpaa sekä vauhdittaa yritystoimintaa. On arvioitu, että tämän yhden lain tuomat hyödyt ovat n. 2,3 miljardia euroa.
Tutkimuksen mukaan vain 15 prosenttia ihmisistä tuntee hallitsevansa antamiaan tietoja verkossa. EU:n tietosuoja-asetus varmistaa ihmisten oikeutta omiin tietoihinsa. Omia tietojaan ihmisten tulee saada tarkastaa, korjata, siirtää ja tulla unohdetuksi. Näin henkilötietojen käsittelystä tulee läpinäkyvää ja myös luetettavaa. Epäluottamus tietosuojaa kohtaan on ollut merkittävä digitaalitalouden kasvun este. Luotettava ja läpinäkyvä käsittely mahdollistaa uutta uudenlaista liiketoimintaa. Tästä on esimerkkinä Suomen hallituksen kärkihankkeisiin kuuluva eKuitti, josta enemmän tässä lehdessä toisaalla.
Ketä tämä tarkkaan ottaen koskee?
Asetusta sovelletaan koko EU:n alueella kaikkiin organisaatioihin, jotka käsittelevät EU-kansalaisten henkilötietoja oman toimintansa vuoksi tai käsittelevät niitä toisen organisaation puolesta. Henkilötietoja ovat: nimi, osoite, sijaintipaikka, verkontunnistetiedot, tulot, kulttuurillinen profiili.
Jokaisen organisaation tehtävänä on suojella niiden ihmisten oikeuksia, jotka luovuttavat organisaatiolle tietojaan. Tämän varmistamiseksi on määrätty joukko sääntöjä, joita on pakko noudattaa. Noudattamatta jättäminen on sanktioitu. Sanktio voi olla: varoitus, huomautus, tietojenkäsittelyn keskeyttäminen tai sakko. Sakko voi olla jopa 20 miljoonaa euroa tai 4 % vuosittaisesta liikevaihdosta. Organisaation on nimettävä tietosuojavastaava, jos käsitellään henkilötietoja laajamittaisesti tai käsitellään arkaluontoisiksi luokiteltuja tietoja. On myös suositeltavaa, että yrityksen vastuuvakuutuksiin lisätään tietosuojan vakuutus.
Merkittävä muutos aikaisempaan on se, että organisaatiolla on ”todistustaakka”. Organisaation on pystyttävä kirjallisesti todistamaan, miten asetuksen määräyksiä on organisaatiossa noudatettu. Asetus antaa jonkin verran kansallista liikkumavaraa. Se aiheuttaa lukuisia muutoksia Suomen lainsäädäntöön. Muutokset ovat parhaillaan lausuntokierroksella oikeusministeriössä.
Uutena asiana tietosuoja-asetuksessa on velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksesta tietosuojaviranomaiselle 72 tunnin kuluessa loukkauksen ilmitulosta. Myös rekisteröidylle henkilölle on ilmoitettava viivytyksettä, jos loukkaus todennäköisesti aiheuttaa hänelle haittaa. Tämä on tärkeä uudistus. On tosi tärkeää saada tietää jos esim. luottokorttitiedot ovat vuotaneet vääriin käsiin.
Fakta
- EU:n tietosuoja-asetus GDPR General Data Protection Regulation Tuli voimaan 24.5.2016 ja siirtymäaika päättyy 25.5.2018.
Paula Miinalainen on pitkän linjan ICT-ammattilainen. Hänellä on vuosikymmenten aikana kertynyt ammattitaito järjestelmien rakentamisesta erityisesti taloushallinnon ja vakuutustenhoidon alueella. Paulasta on tärkeää se, että nyt yhdenmukaistetaan EU:n direktiivien määräämänä vastaavia järjestelmiä EU:n alueella.