”Henkilötietojen käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta. Henkilötietojen käsittelyn tarkoitukset sekä se, mistä henkilötiedot säännönmukaisesti hankitaan ja mihin niitä säännönmukaisesti luovutetaan, on määriteltävä ennen henkilötietojen keräämistä tai muodostamista henkilörekisteriksi. Henkilötietojen käsittelyn tarkoitus tulee määritellä siten, että siitä ilmenee, minkälaisten rekisterinpitäjän tehtävien hoitamiseksi henkilötietoja käsitellään.”
Asetus luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta astui voimaan 24.5.2016. Asetus tunnetaan usein GDPR:änä (General Data Protection Act) tai suomeksi EU:n tietosuoja-asetuksena. Tämä massiivinen lakipaketti vaikuttaa merkittävästi kaikkiin suuria määriä henkilötietoja käsitteleviin tahoihin ja organisaatioihin. Asetus on kovasti voimassa jo tälläkin hetkellä, mutta sen siirtymäaika päättyy 25.5.2018. Tätä jälkimmäistä päivämäärää yleensä näkeekin aiheeseen liittyvissä teksteissä.
Asetuksessa säädetään millä edellytyksillä henkilötietoja saa käsitellä ja mitä velvollisuuksia tästä rekisterinpitäjille syntyy. Alussa oleva sitaatti tosin on Suomen henkilötietolaista vuodelta 1999. Vaatimustason asian suhteen on ollut Suomessa korkealla siis jo aiemminkin. On kuitenkin oma kysymyksensä, onko toiminta monissa organisaatioissa edes vanhojen kotoperäisten vaatimuksien tasolla.
Uutta tietosuoja-asetusta voikin ajatella mahdollisuutena. GDPR on hedelmällinen aihe lietsoa hätää, koska siihen sisältyy vielä epäselviä vaatimuksia tietoturvavastaavan palkkaamisesta ja mahdollisuus todella massiivisiin sanktioihin. Asetuksessa linjattu raskain sakko rikkomuksista voi olla jopa 4 prosenttia yrityksen globaalista liikevaihdosta tai 20 miljoonaa euroa – kumpi vain on suurempi. Ei ole kuitenkaan selvää millainen hirvittävä rötöstely johtaisi tähän kovimpaan mahdolliseen sanktioon. GDPR:nkin aikana on yhä mahdollista selvitä lievistä rikkeistä esimerkiksi huomautuksella.
Asetuksesta kannattaakin mieluummin huomata sen tarjoamat tarkemmat määrittelyt esimerkiksi siitä, mitä henkilötiedot varsinaisesti ovat. Vaatimukset prosessien kuvaamisesta, käytäntöjen dokumentoinnista ja velvollisuus kehittää tietosuojaan liittyvää toimintaa jatkuvasti ovat selkeä tilaisuus: aina ennenkin tärkeän asian petraamiseen on lopulta konkreettinen peruste.
Mitään ennakkopäätöksiä uuden asetuksen tulkinnoista ei vielä ole olemassa ja mielipiteet asetuksen käytännön vaikutuksista vaihtelevat. Joidenkin näkemyksien mukaan esimerkiksi tietoturvavastaavan palkkaaminen on ajankohtaista lähinnä suurimmille monikansallisille pörssiyhtiöille. Toisaalta lähellä julkista sektoria olevien toimijoiden kuten ammattiliittojen tai suurten järjestöjen, joilla on mittavia jäsen- tai lahjoittajarekisterejä, olisi viimeistään nyt erittäin tärkeä varmistaa oma tilanteensa tietosuojan, rekisteriselosteiden ja IT-kumppaneidensa sopimuksien suhteen.
Tilanne GDPR:n suhteen on vielä monella tapaa liikkeessä. Esimerkiksi siitä, miten asetus tulee koskemaan suomalaisia kuntia ja muita viranomaisia, vasta neuvotellaan. Varmaa tietoa ei kukaan pysty sanomaan. On kuitenkin selvää, että asia kannattaa ottaa tosissaan. Tavalliselle suomalaiselle yritykselle tai järjestölle GDPR:än ei pitäisi luoda mitään kuolettavaa ansaa, vaan sen esittämään haasteeseen on mahdollista ja hyödyllistä vastata. Siihen voi riittää jo nykyisten hyvien prosessien kuvaaminen ja oman tietoturvatilanteen tarkempi dokumentointi – kunhan asiat vain ovat kunnossa myös käytännössä.
Lisää tutustuttavaa:
Valtiovarainministeriön tiedote asetuksesta
Henkilötietolaki
Asetuksen koko teksti Euroopan unionin virallisessa lehdessä
