Tietosuojalain uudistus pähkinänkuoressa
Uusi tietosuojalain asetus astuu voimaan toukokuussa 2018 ja vaatii merkittäviä uudistuksia henkilörekisterien ylläpitäjiltä. Lue, mitä muutos pitää sisällään ja kuinka se Wisellä otetaan vastaan.
Suomen ja Euroopan unionin tietosuojalait ovat uudistumassa. EU:n yleistä tietosuoja-asetusta sovelletaan 25.5.2018 alkaen kaikissa EU:n jäsenmaissa. Tietosuoja-asetusta (General Data Protection Regulation, GDPR) sovelletaan lähtökohtaisesti kaikkeen henkilötietojen käsittelyyn.
• parantaa henkilötietojen suojaa ja rekisteröityjen oikeuksia
• vastata uusiin digitalisaatioon ja globalisaatioon liittyviin tietosuojakysymyksiin
• yhtenäistää tietosuojasääntelyä kaikissa EU-maissa
• edistää digitaalisten sisämarkkinoiden kehittymistä.
Henkilötietojen käsittelyn arviointi
Organisaation tulee olla ajan tasalla oman henkilötietojen käsittelynsä osalta. Tekemällä esimerkiksi tietotilinpäätöksen nykyisistä henkilötiedoista voidaan selvittää muutosten tarve ja mahdolliset kehityskohteet.
Tietosuojaperiaatteen noudattaminen
Tietosuoja-asetus ohjaa rekisterinpitäjää käsittelemään henkilötietoja rekisteröidyn oikeuksia ja vapauksia kunnioittavalla tavalla. Tietosuojaperiaatteita pitää noudattaa kaikissa henkilötietojen käsittelyvaiheissa.
- Käsittelyn lainmukaisuus
- Käyttötarkoitussidonnaisuus
- Tietojen minimointi
- Tietojen täsmällisyys
- Tietojen säilytyksen rajoittaminen
- Tietojen eheys ja luottamuksellisuus
- Rekisterinpitäjän osoitusvelvollisuus
Sisäänrakennettu ja oletusarvoinen tietosuoja
Edellä mainitut tietosuojaperiaatteet tulee ottaa tehokkaaksi osaksi kaikkia henkilötiedon käsittelyyn liittyviä toimintoja niiden kaikissa vaiheissa. Oletusarvoisesti tulee käsitellä vain tarkoituksen kannalta oleellisia henkilötietoja. Tämä asetus koskee tiedon määrää, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Henkilötietoja ei saa myöskään oletusarvoisesti saattaa rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.
Lisäksi organisaatiossa tulee tehdä ennaltaehkäiseviä toimenpiteitä tietosuojan varmistamiseksi. Teknisten toimenpiteiden lisäksi organisatiossa tulee huolehtia muun muassa henkilökunnan ohjeistamisesta ja koulutuksesta sekä järjestelmien teknisistä rajoituksista. Tietojen käsittelyssä tulee minimoida riskit ja ottaa tietosuojan periaatteet huomioon jo rekistereitä ja järjestelmiä rakentaessa.
Osoitusvelvollisuus
Osoitusvelvollisuus on yksi keskeisimpiä muutoksia tietosuoja-asetuksessa. Jatkossa organisaatiolla on oltava kyky osoittaa noudattavansa asetusta. Käytännössä tämä tarkoittaa dokumentointia ja esimerkiksi mahdollisia tietosuojaa koskevia sertifikaatteja tai käytännesääntöjä sen osoittamiseksi.
Rekisterinylläpitäjien on pääsääntöisesti ylläpidettävä selostetta sen vastuulla olevista käsittelytoimista, jotta voidaan osoittaa, että ne ovat asetusten mukaisia. Selosteen on oltava kirjallisessa muodossa ja se on pyydettäessä toimitettava viranomaiselle.
"Tietojen käsittelyssä tulee minimoida riskit ja ottaa tietosuojan periaatteet huomioon jo rekistereitä ja järjestelmiä rakentaessa."
Uusi tietosuojalaki tarkoittaa monille organisaatioille mittavia uudistuksia. Ongelmia nimittäin syntyy, mikäli käytettävä järjestelmä ei vastaa uuden asetuksen vaatimuksia tai organisaatiossa käytetään useampaa henkilötietoa käsittelevää järjestelmää. Usean järjestelmän käyttö hankaloittaa niin tietojenkäsittelyn arviointia, tietosuojaperiaatteen noudattamista kuin osoitusvelvollisuuttakin. Käytännössä eri logiikoilla toimivia järjestelmiä ei voida keskitetysti hallita tietosuojalain näkökulmasta.
Wise-järjestelmää on alusta alkaen kehitetty niin, että kaikki henkilötietoa käsittelevät työkalut ovat samassa järjestelmässä. Tämä helpottaa paitsi organisaation toimintaa, myös tietosuojalain noudattamista. Kaikista kontakteista voidaan osoittaa mistä se on peräisin, mitä tietoja säilytetään ja minkä takia. Yhteenvetoja voidaan tehdä henkilöittäin, yrityksittäin, valikoidusta ryhmästä tai koko henkilörekisteristä.
Jatkuvaan kehitykseen perustuva toimintaperiaatteemme sekä järjestelmän yhtenäinen arkkitehtuuri mahdollistavat nopean reagoinnin tällaisiin muutoksiin. Tässäkin tapauksessa Wisen asiakkaat saavat kalliiden IT-projektien sijaan jatkuvasti kehittyvän järjestelmän. Viimeisiä muutoksia tehdään kevään mittaan, kun säädökset tarkentuvat. Informoimme asiakkaitamme tästä lähempänä.
Wise-järjestelmä on täysin yhteensopiva tulorekisterin ja uuden tietosuojalain kanssa!
Artikkelin on kirjoittanut
Artikkelin lähdeaineisto on peräisin tietosuojavaltuutetun www-sivuilta.