Kaikkien yrittäjien on syytä viimeistään nyt havahtua siihen, että EU:n uutta tietosuoja-asetusta sovelletaan 25.5.2018 alkaen. Asetus tarkoittaa suuria muutoksia henkilötietojen keräämiselle, säilyttämiselle ja käsittelemiselle. Kuten myös aiemman henkilötietolain mukaan, tietojen käsittelyyn on aina oltava laillinen peruste, kuten esimerkiksi suostumus, sopimus tai lakisääteinen velvoite.

Tietosuoja-asetuksen velvoitteet kohdistuvat pääosin rekisterinpitäjään eli yrittäjään. Rekisterin muodostavat tiettyä käyttötarkoitusta varten kerätyt ja käytetyt tiedot, jotka on järjestelty niin, että tiedot ovat tarvittaessa helposti löydettävissä. Rekisteri ei voi olla yksittäinen jäsentelemätön asiakirja, kuten muistiinpanolappu. Velvoitteiden syntyminen ei riipu rekisterin teknisestä toteuttamistavasta: esimerkiksi pilvipalvelussa olevat henkilötiedot muodostavat rekisterin, vaikka tiedot ovat ripoteltuna usealle eri tietokoneelle.

Jokaisen yrittäjän täytyy ylläpitää selostetta suorittamistaan henkilötietojen käsittelytoimista. Selosteen käsittelytoimista tulee sisältää

  1. yrittäjän nimi ja yhteystiedot,
  2. käsittelyn tarkoitus,
  3. kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä,
  4. tietojen vastaanottajien ryhmät (jos tietoja luovutetaan muille),
  5. siirretäänkö tietoja EU:n ulkopuolelle tai kansainväliselle järjestölle,
  6. tietojen poistamisen määräajat sekä
  7. yleinen kuvaus teknisistä ja organisatorisista toimenpiteistä, jotka on tehty tietoturvariskien minimoimiseksi.

Yrittäjällä on rekisterinpitäjänä viimesijainen vastuu henkilötietojen käsittelyn lainmukaisuudesta. Yrittäjän täytyy paitsi toimia asetuksen mukaisesti, myös pystyä jälkikäteen osoittamaan henkilötietojen lainmukainen käsittely. Tällä hetkellä osoitusvelvollisuus täytetään parhaiten niin, että kirjataan ylös yrityksen tietosuojakäytännöt ja kerätään kaikki tietosuojaa koskevat dokumentit samaan paikkaan, kuten esimerkiksi samaan kansioon. Asetuksen myötä perustettava tietosuojavirasto saattaa myöhemmin antaa tarkempia ohjeita osoitusvelvollisuuden käytännön toteuttamisesta.

Yrittäjän pitää olla tietoinen henkilötietojensa käsittelyyn liittyvistä erilaisista riskeistä ja suhteutettava suojatoimet tämän mukaisesti. Korkean riskin tilanteissa yrityksen tulee laatia vaikutustenarvio. Hyvä suositus on, että jos et ole varma, pitääkö tietyssä tilanteessa tehdä vaikutustenarviointi, tee se varmuuden vuoksi. Vaikutustenarviointi pitää laatia ennen kuin henkilötietoja käsitellään. Vaikutustenarviossa on oltava ainakin:

  1. kuvaus suunnitelluista käsittelytoimista ja käsittelyn tarkoituksista,
  2. arvio toimien tarpeellisuudesta ja oikeasuhtaisuudesta tarkoituksiin nähden,
  3. arvio riskeistä, ja
  4. suunnitellut toimenpiteet riskeihin puuttumiseksi.

Korkea riski sisältyy ainakin arkaluonteisten henkilötietojen tai lasten henkilötietojen käsittelyyn, laajamittaiseen henkilötietojen käsittelyyn ja asiakkaiden profilointiin.

Asetuksessa myönnetään rekisteröidylle useita oikeuksia, joista merkittävimmät ovat oikeus saada pääsy tietoihin sekä oikeudet tietojen oikaisemiseen ja poistamiseen. Lisäksi rekisteröidyllä on useita erityistilanteita koskevia oikeuksia. Yrittäjällä on velvollisuudet toteuttaa rekisteröidyn oikeudet ja helpottaa niiden käyttämistä sekä vastata rekisteröidyn pyyntöihin. Ohjeet oikeuksien käyttämisestä tulee olla rekisteröidyn saatavilla esimerkiksi yrityksen internetsivuilla. Ohjeiden tulee olla selkeät, tiiviit ja helposti ymmärrettävät. Yrityksen pitää toteuttaa rekisteröidyn pyynnöt ja ilmoittaa tästä rekisteröidylle ilman aiheetonta viivytystä ja viimeistään yhden kuukauden kuluessa pyynnön vastaanottamisesta. Yritys ei voi periä maksua toimenpiteistä, joihin se ryhtyy rekisteröidyn pyynnöstä tämän käyttäessä oikeuksiaan.

Kun yrittäjä kerää henkilötietoja suoraan rekisteröidyltä, yrittäjän on annettava rekisteröidylle tietyt tiedot, joita ovat muun muassa:

  1. yrittäjän nimi ja yhteystiedot,
  2. henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste,
  3. henkilötietojen vastaanottajat, (jos tietoja luovutetaan muille)
  4. aikooko yrittäjä siirtää tietoja EU:n ulkopuolelle tai kansainväliselle järjestölle,
  5. tietojen säilytysaika,
  6. tiedot rekisteröidyn oikeuksista,
  7. oikeus tehdä valitus valvontaviranomaiselle, ja
  8. liittyykö tietojen käsittelyyn automaattista päätöksentekoa.

Lisäksi on suositeltavaa antaa tiedot käsitellyistä henkilötietoryhmistä. Tiedot on toimitettava ennen käsittelytoimien aloittamista. Silloin, kun henkilötietoja saadaan muutoin kuin suoraan rekisteröidyltä, pitää rekisteröidylle ilmoittaa edellä mainittujen seikkojen lisäksi tietojen lähde.

Asetus asettaa velvoitteita myös niille yrittäjille, jotka käsittelevät henkilötietoja jonkun toisen tahon puolesta. Tällaisen henkilötietojen käsittelijän ja varsinaisen rekisterinpitäjän välillä on aina oltava kirjallinen tietojenkäsittelysopimus, joka sisältää tietyt asetuksen edellyttämät sopimusehdot.

 Lisäksi uusi tietosuoja-asetus vaatii:

-    erityistä huolellisuutta, kun henkilötietoja siirretään EU:n ulkopuolelle tai kansainväliselle järjestölle,

-   tietoturvaloukkauksiin valmistautumista sekä tapahtuneiden loukkausten dokumentointia ja niistä ilmoittamista ilman aiheetonta viivytystä tietosuojavirastolle ja tarvittaessa myös rekisteröidyille,

-   alakohtaisten käytännesääntöjen noudattamista (jos alalle on laadittu tietosuojaviraston vahvistamat käytännesäännöt) sekä

-  tietosuojavastaavan nimeämistä tietyt edellytykset täyttävissä yrityksissä.

Yksi paljon julkisuutta saanut asetuksen tuoma uudistus on uusien hallinnollisten sanktioiden mahdollisuus.  Jatkossa tietosuojavirasto voi määrätä tietosuojalainsäädännöstä piittaamattomalle yrittäjälle tuntuvat sakot. Sakkojen enimmäismäärä on mitoitettu niin, etteivät suurimmatkaan yritykset voi jättää tietosuojaa huomiotta. Hallinnollisten sakkojen lisäksi tietosuojavelvoitteiden laiminlyömisestä voi seurata vahingonkorvausvastuu tai rikosoikeudellinen vastuu tietosuojarikoksesta.