GDPR: Toukokuussa voimaan astuva EU:n tietosuoja-asetus koskee jokaista yritystä

Eurooppalainen tietosuoja-asetus GDPR (General Data Protection Regu­lation) tuli voimaan pari vuotta sitten, mutta siirtymäajan jälkeen sitä ryhdy­tään soveltamaan ja valvomaan viran­omaisen toimesta toukokuusta alkaen. Asetuksen myötä rekisterinpitäjien ja henkilötietojen käsittelijöiden vel­vollisuudet lisääntyvät ja rikkeistä on aiempaa ankarammat seuraamukset.

Asetus määrittelee tietyt periaat­teet sellaisten rekisterien käyttöön, joissa käsitellään henkilötietoja. Tällai­sia ovat esimerkiksi yritysten palkan­laskentaa varten muodostetut hen­kilötietorekisterit sekä henkilötietoja sisältävät asiakasrekisterit, kulunval­vontarekisterit ja toimittajarekisterit. Käytännössä siis jokainen yritys on asetuksessa määritelty rekisterinpitä­jä, jolla on velvollisuus toteuttaa tieto­suojaratkaisut asetuksen mukaisesti. Seuraavasta voit lukea asetuksen tär­keimmät pääperiaatteet.

Tietosuojaperiaatteet

Asetuksen pääperiaatteiden mukaan tietojen käsittelyn tulee olla lainmu­kaista, kohtuullista ja läpinäkyvää sekä liittyä tiettyyn tarkoitukseen. Tietoja tulee kerätä ainoastaan käyt­tötarkoituksen vaatima määrä ja ne tulee pitää ajan tasalla. Tarpeettomia tietoja ei tulisi säilyttää lainkaan. Re­kisterinpitäjän vastuulla on suojata tiedot luvattomalta ja lainvastaiselta käsittelyltä. Rekisterinpitäjä myös vas­taa tietosuojaperiaatteiden noudatta­misesta ja hänen on pystyttävä osoit­tamaan noudattavansa niitä.

Oletusarvoinen tietosuoja ja osoitusvelvollisuus

Tietosuojaa pitää toteuttaa oletus­arvoisesti eli ottaa edellä mainitut periaatteet osaksi jokaista toimintoa, jossa henkilötietoja käsitellään. Lisäk­si tulee käsitellä ainoastaan tarkoi­tuksen kannalta tarpeellisia tietoja. Rekisterinpitäjän on toteutettava toi­menpiteet tietosuojaperiaatteiden täytäntöönpanoa varten esimerkiksi kouluttamalla henkilöstöään sekä salassapitosopimuksilla, valvonnalla, tietoturvalla ja auditoinneilla.

Rekisterinpitäjä pääsääntöisesti määrittelee asianmukaiset toimet itse tekniikan, kustannukset, tietojenkä­sittelyn luonteen ja laajuuden sekä henkilöiden oikeuksiin ja vapauksiin liittyvät riskit huomioiden. Käytän­nössä suurimmat toimenpiteet tieto­suojaperiaatteiden noudattamisen varmistamisessa aiheutuvat sellaisille aloille, joissa henkilötietojen käsittely on toiminnan ytimessä. Rakentamisen ja talotekniikan yritykset sen sijaan pystyvät toteuttamaan toimenpiteet hieman kevyemmin.

Rekisterinpitäjällä on oltava kyky osoittaa, että asetusta noudatetaan henkilötietoja käsiteltäessä ja tietosuojaperiaatetta toteutetaan myös käytännössä. Konkreettisesti osoi­tusvelvollisuus voidaan täyttää dokumentoimalla käsittelyyn liittyvät prosessit ja käytännöt, sertifioimalla toimintatavat ja luomalla tietosuojaselosteet. Tietosuojaselosteita ei kuitenkaan vaadita alle 250 henkilöä työllistäviltä yrityksiltä.

Riskiperusteinen lähestymistapa

Velvoitteiden ja suojatoimien toteut­taminen on aina suhteutettava re­kisteröidyn oikeuksille ja vapauksille aiheutuviin riskeihin. Käytännössä siis mietitään, millainen riski aiheutuu henkilötiedon päätymisestä sellaisen tahon käsiin, jolla ei siihen pitäisi olla pääsyä. Näin vältetään suhteettomat suuret toimenpiteet matalan riskin tietojen suojaamisessa. Esimerkiksi asiakasrekisteriin ei ole tarvetta luoda kalliita teknisiä järjestelmiä, jos samat tiedot ovat helposti saatavilla yksinkertaisella googlehaulla. Korkean ris­kin tiedoille on sen sijaan tarvittaessa tehtävä tietosuojaa koskeva vaikutusten arviointi.

Tyypillisesti rakentamisen ja ta­lotekniikan yrityksissä ei käsitellä erityisen korkean riskin tietoja. Arka­luontoisimmat tiedot ovat yleensä palkanlaskennan rekisterien tiedot sosiaaliturvatunnuksista ja ammatti­liittojen jäsenyyksistä sekä kulunval­vontarekisterien veronumerot.

Henkilötietojen käsittelyn periaatteet ja ulkoistaminen

Henkilötietojen käsittely on sallittua lain tai asetuksen mukaan ja sen pitää aina perustua tiettyyn käyttötarkoitukseen, eli esimerkiksi työnantaja voi käsitellä henkilötietoja työsopimuk­sen perusteella tulleiden velvollisuuk­siensa täyttämiseen laskiessaan palk­koja.

Jos rekisterinpitäjä ulkoistaa hen­kilötietojen käsittelyn, on hänen annettava rekisterin käsittelijälle oh­jeistus tietojen käsittelyyn. Tämä tar­koittaa, että esimerkiksi ulkoistetta­essa palkanlaskennan ja kirjanpidon palveluita, on yrityksen toimitettava tilitoimistolle ohjeistus tietojen käsit­telyyn. Käytännössä turvallinen oh­jeistusmalli voidaan vakioida palve­luntarjoajan toimesta.

Tietoturva

Henkilötietojen suojaamisesta on huo­lehdittava kaikissa käsittelyn vaiheissa tietojen keräämisestä niiden tuhoamiseen, arvioitava tiedonkäsittelyyn liittyvät riksit sekä toimittava riskien lieventämiseksi. Turvallisuus edellyttää kykyä taata järjestelmien ja pal­veluiden luottamuksellisuus, eheys, käytettävyys, vikasietoisuus sekä kyky palauttaa pääsy tietoihin vian sattues­sa.

Lisätietoja asetuksesta:

www.tietosuoja.fi

> Oppaat > EU:n tietosuoja­uudistus: Miten valmistautua EU:n tietosuoja-asetukseen?

Näin tuemme asiakasta asetuksen vaatimissa muutoksissa:

Myös asiakasyrityksissämme tietosuojaperiaatteet täytyy tuoda osaksi arjen toimintaa ja niiden nou­dattaminen on pystyttävä osoittamaan esimerkiksi dokumentoimalla henkilötietojen käsittely. Lisäksi vaatimukset kohdistuvat ennen kaikkea henkilötietojen käsittelyn ulkoistamiseen ja tietoturvan var­mistamiseen. Näissä asioissa autamme osaltamme asetuksen mukaisessa toiminnassa.

Henkilötietojen käsittelyn ulkoistaminen

Olet aina oman yrityksesi henkilötietojen rekis­terinpitäjä, joten sinun tulee antaa ohjeistus tie­tojen käsittelystä ulkoistaessasi palvelun toiselle taholle.

Asiakkaanamme ohjeistat Admi­comia henkilötietojen käytössä, jolloin esimerkiksi käyttöönotossa, tilitoimistossa ja tuessa henkilötie­toja käsitellään juuri tämän ohjeistuksen puitteis­sa. Sopimuksien päivittämiseksi olemme luoneet ohjeistukseen valmiin pohjan, joka käydään läpi jokaisen asiakkaan kanssa kevään aikana.

Tietoturva

Käsitellessäsi henkilötietoja Adminetissä, ovat tietoturvaan liittyvät vaatimukset osaltasi jo hy­vissä kantimissa. Asianmukaista pääsyä tietoihin hallitset Adminetin käyttöoikeuk­silla samaan tapaan ennenkin.

Tietojen käsittelyn eheys, vikasie­toisuus ja kyky palauttaa pääsy tietoihin vian sattuessa on varmis­tettu kattavilla tietoturvaratkaisuilla. Esimerkiksi palvelumme saatavuus oli viime vuonna 100 % lukuun ottamatta suunniteltuja päivityskatkoja. Lue lisää: admicom.fi/tietoturva.

Vastauksia usein kysyttyihin kysymyksiin osoitteessa:

admicom.fi/gdpr

Näin Admicom on valmistautunut:

• Tehty lakiasiaintoimiston kans­sa auditointi tietosuoja-asetuk­seen liittyvistä asioista.
• Järjestetty henkilöstölle tieto­suoja- ja tietoturvakoulutus sekä julkaistu tietoturvaopas.
• Toteutettu asiakasrajapinnassa toimiville työntekijöille pakolli­nen testi tietosuoja- ja tietotur­va-asioista.
• Kaikki työntekijät ovat kirjoitta­neet salassapitosopimukset tul­lessaan Admicomille töihin.
• Dokumentoitu henkilötietojen käsittelyyn liittyvät prosessit ja käytännöt sekä luotu tietosuo­jaselosteet.
• Luotu tarvittavat dokumentit ja sopimusliitteet päivitettäväksi asiakkaiden sopimuksiin 4/2018 aikana.
• Testattu Adminet-kirjautumisen tietoturvallisuus.