Henkilötietojen käsittelyä koskeva tietosuojalainsäädäntö uudistuu 25.5.2018, mikä tuo mukanaan organisaatioille uusia velvoitteita. Asetus koskee aivan kaikkia organisaatioita, joilla on asiakkaita tai työntekijöitä. Viimeistään nyt on hyvä varmistua siitä, että omassa organisaatiossa henkilötietojen käsittely on tietosuoja-asetuksen mukaista.

Henkilötietojen käsittely tarkoittaa mm. henkilötietojen keräämistä, tallentamista, säilyttämistä, muokkaamista, luovuttamista ja poistamista.

Tarkista, että organisaatiossasi on huomioitu seuraavat asiat:

1. Olemme nimenneet tietosuoja-asioista vastaavan henkilön sekä selvittäneet, edellyttääkö asetus meiltä tietosuojavastaavan nimittämistä.

Vain tietynlaisilla organisaatiolla on velvollisuus nimetä asetuksen tarkoittama tietosuojavastaava, mutta kaikissa organisaatioissa on syytä vastuuttaa tietosuoja-asioiden hoitaminen yhdelle tai useammalle henkilölle, jotta lainsäädännön velvoitteista varmasti huolehditaan.

2. Organisaatiossamme on määritelty tietosuojakäytännöt.

Henkilötietojen käsittelyn tulee olla ennakoitavaa ja suunniteltua. Kaikkien rekisterinpitäjien tulee voida näyttää, että henkilötietojen käsittelyä koskevia periaatteita noudatetaan. Tietosuojaa koskevien asioiden dokumentointiin on siksi kiinnitettävä huomiota. Tietosuojakäytännöt, joita voidaan kutsua myös tietoturvapolitiikaksi, ovat tähän yksi hyvä työkalu.

3. Olemme varmistaneet, että kaikkeen henkilötietojen käsittelyyn on laillinen peruste.

Kaikkeen henkilötietojen käsittelyyn tulee olla peruste lainsäädännöstä. Tällainen laillinen peruste voi olla esimerkiksi sopimus, suostumus tai oikeutettu etu. Yleensä käsittelyn perusteena on työsuhde, asiakkuus tai jäsenyys. Jos tietyn henkilötiedon käsittelyyn ei ole osoitettavissa perustetta, sellaista tietoa ei saa pitää yllä, vaikka tiedot olisi kerätty ennen uuden lainsäädännön voimaantuloa.

4. Organisaatiomme informoi henkilöstöä, asiakkaita ja muita rekisteröityjä henkilöitä siitä, miten käsittelemme heidän henkilötietojaan.

Rekisteröityjä henkilöitä on informoitava heihin liittyvien tietojen käsittelystä. Informoinnissa tulee ottaa huomioon uudet vaatimukset esimerkiksi henkilötietojen säilytysajoista ja siitä, että rekisteröityjä tiedotetaan heidän oikeuksistaan. Hyviä vinkkejä tietosuojaselosteiden päivittämiseen saa tietosuojavaltuutetun sivuilta: http://www.tietosuoja.fi/fi/

5. Organisaatiossamme on määritelty henkilötietojen säilytysajat. Vanhentuneet tiedot poistetaan.

Henkilötietoja saa säilyttää vain niin kauan kuin on käyttötarkoituksen kannalta tarpeen. Vanhentuneet ja virheelliset tiedot tulee poistaa. Esimerkiksi osaa työsuhderekisterin tiedoista saa säilyttää työsuhteen ajan, osa pitää poistaa työsuhteen kestäessä ja osaa on perusteltua säilyttää työsuhteen päättymisen jälkeenkin.  Monesti eri asioihin liittyvät kanneajat määrittelevät säilytysaikojen pituuden. Onhan organisaatiossasi määritelty kaikille henkilötiedoille säilytysajat ja poistetaanhan henkilötiedot niiden mukaisesti, säilytetään niitä sitten tietokannoissa tai mapeissa?

6. Henkilötietojen käsittelyssä on huomioitu tekninen (esim. virustorjunta ja työvälineiden ja työtilojen lukitus) ja organisatorinen (esim. ohjeistukset) tietosuoja?

Tietojen käsittelyssä on huomioitava riittävän tasoinen tekninen ja organisatorinen tietosuoja. Onhan tämä toteutettu esimerkiksi palomuurein, virustorjunnoin, salasanoin, käyttöoikeuksin, lokituksin ja ohjeistuksin? Ovathan tietoturva-asiat huomioitu myös organisaation toimitiloissa?

7. Organisaatiomme henkilöstöllä, asiakkailla ja jäsenistöllä on pääsy heidän omiin henkilötietoihinsa ja oikeus vaikuttaa niiden käyttöön.

Tietosuoja-asetus laajentaa yksilöiden oikeutta vaikuttaa omien henkilötietojensa käyttöön. Rekisteröidyllä on oikeus muun muassa saada pääsy omiin henkilötietoihinsa, pyytää tietyissä tilanteissa henkilötietojen poistamista, siirtämistä tai käsittelyn rajoittamista, peruuttaa henkilötietojen käsittelyyn antamansa suostumus ja kieltää henkilötietojensa käyttäminen suoramarkkinointiin.

8. Organisaatiomme ulkoistamissopimukset (esim. ulkoistettu IT-tuki) vastaavat tietosuoja-asetuksen velvoitteita.

Tietosuoja-asetuksesta tulee minimisisältö ulkoistamissopimusten sisällölle. Jos siis organisaatiossasi on esimerkiksi palkkahallinto tai IT-tuki ulkoistettu tai henkilötietoja on pilvipalveluissa, on ulkoistamissopimukset käytävä läpi ja päivitettävä vastaamaan asetuksen vaatimuksia.

9. Tiedonsiirtomme EU:n ulkopuolelle noudattavat tietosuoja-asetusta.

Jos esimerkiksi käyttämänne pilvipalvelun palvelin sijaitsee EU:n ulkopuolella, varmistattehan, että siirto on toteutettu tietosuoja-asetusta noudattaen.

10. Tietoturvaloukkauksia (esim. hakkerointi) varten on suunniteltu ilmoitusprosessi.

Tietoturvaloukkauksista (esimerkiksi hakkerointi, henkilötietoja sisältäneen USB-tikun katoaminen, henkilötietojen lähettäminen väärälle vastaanottajalle) on lähtökohtaisesti ilmoitettava 72 tunnin kuluessa tietosuojaviranomaiselle ja asianosaiselle. Tätä varten on hyvä suunnitella prosessi jo ennakkoon.

11. Työntekijöitämme on ohjeistettu tietosuoja-asioissa.

Suurin riski ja mahdollisuus tietosuoja-asioissa on ihminen. Onhan työntekijöitä ohjeistettu ja koulutettu tietosuoja-asioissa, jotta he tietävät, miten tulee toimia?

Pia-Maria Pesonen

Asiantuntija

VT, KTM