| Talonrakennusteollisuus ry | Keskustoimisto

EU:n uusi tietosuoja-asetus otettava huomioon henkilötietojen käsittelyssä

Euroopan unionin yleinen tietosuoja-asetus yhdenmukaistaa henkilötietojen käsittelyä koskevan lainsäädännön koko EU:n alueella (2016/679). Näin ollen myös Talonrakennusteollisuus ry:n jäsenyritysten on noudatettava asetusta, kun ne käsittelevät esimerkiksi työntekijöiden, kumppaneiden ja asiakkaiden henkilötietoja. Asetusta aletaan soveltaa siirtymäajan jälkeen kaikissa EU:n jäsenvaltioissa 25.5.2018. EU:n yleinen tietosuoja-asetus korvaa vuonna 1995 annetun henkilötietodirektiivin.

Mitkä tiedot ovat asetuksen tarkoittamia henkilötietoja?

Henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Mikäli henkilö voidaan tunnistaa suoraan tai epäsuorasti tunnistetietojen, kuten nimen, henkilötunnuksen tai sijaintitiedon perusteella, kyse on henkilötiedoista. Näin ollen erilaiset työntekijälistaukset, työvuorolistaukset tai esimerkiksi veronumerot ovat aina henkilötietoja. Tietosuojalainsäädäntö soveltuu näiden tietojen käsittelyyn.

Keskeiset muutokset nykytilanteeseen 

Osoitusvelvollisuus: Yhtenä keskeisenä muutoksena nykytilanteeseen on se, että jokaisen rekisterinpitäjänä toimivan yrityksen tulee pystyä dokumentaation avulla osoittamaan, että se on noudattanut asetuksen mukaisia velvollisuuksia. Tätä kutsutaan osoitusvelvollisuudeksi. Osoitusvelvollisuus siis edellyttää, että yrityksellä tulee olla kattava dokumentaatio kaikista henkilötietojen käsittelytoimenpiteistä. Edelleen yrityksen on muun muassa pystyttävä todistamaan, että sen keräämät henkilötiedot ovat ”asianmukaisia” ja rajoittuvat vain siihen, mikä on käsittelyn kannalta tarpeellista. 

Ilmoitusvelvollisuus tietoturvaloukkauksista: Rekisterinpitäjän tulee tehdä ilmoitus valvontaviranomaiselle henkilötietojen tietoturvaloukkauksesta (kuten tietomurroista) käytännössä 72 tunnin kuluessa loukkauksen ilmitulosta. Tietyissä tapauksissa loukkauksesta on ilmoitettava myös rekisteröidyille. Myös kaikki korjaavat toimet on dokumentoitava ja toimitettava tarvittaessa valvontaviranomaiselle. Lyhyt aikaraja edellyttää käytännössä valmistautumista ennakolta. 

Sakot: Asetus antaa valvontaviranomaiselle mahdollisuuden määrätä hallinnollisia sakkoja (mahdollisten vahingonkorvausten lisäksi). Yrityksille voidaan määrätä sakko, joka on enintään 20 miljoonaa euroa tai 4 % yrityksen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta. 

Rekisterinpitäjien ja käsittelijöiden muista keskeisistä velvoitteista

Yleistä: Asetus velvoittaa sekä rekisterinpitäjiä että henkilötietojen käsittelijöitä. Yritykset ovat aina vähintään rekisterinpitäjiä muun muassa omien työntekijätietojensa ja asiakastietojensa osalta. Henkilötietojen käsittelijällä tarkoitetaan tahoa, joka käsittelee henkilötietoja rekisterinpitäjän lukuun (esimerkiksi IT-palveluntarjoaja, joka tarjoaa ohjelmiston yrityksen henkilöstöhallinnolle). Jotta asetuksen tuomat velvollisuudet on helpompi ymmärtää, yrityksen tulee tunnistaa oma roolinsa henkilötietojen käsittelyyn liittyen. On myös mahdollista, että tiettyjä tietoja käsittelevät useat rekisterinpitäjät yhdessä. 

Henkilötietojen käsittelyn ulkoistaminen edellyttää aina sopimusta: Rekisterinpitäjä on oikeutettu ulkoistamaan valitsemansa osan henkilötietojen käsittelystä henkilötietojen käsittelijälle, joka noudattaa hyvää henkilötietojen käsittelytapaa sekä täyttää tietosuoja-asetuksen vaatimukset. Rekisterinpitäjän ja henkilötietojen käsittelijän välillä on oltava sopimus. Asetus sisältää tarkat tiedot siitä, mistä asioista sopimuksessa on pakko sopia.

Siirrot kolmansiin maihin / pilvipalveluihin: Mikäli henkilötietoja siirretään kolmansiin maihin, esimerkiksi pilvipalveluun tai ulkopuoliselle palveluntarjoajalle EU:n ulkopuolella, asetuksen vaatimuksia tulee noudattaa. Tällöin on mahdollista, että siirrossa täytyy käyttää tiettyjä vakiolausekkeita yms. 

Pakollinen tietosuojavastaava: Rekisterinpitäjän ja henkilötietojen käsittelijän on nimitettävä tietosuojavastaava, jos käsittely koskee laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa tai tiettyjen erityisten henkilötietojen laajamittaista käsittelyä. On vielä hieman tulkinnanvaraista, mitä esimerkiksi ”laajamittainen seuranta” kattaa. Toisaalta vaikka tietosuojavastaavan nimittämien ei olisi pakollista, niin tehtävä kannattaa perustaa joka tapauksessa asetuksen velvollisuuksien hallinnan helpottamiseksi. 

Tietoturvallisuuden toteuttaminen: Rekisterinpitäjien ja käsittelijöiden tulee toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, jotta henkilötietojen käsittelyssä noudatetaan asetusta. Toteutuksessa tulee muun muassa huomioida uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset. Käytännössä yritysten tulee pystyä perustelemaan (kirjallisen dokumentaation avulla), miksi esimerkiksi yrityksen käyttämä tietojärjestelmän suojausmekanismi on riittävä suhteessa käsittelyyn liittyviin riskeihin. 

Rekisteröidyille toimitettavat tiedot: Asetus edellyttää, että rekisteröityjä on informoitava kattavammin kuin esimerkiksi nykyisissä rekisteriselosteissa. Uusia asetuksen tuomia ilmoitettavia asioita on esimerkiksi henkilötietojen säilytysaika. 

Lisätietoja

  • Anu Kärkkäinen
  • johtaja, elinkeinopoliittiset asiat
  • anu.karkkainen(@)
    rakennusteollisuus.fi

  • puh. 050 337 6699, 09 129 9239