Useiden vuosien valmistelun jälkeen EU:n tietosuoja-asetuksen odotetaan tulevan voimaan lähikuukausina ja sitä aletaan soveltaa kahden vuoden siirtymäajan jälkeen. Rekisterinpitäjien, esimerkiksi yritysten, jotka käsittelevät henkilötietoja (muun muassa työntekijöiden, kuluttajien ja B2B-kontaktien tietoja) omaan lukuunsa, on siirtymäajan kuluessa saatettava tietojenkäsittelynsä asetuksen vaatimusten mukaiseksi. Asetus parantaa rekisteröidyn suojaa esittelemällä rekisteröidyille uusia oikeuksia sekä täsmentämällä nykyisten oikeuksien sisältöjä. Rekisterinpitäjille säädetään uusia velvoitteita ja osittain myös tiukennetaan olemassa olevia. Lisäksi EU:n tietosuojasääntöjen valvontaa ja seurauksia (esimerkiksi rahamääräiset hallinnolliset sakot) yhtenäistetään. Asetus helpottaa tulevaisuudessa henkilötietojen liikkumista EU:ssa ja yhtenäistää yritysten kilpailutilannetta: käytännössä koko EU:n alueella tullaan toimimaan samojen tietosuojasääntöjen mukaan – ainakin lähtökohtaisesti.
Yrityksille asetuksen edellyttämien käytännön toimien suunnittelu on kuitenkin haasteellista: asetuksen sisältö ei esimerkiksi yritysten velvoitteiden sisällön osalta vielä ole tarkan toteutuksen kannalta riittävän yksikäsitteisesti tiedossa. Asetuksen säännösten tulkintaa täsmentäviä ohjeita valmistellaankin kansallisesti ja EU:ssa useissa työryhmissä. Lisäksi tulossa on tarkistuksia ja muutoksia EU:n kansallisiin lainsäädäntöihin. Yritysten tulisi kuitenkin asetuksesta seuraavien muutosten toteuttamiseksi huomioida ainakin jäljempänä esitettävät näkökulmat.
Asetuksen toteuttamiseksi tietosuojaa kannattaa tarkastella yrityksissä strategisena kysymyksenä. Tietosuojavaatimusten toteuttamisen vaikuttavuuden varmistamiseksi, maineriskin hallitsemiseksi ja vähintäänkin ääriseurauksena mahdollisten hallinnollisten sakkojen välttämiseksi tietosuojalle on määrättävä omistaja yrityksen ylimmästä johdosta – tietosuojatyö tulee vastuuttaa, resursoida ja sitä pitää ohjata aktiivisesti asetuksen vaatimusten viemiseksi käytäntöön yhdenmukaisesti lyhyehkön siirtymäajan kuluessa. Asetuksen vaatimusten toteutusta ei ole yksinkertaisesti aikaa tehdä yrityksen ja erehdyksen menetelmällä – eikä missään tapauksessa sirpaloituneesti tai siiloutuneesti yrityksen eri osissa.
Yrityksiltä edellytetään riskilähtöistä ja proaktiivista toimintamallia: rekisteröityjen oikeuksille ja vapauksille aiheutuvien tietosuojariskien ennakoiva tunnistaminen, arvioiminen ja ratkaiseminen on asetuksessa merkittävässä asemassa (esimerkiksi sisäänrakennetun ja oletusarvoisen tietosuojan vaatimuksessa). Lisäksi yritysten on jatkossa kyettävä näyttämään toteen asetuksenmukainen toiminta – pelkkä toiminnan tosiasiallinen asetuksenmukaisuus ei enää riitä. Yrityksiltä edellytetäänkin tietosuojatoimien kattavaa ennakkosuunnittelua ja dokumentointia.
Parhaiden käytäntöjen löytämiseksi, monistamiseksi ja hyödyntämiseksi tehokkaasti tietosuojatoiminnan on asetuksen vaatimusten toteuttamiseksi läpäistävä organisaatio kattavasti (vähintään kaikki liiketoiminnat sekä IT- ja oikeudelliset toiminnot). Lisäksi yrityksen tietosuojaosaamisen kehittäminen on suunniteltava ja toteutettava systemaattisesti.
Asetuksen vaatimukset on konkretisoitava tietosuojaprosesseihin, jotka voidaan asetuksen kannalta jakaa kolmeen kokonaisuuteen: yrityksen sisäiset prosessit, yrityksen ja rekisteröidyn väliset prosessit sekä yrityksen viranomaissuuntautuneet prosessit. Tietosuojaprosessien määrittely ja vieminen käytäntöön antaa edelleen perusteet toteuttaa tietosuojavaatimukset sekä loogisiin henkilörekistereihin että niiden taustalla oleviin teknisiin järjestelmiin. Toteutusvaihe on asetuksen huomioonottamisen kannalta ratkaiseva ja tyypillisesti laajuudeltaan suurin. Sen toteuttaminen menestyksellisesti edellyttää kuitenkin välttämättä tietosuojakysymysten kokonaisvaltaista tarkastelua – esimerkiksi edellä esitettyjä näkökulmia huomioimalla.
Blogin kirjoittaja Erkka Pälä (OTK, DI) on tietosuojaan ja tietotekniikkaoikeuteen erikoistunut lakimies ja konsultti.
Hän vetää aiheeseen liittyvän kurssin Tietosuojan perusteet EU:n uuden tietosuoja-asetuksen mukaan 10.5. Lisätiedot ja ilmoittautuminen tästä