7.2.2017

EU:n uusi tietosuoja-asetus – tiedätkö mitä sinun pitäisi tietää?

EU:n uusi tietosuoja-asetus astuu voimaan vuonna 2018. Muutos on saanut jo etukäteen paljon huomiota osakseen. Tietosuojan olemus ja sisältö eivät tosin asetuksen myötä juurikaan muutu. Mukaan mahtuu silti myös erittäin huomattava periaatteellinen muutos, jonka käytännön seurauksia emme vielä tiedä. Tuudittautumalla vanhaan tietämykseen saatatkin aiheuttaa yritykselleen huomattavan taloudellisen riskin.

Uuden lainsäädännön tavoite on selkeä. EU haluaa saattaa voimaan yhteiseurooppalaisen tietosuojalain, jota sovelletaan samalla tavalla kaikkialla ja johon liittyy mahdollisuus huomattaviin viranomaispakotteisiin. Samaan hengenvetoon EU kuitenkin tahtoo myös poistaa esteitä tiedon vapaalta liikkuvuudelta unionin alueella. Uuden asetuksen myötä ei voida enää vedota kansallisen lainsäädännön asettamiin vaatimuksiin, koska laki on kaikkialla sama.

Asetus on ansiokas yritys määritellä tietosuojaan liittyviä käsitteitä ja käytäntöjä, joskin se jättää paljon myös arvailujen ja tulkinnan varaan. Asetuksen kantava periaate on vastuun vyöryttäminen kokonaisvaltaisesti ja mahdollisimman aukottomasti niille tahoille, jotka käsittelevät henkilötietoja tai joiden lukuun niitä käsitellään. Tämä on kiusallista yrityksille siksi, että vastuu myös tarvittavien tietosuojatoimenpiteiden riittävyyden arvioinnista jätetään käytännössä yrityksille itselleen. Yrityksen tulisi siis itse tietää mitä sen tulisi tietää tietosuojasta ja tietoturvallisuudesta.

Suurin periaatteellinen muutos löytyy asetuksen artiklasta 5, jossa yrityksille säädetään ns. osoitusvelvollisuus. Yrityksen on toisin sanoen jatkossa kyettävä todistamaan, että sen käsittelemät henkilötiedot ovat turvassa kyseisiä henkilötietoja mahdollisesti koskevilta vaaroilta. Ajattelumalli on samansuuntainen kuin esimerkiksi työsuojelulainsäädännössä, jossa vaikkapa asianmukaisen turva-aidan puute voi olla itsessään rangaistavaa, vaikka mitään ei olisikaan vielä sattunut. Vastaavasti tietosuoja-asetuksen myötä pelkästään se, että ei kykene osoittamaan henkilötietojen olevan turvassa olisi sanktioitu. Ottaen huomioon tietojärjestelmien kasvavan kompleksisuuden tämän tekeminen ei välttämättä ole kovin helppoa.

Nykyisen henkilötietolain aikana yrityksen ei ole tarvinnut pahemmin pelätä rangaistuksia. Tämäkin tulee muuttumaan. Uusi asetus säätää kansalliselle viranomaiselle mahdollisuudet asettaa jopa kymmenien miljoonien eurojen hallinnollisia sakkoja asetuksen rikkomisesta. Myös pelkän osoitusvelvollisuuden laiminlyönnistä voi siis seurata tuntuva taloudellinen menetys. Tämän lisäksi yritys voi tietoturvaloukkauksen tapahduttua joutua korvaamaan huomattaviakin vahinkoja henkilötietojen omistajalle. Vaikka tällainen mahdollisuus on jo nyt olemassa, tietosuojan saama huomattava julkisuus saattaa silti pahimmillaan synnyttää uuden ilmiön, tietosuojavahingonkorvausten metsästäjät.

Fyysisen minämme lisäksi meistä kaikista liikkuu verkossa myös virtuaalinen versio. Vaikket olisikaan huolissasi omista tiedoistasi, vaikka ehkä kannattaisikin, niin muista kuitenkin, että todennäköisesti yrityksesi käsittelee muiden ihmisten henkilötietoja. Jos ei muuta niin palkkatietoja. Kasvava tietoisuus tietosuojasta saanee kansalaiset vaatimaan myös yrityksiä vakavoitumaan asian äärelle. Tietosuojalainsäädännön tosissaan ottaminen on jatkossa paitsi velvollisuus, myös yhä useimmilla aloilla kilpailuetu tai jopa liiketoiminnallinen välttämättömyys. Paniikkia on silti syytä välttää. Pääasia olisi muistaa aloittaa tietosuojakysymysten arvioiminen ja muutokseen varautuminen viimeistään nyt, kun sille vielä on aikaa!

Kimmo Kajander