Tietosuojan huolellisuusvaatimus kasvaa uuden lain myötä

Yritysten käytöstä poistuvasta arkaluontoisesta tiedosta on tulossa hyvin pian vaarallista ongelmajätettä. EU:n uusi tietosuoja-asetus asettaa jopa useiden miljoonien eurojen rangaistuksia tietosuojan rikkomisesta.

– Henkilötietoja on käsiteltävä huolellisesti. Tietoja saa säilyttää vain sen ajan, kuin on tarpeen. Sen jälkeen ne tulee hävittää, muistuttaa tietosuojalainsäädäntöön erikoistunut lakimies Karri Puustinen Berggren Oy:stä. 

Laki ei nykyisinkään suhtaudu kovin ystävällisesti siihen, että potilastietoja tai virallisia asiakirjoja löytyy paperille printattuna roskiksista. Jo nyt nämä aineistot pitää hävittää 100-prosenttisen luotettavasti.

Ensi vuoden toukokuusta alkaen sovellettavan EU:n tietosuoja-asetuksen myötä tietojen käsittelyn huolellisuusvelvoitteen merkitys tulee kasvamaan. Uuden asetuksen myötä sanktiot voivat pahimmillaan olla 4 % konsernin globaalista liikevaihdosta tai 20 miljoonaa euroa, kumpi sitten onkaan enemmän. 

– Tietojen käsittely ja säilytys niin paperilla kuin kovalevyillä on harkittava tarkkaan, Puustinen tähdentää.

Ongelmatiedon määrä kasvaa koko ajan

Henkilötiedot voi jaotella kahteen kategoriaan, normaaleihin ja arkaluontoisiin henkilötietoihin.

Normaalejakaan tietoja ei saa levittää, mutta tiukimmin laki suhtautuu arkaluontoiseen henkilötietoon, kuten terveyttä, poliittista tai seksuaalista suuntautumista koskeviin aineistoihin. – Henkilön nimi ei välttämättä ole yksilöivä henkilötieto, mutta kun eri tiedot ovat yhdisteltävissä ja kohdennettavissa tiettyyn henkilöön, on kyse hyvin nopeasti henkilötiedosta. Äärimmillään tietojen yhdistelemisessä ollaan jo arkaluontoisen tiedon lähteillä, Puustinen sanoo.

Tiedon määrä kasvaa koko ajan. Jopa itse itsestämme tuottamamme tieto lisääntyy hurjaa vauhtia, kun esimerkiksi matkapuhelin sisältää yhä enemmän henkilötietoa. Lainsäädäntö kirii nyt kiinni tätä kehitystä.

– Yritysten tietovarastoihin tallentuu myös paljon tietoa, jota emme edes huomaa. Kannettavien kovalevyillä on aineistoa, jota tavallinen käyttäjä ei edes pääse tuhoamaan.

 

Ratkaisuna täydellinen tuhoaminen

Asiantuntija neuvoo yrityksiä kartoittamaan nopeasti oman tilanteensa.– Mitkä ovat ne kanavat ja prosessit, miten tietoa syntyy, miten sitä käsitellään ja kuinka tieto tarvittaessa poistetaan. Autamme yrityksiä selvittämään prosessin ja neuvomme, miten huolehditaan vaadittavasta dokumentaatiosta, miten rekisteriselosteet laaditaan tai miten kuvataan tietojen käsittelyn prosessi. Kun tietojen käsittelytarve päättyy, on ne tuhottava, ja tietojen hävittäminen tapahtuu luotettavasti Kuusakosken toimesta.

 

Kuusakosken tietoturvallisen tuhoamisen prosessi hävittää täydellisesti niin paperisen kuin elektronisestikin tallennetut aineistot.

 

Berggrenin IPR-lakimies Karri Puustinen muistuttaa, että tarpeetonta henkilötietoa ei saa säilyttää, vaan se pitää tuhota turvallisesti. – Kuusakosken Turvaroskis-prosessi on aukoton loppuun saakka ja siten tieto on hyvän tiedonhallintatavan vaatimalla tavalla tuhottu. Tällöin myös uuden asetuksen vaatimukset täyttyvät, Puustinen korostaa.

Tarkimmin uuden asetuksen mukaiset velvoitteet kannattaa huomioida toimialoilla, joissa käsitellään erityisen paljon henkilötietoja, kuten it-palveluntarjoajien ja muiden ulkoistettua palvelua tarjoavien, kuten rekisterien ylläpitäjien taholla. Myös osapuolten keskinäiset vastuut tulee sopia tarkasti.

Uutta tietosuoja-asetusta valvoo jatkossakin tietosuojavaltuutetun toimisto. Yritysten edellytetään tekevän omaa itsevalvontaa, kuten esimerkiksi puolivuosittain tai kerran vuodessa arvioida tietosuojan toteutuminen yrityksen omassa toiminnassa. Euroopan unionin tasolla tietosuojaneuvostolla on oikeus antaa sitovia lausumia asetuksen soveltamisesta.

Uusi tietosuojalaki. Muista nämä neljä asiaa!

1. Dokumentointi. Dokumentaatio on jatkossa jokaista yritystä keskeisesti koskeva toimintavelvoite.

2. Tilivelvollisuus. Kyky osoittaa, että lakia noudatetaan. Hyvä dokumentaatio auttaa täyttämään tämän velvoitteen. Kuusakosken aukottoman tuhoamispalvelun ja siihen kuuluvan raportoinnin avulla voidaan osoittaa, että tilivelvollisuus täyttyy tietojen hävittämisen osalta.

3. Järjestelmien suunnittelu yksityisyyden suojaa toteuttaviksi. Mm. vaikutusarviointi, miten tietosuoja vaikuttaa ja miten se pitää ottaa toiminnassa huomioon.

4. Oikeus tulla unohdetuksi. Henkilöllä on oikeus saada tietonsa poistettua jopa Googlen tai vastaavien palveluntarjoajien tietokannoista. 

 

  Berggren on immateriaalioikeuksiin (IPR) erikoistunut täyden palvelun yritys.