EU:n tietosuoja-asetus (GDPR) tuli voimaan keväällä 2016, ja sovellettavaksi se tulee kahden vuoden siirtymäajan jälkeen 25.5.2018. Asetus koskee kaikkia toimijoita, jotka käsittelevät henkilötietoja. Toimintamuodolla tai toiminnan laajuudella tai sillä, toimitaanko julkisella vai yksityisellä sektorilla, ei ole merkitystä.
Asetus koskee siten sekä yritysmaailmaa että viranomaistoimintaa samoin kuin yhdistyksiä ja säätiöitä. Nyt viimeistään on korkea aika lähteä selvittämään, mitä asetus omalla kohdalla tarkoittaa.
Käytännössä ei ole aina helppoa määrittää, mikä tieto on henkilötietoa. Henkilötiedolla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan henkilöön liittyviä tietoja. Henkilötietoa voi siten olla mikä tahansa tieto, joka voidaan yhdistää johonkuhun henkilöön, kuten esimerkiksi nimi, puhelinnumero, valokuva tai luottokortin numero.
Erityisinä henkilötietoina pidetään tietoja, joista ilmenee rotu tai etninen alkuperä, poliittinen mielipide, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, terveydentilaa koskevia tietoja tai sukupuolista suuntautumista koskevat tiedot.
Henkilötiedon käsittelyllä tarkoitetaan mitä tahansa henkilötietoihin liittyvää tai kohdistuvaa toimea, kuten tietojen keräämistä, tallettamista, järjestämistä, käyttämistä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistä ja suojaamista samoin kuin tietojen poistamista ja tuhoamista. Myös muut vastaavat toimet, jotka tavalla tai toisella koskevat henkilötietoja, voidaan katsoa tapauskohtaisesti henkilötietojen käsittelyksi.
Erityisten henkilötietojen käsittely on lähtökohtaisesti kielletty, joten tällaisten tietojen käsittelemiselle tulee aina olla erityinen syy. Erityisenä syynä pidetään esimerkiksi sairaspoissaolotietojen käsittelyä työnantajavelvoitteen vuoksi.
Arviointi siitä, noudattaako tietojenkäsittely asetuksen vaatimuksia, koskee erityisesti käsittelyn oikeusperusteita. Käsittelyn tulee asetuksen mukaisesti perustua johonkin asetuksen kuudesta käsittelyperusteesta eli
Organisaation tulee varmistua käsittelyperusteen olemassaolosta ja pystyä tarvittaessa osoittamaan käsittelyn asetuksenmukaisuus.
Tietosuoja-asetuksen keskeiset periaatteet määrittävät tietojen käsittelyä organisaatiossa. Henkilötietojen keräämisen tulee perustua johonkin tiettyyn, ennalta määrättyyn tarkoitukseen, tietoja ei saa kerätä enempää kuin on ko. tarkoituksen perusteella on välttämätöntä, tietoja tulee käsitellä turvallisesti ja läpinäkyvästi eikä tietoja saa säilyttää pidempään kuin tarpeellista.
Jokaisen toimijan on kiinnitettävä huomiota siihen, mitä tarkoitusta varten henkilötietoja kerätään ja millä tavalla niitä käsitellään.
Lisäksi sekä tietojen käsittelyn perusteesta että käsittelystä tulee jatkossa kertoa nykyistä laajemmin ja läpinäkyvämmin.
Toisinaan organisaation henkilötietoja käsittelee joku kolmas taho, kuten esimerkiksi pilvipalvelun tai sähköpostipalvelun tarjoaja tai kirjanpidon, palkkahallinnon tai työterveyden palveluiden tarjoaja. Organisaation tulee tunnistaa ulkoistustapaukset ja huolehtia, että sopimukset ja käsittelyohjeistukset on laadittu asianmukaisesti ja vastuukysymykset otettu huomioon.
Kuinka ison muutoksen uusi tietosuoja-asetus loppujen lopuksi tuo tietosuojalainsäädäntöön ja yhdistysten ja säätiöiden henkilötietojen käsittelyyn? Asetuksessa on paljon samaa kuin nykyisessä henkilötietolaissa. Tästä huolimatta asetus sisältää myös monia uusia oikeuksia rekisteröidyille ja uusia velvollisuuksia rekisterinpitäjille. Näiden oikeuksien ja velvollisuuksien toteuttaminen tulee vaatimaan muutoksia sekä toimintatapoihin että tietojärjestelmiin. Näin ollen on vaikea kuvitella, etteivätkö kaikki toimijat joutuisi ainakin jollakin tasolla ottamaan uudet vaatimukset huomioon henkilötietojen käsittelyssään.
