EU:n tietosuoja-asetus yhtenäistää lainsäädäntöä

Euroopan komission ehdotus uudeksi tietosuoja-asetukseksi julkistettiin alkuvuodesta, ja se on tarkoitus saattaa voimaan vuonna 2014. Uusi asetus korvaa vuodelta 1995 olevan tietosuojadirektiivin, joka on monilta osin jo vanhentunut.

17 vuotta sitten tietojenkäsittely-ympäristö oli varsin toisenlainen kuin tänään. Internetin käyttö oli juuri käynnistymässä, suurista verkkopalveluista osattiin ehkä vasta unelmoida ja yritysten tietojärjestelmät olivat vähäisiä ja hajanaisia. Kunnollisia asiakastietojärjestelmiä oli vain isoilla toimijoilla, kuten finanssi- ja mediasektoreilla. Pienissä ja keskisuurissa yrityksissä toimittiin joko paperisten tai sähköisten pienkortistojen avustuksella. Tietojen yhdistely, asiakkaiden profilointi ja kohdistettu markkinointi olivat harvojen toimijoiden saatavilla.

Maailman monimutkaistuminen näkyy myös asetuksen pituudessa. Siinä missä nykyinen henkilötietolaki tulostuu siististi 17 liuskalle, on asetusehdotus jo 59-sivuinen järkäle. Komission lehdistötiedote markkinoi uudistusta mm. hallinnollisten vaatimusten karsimisella, mutta ensitutustumisella erilaisia vaatimuksia tuntuu lähinnä syntyneen lisää.

Asetuksen käsittely jatkuu keskustelulla Euroopan parlamentissa ja EU:n jäsenvaltioiden keskinäisissä ministerineuvostoissa.

Asetuksen keskeisiä tavoitteita ovat mm.:

  • Yhtenäistää eurooppalainen tietosuojasäännöstö. Vuoden 1995 direktiivi on pantu täytäntöön EU:n 27 eri jäsenvaltiossa jokaisessa omalla tavallaan, ja siksi varsinkin monikansallisten toimijoiden on ollut työlästä löytää eri lakien soveltamistavat markkina-alueillaan.
  • Vahvistaa yksilöiden oikeuksia heidän tietojensa käsittelyyn liittyen. Jatkossa, jos henkilön tietojenkäsittelyyn tarvitaan suostumus, on se annettava nimenomaisesti. Olettamus siitä, ettei asianomaisella ole mitään tietojensa käsittelyä vastaan, ei riitä. Lisäksi helpotetaan tietojen tarkastamista ja niiden siirtoa.
  • Luoda ”oikeus tulla unohdetuksi”, eli saada poistettua tietonsa erilaisista palveluista, mikäli tietojen tallennukselle ei ole erityisesti perusteltua syytä.
  • Rajata käsiteltäviä tietoja mahdollisimman tarkasti. Entistä enemmän huomiota kiinnitetään siihen, että käsiteltävät tiedot ovat todellakin tarpeellisia käsittelyn kannalta. Vanhojen tietojen säilöminen vain säilömisen vuoksi kielletään erikseen. Molemmat periaatteet ovat jo entuudestaan tuttuja, mutta nyt niitä painotetaan lisää.
  • Lisätä rekisterinpitäjien vastuuta ja tilivelvollisuutta. Organisaatioiden on oma-aloitteisesti suunniteltava ja dokumentoitava henkilötietojen käsittelyyn liittyvät käytännöt ja tarvittaessa pystyttävä osoittamaan, että käytäntöjä noudatetaan aktiivisesti. Osana tätä kaikissa yli 250 työntekijän yrityksissä on nimitettävä erillinen tietosuojavastaava.
  • Edellyttää sisäänrakennettua ja oletusarvoista tietosuojaa (engl. ”privacy by design” ja ”privacy by default”). Tietosuoja on siis huomioitava jo liiketoimintaprosessien ja työvälineiden suunnittelussa, ja työvälineiden on oletusasetuksillaankin tarjottava mahdollisimman hyvää tietosuojaa.
  • Velvoittaa toimijat ilmoittamaan tietoturvaloukkauksista viranomaisille. Esim. tietomurroista ja -vuodoista olisi jatkossa ilmoitettava tietyn aikarajan kuluessa.
  • Ulottaa tietosuojasäännöt koskemaan myös EU:n ulkopuolisia toimijoita silloin, kun ne käsittelevät EU-kansalaisten henkilötietoja.
  • Antaa tietosuojaviranomaisille sakotusoikeus ja saattaa sanktiot tuntuvalle tasolle. Tietosuojasääntöjen rikkomisesta voidaan langettaa jopa miljoona euroa tai 2 % maailmanlaajuisesta liikevaihdosta oleva sakko.

Asetus on jaettu 11 lukuun ja 91 artiklaan. Asetuksen rakenne on saatavissa kaavion muodossa tästä. Kaaviossa on avattu erityisesti asetuksen ne osat, jotka koskettavat asiakastietojen käsittelyä CRM-järjestelmissä.

Ehdotus on mielestäni pääosin positiivista kehitystä alalle. Henkilötietojen käsittely on monissa organisaatioissa retuperällä, ja asetus tuo siihen pakottavaa ryhtiä mm. tilivelvollisuuden periaatteen kautta. Sääntöjen harmonisointi koko EU-alueelle ja niiden ulottaminen myös EU:n ulkopuolisiin toimijoihin vahvistanee yksityisyydensuojaa merkittävästi. Jatkossa ei Googlekaan enää voi ilmoittaa olevansa Yhdysvaltain lainsäädännön mukaan toimiva yritys.

Käsittelen tässä blogissa lähiviikkoina ehdotuksen sisältöä ja vaikutuksia tarkemmin asiakastietoja käsittelevien tietojärjestelmien ja liiketoimintaprosessien näkökulmasta. Tavoitteena on antaa ymmärrystä siitä, mihin suuntaan lainsäädäntö todennäköisesti on menossa lähivuosina ja millaisiin asioihin on syytä varautua.

Päivitys 14.8.2012

Edellä mainitun artikkelisarjan osat löytyvät täältä:

Kommentoi

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out /  Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out /  Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out /  Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out /  Muuta )

Muodostetaan yhteyttä palveluun %s

%d bloggers like this: