26 ADVOK A AT TI / 2-2018 fakta
Tietosuoja-asetus
vaikuttaa asianajotyössä
Toukokuussa voimaan astuva EU:n tietosuoja-asetus tuo myös
asianajotoimiston arkeen esimerkiksi riskiajattelun henkilötietojen käsittelyyn.
Suomen ja Euroopan unionin tietosuojalainsäädäntö
uudistuu niin, että EU:n yleistä
tietosuoja-asetusta sovelletaan 25. toukokuuta
alkaen kaikissa EU:n jäsenmaissa
kaikenlaiseen henkilötietojen käsittelyyn.
Uudella lainsäädännöllä tavoitellaan entistä
parempaa henkilötietojen suojaa ja rekisteröityjen
oikeuksia sekä yhtenäistetään
tietosuojasääntelyä kaikissa EU-maissa.
– Itse asiassa uusi tietosuoja-asetus on tullut voimaan jo
keväällä 2016, mutta sille annettiin kahden vuoden siirtymäaika,
kertoo tietosuoja-asioihin erikoistunut asianajaja
Eija Warma Castrén & Snellmanilta.
Tietosuoja-asetusta täydennetään ja täsmennetään EU:n
jäsenmaissa kansallisella lainsäädännöllä. Suomessakin on
annettu hallituksen esitys uuden tietosuojalain säätämisestä
henkilötietojen käsittelyn yleislaiksi, joka tulisi voimaan
samaan aikaan kuin EU:n tietosuoja-asetus.
Asianajajaliitto järjestää koulutusta ja laatii ohjeistusta
asianajotoimistoille tietosuoja-asetuksen vaatimuksista
henkilötietojen käsittelylle nimenomaan toimeksiantojen
hoitamisen kannalta.
KAIKKI EI SUINKAAN MUUTU uuden tietosuojasääntelyn
tullessa voimaan. Tietosuojalainsäädäntöä on nimittäin
ollut Suomessa voimassa jo 1980-luvun lopusta, ja nykyinen
henkilötietolakikin on ollut käytössä jo lähes 20 vuotta.
Se määrittelee jo nyt, kuka saa kerätä ja mitä tietoja, mihin
tietoja saa käyttää sekä luovuttaa ja miten kauan niitä
saa säilyttää.
– Velvoitteet ja periaatteet henkilötietojen käsittelyssä
säilyvät hyvin samankaltaisina kuin tähänkin asti. Toukokuun
25. päivästä eteenpäin henkilötietoja käsittelevän tahon
on kuitenkin pystyttävä osoittamaan, että tietosuoja
on tuotu osaksi esimerkiksi asianajotoimiston toimintaa ja
henkilötietojen käsittely on läpinäkyvää, Warma kiteyttää.
REKISTERINPITÄJÄN osoitusvelvollisuus on uudistus, joka
täytyy myös asianajotoimistoissa huomioida. Pitää voida
kertoa, mistä henkilötietojen käsittelyssä on kysymys, missä
tarkoituksessa henkilötietoja käsitellään, mitä tietoja käsittelyssä
tarvitaan ja kenelle tietoja luovutetaan.
Tietosuoja-asetuksessa toimijat jaetaan rekisterinpitäjiin
ja henkilötietojen käsittelijöihin, ja näihin kohdistuu
erilaisia vaatimuksia.
Asianajotoimisto käsittelee henkilötietoja tyypillisesti
rekisterinpitäjänä, koska sillä on itsenäinen tarve kerätä ja
käsitellä ihmisten henkilötietoja.
– Tietosuoja-asetus asettaa päävastuun henkilötietojen
käsittelyn lainmukaisuudesta rekisterinpitäjälle, joka puolestaan
voi ulkoistaa henkilötietojen käsittelytehtäviä. Henkilötietojen
käsittelijöitä voivat olla esimerkiksi ulkoistettu
IT-palvelu tai palkkahallinto, Warma selittää.
Rekisterinpitäjän on pystyttävä osoittamaan, että se
noudattaa tietosuoja-asetusta. Henkilötietojen käsittely
on suunniteltava ja dokumentoitava.
KESKEISTÄ TIETOSUOJA-ASETUKSESSA on riskiperusteinen
lähestymistapa. Se tarkoittaa, että mitä isompi riski henkilötietojen
käsittelytehtäviin liittyy, sitä tehokkaammin
tietosuoja-asetuksen vaatimukset on huomioitava henkilötietojen
käsittelyssä.
– Esimerkiksi sähköpostiosoite tai puhelinnumero on
henkilötieto, mutta ei yleensä kovin arkaluonteinen, ellei
se ole salainen. Toisaalta asianajajan asiakkuuksiin liittyvät
tiedot ovat salassa pidettäviä, joten myös tietoturva on mitoitettava
sen mukaiseksi, Warma selvittää.
Myös jos asianajaja käsittelee päämiehen rikoshistoriatietoja
tai potilastietoja, jotka ovat arkaluonteisia
tietoja, pitää tietoturva mitoittaa asianmukaisella tavalla.
Kannattaa siis pohtia, miten henkilötietojen käsittelytehtävät
on käytännössä järkevää rakentaa. Onko niin,
että henkilötiedot ja -rekisterit ovat Excel-tiedostona koneella,
paperilla pöytälaatikossa tai vaikka tallennettuna
pilvipalveluun.
Entä kuinka turvassa tiedot oikeasti ovat? Paperi pöytälaatikossa
voi olla kaikkien nähtävillä tai suojaamaton tietokone
altis tietomurroille. Pilvipalveluissakin pitää varmistua
turvallisuudesta valitsemalla asiantuntevat kumppanit, jotka
huolehtivat riittävästä tietoturvasta.
ASIANAJAJIA MIETITYTTÄÄ yksityishenkilön oikeus tarkistaa
omat tietonsa. Jos vastapuoli haluaa tarkastaa asianajajan
hallussa olevat tietonsa, se sotii luottamuksellisuuden periaatetta
vastaan.
– On ihmetelty, miten vastapuolelle voisi antaa tietoja
jutusta, jonka olemassaolosta ei voi kertoa rikkomatta luottamuksellista
asiakassuhdetta, Warma sanoo.
– Uusi asetus ei vaadi romuttamaan luottamuksellisuuden
periaatetta eli vastapuolen tarkastuspyyntöihin ei tarvitse
vastata, mutta sekin pitäisi aina jollain tavalla kommunikoida
pyynnön esittäjälle.
Warma huomauttaa vielä, että omia tietojaan on kuka
tahansa voinut tarkistaa jo pitkään, eikä tietosuoja-asetus
tuo siihen varsinaisesti mitään uutta.
TEKSTI SUSANNA CYGNEL // KUVITUS ANNA-KAISA JORMANAINEN
Lisää tietosuoja-asetuksesta: http://www.Tietosuoja.Fi/fi/index/
euntietosuojauudistus.Html
Tietosuojalainsäädäntö asianajajan työn kannalta -kurssi
Helsingissä 10.4.2018, myös etänä (tiedustelut:
koulutus@asianajajaliitto.fi)
/
link