31.8.2017 Tes-tiedotteet
EU:n tietosuoja-asetus asettaa teattereille uusia velvoitteita
Yleinen tietosuoja-asetus on tullut voimaan 24.5.2016 ja sen soveltaminen alkaa 25.5.2018. Henkilötietojen käsittelyn tulee olla yleisen tietosuoja-asetuksen mukaista toukokuussa 2018. Kokosimme yhteen asetuksen pääperiaatteet ja sen, mitä muutos tarkoittaa teattereiden näkökulmasta.
Yleinen tietosuoja-asetus
Tällä hetkellä sovellettavan henkilötietolain pääperiaatteet säilyvät yleisessä tietosuoja-asetuksessa. Yleisessä tietosuoja-asetuksessa on kuitenkin myös uusia velvoitteita rekisterinpitäjälle ja oikeuksia rekisteröidylle. Vireillä on myös lainsäädäntöuudistus, jolla kansallinen lainsäädäntö saatetaan vastaamaan tietosuoja-asetusta.
Tietosuoja-asetus koskee kaikkia sen soveltamisalaan kuuluvia henkilötietoja käsitteleviä organisaatioita niin rekisterinpitäjiä kuin henkilötietojen käsittelijöitä.
Asetuksen mukaan henkilötiedolla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tavanomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella. Soveltamisala on siis hyvin laaja, riittää että henkilö on tunnistettavissa.
Tietosuojaperiaatteita ovat:
- käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
- käyttötarkoitussidonnaisuus
- tietojen minimointi
- tietojen täsmällisyys
- tietojen säilytyksen rajoittaminen
- tietojen eheys ja luottamuksellisuus
- rekisterinpitäjän osoitusvelvollisuus
Rekisterinpitäjän on huolehdittava siitä, että tietosuojaperiaatteita noudatetaan kaikissa henkilötietojen käsittelyvaiheissa. Rekisterinpitäjän tulee oletusarvoisesti käsitellä vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja.
Osoitusvelvollisuus
Organisaatiolla on oltava kyky osoittaa noudattavansa asetusta henkilötietoja käsitellessä sekä toteuttavansa tietosuojaperiaatteita myös käytännössä. Tämä on keskeinen muutos, koska henkilötietolain aikana on riittänyt, että säännöksiä noudatetaan.
Sovelletaan riskiperusteista lähestymistapaa
Tietosuoja-asetuksen velvoitteet ja asianmukaiset suojatoimet on suhteutettava henkilötietojen käsittelystä rekisteröidyn oikeuksille ja vapauksille aiheutuvaan riskiin.
Rekisteröidyn oikeudet
Rekisteröidyn oikeudet on otettava huomioon henkilötietojen käsittelyyn liittyvien prosessien ja tietojärjestelmien suunnittelussa.
Lasten henkilötiedot
Lapsille palveluita tarjoavien rekisterinpitäjien on huomioitava, että tietosuoja-asetus antaa henkilötietolaista poiketen erityistä suojaa lapsien henkilötiedoille. Asetuksen mukaan lapsen henkilötietojen käsittely suostumuksen perusteella suoraan lapselle tarjottavien tietoyhteiskunnan palvelujen tarjoamisen yhteydessä edellyttää vanhempainvastuunkantajan suostumusta tai valtuutusta. Asetuksessa lapseksi määritellään alle 16-vuotiaat.
Ulkoistaminen
Tietosuoja-asetus edellyttää kirjallisen sopimuksen tekemistä ulkoisen palveluntarjoajan kanssa, joka käsittelee henkilötietoja. Asetus asettaa sopimukselle tietyt sisällölliset vaatimukset.
Rekisterinpitäjän on tunnistettava tietosuoja-asetuksen vaatimukset henkilötietojen käsittelyn ulkoistamiselle, sillä tietosuoja-asetuksessa henkilötietojen käsittelijän roolia ja velvoitteita on lisätty henkilötietolakiin nähden.
Henkilötietojen käsittelijän on annettava riittävät takeet siitä, että sen suorittama henkilötietojen käsittely täyttää tietosuoja-asetuksen vaatimukset. Henkilötietojen käsittelijä voi osittain osoittaa riittävien takeiden olemassaolon noudattamalla asetuksen mukaisia hyväksyttyjä käytännesääntöjä tai sertifiointimekanismeja.
Tiedonsaantioikeus
Rekisterinpitäjän on toimitettava henkilötietojen käsittelyä koskevat tiedot rekisteröidylle tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa. Asetus asettaa määräaikoja informoinnille ja rekisteröidyn pyynnön perusteella toteutettaville toimenpiteille. Asetuksen mukaan tieto toimenpiteistä, joihin rekisteröidyn pyynnön johdosta on ryhdytty, tulee antaa ilman aiheetonta viivytystä javiimeistään kuukauden kuluessa pyynnön vastaanottamisesta.
Rekisteröidyllä on oikeus saada jäljennös häntä koskevista henkilötiedoista. Rekisteröidyllä on oikeus tietojen oikaisemiseen sekä oikeuden tietojen poistamiseen eli niin kutsutun oikeuden tulla unohdetuksi.
Tietoturva
Rekisterinpitäjän tai henkilötietojen käsittelijän on selvitettävä, vastaavatko sen tietojen suojaamista koskevat käytännöt ja toimenpiteet tietosuoja-asetuksen riskiperusteista ja osittain henkilötietolakia yksityiskohtaisempaa sääntelyä. Rekisterinpitäjän tai henkilötietojen käsittelijän on arvioitava käsittelyyn liittyvät riskit ja toimittava näiden riskien lieventämiseksi.
Tietosuoja-asetuksessa säädetään rekisterinpitäjän velvollisuudesta ilmoittaa henkilötietojen tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle. Rekisterinpitäjän on tehtävä loukkausta koskeva ilmoitus valvontaviranomaiselle mahdollisuuksien mukaan 72 tunnin kuluessa loukkauksen ilmitulosta. Rekisterinpitäjä voi jättää tietoturvaloukkausta koskevan ilmoituksen tekemättä ainoastaan, mikäli loukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Henkilötietojen käsittelijän on puolestaan ilmoitettava tietoturvaloukkauksista rekisterinpitäjälle ilman aiheetonta viivytystä loukkauksen tietoonsa saatuaan
Tietosuojavastaava
Rekisterinpitäjien ja henkilötietojen käsittelijöiden on varmistuttava siitä, onko organisaatioon asetuksen mukaan nimettävä tietosuojavastaava. Tietosuojavastaavan tehtävänä on muun muassa seurata henkilötietojen käsittelyn lainmukaisuutta ja auttaa
organisaatiota toteuttamaan lainsäädännön asettamat velvoitteet. Tietosuojavastaavan tehtävänä on myös toimia valvontaviranomaisen sekä rekisteröityjen yhteyspisteenä henkilötietojen käsittelyyn liittyvissä kysymyksissä. Teattereissa ei kerätä sellaista tietoa, että tietosuojavastaavaa tarvitsisi nimetä.
Tietosuojavastaava voidaan nimittää, vaikkei tietosuoja-asetus tähän nimenomaisesti velvoita. Niissä tilanteissa, joissa tietosuojavastaavan nimittäminen ei ole nimenomaisesti velvollisuus, on organisaatiossa kuitenkin syytä määritellä henkilö, jonka tehtävänä on tietosuojaa koskevien asioiden huomioon ottaminen organisaation toiminnassa ja joka voi toimia yhteyshenkilönä rekisteröidyn oikeuksiin ja viranomaisvalvontaan liittyvissä kysymyksissä.
Sanktiot, jos velvoitteita ei ole noudatettu
Vahingonkorvaus
Tietosuoja-asetuksen mukaan henkilöllä, jolle on aiheutunut tietosuoja-asetuksen rikkomisen vuoksi vahinkoa, on oikeus saada täysi korvaus vahingosta joko rekisterinpitäjältä tai henkilötietojen käsittelijältä. Rekisterinpitäjällä on lähtökohtaisesti ns. ankara vastuu ja henkilötietojen käsittelijän vastuu on toissijaista.
Hallinnolliset seuraamukset
Tietosuojasäännösten rikkomisesta viranomaiset voivat määrätä sakkomaksun, joka voi olla jopa 4 prosenttia organisaation liikevaihdosta.
Mitä teattereissa tulee tehdä?
Teattereissa on käytössä tietosuoja-asetukseen alaan kuuluvia rekistereitä. Esimerkiksi asiakasrekisteri, jäsenrekisteri, ensi-ilta-asiakasrekisterit tms. ovat asetuksessa tarkoitettuja rekistereitä.
Työntekijöitä koskevasta rekisteröinnistä on säädetty työelämän tietosuojalaissa. Uusi tietosuoja-asetus ei ilmeisesti tuo siihen muutoksia, mutta kansallista lainsäädäntöä ollaan uusimassa tietosuoja-asetuksen mukaiseksi, eli muutoksia saattaa tulla.
Teattereissa asiakasrekisteri on useimmiten ulkoistettu lipunmyyjille. Suuret lipunmyyjät ovat varautuneet tietosuoja-asetukseen. Teattereiden tulee kuitenkin täyttää omalta osaltaan asetuksen vaatimukset.
Teattereiden tulee tehdä tietosuojaselosteet kaikista henkilörekistereistään, riippumatta siitä, pidättekö rekistereitä itse vai onko se ulkoistettu. Valmiit kaavakkeet löytyvät tietosuojavaltuuten sivuilta.
Teattereiden on syytä määritellä tietosuoja-asioista vastaava henkilö, varsinaisen tietosuojavastaavan valintaa ei tarvitse tehdä, koska teatterit eivät kerää arkaluonteisia tietoja.
Samalla kun teette tietosuojaselosteet, kannattaa myös tarkistaa, että rekisterinne ovat asianmukaisia. Selosteet on tehtävä tietosuojaviranomaisen määräämän hallinnollisen sanktion uhalla kaikissa teattereissa.
Lisätietoja: lakimies Leevi Mentulalta: 
leevi.mentula(at)suomenteatterit.fi
p. 040 521 8319