Mistä on kyse? Ketä se koskee? Miten se vaikuttaa yrityksen toimintaan? Asetus tuo merkittäviä muutoksia yritysten ja organisaatioiden henkilötietojen käsittelylle. Tietosuoja-asioiden saattaminen asetuksen edellyttämälle tasolle ei ole vähäpätöinen muutosprosessi. Tietosuoja-asetuksen soveltaminen alkaa 25.5.2018.
Tietosuoja on murroksessa
Henkilötietojen suojaa koskevan sääntelyn uudistaminen ja nykyaikaistaminen ovat tarpeen, koska henkilötietoja kerätään yhä enemmän teknologisen kehityksen ja erityisesti digitaalisen teknologian murroksen ja globalisoitumisen myötä. Kehittyvä teknologia mahdollistaa tiedon keräämisen, käsittelemisen, profiloinnin ja siirtämisen yhä tehokkaammalla tavalla. Tietosuoja-asetus lisää tietosuojasääntelyn määrää ja vahvistaa rekisteröityjen oikeuksia. Asetus yhdenmukaistaa henkilötietojen käsittelyyn liittyvän sääntelyn EU:n sisällä.
EU:n uusi tietosuoja-asetus sai virallisen hyväksynnän jo toukokuussa 2016 ja tästä käynnistyi kahden vuoden siirtymäaika, joka päättyy 25.5.2018. Siirtymäaikana yritysten on toimeenpantava merkittäviä uudistuksia varmistaakseen asetuksessa määriteltyjen vaatimusten toteutumisen. Tietosuoja-asetus koskee kaikkia yrityksiä, jotka käsittelevät henkilötietoja. Henkilötiedot voivat olla sekä asiakkailta kerättäviä, että oman henkilöstön tietoja. Uusi asetus koskee kaikkea EU:ssa tapahtuvaa, tunnistettuun tai tunnistettavissa olevaan luonnollisen henkilöön liittyvää henkilötietojen käsittelyä. Yrityksen on hyvä olla tietoinen voimaan tulevasta asetuksesta ja omien rekistereidensä tilasta.
Vahvana viestinä toimii asetuksen rikkomisen aiheuttamat sanktiot. Ne voivat olla enimmillään jopa 20 miljoonaa euroa tai neljä prosenttiin yrityksen globaalista liikevaihdosta. Sanktion taloudellisella ankaruudella pyritään painostamaan yrityksiä toteuttamaan tietosuojamyönteistä toimintatapaa omaehtoisesti.
Miten tästä eteenpäin?
Uusi tietosuoja-asetus siirtää vastuun tietosuojasta yritykselle itselleen.
Perinteisesti tietosuojakysymyksiä ei ole hahmotettu kokonaisuutena, vaan tietosuojaan liittyvät tehtävät ja erilaiset rekisterit ovat jakautuneet esimerkiksi markkinoinnille, tietohallinnolle, tuotekehitykselle ja henkilöstöhallinnolle. Jatkossa yrityksen erilaisia rekistereitä koskevat samat säännöt. Asetuksen vaatimat muutokset edellyttävät toimintatapojen muuttamista, huomioimaan tietosuoja-asiat kokonaisuutena.
Uudistuksen lähtökohtana on riskipohjainen lähestymistapa. Henkilötietojen käsittelyä koskeva säätely tiukentuu sen mukaan, kuinka korkeariskistä henkilötietojen käsittely on. Näin on haluttu taata henkilötietojen suojan korkea taso silloin kun tietoja käsitellään korkean riskin toiminnassa, esimerkiksi käsiteltäessä henkilön terveystietoja.
Valmistaudu tarkastelemalla ja tutustumalla seuraaviin kohtiin:
1. Arvioi yrityksen henkilötietojen käsittelyn nykytila
Tee tai teetä nykytilakartoitus. Käy läpi yrityksen käytössä olevat henkilörekisterit (mm. asiakas- ja markkinointirekisterit, työntekijöitä koskevat rekisterit), tietojen keräystavat sekä tietojen luovuttamiskäytännöt ulkopuolelle.
2. Osoitusvelvollisuus
Pyydettäessä rekisterinpitäjän on pystyttävä osoittamaan, miten tietosuoja on toteutettu. Tämä tehdään dokumentoimalla tietosuojatoiminnot. Yrityksen tulee pystyä osoittamaan, että lainsäädännön vaatimukset ja riskit on otettu toiminnassa huomioon.
3. Oikeus käsitellä henkilötietoja
Käsittelyyn tarvitaan rekisteröidyn suostumus tai sopimus. Rekisterinpitäjän on tarvittaessa todistettava suostumuksen olemassaolo.
4. Lasten henkilötietojen rekisteröinti muuttuu
Lasten henkilötietojen käsittelyä ilman vanhempien suostumusta rajoitetaan.
5. Vahvistuvat yksilön oikeudet
Rekisteröidyn oikeudet on otettava huomioon henkilötietojen käsittelyyn liittyvien prosessien ja tietojärjestelmien suunnittelussa. Henkilöllä on oikeus saada informaatiota henkilötietojen käsittelystä.
6. Tietosuojavastaava
Tietosuojavastaava on henkilö, jonka tehtävänä on varmistaa ja valvoa tietosuojan toteutumista.
Lue lisää tietosuojavastaavaan tehtävistä tästä
7. Tietoturvaloukkaus
Tietoturvaloukkauksista on ilmoitettava 72 tunnin kuluessa siitä, kun se on tullut rekisterinpitäjän tietoon. Ilmoitus on tehtävä valvovalle viranomaiselle ja rekisteröidyille henkilöille. Yrityksen on kyettävä havaitsemaan loukkaus, ilmoittamaan siitä ja pyrittävä minimoimaan vahinkojen aiheutuminen.
8. Tarkista ja päivitä tietosuojaa koskevat sopimukset
Yrityksen tulee tehdä kirjallinen sopimus, jos yritys on ulkoistanut henkilötietojen käsittelyä ulkopuoliselle taholle. Tällaisia voivat olla mm. asiakkaisiin kohdistuvaa myyntityötä tekevä alihankkija tai ulkopuolinen tietohallinnon tarjoaja.
Moni asia täsmentyy vasta siirtymäajan kuluessa, joten on tärkeää seurata tiedottamista. EU:n tietosuojatyöryhmä laatii siirtymäaikana ohjeistusta tietosuoja-asetuksen tulkinnasta. Lisäksi siirtymäaikana toteutetaan asetuksen edellyttämiä muutoksia kansalliseen lainsäädäntöön.
Lue lisää tietosuojavastaavaan tehtävistä tästä
Ota yhteyttä keskustellaan lisää!
www.priimalaskenta.fi
