Euroopan tietosuojalainsäädäntö uudistuu, oletko valmis?

 

”Euroopan unionin tietosuojalainsäädäntö uudistui, kun yleinen tietosuoja-asetus tuli voimaan 24. toukokuuta 2016. Tietosuoja-asetusta sovelletaan kahden vuoden siirtymäajan jälkeen 25. toukokuuta 2018 alkaen, jolloin henkilötietojen käsittelyn on oltava tietosuoja-asetuksen mukaista."

Oikeusministeriö, Tietosuojavaltuutetun toimisto

Mitä tämä käytännössä tarkoittaa ja kuinka se vaikuttaa juuri sinun yritykseesi? Kokosimme pienen infopaketin siitä, mitä lakiuudistuksesta pitäisi vähintäänkin tietää.

 

Mikä ihmeen GDPR-tietosuoja-asetus?


Yleiseurooppalaisen tietosuoja-asetuksen perusperiaatteena on taata kuluttajille henkilötietojen asianmukainen käsittely. Kyseinen tietosuoja-asetus asettaa velvoitteita sekä yrityksille että organisaatioille, jotka keräävät henkilötietoja. Tässä yhteydessä henkilötiedoilla tarkoitetaan esim. nimeä, puhelinnumeroa, sähköpostia, IP-osoitetta tai tietoa, jonka kautta henkilö on tunnistettavissa.

Tietosuoja-asetuksen mukaan yrityksillä pitää olla dokumentoituna, millaista tietoa heidän asiakkaistaan ja palveluiden käyttäjistä kerätään ja missä kyseiset tiedot sijaitsevat. Asiakkaille ja palveluiden käyttäjillä pitää olla helppo pääsy tietoihin sekä tarjota mahdollisuus poistaa tiedot järjestelmistä. Lasten osalta vanhemmilta pitää pyytä lupa henkilötietojen keräämiseen.
 

Mitä GDPR tarkoittaa yrityksille käytännössä?


Yrityksen roolin määrittäminen

Yrityksillä pitää olla käsitys käytettävistä rekistereistä, joihin henkilötietoja kerätään. Henkilörekisterit on listattava ja dokumentoitava. Rekisterien suhteen yritys voi olla rekisterin pitäjän tai käsittelijän roolissa.
 
  • Rekisterin pitäjän on vastuussa rekisterin tietosuojasta. Rekisterin pitäjä ei voi kerätä henkilötietoja ilman lupaa. Rekisteriin kuuluvilta on pyydettävä lupa.
  • Rekisterin käsittelijä käyttää henkilörekisteriä rekisterin pitäjän toimeksiannosta

Henkilörekisterissä olevat tiedot

Tietosuoja-asetus määrittelee, että rekisterissä olevilla henkilöillä on oikeus saada tietää

  • mitä tietoja heistä säilytetään rekisterissä?
  • miten heidän tietoja yritys tai organisaatio käyttää?
  • tietoturvaloukkauksista
Lisäksi rekisterissä olevalla henkilöllä on oikeus pyytää tietojen poistamista rekisteristä.
 
Tietosuojavastaava

Tietoturva-asetus suosittelee tietosuojavastaavan nimeämistä. Tietosuojavastaavan tehtävä on toimia organisaatiossa tietoturvan asiantuntijana ja tarvittaessa olla yhteyshenkilönä viranomaisten kanssa. Vastaava henkilö huolehtii ja valvoo, että tietoturva toteutetaan yrityksessä tai organisaatiossa. Mikäli yritys tai organisaatio käsittelee erityisiin tietoryhmiin kuuluvia henkilöitä (=Tiedot, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, geneettisiä tietoja, terveyttä koskevia tietoja, tai seksuaaliseen käyttäytymiseen liittyviä tietoja) niin tietosuojavastaava on nimettävä.
 
Sopimukset

Yrityksen tulee tarkistaa sopimustilanne asiakkaiden, toimittajien tai muiden yrityksen toimintaan osallistuvien kolmansien osapuolien kanssa. Sopimuksessa tulee määritellä henkilötietojen käyttö sekä käytännöt (esim. tietojen poisto) GDPR-hengen mukaisesti. Sitä ei vielä tiedetä, vaatiiko tämä jotain toimenpiteitä (esimerkiksi lisäliitteitä) vanhoihin sopimuksiin.
 
Tietotilinpäätös

Tietotilinpäätös on vapaaehtoinen, mutta suositeltava yrityksen tai organisaation laatima tilannekatsaus, joka kattaa yrityksen tietoturvan nykytilan. Tietotilanpäätös voidaan tehdä vuosittain, jossa kuvataan tilanne sekä mahdolliset tietoturvaongelmat.
 
Sanktiot

Mikäli yritys ei täytä rekisterinpitäjänä EU:n tietosuojalain säädännön asetuksia, voidaan yritykselle määrätä sanktiona sakkoa enintään 4% liikevaihdosta tai maksimissaan 20 miljoonaa euroa.

Oscar Software Oy huomioi GDPR:n tekemällä uudistusta varten hyvissä ajoin toimintasuunnitelman. Tahdomme levittää tietoisuutta myös asiakkaillemme, jotta hekin voivat reagoida muutoksiin ajoissa. Muutoksesta voi lukea lisää esimerkiksi täältä.
 
Mika Muurinen
Oscar Software Oy