GDPR-kuukausi, osa 1: Tietosuoja-asetus (GDPR) tulee – oletko valmis?

Huhtikuussa vietämme GDPR-kuukautta ja julkaisemme joka viikko tietosuoja-asetukseen liittyvän artikkelin.

Euroopan unionin tietosuojalainsäädäntö uudistui, kun yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR) tuli voimaan 24. toukokuuta 2016. Tietosuoja-asetusta sovelletaan kaikissa EU:n jäsenmaissa kahden vuoden siirtymäajan jälkeen 25. toukokuuta 2018 alkaen, jolloin henkilötietojen käsittelyn on oltava tietosuoja-asetuksen mukaista. Asetus lisää henkilötietojen käsittelyn avoimuutta ja läpinäkyvyyttä sekä vahvistaa rekisteröityjen oikeuksia valvoa henkilötietojensa käsittelyä. Tarkoituksena on siis rakentaa luottamusta.

Koskeeko tietosuoja-asetus sinun yritystäsi? Tietosuoja-asetus koskee yrityksiä, jotka käyttävät tai käsittelevät henkilötietoja. Jos yritykselläsi on asiakkaita tai työntekijöitä, asetus koskee yritystäsi. Käytännössä tietosuoja-asetus koskee siis kaikkia yrityksiä.

Mitä henkilötietoja tietosuoja-asetus koskee? Lähtökohtaisesti tietosuoja-asetusta sovelletaan kaikkeen henkilötietojen käsittelyyn. Henkilötiedoilla tarkoitetaan kaikkia tunnistettuun ja tunnistettavissa olevaan henkilöön liittyviä tietoja. Henkilö on tunnistettavissa, jos hänet voi tunnistaa suoraan tai epäsuorasti tunnistetietojen perusteella. Tunnistetietoja ovat esimerkiksi nimi, henkilötunnus, sijaintitieto ja verkkotunnistetieto.

Onko yritykselläsi riittävät valmiudet? Tietosuoja-asetuksen tavoitteena on suojella niiden ihmisten oikeuksia, jotka luovuttavat henkilötietojaan rekisterinpitäjille. Siksi tietoturva tulisi ottaa huomioon mahdollisimman varhaisessa vaiheessa. Esimerkiksi, yrityksesi tulee valmistautua luovuttamaan, oikaisemaan tai poistamaan henkilötietoja ilman aiheetonta viivästystä. Yrityksesi tulee myös pystyä ilmoittamaan tietoturvaloukkauksista 72 tunnin sisällä toimivaltaiselle valvontaviranomaiselle.

Mikä on noudattamatta jättämisen hinta? Paikalliset tietosuojaviranomaiset valvovat lain noudattamista, ja heidän työtään koordinoidaan EU:n tasolla. Tietosuoja-asetuksen sääntöjen rikkominen voi tulla yritykselle hyvinkin kalliiksi. Sakko voi olla jopa 20 miljoonaa euroa tai 4% vuosittaisesta kokonaisliikevaihdosta. Todellisuudessa varoitus, huomautus tai mahdollinen tietojenkäsittelyn keskeyttäminen voivat olla kuitenkin riittäviä toimenpiteitä.

Tietosuoja-asetus tuo siis uusia tietosuojaa ja henkilötietojen käsittelyä koskevia velvoitteita, joihin rekisterinpitäjien ja henkilötietojen käsittelijöiden on valmistauduttava. Asetuksen myötä rekisterinpitäjän tulee tietää, miten ja mihin tarkoitukseen henkilötietoja käsitellään ja säilytetään. Yrityksen näkökulmasta asiakastietojen ylläpito ajantasaisina on erityisen tärkeää.

Lähteet:

http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=celex:32016R0679

http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf

http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/tiedotteet/z0PdCBWW7/Data_protection_infographic_FI-LR.pdf