Yritys, oletko jo varautunut uuteen tietosuoja-asetukseen?
Uutinen 07.04.2017
Tietosuoja-asetuksen tarkoituksena on vastata teknologian kehitykseen ja digitaalisten palveluiden aiheuttamiin muutoksiin sekä parantaa rekisteröidyn henkilön oikeuksien toteutumista. Samalla tietosuoja-asetus luo kuitenkin yrityksille uusia velvoitteita ja aiheuttaa entistä monimutkaisempaa ja osin myös tulkinnanvaraisempaa sääntelyä.
Uusi tietosuoja-asetus tulee huomioida kaikissa yrityksissä, jotka pitävät esimerkiksi asiakasrekistereitä. Asetus koskettaa myös työnantajia, joilla on rekistereitä työntekijöistään. Myös tallentavasta kameravalvonnasta muodostuu henkilörekisteri, ja siitä tulee laatia rekisteriseloste.
Uudella asetuksella määritetään vastaisuudessa muun muassa seuraavista asioista, joista säädetään tällä hetkellä henkilötietolaissa:
Mikä tieto on henkilötietoa ja mitkä henkilötiedot ovat erityisiä henkilötietoja (arkaluonteisia henkilötietoja)?
Millä perusteilla henkilötietoja voi käsitellä ja mitä periaatteita henkilötietoja käsiteltäessä on noudatettava?
Mitkä ovat rekisteröityjen eli niiden henkilöiden, joiden tietoja käsitellään, oikeudet?
Mitä velvollisuuksia henkilötietojen käsittelyyn liittyy?
Millä edellytyksillä henkilötietoja voidaan siirtää EU:n ulkopuolelle?
Millaisia seuraamuksia asetuksen säännösten rikkomisesta voidaan määrätä?
Henkilötietojen käsittelyn lainmukaisuuteen tulee kiinnittää aiempaa tarkemmin huomiota
Tietosuoja-asetukseen valmistautuessa on tärkeää kartoittaa henkilötietojen käsittelyn nykytilanne ja sitouttaa organisaation johto ja henkilötietoja työssään käsittelevät tietosuojaperiaatteisiin. Kartoituksessa selvitetään, millaisia henkilötietoja käsitellään, mikä on käsittelyn laillinen peruste ja mikä on käsittelyn tarkoitus. Nämä on dokumentoitava, sillä asetus velvoittaa rekisterinpitäjät tilintekovelvollisuuteen.
Yritysten on myös selvitettävä, miten yritys informoi rekisteröidyille henkilötietojen käsittelystä ja miten rekisteröidyn oikeudet turvataan. Tietosuoja-asetus velvoittaa myös tekemään kirjalliset sopimukset niiden yritysten kanssa, jotka käsittelevät henkilötietoja rekisterinpitäjän lukuun. Sopimuksen sisällöstä on annettu yksityiskohtaiset määräykset asetuksessa.
Tietosuoja-asetus rakentuu riskiperusteiseen lähestymistapaan, ja vaaditut toimenpiteet riippuvat tietojen käsittelyyn liittyvistä riskeistä. Yrityksen on näin ollen tunnistettava käsittelyyn liittyvät riskit ja kyettävä osoittamaan, että se noudattaa asetusta. Lisäksi yrityksille tulee velvollisuus ilmoittaa mahdolliset tietomurrot ja tietoturvaloukkaukset tietosuojaviranomaisille sekä tietyissä tilanteissa myös rekisteröidyille.
Asetuksen rikkomisesta voi seurata hallinnollinen sakko. Sakkojen enimmäistasot ovat korkeita, jopa 10 tai 20 miljoonaa euroa tai 2-4 prosenttia yrityksen maailmanlaajuisesta kokonaisliikevaihdosta.
”Yritysten on otettava sanktioriski vakavasti ja huolehdittava, että yrityksessä on valmistauduttu tietosuoja-asetuksen voimaantuloon. On toivottavaa, että myös tietosuojaviranomainen jatkaa sääntelyn kiristymisestä huolimatta ohjaavaa ja neuvovaa käytäntöään sanktioinnin sijaan”, toteaa MaRan lakimies Kai Massa.
Seuraa MaRan tiedotusta
Koska tietosuoja-asetukseen liittyvät viranomaisohjeistukset ja tulkinnat selkeytyvät vasta ennen asetuksen voimaantuloa, on jäsenten tärkeää seurata MaRan tiedotusta. MaRa tiedottaa ja päivittää asetukseen liittyviä ohjeita jäsensivuilleen loppuvuoden aikana. Ohjeista ja päivityksistä kerrotaan myös tulevissa uutiskirjeissä.
Lisätietoa uudesta tietosuoja-asetuksesta antavat MaRan lakimiehet Kai Massa (asiakasrekisterit) ja Pauliina Latosaari (työntekijärekisterit), p. 09 6220 200.
MaRan ohjeet:Uusi tietosuoja-asetus
Lue lisää:Miten valmistautua EU:n tietosuoja-asetukseen? Oikeusministeriön laatima opas Asetus Euroopan parlamentin ja neuvoston asetus (EU) 2016/679