Kirjaudu MaRan jäsensivuille

Yritys, oletko jo varautunut uuteen tietosuoja-asetukseen?

07.04.2017

Uusi tietosuoja-asetus astuu voimaan toukokuussa 2018 ja korvaa vanhan henkilötietodirektiiviin perustuvan henkilötietolain. Asetus koskee kaikkea henkilötietojen käsittelyä EU:ssa sekä kaikkia niitä yrityksiä, jotka toiminnassaan käsittelevät asiakkaidensa ja/tai työntekijöidensä henkilötietoja ja ylläpitävät asiakasrekistereitä. Myös matkailu- ja ravintola-alan yritysten on tarpeellista valmistautua hyvissä ajoin uuden asetuksen voimaantuloon ja henkilötietojen käsittelyn lainmukaisuuteen.

Tietosuoja-asetuksen tarkoituksena on vastata teknologian kehitykseen ja digitaalisten palveluiden aiheuttamiin muutoksiin sekä parantaa rekisteröidyn henkilön oikeuksien toteutumista.  Samalla tietosuoja-asetus luo kuitenkin yrityksille uusia velvoitteita ja aiheuttaa entistä monimutkaisempaa ja osin myös tulkinnanvaraisempaa sääntelyä.

Uusi tietosuoja-asetus tulee huomioida kaikissa yrityksissä, jotka pitävät esimerkiksi asiakasrekistereitä. Asetus koskettaa myös työnantajia, joilla on rekistereitä työntekijöistään.  Myös tallentavasta kameravalvonnasta muodostuu henkilörekisteri, ja siitä tulee laatia rekisteriseloste.

Uudella asetuksella määritetään vastaisuudessa muun muassa seuraavista asioista, joista säädetään tällä hetkellä henkilötietolaissa:

  • Mikä tieto on henkilötietoa ja mitkä henkilötiedot ovat erityisiä henkilötietoja (arkaluonteisia henkilötietoja)?
  • Millä perusteilla henkilötietoja voi käsitellä ja mitä periaatteita henkilötietoja käsiteltäessä on noudatettava?
  • Mitkä ovat rekisteröityjen eli niiden henkilöiden, joiden tietoja käsitellään, oikeudet?
  • Mitä velvollisuuksia henkilötietojen käsittelyyn liittyy?
  • Millä edellytyksillä henkilötietoja voidaan siirtää EU:n ulkopuolelle?
  • Millaisia seuraamuksia asetuksen säännösten rikkomisesta voidaan määrätä?

 

Henkilötietojen käsittelyn lainmukaisuuteen tulee kiinnittää aiempaa tarkemmin huomiota

Tietosuoja-asetukseen valmistautuessa on tärkeää kartoittaa henkilötietojen käsittelyn nykytilanne ja sitouttaa organisaation johto ja henkilötietoja työssään käsittelevät tietosuojaperiaatteisiin. Kartoituksessa selvitetään, millaisia henkilötietoja käsitellään, mikä on käsittelyn laillinen peruste ja mikä on käsittelyn tarkoitus. Nämä on dokumentoitava, sillä asetus velvoittaa rekisterinpitäjät tilintekovelvollisuuteen.

Yritysten on myös selvitettävä, miten yritys informoi rekisteröidyille henkilötietojen käsittelystä ja miten rekisteröidyn oikeudet turvataan. Tietosuoja-asetus velvoittaa myös tekemään kirjalliset sopimukset niiden yritysten kanssa, jotka käsittelevät henkilötietoja rekisterinpitäjän lukuun. Sopimuksen sisällöstä on annettu yksityiskohtaiset määräykset asetuksessa.  

Tietosuoja-asetus rakentuu riskiperusteiseen lähestymistapaan, ja vaaditut toimenpiteet riippuvat tietojen käsittelyyn liittyvistä riskeistä. Yrityksen on näin ollen tunnistettava käsittelyyn liittyvät riskit ja kyettävä osoittamaan, että se noudattaa asetusta. Lisäksi yrityksille tulee velvollisuus ilmoittaa mahdolliset tietomurrot ja tietoturvaloukkaukset tietosuojaviranomaisille sekä tietyissä tilanteissa myös rekisteröidyille.

Asetuksen rikkomisesta voi seurata hallinnollinen sakko. Sakkojen enimmäistasot ovat korkeita, jopa 10 tai 20 miljoonaa euroa tai 2-4 prosenttia yrityksen maailmanlaajuisesta kokonaisliikevaihdosta. 

”Yritysten on otettava sanktioriski vakavasti ja huolehdittava, että yrityksessä on valmistauduttu tietosuoja-asetuksen voimaantuloon. On toivottavaa, että myös tietosuojaviranomainen jatkaa sääntelyn kiristymisestä huolimatta ohjaavaa ja neuvovaa käytäntöään sanktioinnin sijaan”, toteaa MaRan lakimies Kai Massa.

Seuraa MaRan tiedotusta

Koska tietosuoja-asetukseen liittyvät viranomaisohjeistukset ja tulkinnat selkeytyvät vasta ennen asetuksen voimaantuloa, on jäsenten tärkeää seurata MaRan tiedotusta. MaRa tiedottaa ja päivittää asetukseen liittyviä ohjeita jäsensivuilleen loppuvuoden aikana. Ohjeista ja päivityksistä kerrotaan myös tulevissa uutiskirjeissä.

Lisätietoa uudesta tietosuoja-asetuksesta antavat MaRan lakimiehet Kai Massa (asiakasrekisterit) ja Pauliina Latosaari (työntekijärekisterit), p. 09 6220 200.

 

MaRan ohjeet:
Uusi tietosuoja-asetus



Lue lisää:

Miten valmistautua EU:n tietosuoja-asetukseen?
Oikeusministeriön laatima opas


Asetus
Euroopan parlamentin ja neuvoston asetus (EU) 2016/679

 


Yhteistyökumppanit

Fennia Hartwall Hartwa Trade Valio Saarioinen Accountor Metos Santa Maria Paulig Winpos Läntmannen Unibake