2018-01-10

Mitä vaatimuksia EU:n uusi tietosuoja-asetus asettaa yrityksille?

Pitkään ja hartaasti valmisteltu EU:n uusi tietosuoja-asetus sai sinetit ylleen ja tuli voimaan 21. toukokuuta 2016. Vuosi 2016 olikin monille yrityksille herätyksen aikaa. Tietoisuus uudesta asetuksesta on alkanut levitä kohtuullisesti niin yrityksiin, kuin kuluttajiinkin. Se onkin tärkeää, sillä asetus koskee käytännössä jokaista yritystä, ja ajanlasku toukokuulle 2018 on jo pitkällä. Silloin voimaan astuvat sanktiot, jotka voivat pahimmillaan olla jopa 20 miljoonaa euroa, tai 4% yrityksen globaalista liikevaihdosta (emoyhtiöt mukaan luettuna), kumpi tahansa on suurempi.

Uusi asetus kannattaa siis ottaa vakavasti. Se antaa kansalliselle valvontaviranomaiselle vallan määrätä jopa kymmenien miljoonien eurojen sakkoja asetuksen vaatimusten noudattamatta jättämisestä.

Yksilön oikeudet

Jokainen yritys käsittelee henkilötietoja. Esim. jokainen ERP-, CRM-, HR- järjestelmä varastoi ja käsittelee henkilötietoja. Jokaisella yrittäjällä ja työntekijällä on puhelimessaan asiakkaiden, tai potentiaalisten asiakkaiden henkilötietoja, samoin kaikilla yrityksillä on työntekijöidensä henkilötiedot. Palkanlaskenta, sairaspoissaolot, yhteystiedot, jopa pelkkä puhelinnumero on yksilöivä henkilötieto. Usein virheellisesti ajatellaan, että henkilötiedon määritelmä ei koske esim. B2B-kauppaa. Todellisuudessa kuitenkin esimerkiksi asiakkaan yhteyshenkilö Matti.Meikalainen@yritys.com on henkilötieto, sillä se voidaan yksilöidä tiettyyn henkilöön. Nopeasti huomaa, että asia koskettaa jokaista yritystä tavalla tai toisella, useimmiten todella monella tavalla.

Jokaisella näissä rekistereissä olevilla henkilöillä on tähänkin asti ollut oikeus tietojensa tarkastamiseen, niiden oikaisuun ja poistoon. Nyt EU:n tietosuoja-asetus tuo näiden lisäksi vastuun yrityksille kertoa aiempaa yksityiskohtaisemmin miten tietoja käsitellään ja miksi. Uusia vastuita ei myöskään pääse sivuuttamaan vain lisäämällä pienen lisäkappaleen pienifonttisen ja 136-sivuisen käyttäjäsopimuksen kolmanneksi viimeiseen kappaleeseen muun ”lakijargonin” joukkoon, vaan asia on erikseen selkeästi esitettävä. Uutena asiana tuli myös oikeus tietojen siirrettävyyteen eri rekisterien / yritysten välillä, sekä mahdollisuus kieltäytyä automatisoidusta profiloinnista ilman ihmisen osallistumista ketjuun henkilön ominaisuuksia määritettäessä.

Itsearviointi henkilötietojen käsittelystä

Muutamaan kysymykseen vastaamalla voi arvioida henkilötietojen käsittelyn tilaa yrityksessä:

  • Mitä henkilötietoja säilytämme ja käsittelemme rekisterissä
  • Miten tiedotamme henkilöille heidän tietojensa rekisteröinnistä
  • Mitä tulisi muuttaa, jotta järjestelmämme ja prosessimme olisivat uuden tietosuoja-asetuksen mukaisia
  • Miten nopeasti voimme vastata yksilön vaatimukseen tietojensa käsittelyn tavoista, syistä ja
  • Miten nopeasti voimme pyynnöstä poistaa kaikki henkilön tiedot ja näyttää sen toteen

Tietosuojavastaavan nimitys

Uusi tietosuoja-asetus suosittaa kaikkia yrityksiä nimittämään tietosuojavastaavan. Suoranaisena velvoitteena se on julkiselle sektorille ja yrityksille, jotka harjoittavat laajamittaista seurantaa tai arkaluonteisten tietojen käsittelyä.

Tietosuojavastaavalla tulee olla asiantuntemusta tietosuojalainsäädännöstä ja sen käytännöistä yrityksen toiminnassa. Tehtäviin kuuluu myös toimia kontaktihenkilönä viranomaisille, sekä rekisteröidyille. Tietosuojavastaavan tulee raportoida suoraan yrityksen johdolle.

Ilmoitusvelvollisuus

Uusi tietosuoja-asetus tuo mukanaan tietoturvaloukkausten ilmoitusvelvollisuuden. Jokainen yritys on velvoitettu ilmoittamaan henkilötietoihin kohdistuvista tietoturvaloukkauksista viranomaistaholle, sekä jokaiselle rekisteröidylle, jonka tietoja ko. loukkaus koskee. Aikaikkuna ilmoituksen tekemiseen on lyhyt, 72 tuntia. Tällainen vasteaika vaatii yrityksiltä korkeatasoista valmiutta loukkausten havaitsemiseen, vahinkojen minimointiin sekä ilmoittamiseen.

Ulkoistukset ja yhteistyösopimukset

Tietosuoja-asetuksen myötä on syytä tarkistaa yrityksen ulkoistus- ja yhteistyösopimukset. Mikäli ulkoinen palveluntarjoaja käsittelee, ylläpitää tai tarkastelee henkilötietoja, tulee myös tämän tahon täyttää asetuksen asettamat vaatimukset.

Tekemisen voi ulkoistaa, vastuuta ei.

Toimi jo tänään!

Tietosuoja-asetus astui voimaan 21. toukokuuta 2016, jolloin alkoi kahden vuoden siirtymäaika. Yritysten kannattaa toimia siis jo tänään, sillä viranomaisvelvoitteet ja valvonta alkavat sanktioineen jo 25. Toukokuuta 2018.


Takaisin