Olet varmasti kuullut puhuttavan uudesta eurooppalaisesta tietosuojalaista (GDPR), joka astuu voimaan 25.5.2018. Mitä asetuksen voimaantulo tarkoittaa käytännössä? Kuinka asetus vaikuttaa käytännön työhön? Asiantuntijat suosittelevat, että yritykset ja organisaatiot aloittavat jo ajoissa tarkkailemaan ja tarvittaessa korjaamaan toimintaansa asetuksen edellyttämään suuntaan.
Onko työpaikallasi varauduttu uuden tietosuoja-asetuksen vaatimuksiin?
Huolimatta siitä, millä toimialalla työskentelet, on hyvin todennäköistä, että tietosuoja-asetus tulee vaikuttamaan työhösi. Erityisesti henkilöstöhallinnon, markkinoinnin, juridiikan ja IT-alan henkilöstön kannattaa tarkistaa henkilötietojen käsittelyä koskevat käytäntönsä. Tietosuoja-asioissa kannattaa kääntyä asiantuntijoiden puoleen. Apua saa esimerkiksi aihepiirin koulutuksista.
GDPR
Lyhenne GDPR tulee sanoista General Data Protection Regulation. Asetusta on noudatettava 25. toukokuuta 2018 alkaen kaikissa EU-maissa. Virallisesti yleinen tietosuoja-asetus tuli kuitenkin voimaan jo 24. toukokuuta 2016, joka aloitti kahden vuoden siirtymäajan. Suomessa GDPR korvaa vanhan henkilötietolain.
Miksi tietosuoja-asetusta tarvitaan?
Uuden tietosuoja-asetuksen tarkoituksena on vahvistaa henkilötietojen käsittelyn tietosuojaa. Henkilötiedot voivat käsittää erilaista informaatiota niin työntekijöistä, asiakkaista kuin potentiaalisista asiakkaistakin. Tavoitteena on harmonisoida EU:n jäsenvaltioiden tietosuojasäännöstöä GDPR:n avulla. Aikaisemmin on ollut jokaisen jäsenmaan oman tulkinnan varassa, miten henkilötietosuojaa käsitteleviä direktiivejä sovelletaan.
Miten tietosuoja-asetus eroaa henkilötietolaista?
Tietosuoja-asetuksen voidaan katsoa olevan kuin vahvistettu henkilötietolaki. Useat osat henkilötietolaista löytyvät edelleen myös tietosuoja-asetuksesta, mutta tärkeitä eroavaisuuksiakin löytyy. Henkilötietolain keskittyessä enemmän siihen, miten tietoja hallitaan ja käsitellään kun yritys on ne hankkinut, keskittyy GDPR enemmän siihen, miten ja miksi henkilötietoja kerätään. Suurin ero henkilötietolain ja GDPR:n välillä lienee, että yritykset eivät voi enää omistaa henkilötietoja. Niitä voi ainoastaan lainata.
Keihin GDPR vaikuttaa?
Uusi tietosuoja-asetus tuo mukanaan keskeisen muutoksen niihin toimintatapoihin, joilla suomalaiset yritykset, organisaatiot ja viranomaiset käsittelevät henkilötietoja.
Yritykset ja muut organisaatiot
- Velvoite informoida, miten henkilötietoja käsitellään, mitä tietoja kerätään ja miksi.
- Velvoite tuntea kaiken keräämänsä informaation ja ne järjestelmät, jotka informaatiota käsittelevät.
- Velvoite nimittää tietosuojavastaava jos yritys esimerkiksi käsittelee hienovaraisia tietoja suurissa määrin. Tietosuojavastaava on vastuussa lain noudattamisesta ja henkilöstön kouluttamisesta sekä toimii yleisön yhteyshenkilönä tietosuojaa koskevissa asioissa.
Henkilötietoja käsittelevissä yrityksissä ja organisaatioissa tulisi jo nyt osata vastata esimerkiksi seuraaviin kysymyksiä:
- Miksi meillä on tiettyjä käyttäjä-, henkilö- tai muita tietoja?
- Tarvitsemmeko niitä?
- Miten tiedot kerätään?
- Kenellä on pääsy tietoihin?
Tietosuoja-asetukseen tulee varautua esimerkiksi jos organisaation verkkosivustolla, verkkokaupassa tai muussa verkkopalvelussa voi rekisteröityä asiakkaaksi tai jäseneksi tai organisaatio ylläpitää sähköpostirekisteriä esimerkiksi asiakaspostitusten tekemiseen.
Yksityishenkilöt
- Tietosuoja-asetus vahvistaa yksilön oikeutta tulla informoiduksi kun hänestä kerätään dataa, miten dataa kerätään ja mihin dataa käytetään.
- Suoramarkkinoinnilta välttyminen helpottuu.
- Yksityishenkilöillä tulee uuden asetuksen myötä olemaan oikeus pyytää, että hakumoottorit poimivat henkilökohtaiset tiedot pois. Tätä kutsutaa oikeudeksi tulla unohdetuksi.
Mitä tapahtuu jos asetusta ei noudata?
Yritykset, jotka eivät noudata asetuksen säännöksiä, voivat joutua maksamaan isoja korvauksia. Korvaus voi olla jopa 20 miljoonaa euroa tai neljä prosenttia yrityksen liikevaihdosta. Suomessa tietosuojavaltuutetun virasto valvoo sääntöjen noudattamista. Myös EU-tasolta löytyy tietosuojasta vastaava päätöselin, joka vetää suuntaviivat ja päättää lain tulkinnoista.
löytyykö teiltä tarvittavaa tietosuojaosaamista?
Lakiprosessi on ollut pitkä ja monimutkainen, ja ensimmäinen luonnos tuotiin esiin jo vuonna 2012. Tulee edelleen ottamaan aikansa ennen kuin uuden tietosuoja-asetuksen mukaiset käytännöt saavat tukevan jalansijan. Onkin tärkeää pysyä kehityksessä mukana ja ottaa selvää, mikä sitoo itseä ja mikä taas ei. Ajan tasalla pysyy erityisen hyvin ottamalla yhteyttä asiantuntijoihin, pyytämällä konsultointiapua ja hakeutumalla tietosuojakoulutukseen.
Etsitkö tietosuojakoulutusta? Kurkkaa täältä!
Etsitko koulutusta tietosuoja-asetuksesta tai tietosuojasta?
Löydä itsellesi tai organisaatiollesi sopiva tietosuojakoulutus täältä!
Lähteet: Tietosuoja.fi