EU:N TIETOSUOJA-ASETUS ASTUU VOIMAAN TOUKOKUUSSA 2018
EU:n tietosuoja-asetus, eli GDPR (General Data Protection Regulation) uudistui, kun yleinen tietosuoja-asetus tuli voimaan 24. toukokuuta 2016. Tietosuoja-asetusta sovelletaan kahden vuoden siirtymäajan jälkeen 25. toukokuuta 2018 alkaen, jolloin henkilötietojen käsittelyn on oltava tietosuoja-asetuksen mukaista.
Ketä tietosuoja-asetus koskee
GDPR koskee kaikkia organisaatioita, jotka tavalla tai toisella ylläpitävät henkilötietorekistereitä tai käsittelevät henkilötietoja. Henkilötiedoksi lasketaan nyt mikä tahansa sellainen tieto, josta henkilön voi tunnistaa. Näitä ovat henkilötunnuksen lisäksi esimerkiksi nimi, osoite, sähkö- postiosoite, ip-osoitteet, pankkitiedot, biometriset tunnisteet tai puhelinnumero.
Mikä tahansa yritys tai organisaatio todennäköisesti ylläpitää erilaisia henkilörekistereitä, kuten asiakasrekistereitä markkinointi- ja viestintätarpeita varten. Tällöin he kuuluvat uuden tietosuoja-asetuksen piiriin, ja heitä koskevat sen säännöt. Vastuu tietosuoja-asetuksen vaatimusten täyttämisestä on aina organisaatiolla itsellään riippumatta siitä, käytetäänkö ulkopuolisia palveluita vaikkapa palkanmaksuun.
Rekisterin käyttötarkoitus
Yrityksillä tulee olla selvästi kirjattuna henkilörekisterien käyttötarkoitus eli mihin rekisteriä käytetään. On pystyttävä kertomaan, miten ja milloin henkilö- tietorekisterissä listatut tiedot on kerätty. Tämän lisäksi on myös oltava kirjattuna suunnitelma siitä, miten rekisterien sisältämä tieto suojataan, sekä selkeä toimintasuunnitelma mahdollisen tietosuojamurron sattuessa. Osoitusvelvollisuus tulee helposti täytettyä, kun dokumentit ja tietoturvallisuutta koskevat suunnitelmat pidetään ajan tasalla.
Henkilötiedot pitää ryhmitellä niiden käyttötarkoituksen mukaan: esimerkiksi asiakasrekisteri markkinointia ja viestintää varten ja henkilöstörekisteri omasta henkilökunnasta. Jokaisesta rekisteristä on syytä tehdä oma tietosuojaseloste. Selosteesta tulee käydä ilmi tietojen keruutapa, syy tietojen listaamiseen, tietojen käyttötapa, tietojen päivitysprosessi ja tietojen käsittelijät. On tärkeä muistaa, että rekisterin sisältämiä tietoja saa käyttää vain selosteessa kerrottuun käyttötarkoitukseen.
Henkilötietojen ulkoistaminen
Asetuksella voi olla vaikutusta yrityksen sopimuskäytäntöihin. Uusi sääntely velvoittaa sopimaan aiempaa seikkaperäisemmin esimerkiksi henkilötietojen käsittelyn ulkoistamisesta. Henkilötietoja saatetaan siirtää yritykseltä toiselle hyvin monenlaisissa tilanteissa, esimerkiksi alihankinnan, markkinointikampanjan tai ulkoistamispäätöksen yhteydessä. Tämän vuoksi yrityksen eri sopimukset on hyvä käydä läpi ajoissa ja tehdä tarvittavat päivitykset ennen toukokuuta 2018.
Sanktioita asetuksen velvoitteiden noudattamatta jättämisestä
Tietosuoja-asetuksen tarkoituksena on lisätä henkilötietojen käsittelyn avoimuutta ja läpinäkyvyyttä sekä vahvistaa rekisteröityjen oikeuksia valvoa henkilötietojensa käsittelyä. Asetuksen velvoitteiden noudattamista tuetaan tehokkaalla täytäntöönpanolla: asetuksessa on säädetty henkilötietolakia tiukemmat seuraamukset asetuksen vastaisesta henkilötietojen käsittelystä. Valvontaviranomainen voi esimerkiksi määrätä henkilötietojen käsittelyyn liittyviä korjaavia toimenpiteitä ja hallinnollisia sakkoja.
Asetuksen toteutumista valvoo Suomen tietosuojaviranomainen.
Ohessa malleja rekisteriseloste -lomakkeista ja lisätietoa aiheesta
http://www.tietosuoja.fi/fi/index/materiaalia/lomakkeet/rekisteri-jatietosuojaselosteet.html