EU:n tietosuoja-asetus GDPR

Tietosuoja-asetus, mitä se tarkoittaa?

EU:n yleinen tietosuoja-asetus GDPR astui voimaan huhtikuussa 2016 ja sitä aletaan soveltaa toukokuussa 2018. Nyt eletään siirtymäaikaa, joka tarkoittaa sitä, että yritysten on hyvä varmistua siitä, että

  1. henkilötietojen käsittely on Suomen kansallisen henkilötietolain mukaista http://www.finlex.fi/fi/laki/ajantasa/1999/19990523
  2. henkilötietojen käsittelymenettelyt sekä tietovirrat on auditoitu eli tiedetään, minkälaisia henkilötietorekisterejä yrityksellä on

Tavanomaisesti yrityksillä on asiakasrekisteri ja työnantajarekisteri, mutta muitakin erityisiä rekistereitä voi löytyä, kuten suoramarkkinointirekisteri tai työnhakijoiden henkilötietorekisteri.

Tietosuoja-asetuksen tarkoituksena on parantaa kuluttajien luottamusta sähköisiin palveluihin ja edistää EU:n digitaalisten sisämarkkinoiden kehittämistä luomalla henkilötietoja käsitteleville organisaatioille EU:n alueella yhdenmukaiset ja kattavat tietosuojapelisäännöt.

 

Uutta tietosuoja-asetusta aletaan soveltaa keväällä 2018 – mikä muuttuu?

Suurin muutos verrattuna Suomen aikaisempaan henkilötietolakiin löytyy asetuksen 5. artiklasta eli siinä puhutaan osoitusvelvollisuudesta. Aiemmin on riittänyt, että organisaatio noudattaa lainsäädäntöä, mutta jatkossa henkilötietoja käsittelevän organisaation on pystyttävä dokumentaation avulla osoittamaan, että henkilötietojen käsittelyperiaatteita on noudatettu.

 

EU:n yleinen tietosuoja-asetus GDPR – miten Applex voi auttaa?

Alkuun kannattaa varmistua siitä, että organisaation nykyiset tietojenkäsittelytoimet vastaavat Suomen nykyistä henkilötietolakia. Siitä on hyvä siirtyä asetuksen noudattamiseen.

Applex voi auttaa muun muassa

tarkastamalla tarvittavat organisaation käyttöehdot, informointiasiakirjat, asiakassopimukset sekä muun dokumentaation tietosuoja-asetukseen ja yrityksen henkilötietojen käsittelyn toimintamalleihin liittyen

-saattamalla dokumentaation asetuksen vaatimaan tilaan

 

Tarkempaa tietoa tietosuoja-asetuksen keskeisimmistä vaatimuksista

Alle on koottu tietosuoja-asetuksen keskeisimpiä vaatimuksia rekisterinpitäjille eli niille yrityksille, joiden käyttöä varten henkilörekisteri perustetaan ja joka määrittää henkilötietojen käsittelyn tarkoitukset ja keinot. Tavallisesti yrityksillä on ainakin työntekijä- ja asiakasrekisteri.

1. Osoitusvelvollisuus

Merkittävänä muutoksena nykyiseen henkilötietolakiin verrattuna asetus esittelee uuden rekisterinpitäjiä koskevan osoitusvelvollisuuden. Kun aiemmin henkilötietolain nojalla on riittänyt, että henkilötietojen käsittelyn tarkoituksen ja keinot määrittelevä rekisterinpitäjä noudattaa henkilötietojen käsittelyperiaatteita ja muita lain asettamia vaatimuksia, jatkossa rekisterinpitäjän on pystyttävä osoittamaan noudattavansa näitä asetuksen vaatimuksia.

2. Tietosuojaselosteet

Kaikkien yritysten on päivitettävä henkilötietojen käsittelyä kuvaavat informointiasiakirjat eli tietosuojaselosteet asetuksen vaatimaan tilaan. Nykyiset henkilötietolain mukaiset rekisteri- ja tietosuojaselosteet eivät ole riittäviä enää 25.5.2018 alkaen, jolloin asetuksen soveltaminen alkaa.

3. Kirjalliset sopimukset tietojenkäsittelystä

Mikäli ulkopuolinen taho käsittelee henkilötietoja (kuten asiakas- tai työntekijätietoja) yrityksesi puolesta, tällaisesta henkilötietojen käsittelystä on sovittava kirjallisella sopimuksella, jossa sovitaan osapuolten oikeuksista ja velvollisuuksista tietojenkäsittelyssä. Sopimuksessa täytyy muiden pakollisten sisältövaatimusten ohella mm. kuvata henkilötietojen käsittelytoiminta, ja henkilötietojen käsittelijä saa käsitellä tietoja ainoastaan yrityksesi antamien dokumentoitujen ohjeiden mukaisesti.

4. Tietosuojaa koskeva vaikutustenarviointi

Lisäksi uutena vaatimuksena asetuksen myötä yrityksesi tulee suorittaa tietosuojaa koskevaa vaikutustenarviointia ennen henkilötietojen käsittelyä, mikäli käsittely todennäköisesti aiheuttaa rekisteröidyn oikeuksien ja vapauksien kannalta korkean riskin. Vaikutustenarvioinnissa on muun ohella kuvattava suunnitellut käsittelytoimet ja käsittelyn tarkoitukset järjestelmällisesti, arviot käsittelytoimien tarpeellisuudesta ja riskeistä sekä toimenpiteet ja mekanismit riskeihin puuttumiseksi.

5. Velvollisuus ilmoittaa tietoturvaloukkauksista

Mikäli henkilötietoihin kohdistuu sisäinen tai ulkoinen tietoturvaloukkaus, on yritykselläsi tällöin velvollisuus ilmoittaa loukkauksesta 72 tunnin kuluessa valvontaviranomaiselle. Jos loukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, loukkauksesta on tällöin ilmoitettava näille rekisteröidyille ilman aiheetonta viivytystä.

6. Tietosuojavastaava

Mikäli yrityksesi ydintehtävät edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa tai laajamittaista erityisten henkilötietoryhmien käsittelyä, on yrityksesi nimitettävä tietosuojavastaava. Tietosuojavastaava antaa ohjeita henkilötietojen käsittelystä ja varmistaa yrityksesi noudattavan asetusta. Asetus edellyttää, että tietosuojavastaava raportoi suoraan organisaation ylimmälle johdolle.

7. Rekisteröidyn suostumuksen tiukentuneet vaatimukset

Mikäli yrityksesi käsittelee henkilötietoja henkilön suostumuksen perusteella esimerkiksi verkkopalvelun tarjoamisen yhteydessä, asetuksen uudet vaatimukset sitovalle suostumukselle tulee ottaa huomioon henkilötietojen keräämisen yhteydessä, kuten palvelun käyttöehdoissa.

Ensinnäkin yrityksesi on jatkossa pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojen käsittelyyn. Lisäksi suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Ennen kuin rekisteröity antaa suostumuksensa, hänelle on myös kerrottava mahdollisuudesta peruuttaa suostumus milloin tahansa. Suostumuksen peruuttaminen on tehtävä yhtä helpoksi kuin sen antaminen.

8. Velvollisuus ilmoittaa tietoturvaloukkauksista

Mikäli henkilötietoihin kohdistuu sisäinen tai ulkoinen tietoturvaloukkaus, on yritykselläsi tällöin velvollisuus ilmoittaa loukkauksesta 72 tunnin kuluessa valvontaviranomaiselle. Jos loukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, loukkauksesta on tällöin ilmoitettava näille rekisteröidyille ilman aiheetonta viivytystä.

9. Hallinnolliset sakot

Henkilötietojen laillisen käsittelyn varmistamiseksi tietosuoja-asetus mahdollistaa raskaiden sanktioiden langettamisen niille yrityksille, jotka eivät noudata asetuksen vaatimuksia käsittelytoimissaan. Rikkomuksen luonteesta riippuen asetus antaa tietosuojaviranomaisille mahdollisuuden langettaa enimmillään jopa 20 miljoonan euron suuruisen hallinnollisen sakon tai hallinnollisen sakon, joka käsittää neljä prosenttia yrityksen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta.

Henkilötietoja käsittelevien organisaatioiden vastuuta korostamalla sekä ankarilla sanktioilla EU:n yleisen tietosuoja-asetuksen myötä tietosuoja-asiat tulevat siten väistämättä osaksi organisaatioiden ydintoimintoja. Nyt onkin hyvä aika käydä läpi yrityksesi tietosuojakäytänteet ja -dokumentaatio sekä varmistaa hyvissä ajoin, että henkilötietojen kerääminen ja käsittely vastaavat asetuksen vaatimuksia.

Asianajotoimisto Applexin asiantuntijat auttavat yritystäsi kaikissa tietosuoja-asetukseen liittyvissä kysymyksissä, kuten henkilötietojen käsittelytoiminnan lainmukaisuuden varmistamisessa ja tarvittavien asiakirjojen laadinnassa. Lue lisää Yleisen tietosuoja-asetuksen ABC -palvelukonseptistamme.

Asianajotoimisto Applex järjestää koulutuksia EU:n yleisestä tietosuoja-asetuksesta. Ilmoittaudu tästä ->

Katso myös GDPR oppaamme!