Ajankohtaista

28.11.2017

Share |

Tiistai 28.11.2017 - Nordic Progress Oy


Miten selvitä EU:n uudesta tietosuoja-asetuksesta

 
eu-lippu-tietosuoja-asetus-nordic-progress.jpeg 
 
Tietosuojalaki uudistuu ja tulee voimaan toukokuussa 2018. Oletko jo huomioinut, mitä vaikutuksia muutoksilla mahdollisesti on sinun yrityksesi toiminnan kannalta? Tietosuojauudistus vaikuttaa erityisesti yritysten turvallisuuskäytäntöihin. Mistään uudesta ja maailmaa mullistavasta asiasta ei kuitenkaan ole kysymys. Kävimme Keskuskauppakamarin Tietosuojapäivässä kuuntelemassa mistä on kyse, missä tällä hetkellä mennään ja mitä oikeastaan tulisi tehdä.

 

Mikä tietosuoja-asetus?

 

Tilaisuuden avauspuheen saapui suoraan Brysselistä pitämään Tiina Astola, Euroopan komission Oikeus- ja kuluttaja-asioiden pääosaston (DG JUST) pääjohtaja. Astola pyrki huojentamaan kuulijoita painottamalla, että ei ole ollut tarkoitus aloittaa tietosuojakeskustelua pelottelemalla sanktioilla. Keskustelu oli tahattomasti kääntynyt siihen suuntaan. Tosiasiassa uudistus ei ole vallankumouksellinen muutos jo 20 vuotta olemassa olleeseen tietosuojadirektiiviin. Maailma muuttuu, verkkokäyttäytyminen muuttuu ja näiden myötä myös oikeus valvoa omia tietojaan on noussut esiin. Tähän tarpeeseen säännöksiä ollaan kehittämässä.
Pyrkimys on myös yksinkertaistaa sekä yhtenäistää säännöksiä. Uusi asetus ei ole pelottava mörkö, joka jakelee sanktioita herkällä kädellä. Sitä vastoin se on suoraan sovellettavissa omaan toimintaan ja siinä on liikkumavaraa. Asetusta ei saateta voimaan erikseen maakohtaisesti, vaan sillä pyritään yhdenmukaistamaan tietosuojasääntelyä koko Euroopan alueella. Uusi säännöstö koskee kaikkia toimijoita EU:ssa. Asetuksen ansiosta kuluttajalle pyritään turvaamaan helpompi pääsy itsestään kerättäviin tietoihin, tällä on oikeus siirtää tietojaan eri taholta toiselle, oikeus tulla unohdetuksi sekä oikeus tietää, mikäli on joutunut tietomurron kohteeksi.
Asetuksen sanotaan mahdollistavan uudet innovaatiot. Tarkoitus on varmistaa digitaaliset markkinat, eli sen sijaan että yritys ei tekisi mitään sanktioiden pelossa, tietosuojavaltuutettu Reijo Aarnio Tietosuojavaltuutetun toimistolta rohkaisee näkemään asian niin, että meille tarjotaan 500 miljoonaa asiakasta. Yhtenäisillä säännöksillä pyritään täten tukemaan rajojen yli tapahtuvaa kauppaa mm. lisäämällä luottamusta verkkokauppaan.

 

Näin valmistaudut tietosuoja-asetuksen uudistukseen

 

Kuinka sitten valmistautua uudistukseen? Tietosuojapäivässä kuulijoita kehotettiin etenemään rauhallisesti ja hätiköimättä: maltti on valttia! Keskustelut ovat komissiossa vielä kesken, eikä varsinaista uutta sovellettavaa vielä ole. Kokosimme Tietosuojapäivästä sekä Keskuskauppakamarin arkistosta muutamia tärppejä, mitä kuitenkin voi tehdä jo nyt.

 

1. OTA HENKILÖTIETOLAKI OPPAAKSI

Jo olemassa olevalla säädöksellä pääsee pitkälle. 6 § Henkilötietojen käsittelyn suunnittelu:

”Henkilötietojen käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta. Henkilötietojen käsittelyn tarkoitukset sekä se, mistä henkilötiedot säännönmukaisesti hankitaan ja mihin niitä säännönmukaisesti luovutetaan, on määriteltävä ennen henkilötietojen keräämistä tai muodostamista henkilörekisteriksi. Henkilötietojen käsittelyn tarkoitus tulee määritellä siten, että siitä ilmenee, minkälaisten rekisterinpitäjän tehtävien hoitamiseksi henkilötietoja käsitellään.”

 

2. TUNNISTA JA ARVIOI NYKYTILANNE

Oman yrityksen henkilötietojen käsittelyn nykytila kannattaa selvittää ja arvioida uusien vaatimusten valossa. Selvityksessä voidaan tarkastella esimerkiksi sitä, mitä henkilötietoja yrityksessä käsitellään ja miten tällä hetkellä toimitaan voimassa olevan henkilötietolain mukaisesti. Tarkastella kannattaa myös, miten rekisteröidylle tiedotetaan tietojen käsittelystä ja miten yrityksen toimintaa tulisi mahdollisesti kehittää uusien säännösten myötä.

3. VARMISTA OSAAMINEN

Uudessa tietosuoja-asetuksessa on asetettu tilivelvollisuus henkilötietoja käsitteleville tahoille. Tietosuojaa koskevilta toimilta edellytetään ennakoitavuutta, kuten suunnittelua, varautumista ja kykyä osoittaa toteutetut toimenpiteet. Selkeästi määritellyt vastuut ja etukäteen määrätyt tavat sekä menetelmät käsitellä henkilötietoja auttavat tämän toteutumista. Yrityksen tulee pystyä jälkikäteen osoittaman, että lainsäädännön vaatimukset ja riskit on otettu huomioon asianmukaisesti. Yritykseen kannattaa esimerkiksi nimittää tietosuojavastaava, joka valvoo tietosuojan toteutumista.

 

4. MAHDOLLISTA OIKEUS TULLA UNOHDETUKSI

Rekisteröidyllä on oikeus tarkistaa itseään koskevat tiedot ja rekisterinpitäjän on oikaistava virheelliset tiedot. Rekisteröidyllä on myös oikeus pyytää poistettavan tai joidenkin järjestelmien niin salliessa poistaa itse tarpeettomat ja vanhentuneet henkilötiedot.

 

5. ILMOITA TIETOTURVALOUKKAUKSISTA

Jokainen yritys on jatkossa velvollinen ilmoittamaan henkilötietoihin kohdistuvasta tietoturvaloukkauksesta sekä valvovalle viranomaiselle että rekisteröidylle. Rekisteröidylle tulee ilmoittaa ilman aiheetonta viivytystä ja viranomaiselle 72 tunnin kuluessa loukkauksen havaitsemisesta. Yrityksen on siis paitsi kyettävä havaitsemaan loukkaus, myös ilmoittamaan siitä sekä pyrittävä minimoimaan vahinkojen aiheutuminen.

 

6. SEURAA KESKUSTELUA

Koska keskustelut ovat vielä kesken komissiossa, viisaan yrityksen tehtäväksi jää seurata keskustelua ja asetuksen etenemistä. Kannattaa seurata myös, mitä mahdollisesti vielä nousee esiin toukokuuhun mennessä ja itse asetuksen voimaan tulemisen jälkeen.

 

Tietoa löytyy esimerkiksi:

Avainsanat: tietosuoja, eu tietosuoja, tietosuojalaki, eu tietosuoja-asetus, henkilörekisteri


Kommentoi kirjoitusta


Nimi:*

Kotisivun osoite:

Sähköpostiosoite:

Lähetä tulevat kommentit sähköpostiini