EU:n tietosuoja-asetus tulee – oletko valmis?

Henkilötietojen_käsittely_etukansi_res300.png

EU:n tietosuoja-asetus (GDPR) tulee voimaan 25.5.2018 ja vaikuttaa kaikkien yritysten toimintaan. Tiedätkö, miten tietosuoja-asetus vaikuttaa yrityksesi toimintaan ja miten sen voimaantuloon voi valmistautua?

Tietosuoja-asetus tuo uusia henkilötietojen käsittelyyn liittyviä velvoitteita niin yrityksille, yhdistyksille kuin muillekin yhteisöille, joissa henkilötietoja käsitellään. Yrityksen koolla ei ole merkitystä – jos yrityksessä käsitellään minkäänlaisia henkilötietoja, asetusta sovelletaan, vaikka yrityksessä olisi vain asiakas tai yksi työntekijä.

Asetuksessa on eritelty velvollisuudet toisaalta rekisterinpitäjälle ja toisaalta henkilötietojen käsittelijälle. On olennaista määrittää, missä roolissa yritys milloinkin toimii. Roolit määräytyvät tosiasiallisen aseman perusteella, eikä niistä voida sopia toisin.

Rekistereissä saa olla vain etukäteen laaditun suunnitelman mukaista tietoa. Sen on myös oltava tarpeellista; ns. nice to know -tietoja ei saa käsitellä.

Tietojen käsittelyyn on aina oltava laillinen peruste. Henkilötietojen käsittely on lainmukaista ainoastaan jos, ja vain siltä osin kuin, vähintään yksi asetuksessa luetelluista lainmukaisen käsittelyn edellytyksistä täyttyy. Käytännössä pienten ja keskisuurten yritysten toiminnassa yleisimpiä käsittelyperusteita ovat suostumus, sopimus ja oikeutettu etu.

Rekisterin ylläpidon on oltava sekä suunnitelmallista että dokumentoitua. Yrityksen on otettava huomioon henkilötietojen käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit. Niiden perusteella on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan asetusta. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa. Jokaisen yrityksen on arvioitava omaa toimintaansa ja siinä mahdollisesti esiintyviä tietosuojaan liittyviä riskejä sekä sopeutettava ja suunniteltava tietojen käsittely sen mukaisesti.

Asetuksessa säädetään lisäksi rekisteröityjen henkilöiden (esim. asiakkaiden ja työntekijöiden) uusista oikeuksista koskien mm. tiedonsaantia. Yrityksen tulee myös helpottaa rekisteröidyn oikeuksien käyttämistä, joten rekisteröityjen saatavilla tulee olla ohjeet siitä, miten oikeuksia voidaan käyttää. Ohjeistuksen ja menettelyn tulee myös olla sellaisia, että rekisteröity voi käyttää oikeuksiaan suhteellisen helposti.

Asetuksen vastaisesta henkilötietojen käsittelystä on säädetty huomattavia taloudellisia seuraamuksia, joiden suuruus määräytyy yrityksen liikevaihdon perusteella. Nämä toiminevatkin vahvana kannustimena yrityksille asetuksen noudattamisessa.

Eversheds Asianajotoimisto Oy:n tietosuoja- asiantuntijat asianajaja, osakas Markku Varhela, asianajaja Minna Hanninen, lakimies Elli Laine, asianajaja Kati Rantala ja asianajaja Mari Rusi ovat kirjoittaneet aiheesta käytännönläheisen oppaan Henkilötietojen käsittely – EU-tietosuoja-asetuksen vaatimukset. Se antaa ohjeistusta siihen, miten yritykset osaisivat ottaa huomioon asetuksen mukanaan tuomat velvollisuudet tai ainakin havaitsisivat, mitä muutoksia mahdollisesti tarvitaan.

Valmistaudu päivittämään organisaatiosi henkilötietojen käsittely tasolle, joka vastaa asetuksen mukaisia vaatimuksia!

Teksti: Leena Viitala

Lähde: Minna Hanninen, Elli Laine, Kati Rantala, Mari Rusi, Markku Varhela: Henkilötietojen käsittely – EU-tietosuoja-asetuksen vaatimukset

Vastaa