MyFondia VirtuaaliLakimies
18. joulukuuta, 2015

EU:n tietosuoja-asetus! –Pitkän odotuksen jälkeen

Ajatus tietosuojan uusista suuntaviivoista syntyi vuonna 2012. Jo tuolloin tietosuojadirektiivin (1995) ei nähty vastaavan uuden digitaalisen markkinan vaatimuksiin. Nyt vuonna 2015 Euroopan parlamentti, komissio ja neuvosto ovat vihdoin saavuttaneet yhteisymmärryksen tekstistä EU:n tietosuoja-asetukseksi. Tuloksena on 200 -sivuinen dokumentti , kompromissi . Tavoitteena on rakentaa vahva pohja, jolle eurooppalaisia digitaalisia palveluita voidaan rakentaa. Asetus tulee voimaan jäsenmaissa sellaisenaan ja harmonisoi vaatimukset asetuksen sisältämien asioiden osalta. Jäsenvaltioiden välille tulee kuitenkin jäämään myös eroja tietosuojavaatimusten osalta.

Mitä tämä tarkoittaa yritykselleni?

Tietosuoja-asetuksen voimaantulo edellyttää vielä käsittelyä EU:n parlamentissa, jonka odotetaan tapahtuvan alkuvuonna 2016. Asetukseen tulee todennäköisesti kahden vuoden siirtymäaika, jonka aikana sekä henkilötietojen rekisterinpitäjillä että käsittelijöillä on aikaa saattaa tietosuojansa asetuksen vaatimalle tasolle. Suomen tietosuojalainsäädännön kivijalka säilyy, mutta asetus sisältää myös uusia vaatimuksia mm.

  • Tietosuojasääntöjen rikkominen voi johtaa 4 %:n sakkoon liikevaihdosta
  • Tietyistä tietoturvaloukkauksista on ilmoitettava
  • Tietosuojavastaavan nimeämisen vaatimus tulee laajentumaan tämän hetkisestä
  • Tietojen käsittelystä tulee informoida käyttäjää entistä selkeämmin ja ymmärrettävällä tavalla. Informaation on oltava helposti saatavilla ja se tulee tehdä ennen tiedon keräämistä ja/tai palvelun käyttöönottoa
  • Käyttäjälle oikeus omien tietojen siirtoon palveluntarjoajalta toiselle
  • Jatkossa rekisterinpitäjän tulee voida osoittaa toimivansa lain mukaisesti. Yritys on rekisterinpitäjänä ns. tilivelvollinen henkilötietojen käsittelystä (Accountability)

Mitä kannattaa tehdä nyt?

Mikäli et ole jo aloittanut, yrityksen tietosuojan rakentaminen kannattaa ehdottomasti aloittaa jo nyt:

  1. Ennakoi ja tee tietosuojakartoitus viimeistään nyt. Millä tavalla henkilötietoja yrityksessä käsitellään tällä hetkellä? Kuka omistaa tiedon? Onko henkilöstö tietoinen tietosuojavaatimuksista? Täyttääkö organisaatiosi henkilötietojen käsittelyn tämän hetkiset tietosuojavaatimukset?
  2. Määritä organisaatiosi tietosuojataso ja sitä koskevat linjaukset. Mikä merkitys tietosuojalla on organisaatiossasi?
  3. Kenen vastuulle tietosuoja-asiat kuuluvat? Onko syytä nimittää tietosuojavastaava, joka toimii johdon apuna raportoiden ja henkilöstön tukena henkilötietojen käsittelyä koskevissa kysymyksissä? Varaa tietosuojatyöhön riittävät resurssit (työaika, välineet, koulutus).
  4. Hoida kartoituksen esiintuomat puutteet kuntoon.

Näin olet varautunut tietosuoja-asetuksen uusiin vaatimuksiin säännösten voimaantullessa.

Kaipaatko lisätietoja tai apua uuden asetuksen keskeisten säännösten ymmärtämiseen? Ilmoittaudu nyt1.6.2016 järjestettävään EU-tietosuoja-asetus seminaariimme ja ota asetuksen keskeisimmät artiklat kerralla haltuun!