Valmistauduthan jo keväällä voimaan tulevaan tietosuoja-asetukseen?

  • Tietosuoja-asetus

EU:n laajuinen yleinen tietosuoja-asetus General Data Protection Regulation (GDPR) tulee voimaan jäsenvaltioissa 25.5.2018. Oikeusministeriön asettama työryhmä jatkaa siihen asti asetuksen kansallista työstämistä Suomessa.

EU:n uuden voimaan astuvan tietosuoja-asetuksen on tarkoitus korvata sekä yhtenäistää eri maiden olemassa olevaa säädäntöä. Uusi asetus selkeyttää ja nykyaikaistaa vaatimuksia ja toimintatapoja, tarkoituksenaan tuoda kuluttajille enemmän turvaa ja valtaa omien henkilötietojensa hallintaan.

Huomattavaa on, että tietosuoja-asetus määrittelee henkilötiedon olevan kaikkea henkilöä yksilöivää tietoa, joka on kerätty tallennustavasta riippumatta. Asetus koskee näin ollen kattavasti kaikkea kerättyä ja tallennettua henkilötietoa. Jos yrityksen henkilötietojen rekisterinpitäjä ei lakisääteisen velvoitteen noudattamiseksi joudu keräämään henkilötietoa, tulee siihen henkilöltä aina pyytää lupa. Henkilötietoja voidaan käsitellä ainoastaan siihen tarkoitukseen ja sen mukaisesti, kun kyseisessä sopimuksessa on kuvattu. Tarvittaessa rekisterinpitäjän tulee kyetä osoittamaan henkilön suostumus, joten kirjallinen suostumus on selkein tapa suostumuksen pyytämiseen. Henkilöllä on oikeus myös vaatia tietojensa poistamista rekisteristä ja rekisterinpitäjän velvollisuus on poistaa henkilötiedot ilman aiheetonta viivästystä.

 

Tärkeitä kohtia voimaan astuvasta asetuksesta:

  • Uusi direktiivi koskettaa kaikkia EU:n alueen henkilötietoja, riippumatta siitä, tapahtuuko käsittely unionin alueella.
  • Yrityksen tulee nimittää organisaatiossaan tietosuojavastaava ja nimitys tulee ilmoittaa valvontaviranomaisten tietoon.
  • Henkilötietoihin kohdistuvista tietoturvaloukkauksista tulee yrityksen ilmoittaa viipymättä (72 h kuluessa) valvontaviranomaiselle. Yrityksiltä edellytetään myös dokumentaatiota rekistereiden hallintaan liittyvistä tietoturvakäytännöistä.
  • Uusi asetus on kaikilta osiltaan velvoittava ja sen noudattamatta jättämisestä muistetaan sakoilla.

To Do -lista ennen asetuksen voimaan astumista:

  • Päivitä ja selkeytä omat prosessisi sekä henkilötietorekisterit asetuksen mukaisesti.
  • Varmistu siitä, että yritykselläsi on lupa tietojen keräämiseen henkilöiltä.
  • Dokumentoi yrityksen sisäiset tietoturvakäytännöt, etenkin rekisterin osalta ja nimeä organisaatioosi tietosuojavastaava.

 

 

 

Suvi Rosqvist

Social Media Trainee
suvi.rosqvist@kupli.fi

 

Tilaa kooste kuukauden parhaista blogiteksteistä suoraan sähköpostiisi:


Tilaa Kuplin uutiskirje suoraan sähköpostiisi: