EU:N TIETOSUOJA-ASETUS - toimi näin.

Nimitä tietosuojavastaava

Tietosuojavastaava on henkilö, jonka tehtävänä on yrityksessä varmistaa ja valvoa tietosuojan toteutumista. Tietosuojavastaava voi kuulua henkilöstöön tai hän voi toimia sopimuksen perusteella. Kaikkia yrityksiä ei siis velvoiteta nimittämään tietosuojavastaavaa. Suositeltavaa kuitenkin on, että yrityksessä yksi taho kantaisi vastuun tietosuoja-asioista ja niihin liittyvien vaatimusten noudattamisesta. Tietosuojavastaavalla tulee olla asiantuntemusta tietosuojalainsäädännöstä, ja hänen tulee osata soveltaa sitä yrityksen toimintaan.

 

Huomioi vahvistuvat yksilön oikeudet

Henkilöä, jonka henkilötiedot on tallennettu rekisteriin, kutsutaan rekisteröidyksi. Hänen oikeutensa säilyvät pääsääntöisesti voimassa aivan kuten nyt henkilötietolain mukaisesti. Rekisteröidyillä on oikeus tarkistaa itseään koskevat tiedot, ja rekisterinpitäjän on oikaistava virheelliset tiedot.

Jatkossa rekisteröity voi saada sähköisesti itseään koskevia tietoja ja hän voi nykyistä helpommin siirtää antamansa henkilötiedot järjestelmästä toiseen. Rekisterinpitäjän tulee jatkossa antaa enemmän tietoa rekisteröidylle siitä, miten hänen tietojaan käsitellään ja mihin käsittely perustuu. Jatkossa rekisteröity voi tietyissä tilanteissa kieltäytyä profiloinnista.

Ilmoita tietoturvaloukkauksista

Jokainen yritys on jatkossa velvollinen ilmoittamaan henkilötietoihin kohdistuvasta tietoturvaloukkauksesta sekä valvovalle viranomaiselle että rekisteröidylle. Määräaika ilmoituksen tekemiseen on lyhyt: viranomaiselle tulee ilmoittaa 72 tunnin kuluessa loukkauksen havaitsemisesta ja rekisteröidylle ilman aiheetonta viivytystä. Jatkossa yrityksen on kyettävä siis havaitsemaan loukkaus, ilmoittamaan siitä ja vielä pyrittävä minimoimaan vahinkojen aiheutuminen.

Arvioi yrityksesi henkilötietojen käsittelyn tämänhetkinen tila

Melkein kaikki yritykset käsittelevät henkilötietoja. Niitä löytyy yritysten asiakas- ja markkinointirekistereistä kuten myös omia työtekijöitä koskevista rekistereistä. Uusi asetus sisältää tietyille toimijoille velvoitteen tehdä henkilötietojen käsittelyä koskeva vaikutusarviointi. Siinä arvioidaan henkilötietojen käsittelyn tarpeellisuutta, riskejä ja sitä, miten riskejä voidaan vähentää sekä miten niihin voitaisiin puuttua.

Vaikka yritys ei olisikaan velvollinen tekemään uuden asetuksen mukaista vaikutusarviota, kannattaa selvittää ja arvioida uusien vaatimusten valossa oman yrityksen henkilötietojen käsittelyn nykytila.

Tarkista ja päivitä tietosuojaa koskevat sopimukset

Uuden asetuksen myötä yrityksen tulee tehdä kirjallinen sopimus, jos yritys on ulkoistanut henkilötietojen käsittelyä yrityksen ulkopuoliselle taholle. Tällaisia voivat olla esimerkiksi asiakkaisiin kohdistuvaa myyntityötä tekevä alihankkija tai ulkopuolinen tietohallinnon tarjoaja. Sopimukselta edellytetään tiettyjä sisällöllisiä vaatimuksia, jotka käyvät ilmi asetuksesta. Yrityksen kannattaa tarkistaa ja tarpeen vaatiessa päivittää sopimuksensa vastaamaan uusia vaatimuksia.

Ota huomioon toiminnassasi tilivelvollisuus

Henkilötietoja käsitteleville tahoille on uudessa tietosuoja-asetuksessa asetettu tilivelvollisuus. Tietosuojaa koskevilta toimilta edellytetään ennakoitavuutta, kuten suunnittelua, varautumista ja kykyä osoittaa toteutetut toimenpiteet. Tässä auttavat selkeästi määritellyt vastuut ja etukäteen määrätyt tavat sekä menetelmät käsitellä henkilötietoja. Yrityksen tulee pystyä jälkikäteen osoittamaan, että lainsäädännön vaatimukset ja riskit ovat otettu sen toiminnassa asianmukaisesti huomioon.

Huomioi muutokset lasten henkilötietojen rekisteröinnissä

Lasten henkilötietojen käsittelyä ilman vanhempien suostumusta rajoitetaan. Alle 16-vuotiaat eivät voisi jatkossa käyttää muun muassa sosiaalisen median palveluita ilman vanhempiensa lupaa. Jäsenmaa voi kuitenkin päättää alemmasta ikärajasta, joka voi alimmillaan olla 13 vuotta.

Varaudu hallinnollisten sanktioiden varalta

Asetuksessa määrätään täysin uusista hallinnollista sanktioista. Muutos on hyvin suuri, ja uudet säännökset kiristävät tältä osin merkittävästi oikeustilaa Suomessa. Yrityksen kokonaisliikevaihtoon sidotut sakkomäärät ovat suuria: 10 tai 20 miljoonaa euroa tai 2 tai 4 prosenttia yrityksen maailmanlaajuisesta kokonaisliikevaihdosta. Lainsäätäjän tavoitteena on, että EU-alueelle muodostuisi yhtenäinen sanktiotaso.

Suomessa on tähän asti toiminut hyvin järjestelmä, jossa keskeiset tietosuojaa koskevat menettelytavat ovat syntyneet tietosuojavaltuutetun ohjauksessa ja neuvonnassa. Toivotaan, että tällainen käytäntö jatkuu ja yritykset saavat ohjausta ja neuvontaa jatkossakin.

 

 

Lähde:

Keskuskauppakamari

http://kauppakamari.fi/2016/03/31/eun-tietosuoja-asetus-tulee-valmistaud...

 

Kirjoittaja: Henna Niemelä
Markkinointikoordinaattori