Loading...

GDPR – mikä se on ja miten siihen tulee varautua?

GDPR eli General Data Protection Regulation on EU:n laajuinen tietosuoja-asetus, joka koskee kaikkea henkilötietojen käsittelyä Euroopan unionin jäsenvaltioissa ja täten velvoittaa yritykset tekemään suuria muutoksia rekisterin pitoonsa. Asetus tuli voimaan jo keväällä 2016, mutta kahden vuoden siirtymäajan myötä soveltaminen alkaa 25.5.2018, jolloin henkilötietojen käsittelyn on oltava tietosuoja-asetuksen mukaista. Yrityksillä on siis vielä neljä kuukautta aikaa saada henkilötietojensa käsittely vaaditulle tasolle – velvoitteen laiminlyönnistä seuraavat hallinnolliset sakot voivat olla jopa 4 prosenttia liikevaihdosta tai 20 miljoonaa euroa riippuen siitä, kumpi näistä on suurempi, minkä lähes jokainen sanahirvityksen GDPR tunteva osaa ulkomuististaan kertoa. Vaikken henkilökohtaisesti usko, että kansallisella tasolla hallinnolliset sakot edellä mainitulle tasolle nousisivat, tulee sakkojen olla kuitenkin tehokkaita, oikeasuhteisia ja varoittavia. Lisäksi valvontaviranomainen voi määrätä muita seuraamuksia, kuten määrätä henkilötietojen käsittely keskeytettäväksi tai rajoittaa käsittelyä, joten uuteen asetukseen on syytä suhtautua sen vaatimalla vakavuudella.

Henkilötietoihin kuuluu kaikki henkilöä yksilöivä tieto kuten nimi, kotiosoite, pankkitunnukset, ostokset ja sosiaalisen median päivitykset. Henkilötietojen käsittelylle on oltava aina syy ja tarve sekä oikeutus eli rekisteröidyn henkilön suostumus tai muu yksilöity oikeusperuste.

Miksi GDPR eli tietosuoja-asetus laadittiin?

Asetuksen taustalla on teknologian kehityksen ja globalisaation tuoma henkilötietojen merkittävyyden lisääntyminen sekä tähän liittyvät henkilötietojen käsittelyn tietosuojahaasteet, joihin pyritään nyt vastaamaan yhtenäistämällä henkilötietojen käsittelyä ja vapaata liikkuvuutta koskevat säännöt EU-tasolla. Asetuksella halutaan lisätä kuluttajien henkilötietoturvaa: asetuksen ansioista henkilötietoja on käsiteltävä kaikissa yrityksissä asianmukaisesti, tietoturvalle on asetettu vaatimukset, eikä henkilötietoja saa luovuttaa EU:n ulkopuolelle ilman kuluttajan lupaa tai säädettyä oikeusperustetta. Kuluttajalla on myös oikeus mm. saada rekisterin tiedot itselleen, vaatia tietojen oikaisua ja saada ne kokonaan pyyhityiksi (”oikeus tulla unohdetuksi”), jos tämä ei ole ristiriidassa muun lainsäädännön kanssa.

Asetuksen tavoitteena on kuluttajan oikeuksien vahvistamisen lisäksi parantaa luottamusta verkossa asiointiin ja yhtenäistää EU-alueen tietosuojalainsäädäntöä. Vaikka asetuksen velvoitteet vaativat työläitä muutoksia yrityksiltä, yhdenmukainen sääntely helpottaa yritystoimintaa unionin sisällä ja edistää digitaalisten markkinoiden kehittymistä jäsenmaiden välillä.

Mitä uudistus vaatii yrityksiltä?

Muutokseen valmistautuessa täytyy ensin hahmottaa kokonaiskuva yrityksen nykyisestä henkilötietojen käsittelystä, mikä tarkoittaa kaikkien käsittelyn vaiheiden kartoittamista aina tietojen keräämisestä niiden hävittämiseen, ottaen huomioon myös henkilötietojen käsittelyn ulkoistukset. Tämän jälkeen pystytään selvittämään, mitä toimenpiteitä yritykseltä vaaditaan, jotta henkilötietojen käsittely vastaa uutta tietosuoja-asetusta. On tärkeää varmistaa, että kaikki yrityksen sopimukset – esimerkiksi asiakkaiden ja alihankkijoiden kanssa -vastaavat asetuksen ehtoja ja henkilötietojen käyttöä koskeva sisältö on ajan tasalla. Yrityksen on myös nimettävä itselleen tietosuojavastaava joko organisaation sisältä tai hankkia vastuuhenkilö ulkopuolelta.

Aikaisemmin riitti lain passiivinen noudattaminen, mutta uuden asetuksen myötä rekisterinpitäjän on pyydettäessä pystyttävä osoittamaan tietosuojasäädösten asianmukainen huomioiminen yrityksen toiminnassa. Tämä vaatii yrityksiltä henkilötietojen käsittelyn suunnittelemista ja dokumentoimista. Lisäksi henkilötietojen käsittelemisestä ja rekisteröityjen oikeuksista tulee informoida rekisteröityjä aiempaa kattavammin ja tietoturvaloukkauksista täytyy lähtökohtaisesti ilmoittaa 72 tunnin kuluessa viranomaisille. Jokainen yritys on itse vastuussa, että tietosuoja-asetus toteutuu yrityksen henkilötietojen käsittelyssä – vastuuta ei voi sysätä muille sopimuksin ja mahdollinen maineen menetys kohdistuu aina rekisterinpitäjään, olipa syy hänen tai kumppaninsa.

Olennaisinta on kuitenkin yrityksen oma asennoituminen asetukseen ja tietosuojaan yleisesti ottaen. Sen sijaan, että yritys täyttää tietosuojavaatimukset ”pakon edessä ja sakon uhalla” tulisi yrityksen ajatella, mitä arvoa henkilötiedot yritykselle antavat ja miten näiden tietojen suojaaminen voi olla sekä erinomaista asiakaspalvelua että mainio kilpailutekijä, sillä hyvin hoidettu tietosuoja on erinomainen valttikortti sekä asiakasuskollisuuden että yrityksen maineen kannalta.

2018-02-05T11:54:32+00:00 30.01.2018|GDPR|