Tietosuoja-asetus voimaan 25.5.2018

EU:n tietosuoja-asetus (GDPR) astuu voimaan 25.5.2018.

Tietosuoja-asetus on kaikkia toimialoja ja kaikenkokoisia yrityksiä koskeva laaja uudistus. Tietyillä toimialoilla ja yrityksissä, joiden ydinliiketoiminta sisältää paljon henkilötietojen käsittelyä, tietosuoja-asioiden merkitys korostuu. Vastaavasti jos yrityksen toimintaan ei liity runsaasti henkilötietojen käsittelyä, uudistuksen vaikutukset ovat lieviä.

Paniikkiin ei ole ollut syytä, mutta tietosuojaan ja henkilötietoihin liittyviin asioihin on suhtauduttava jokaisessa yrityksessä riittävällä vakavuudella.

Mikäli henkilötietojen käsittely on yrityksessä aiemman lainsäädännön mukaista, kovin suurille muutoksille ei todennäköisesti ole ollut tarvetta. Eräs keskeisemmistä asetuksesta johtuvista muutoksista on, että enää ei riitä pelkkä lainsäädännön asianmukainen noudattaminen vaan noudattaminen pitää kyetä nimenomaisesti osoittamaan.

Eräs tapa osoittaa asetuksen asianmukainen noudattaminen on laatia dokumentaatiota, jossa käydään läpi yhtiön tietojenkäsittelyn kokonaiskuva tarkoituksenmukaisessa laajuudessa. Mitä pienemmästä yrityksestä on kyse ja mitä vähemmän yrityksen toimintaan liittyy henkilöntietojen käsittelyä, sitä kevyempi dokumentaatio voitaneen katsoa tarkoituksenmukaiseksi ja riittäväksi.

Asetusta sovelletaan 25.5.2018 lukien. Valtaosalla teknologiateollisuuden yrityksistä tuskin on esim. velvollisuutta nimetä asetuksessa määriteltyä tietosuojavastaavaa. Siitä huolimatta yrityksissä on syytä määritellä vastuuhenkilöt huolehtimaan, että yrityksen tietosuojakäytäntö on riittävä.

 

Olethan huolehtinut vähintään näistä asioista:

  1. Selvitä tietosuoja-asetuksen keskeiset käsitteet ja periaatteet, jotta kykenet ymmärtämään nykyisiä ja tulevia vaatimuksia (henkilötieto, henkilörekisteri, rekisteröity, rekisterinpitäjä, käsittelijä, tietosuojaseloste, käsittelyn lainmukaisuus, käyttötarkoitussidonnaisuus, tietojen minimointi, osoitusvelvollisuus).
  2. Selvitä, mitä henkilötietoja yrityksenne toimintaan liittyy sekä missä niitä käsitellään. Tyypillisesti henkilötietoja on ainakin yrityksen HR- ja CRM-ohjelmistoissa. Selvitä, milloin toimitte rekisterinpitäjinä ja käsittelijöinä sekä milloin jokin muu taho toimii henkilörekisterinne käsittelijänä.
  3. Selvitä yrityksen nykyiset tietosuojaan ja henkilötietoihin liittyvät käytännöt ja varmista, että ne täyttävät asetuksen mukaiset periaatteet: tietojen käsittelyn tulee perustua lakiin tai siihen on oltava rekisteröidyn nimenomainen suostumus, kerättävien tietojen on oltava tarpeellisia, tietojen säilyttäminen on toteutettava asianmukaisesti jne.
  4. Laadi dokumentaatiota, jolla tarvittaessa osoitat yrityksen täyttävän asetuksen vaatimukset.

Varmista myös yrityksen henkilötietoihin liittyvien sopimusten asetuksenmukaisuus. IT2015-sopimusehdot ovat uudistuneet IT2018-sopimusehdoiksi, joissa on otettu huomioon tietosuoja-asetuksen muutokset.

 

Hyödyllistä materiaalia:

EK:n tietopaketti tietosuoja-asetukseen valmistautumiseen.

Tietosuojavaltuutetun toimiston laatima opas Miten valmistautua EU:n tietosuoja-asetukseen?

VAHTI-raportti EU-tietosuojan kokonaisuudistuksesta.

Tietosuojavaltuutetun toimiston sivustolle on koottu ajankohtaista tietoa aiheesta, kts. esim. videomuodossa tehty yleisesitys.

 

Lisätietoja:

Pääjuristi, digitalisaatio, Teknologiateollisuus ry, Jussi Mäkinen, puh. 040 900 3066

Työmarkkina-asiantuntija Aapo Heikurainen, Teknologiateollisuus ry, puh. 040 536 5487