GDPR Tietosuoja-asetus – Pakko, uhka ja mahdollisuus

October 5, 2017

GDPR EU:n uusi tietosuoja-asetus on hyväksytty keväällä 2016 ja tulee voimaan kahden vuoden siirtymäajan jälkeen 25.5.2018. Asetus koskee kaikkea henkilötietojen käsittelyä EU:n jäsenvaltioissa. Asetuksen tavoitteena on parantaa luottamusta online-palveluihin ja näin edistää EU:n digitaalista sisämarkkinoiden kehittämistä.

 

Uutta asetuksessa on, että se on kaikissa EU:n jäsenvaltioissa suoraan sovellettavissa käytäntöön. Aikaisemmin soveltaminen on ollut epäyhtenäisempää, mutta nyt käytännöt ja säädökset yhtenäistetään.

 

Hallinnollinen sakko jopa 20 miljoonaa tai 4 % liikevaihdosta

 

Uusi asetus langettaa merkittäviä seuraamusmaksuja tietosuojavelvoitteen laiminlyöjille. Tämä koskee käytännössä kaikkia yrityksiä ja yhteisöjä, jotka pitävät listaa ihmisten tiedoista.

 

Rekisterinpitäjän on kysyttäessä pystyttävä aktiivisesti osoittamaan, että tietosuojasäännökset huomioidaan yhteisön tai yrityksen toiminnan suunnittelussa. Ei siis pelkästään toiminnassa vaan myös toiminnan suunnittelussa. Todistustaakka ja näyttövelvollisuus tulee lankeamaan rekisterinpitäjille, joista tehdään tilintekovelvollisia huomattavien sakkojen uhalla. Käytännössä suunnitelmien todistaminen tulee usein vasta ajankohtaiseksi, kun jotain dramaattista, kuten tietomurron kautta rekisterien päätyminen Internetiin, tapahtuu.

 

Hallinnollinen sakko on maksimissaan 20 miljoonaa euroa tai 4% edeltävän tilikauden maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan kumpi on suurempi.

 

Ihmisten oikeusturva paranee

 

Tietojen kerääminen eri tavoin lisääntyy räjähdysmäisesti. Meistä kerätään kauppaketjujen kanta-asiakasjärjestelmiin jatkuvasti tietoa, Google ja Facebook keräävät meistä tietoa ja verkko-ostosten kautta jokainen joutuu syöttämään arkaluontoista tietoa verkkoon rekisterinpitäjille. Identiteettivarkaudet lisääntyvät ja ihmisten suoja verkossa olevien tietojen rikolliseen hyödyntämiseen on hyvin heikko. Tämän suojan parantaminen on merkittävin syy tietosuoja-asetuksen taustalla.

 

Kaikilla luonnollisilla henkilöillä, eli tavallisilla kuluttajilla, tulee asetuksen mukaan olla omia henkilötietoja koskeva tiedonsaantioikeus, oikeus korjauksiin, oikeus tulla unohdetuksi, oikeus tietojen poistamiseen ja oikeus tietojen käsittelyn vastustamiseen. Esimerkiksi asiakasrekisterin pitäjän on näytettävä kaikki tietoa pyytävää asiakasta koskevat tiedot, jos asiakas niin pyytää. Tiedot pitää pyydettäessä myös poistaa. Rekisterinpitäjän velvollisuus on myös antaa avoimia ja helposti saatavia tietoja tietojen käsittelystä.

 

Huolellisuus ei enää riitä

 

Organisaatiolle ei riitä, että se noudattaa asetusta vaan on pystyttävä osoittamaan, että tietosuojasäännökset huomioidaan ja niiden mukainen toiminta on suunniteltu rekisterinpitäjän toiminnassa. Käytännössä tämä tarkoittaa, että yrityksen tai yhteisön pitää osoittaa, että on etukäteen tehnyt toimenpiteet tietosuojaan. Toimenpiteitä ovat mm. tietoturvaohjeistuksen laadinta ja henkilökunnan koulutukset. Tietosuojasäännösten mukaan järjestelmät, laitteet ja ohjelmistot ovat asianmukaisella tasolla ja henkilökunnan kanssa on sovittu, mitä tehdään vanhentuneelle tiedolle, kun se ei ole enää akuuttia. Sopimukset alihankkijoiden kanssa ovat kunnossa myös tietosuojan osalta ja salassapitosuojaukset ovat kunnossa työntekijöiden kanssa, kun käsitellään henkilötietoja. Rekisterit ovat siis niin hyvin suojassa, kun mahdollista eikä niistä mennä puhumaan kenellekään.

 

Kaikkien organisaatioiden, jotka pitävät jotain rekisteriä, pitää nimetä tietosuojavastaava. Joka organisaatiossa on vastaava oltava ja hän on yhteyshenkilö tietosuojaviranomaisen ja yrityksen johdon välillä. Hänellä ei kuitenkaan ole vastuuta tietosuoja-asioista, vaan vastuu on aina yrityksen ylimmällä johdolla. Organisaation on julkistettava tietosuojavastaavan yhteystiedot ja ilmoitettava ne valvontaviranomaiselle. Odotettavissa on, että tietosuoja- ja tietoturva-asioiden hallinnollinen työ tulee jatkossa lisääntymään. Asetukseen pitää resursoida riittävästi aikaa ja rahaa. Organisaatioilta tullaan jatkossa vaatimaan entistä enemmän dokumentaatiota ja prosessikuvauksia.

 

Ilmoittaminen tietoturvan pettäessä

 

Yrityksillä ja yhteisöillä, joilla on jonkinlainen rekisteri, on ilmoitusvelvollisuus vähäistä suurempien tietoturvaloukkausten tapahtuessa. Tämä tarkoittaa usein tietomurtoja tietokantaan tai vastaavaan rekisterin säilytyspaikkaan. Tietoturvan pettäessä rekisterinpitäjän pitää ilmoittaa tietosuojavaltuutetulle asap, kun ko. murto on tapahtunut. Suurempia tietoja käsittelevillä organisaatioilla tulee olla kriisisuunnitelma, miten asiaa käsitellään ja mielellään myös kriisiviestintäsuunnitelma, miten tilanteesta viestitään ulos ja myös talon sisällä. 

 

Softmanin IT-palveluun kuuluvat kaikki GDPR tietosuoja-asetuksesta aiheutuvat toimenpiteet, niiden suunnittelu ja toteutuksen valvonta.

 

 

 

Please reload

Recent Posts

September 2, 2019

Please reload

Archive

Please reload

Tags

Please reload