EU:n uusi tietosuoja-asetus koskee kaikkia organisaatioita – nyt on loppukirin aika

EU:n uusi tietosuoja-asetus astuu voimaan 25.5.2018. Sen tavoitteena on turvata kansalaisten oikeuksia nykypäivän digitaalisessa toimintaympäristössä, mikä asettaa entistä tiukempia vaatimuksia henkilötietoja käsitteleville organisaatioille. Mikkelin kehitysyhtiö Miksei Oy järjestää tiistaina 30.1. klo 17-19 tilaisuuden, jossa kerrotaan asetuksen soveltamisesta käytäntöön. Tilaisuutta voi seurata suorana lähetyksenä Miksein Facebook-sivulla.

EU:n tietosuoja-asetus koskee kaikkea tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvän tiedon käsittelyä organisaatioissa. Tällaista tietoa ovat esimerkiksi asiakkaiden tai henkilöstön yhteystiedot, työnhakijoiden ansioluettelot tai vaikkapa yrityksessä kuvatut kameratallenteet, joista henkilöt voidaan tunnistaa.

– Asetuksen tarkoittamia henkilötietoja käsitellään lähes jokaisessa organisaatiossa, joten toimintamallien tarkastelu tai uudistaminen on nyt ajankohtaista useimmissa yrityksissä ja yhdistyksissä. Siirtymäaika lähestyy loppuaan, mutta asetuksen soveltaminen käytäntöön on edelleen monille epäselvää. Tälle tiedolle on Mikkelin alueellakin selvästi tarvetta, toteaa yrityskehittäjä Heidi Lampinen Mikkelin kehitysyhtiö Miksei Oy:stä.

Suomessa henkilötietojen määrittely sekä periaatteet tietojen käsittelyssä ovat aikaisemmin perustuneet henkilötietolakiin. EU:n tietosuoja-asetus korvaa kansalliset määräykset samalla tiukentaen sekä velvollisuuksia että mahdollisia seurauksia niiden laiminlyönnistä. – EU:n tietosuoja-asetus tuo mukanaan täysin uusia vaatimuksia. Esimerkkejä ovat rekisterinpitäjän ilmoitusvelvoite, tietosuojavastaavan nimeäminen ja osoitusvelvollisuus, selvittää tietohallintopäällikkö Toni Sivupuro MPY Palvelut Oyj:stä.

Uudet velvoitteet voivat edellyttää yrityksissä merkittäviä toimintatapojen muutoksia. Esimerkiksi osoitusvelvollisuus tarkoittaa, että yritysten on dokumentoitava henkilötietojen käsittelyyn liittyvät prosessinsa nykyistä tarkemmin. Jokaisen organisaation on jatkossa kyettävä osoittamaan noudattavansa tietosuoja-asetusta. Käytännössä tämä voi edellyttää esimerkiksi tietosuojaselosteiden tai sisäisten ohjeistusten uudistamista.

Uudet vaatimukset riippuvat osin siitä, toimiiko organisaatio rekisterinpitäjänä vai käsitteleekö se toisen ylläpitämiä tietoja. Rekisterinpitäjän velvollisuuksiin kuuluu mm. määritellä henkilötietojen käsittelyn tarkoitus ja keinot asetuksen mukaisesti. Tiedon käsittelijän on puolestaan noudatettava rekisterinpitäjän antamia ohjeita tietojen käsittelyssä. Asetuksessa määritellään, mistä asioista rekisterinpitäjän ja tietojen käsittelijän on sovittava keskenään. Ennen asetuksen voimaantuloa onkin hyvä tarkistaa tietojenkäsittelysopimusten sisältö ja muokata se asetuksen mukaiseksi.

Asetus määrittelee myös entistä tarkemmin henkilön oikeudet tarkistaa häntä koskevia tietoja sekä kieltää niiden säilyttäminen. Yritysten on jatkossa huolehdittava siitä, että ne pystyvät vastaamaan näihin tietopyyntöihin sekä huolehtimaan kieltojen toteutumisesta – myös silloin, kun pyyntöjä tulee yllättäen suurelta joukolta ihmisiä.

Nyt eletään viime hetkiä tietosuoja-asetuksen edellyttämien muutosten toteuttamiseen. – Suosittelen yrityksiä ja yhdistyksiä käymään läpi toimintamallejaan niin, että ne vastaavat uuden asetuksen mukaisia velvoitteita. Viimeistään nyt jokaisen organisaation tulisi vähintäänkin varmistaa, että sillä on asetuksen mukainen rekisteriseloste kaikista organisaation ylläpitämistä henkilörekistereistä, Sivupuro muistuttaa.