85 päivää tietosuoja-asetuksen voimaantuloon – vinkkejä valmistautumiseen

Teksti: VT, johtaja Paula Virri

Henkilötietojen käsittelyä koskeva EU:n tietosuoja-asetus tulee voimaan 25.5.2018. Asetus tiukentaa henkilötietojen käsittelyyn liittyviä velvoitteita.

Käytätkö, keräätkö tai tallennatko henkilötietoja? Vai käsitteletkö henkilötietoja toisten yritysten puolesta?  Jos vastaus on kyllä, enää 85 päivää aikaa saada omat käytännöt vastaamaan asetuksen tuomia vaatimuksia.  Vaatimukset koskevat yrityksiä, yhdistyksiä, säätiöitä ja julkisia organisaatioita, mikäli ne käsittelevät henkilötietoja. Asetuksen noudattamista on tehostettu säätämällä tuntuvista hallinnollista sanktioista.  Mitä asetus tarkoittaa oman organisaatiosi kannalta? Pitääkö nimittää tietosuojavastaava? Miten varmistan, että ulkoistamisessa sopimuskumppanit täyttävät tietosuoja-asetuksen vaatimukset?

Kartoita ja dokumentoi rekisterit

Asetuksen lähtökohtana on, että rekisterinpitäjän tulee osoittaa, että tietosuojasta on huolehdittu ja henkilötietojen käsittely vastaa asetuksen vaatimuksia. Henkilötietoja tulee käsitellä luottamuksellisesti, turvallisesti ja läpinäkyvästi. Asetukseen valmistautuminen kannattaa aloittaa kartoittamalla ja dokumentoimalla omat henkilötietorekisterit ja henkilötietojen käsittelyprosessit sekä käsittelijät. Asetus edellyttää jatkossa tietosuojavastaavan nimittämistä, jos henkilötietojen käsittely on laajamittaista tai jos yrityksen ydinliiketoiminta muodostuu henkilötietojen käsittelystä. Vaikka yrityksen ei olisi asetuksen mukaan nimitettävä tietosuojavastaavaa, tietosuoja-asiat kannattaa vastuuttaa organisaatiossa ja varattava riittävästi resursseja ja koulutusta tietosuoja-asioihin.

Kartoita käsittelyn oikeusperuste

Asetuksen mukaan henkilötietojen käsittelylle tulee olla laillinen peruste. Asetuksen mukaan peruste voi olla suostumus, tarve sopimuksen täytäntöönpanoon, oikeutettu etu, lakisääteinen velvoite, yleinen etu tai rekisterinpitäjän tai kolmannen oikeutettu etu. Rekisterinpitäjän tulee tunnistaa ja dokumentoida kunkin rekisterin kohdalla, mihin henkilötietojen käsittely perustuu.

Valmistaudu vastaamaan tietosuojapyyntöihin

Asetuksen myötä rekisteröidyllä on laajemmat oikeudet omien tietojensa tarkastamiseen sekä virheellisten tietojen tarkastamiseen. Lisäksi rekisteröidyllä on oikeus saada itseään koskevia tietoja poistetuksi rekisteristä. Rekisterinpitäjän on vastattava rekisteröidyn tietopyyntöön kirjallisesti tai sähköisesti ilman aiheetonta viivästystä. Rekisterinpitäjän olisi hyvä etukäteen valmistella prosessi, jolla tietopyyntöihin  vastataan. Rekisterinpitäjän on lisäksi poistettava tiedot rekisteristä, kun ne eivät ole enää tarpeellisia. Tietojen poistamiskriteerit tulee määritellä sekä varmistaa, että tietojärjestelmät taipuvat tietojen poistamiseen.

Päivitä tietosuojadokumentit

Rekisteröidyllä on velvollisuus informoida rekisteröityjä henkilötietojen käsittelystä ja sen perusteista. Tiedot kerätään tietosuojaselosteeseen. Asetuksen voimaantuloon valmistauduttaessa tulee päivittää nykyinen rekisteriseloste asetuksen mukaiseksi tietosuojaselosteeksi. Lisäksi jokaisen henkilötietojen käsittelijän tai käsittelijän edustajan tulee laatia seloste kaikista rekisterinpitäjän lukuun suoritettavista käsittelytoimista.

Varmista, että tietosuoja toteutuu käsittelyketjussa

Rekisterinpitäjä on vastuussa, että tietosuoja toteutuu niissä käsittelytoimissa, joita sopimuskumppani tai alihankkija toteuttaa rekisterinpitäjän lukuun. Käy läpi yrityksen sopimukset, joissa on henkilötietoliityntä ja huolehdi sopimusten päivittämisestä tietosuojaliitteellä. Selvitä myös luovutetaanko henkilötietoja EU/ETA:n ulkopuolelle.

Varautuminen tietoturvaloukkauksiin

Rekisterinpitäjällä on vastuu asianmukaisen tietoturvan järjestämisestä niin, että henkilötietojen luottamuksellisuus turvataan. Mikäli kuitenkin tietoturvaloukkaus pääsee tapahtumaan, asetuksen mukaan rekisterinpitäjällä on velvollisuus ilmoittaa tietoturvaloukkauksesta viranomaiselle 72 tunnin kuluessa.  Tietoturvaloukkauksen ilmoittamisprosessi kannattaa valmistella etukäteen ja ohjeistaa henkilökunta.

Tulossa olevat kauppakamarin koulutukset aiheesta:

EU:n uusi tietosuoja-asetus HR:n näkökulmasta (lähes täynnä)

EU:n uuden tietosuoja-asetuksen vaikutukset markkinointiin ja digitaaliseen liiketoimintaan

Tietosuojaan liittyvästä aineistoa löydät täältä:

EU:n tietosuoja-asetuksen teksti

EU:n yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän mietintö

Tietosuojavaltuutetun aineistot

Opas miten valmistautua tietosuojauudistukseen

IT2018 – sopimusehdot on uudistettu, mm. henkilötietojen käsittelyyn erityisehdot

 

Turun kauppakamari on Varsinais-Suomen alueella elinkeinoelämän edunvalvojana, kouluttajana ja asiantuntijana toimiva organisaatio. Kauppakamari on linkki yritysten ja julkisten päättäjien välillä ja sen toiminta perustuu kauppakamarilakiin ja vapaaehtoiseen jäsenyyteen. Turun kauppakamari on perustettu vuonna 1917 ja se on yksi Pohjoismaiden suurimmista kauppakamareista.

©Turun kauppakamari 2018. Kaikki oikeudet pidätetään. Toteutus Sofokus Oy