365 + 1 päivää tietosuoja-asetukseen

365 + 1 päivää tietosuoja-asetukseen

Kirjoittanut: Antti-Pekka Keränen Aihe: Ajankohtaista

Henkilötietojen käsittelyä koskeva EU:n yleinen tietosuoja-asetus tulee voimaan vuoden päästä, tarkalleen ottaen 25.5.2018. Uusi asetus tuo mukanaan muutamia merkittäviä muutoksia, joista myös yritysten tulee olla tietoisia. Merkittävistä jopa 20 miljoonan euron suuruisista sakoista on uutisoitu laajasti, mutta asetus on myös paljon muuta.

Jokainen yritys käsittelee henkilötietoja. Ne voivat olla työntekijöitä koskevia tietoja, asiakas- ja markkinointirekistereitä tai muita yksittäistä henkilöä koskevia tietoja. Henkilötiedon käsite on laaja samoin kuin se mikä katsotaan henkilötiedon käsittelyksi. Periaatteessa mikä tahansa yksittäiseen henkilöön liittyvä tieto on henkilötieto. Henkilötiedon käsittelyä on tällaisen tiedon kerääminen, tallentaminen ja käyttö. Asetus tuleekin koskemaan kaikkia yrityksiä riippumatta yrityksen koosta tai toimialasta. Siinä on sen sijaan eroja missä laajuudessa yrityksen tulee toteuttaa asetuksen määräyksiä.

Miten yrityksissä sitten tulisi valmistautua tulevaan muutokseen? Vaikka erillisen vaikutustenarvioinnin tekeminen ei ole kaikissa yrityksissä pakollista, nykytilanteen selvittämisestä on hyvä lähteä liikkeelle. Ainakin seuraavat asiat kannattaa selvittää:

  1. Mitä henkilötietoja käsittelemme?
  2. Onko käsittely nykylainsäädännön mukaista?
  3. Miten tietojen käsittelystä tiedotetaan rekisteröidyille?
  4. Ovatko prosessit ja dokumentaatio ajan tasalla ja mitä tulisi muuttaa tai luoda?

Tämän jälkeen yritys voi arvioida onko tarpeen nimittää tietosuojavastaava tai muu tietosuoja-asioista vastaava henkilö. Tietosuojavastaavan nimittäminen tulee pakolliseksi vain harvoissa pk-yrityksissä, mutta siitä huolimatta vastuuhenkilön nimittäminen on järkevää. Koska tietosuoja-asetus edellyttää kirjallisen sopimuksen tekemistä henkilötietoja käsittelevän ulkoisen palveluntarjoajan kanssa, tulee nämä sopimukset käydä läpi ja päivittää. Tällainen ulkoinen henkilötietojen käsittelijä voi olla esimerkiksi ulkoistettu palkkahallinto, pilvipalveluiden tarjoaja tai vaikkapa markkinointiyritys.

Tietosuoja-asetuksen tuomat vaatimukset saa selville näppärästi Lawlyssa. Tuomme Lawlyyn myös ajantasaista tietoa tietosuoja-asetukseen liittyvistä ohjeistuksista, kannanotoista ja tietenkin uusista säädöksistä. Tietosuoja-asetuksen lisäksi Lawlyssa on myös muut tietosuojaan ja ICT-alaan liittyvät säädökset.

Valmistautumisaikaa uusiin vaatimuksiin on vielä vuosi. Toimi siis heti. Nykytilan selvittäminen ja lainmukaisuuden arviointi on hyvä lähtökohta.

Antti-Pekka Keränen
Asianajaja
Asianajotoimisto Kokkolex

Viimeisimmät artikkelit