Tietosuoja-asetus voimaan 25.5. - toimi heti

EU:n tietosuoja-asetus (GDPR) astuu voimaan 25.5.2018. Alla yrityksille tärkeää tietoa ja toimintaohjeita.

Tietosuoja-asetus on kaikkia toimialoja ja kaikenkokoisia yrityksiä koskeva laaja uudistus. Tietyillä toimialoilla ja yrityksissä, joiden ydinliiketoiminta sisältää paljon henkilötietojen käsittelyä, tietosuoja-asioiden merkitys korostuu. Vastaavasti jos yrityksen toimintaan ei liity runsaasti henkilötietojen käsittelyä, uudistuksen vaikutukset ovat lieviä.

Paniikkiin ei ole syytä, mutta tietosuojaan ja henkilötietoihin liittyviin asioihin tulee suhtautua jokaisessa yrityksessä riittävällä vakavuudella viimeistään nyt.

Mikäli henkilötietojen käsittely on yrityksessä nykylainsäädännön mukaista, kovin suurille muutoksille ei todennäköisesti ole tarvetta. Eräs keskeisemmistä asetuksesta johtuvista muutoksista on, että enää ei riitä pelkkä lainsäädännön asianmukainen noudattaminen vaan noudattaminen pitää kyetä nimenomaisesti osoittamaan.

Eräs tapa osoittaa asetuksen asianmukainen noudattaminen on laatia dokumentaatiota, jossa käydään läpi yhtiön tietojenkäsittelyn kokonaiskuva tarkoituksenmukaisessa laajuudessa. Mitä pienemmästä yrityksestä on kyse ja mitä vähemmän yrityksen toimintaan liittyy henkilöntietojen käsittelyä, sitä kevyempi dokumentaatio voitaneen katsoa tarkoituksenmukaiseksi.

Asetusta sovelletaan 25.5.2018 lukien. Valtaosalle teknologiateollisuuden yrityksistä tuskin tulee esim. velvollisuutta nimetä asetuksessa määriteltyä tietosuojavastaavaa. Siitä huolimatta yrityksissä olisi syytä määritellä vastuuhenkilöt selvittämään, onko yrityksen nykyinen tietosuojakäytäntö riittävällä tasolla ja mitä käytännön vaikutuksia tietosuoja-asetus mahdollisesti aiheuttaa.

Huolehdi kevään aikana vähintään näistä asioista:

  1. Selvitä tietosuoja-asetuksen keskeiset käsitteet ja periaatteet, jotta kykenet ymmärtämään nykyisiä ja tulevia vaatimuksia (henkilötieto, henkilörekisteri, rekisteröity, rekisterinpitäjä, käsittelijä, tietosuojaseloste, käsittelyn lainmukaisuus, käyttötarkoitussidonnaisuus, tietojen minimointi, osoitusvelvollisuus).
  2. Selvitä, mitä henkilötietoja yrityksenne toimintaan liittyy sekä missä niitä käsitellään. Tyypillisesti henkilötietoja on ainakin yrityksen HR- ja CRM-ohjelmistoissa. Selvitä, milloin toimitte rekisterinpitäjinä ja käsittelijöinä sekä milloin jokin muu taho toimii henkilörekisterinne käsittelijänä.
  3. Selvitä yrityksen nykyiset tietosuojaan ja henkilötietoihin liittyvät käytännöt ja varmista, että ne täyttävät asetuksen mukaiset periaatteet: tietojen käsittelyn tulee perustua lakiin tai siihen on oltava rekisteröidyn nimenomainen suostumus, kerättävien tietojen on oltava tarpeellisia, tietojen säilyttäminen on toteutettava asianmukaisesti jne.
  1. Laadi dokumentaatiota, jolla tarvittaessa osoitat yrityksen täyttävän asetuksen vaatimukset.

Varmista myös yrityksen henkilötietoihin liittyvien sopimusten asetuksenmukaisuus. IT2015-sopimusehdot ovat uudistumassa kevään aikana IT2018-sopimusehdoiksi, joissa on otettu huomioon tietosuoja-asetuksen muutokset.

 

Hyödyllistä materiaalia:

EK:n tietopaketti tietosuoja-asetukseen valmistautumiseen.

Tietosuojavaltuutetun toimiston laatima opas Miten valmistautua EU:n tietosuoja-asetukseen?

VAHTI-raportti EU-tietosuojan kokonaisuudistuksesta.

Tietosuojavaltuutetun toimiston sivustolle on koottu ajankohtaista tietoa aiheesta, kts. esim. videomuodossa tehty yleisesitys.

 

Lisätietoja:

Työmarkkina-asiantuntija Aapo Heikurainen, Teknologiateollisuus ry, puh. 040 536 5487