Yleinen tietosuoja-asetus astuu voimaan puolen vuoden kuluttua

Yleinen tietosuoja-asetus, virallisemmin Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 tunnetaan myös kansainvälisellä lyhenteellä GDPR. Säädös tulee voimaan 25.5.2018, ja on siitä alkaen EU jäsenmaissa suoraan sovellettavaa ja velvoittavaa lainsäädäntöä. Suomen lainsäädäntöön on lisäksi valmisteilla joitakin tietosuoja-asetusta täydentäviä muutoksia.

Asetuksen tarkoituksena on taata ihmisen oikeus henkilötietojen suojaan myös digitaaliaikana. Se antaa ihmisille edellytykset ja työkalut konrolloida omia henkilötietojaan riippumatta siitä missä ne käsitellään tai säilytetään.

Yritysten kannalta uudistus selkeyttää ja yhdenmukaistaa sovellettavia sääntöjä henkilötietojen käsittelyssä. Se takaa samat säännöt kaikille yrityksille sijaintimaasta riippumatta: yksi maanosa, yksi lainsäädäntö. Tietosuoja-asetus koskee vain henkilötietojen käsittelyä, eikä se tuo yrityksille suoria uusia vaatimuksia tietoturvaa tai tietosuojaa koskien muilta osin.

Asetus koskee käytännössä kaikkia yrityksiä ja organisaatioita, koska lähes jokaisessa organisaatiossa ylläpidetään jonkinlaista asiakas- ja/tai työntekijärekisteriä tai muuta henkilörekisteriä.

Tietosuoja-asetuksen sovittaminen organisaation toimintatapoihin on tärkeää ottaa vakavasti, sillä asetus tuo rekisteröidyille tehokkaita oikeussuojakeinoja. Säädöksiä rikkoville rekisterinpitäjille voidaan asettaa hallinnollisia sanktioita, jotka räikeissä rikkomustapauksissa voivat olla jopa 20 miljoonaa euroa tai 4% liikevaihdosta, riippuen siitä kumpi näistä on suurempi. Oma tekijänsä on varmasti myös maineriski, jota voi minimoida hoitamalla organisaation uudet velvoitteet huolella.

Käsitteet

  • Henkilötieto: Kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot. Näitä tietoja ovat muun muassa nimi, osoite, henkilötunnus, puhelinnumero, sähköpostiosoite sekä verkkotunnistetiedot. Henkilötietoja ovat myös kaikki muut tiedot joita yhdistelemällä henkilö voidaan tunnistaa.
  • Henkilörekisteri: Jäsenneltyjä henkilötietoja sisältävä tietojoukko. Esimerkiksi henkilöasiakkaita sisältävä asiakasrekisteri, palkanlaskentaohjelman henkilörekisteri tai suoramarkkinointijärjestelmä.
  • Rekisterinpitäjä: Taho joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Yleensä organisaatio jonka käyttöä varten henkilörekisteri perustetaan ja joka määrää henkilörekisterin käytöstä.
  • Henkilötietojen käsittelijä: Taho joka käsittelee henkilötietoja rekisterinpitäjän lukuun, esimerkiksi tilitoimisto joka tarjoaa yrityksille palkanlaskentapalveluja. Myös Maestro toimii henkilötietojen käsittelijänä, esimerkiksi konesalipalvelun osalta säilyttämällä henkilötietoja.
  • Rekisteröity: Rekisterissä oleva tunnistettava tai tunnistettavissa oleva luonnollinen henkilö.

Perusperiaatteet

Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:

  • Lainmukaisuus, kohtuullisuus ja läpinäkyvyys
    Niitä on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi
  • Käyttötarkoitussidonnaisuus
    Ne on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla
  • Tietojen minimointi
    Henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään.
  • Täsmällisyys
    Henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä. On toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä.
  • Säilytyksen rajoittaminen
    Ne on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoituksen toteuttamista varten.
  • Eheys ja luottamuksellisuus
    Niitä on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä ja organisatorisia toimia.
  • Osoitusvelvollisuus
    Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että edellisiä kohtia on noudatettu.

Vastuu ja velvollisuudet

Rekisteröityjen oikeudet kasvavat. Rekisteröidyn oikeuksiin sisältyy mm:

  • Oikeus tulla informoiduksi mm. käsittelyn tarkoituksista, perusteista, tietosisällöstä, säilytysajasta, jne. Voidaan toteuttaa esim. tietosuojaselosteen muodossa.
  • Oikeus saada pääsy tietoihin
  • Oikeus tietojen oikaisemiseen
  • Oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi”)
  • Oikeus vastustaa henkilötietojen käsittelyä
  • Oikeus tehokkaisiin oikeussuojakeinoihin rekisterinpitäjää vastaan
  • Oikeus korvauksen saamiseen

Rekisterinpitäjän osalta vastuu ja velvollisuudet puolestaan lisääntyvät. Jokainen organisaatio joutuu varmistumaan henkilötietojen käsittelyn lainmukaisuudesta sekä luomaan toimintamallit rekisteröidyn oikeuksien toteuttamiseksi. Lisäksi on tarpeen toteuttaa tarvittavat tekniset ja organisatoriset toimet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tietosuoja-asetusta.

Mistä lisätietoja?

Tässä joitakin laadukkaita lähteitä lisätietojen saamiseksi:

Tiedotamme tietosuoja-asetuksen soveltamisesta ja siihen liittyvistä käytännön toimista lisää marraskuun aikana. Luvassa on rekisterinpitäjän muistilista sekä tietoja ohjelmistojen käyttöohjeiden, sopimusten ja palvelukuvausten päivityksistä. Konesalipalvelun piiriin kuuluville asiakkaillemme tuotamme yleisen kuvauksen järjestelmien ja palveluiden jatkuvasta turvallisuustasosta, luottamuksellisuudesta, eheydestä, käytettävyydestä ja vikasietoisuudesta.

Tarvittaessa lisätietoja antaa Maestron tietosuojavastaava Joona Kokkola, sähköposti joona.kokkola@maestro.fi

Edellinen artikkeli

Case Auto-Kilta Oy: ”Maestron käyttöönoton jälkeen taloushallinnon rutiineihin käytetty aika on vähentynyt”

Seuraava artikkeli

Osallistu asiakastyytyväisyyskyselyyn – voita iPhone X!

Jaa LinkedInissä
Jätä yhteydenottopyyntö