Mitä hallituksen jäsenen tulee tietää EU:n uudesta tietosuoja-asetuksesta?

11.4.2017


Mitä hallituksen jäsenen tulee tietää EU:n uudesta tietosuoja-asetuksesta? 

Henkilötietojen käsittelyä koskeva lainsäädäntö muuttuu 25.5.2018, kun EU:n yleinen tietosuoja-asetus tulee voimaan. Uusi asetus noudattaa pääpiirteissään nykyistä henkilötietolainsäädäntöä mutta se tuo mukanaan muutamia merkittäviä muutoksia, joista myös yritysten tulee olla tietoisia. Merkittävistä jopa 20 miljoonan euron suuruisista sakoista on uutisoitu laajasti, mutta asetus on myös paljon muuta.

Lähes jokainen yritys käsittelee henkilötietoja. Ne voivat olla työntekijöitä koskevia tietoja, asiakas- ja markkinointirekistereitä tai muita yksittäistä henkilöä koskevia tietoja. Henkilötiedon käsite on laaja samoin kuin se mikä katsotaan henkilötiedon käsittelyksi. Periaatteessa mikä tahansa yksittäiseen henkilöön liittyvän tieto on henkilötieto. Henkilötiedon käsittelyä on tällaisen tiedon kerääminen, tallentaminen ja käyttö. Asetus tuleekin koskemaan kaikkia yrityksiä riippumatta yrityksen koosta tai toimialasta. Siinä on sen sijaan eroja missä laajuudessa yrityksen tulee toteuttaa asetuksen määräyksiä.

Rekisteröidyn, eli henkilön jonka henkilötietoja käsitellään, oikeudet vahvistuvat. Jo nykyisen lainsäädännön mukaan rekisteröidyllä on oikeus tarkastaa omat tietonsa sekä vaatia niiden oikaisua ja poistamista rekisteristä. Asetus tuo tullessaan myös uusia oikeuksia, kuten oikeuden tietojen siirrettävyyteen sekä oikeuden kieltäytyä profiloinnista.

Yksi merkittävimmistä periaatteellisista muutoksista on ns. osoitusvelvollisuus. Rekisterinpitäjä, eli esimerkiksi henkilötietoja käsittelevä yritys, vastaa siitä ja sen on pystyttävä osoittamaan, miten se on varmistanut tietosuojavelvollisuuksien toteutumisen toiminnassaan teknisin, hallinnollisin ja organisatorisin toimenpitein. Kannattaa huomata, että tekninen suojaus on vain yksi osa yrityksen tietosuojavelvollisuuksia.

Miten yrityksissä sitten tulisi valmistautua tulevaan muutokseen? Vaikka erillisen vaikutustenarvioinnin tekeminen ei ole kaikissa yrityksissä pakollista, nykytilanteen selvittämisestä on hyvä lähteä liikkeelle. Ainakin seuraavat asiat kannattaa selvittää:

  1. Mitä henkilötietoja käsittelemme?
  2. Onko käsittely nykylainsäädännön mukaista?
  3. Miten tietojen käsittelystä tiedotetaan rekisteröidyille?
  4. Ovatko prosessit ja dokumentaatio ajan tasalla ja mitä tulisi muuttaa tai luoda?

​Tämän jälkeen yritys voi arvioida onko tarpeen nimittää tietosuojavastaava tai muu tietosuoja-asioista vastaava henkilö. Tietosuojavastaavan nimittäminen tulee pakolliseksi vain harvoissa pk-yrityksissä, mutta siitä huolimatta vastuuhenkilön nimittäminen on järkevää. Koska tietosuoja-asetus edellyttää kirjallisen sopimuksen tekemistä henkilötietoja käsittelevän ulkoisen palveluntarjoajan kanssa, tulee nämä sopimukset käydä läpi ja päivittää. Tällainen ulkoinen henkilötietojen käsittelijä voi olla esimerkiksi ulkoistettu palkkahallinto, pilvipalveluiden tarjoaja tai vaikkapa markkinointiyritys.

Valmistautumisaikaa uusiin säädöksiin on vielä reilu vuosi. Toimi siis heti. Nykytilan selvittäminen ja lainmukaisuuden arviointi on hyvä lähtökohta.

Antti-Pekka Keränen
Asianajaja
Asianajotoimisto Kokkolex