EU:n tietosuoja-asetus eli GDPR muuttaa yritysten käytäntöjä

Lyhenne GDPR tulee sanoista General Data Protection Regulation ja sillä tarkoitetaan EU:n uutta tietosuoja-asetusta. EU:n tietosuoja-asetuksen tavoitteena on parantaa sekä yhdenmukaistaa EU-kansalaisten yksityisyydensuojaa ja oikeuksia valvoa henkilötietojensa käsittelyä.

Asetuksen myötä yritysten on käsiteltävä henkilötietoja aiempaa suunnitellummin ja huolellisemmin.

Tietosuoja-asetus koskee teidänkin yritystänne

Valtaosassa suomalaisia yhdistyksiä ja yrityksiä henkilötietoja käsitellään joissain muodossa, minkä takia tietosuoja-asetus koskettaa lähes kaikkia organisaatioita.

Henkilötietoja eivät ole pelkästään ”sotut”, vaan esimerkiksi nimet, yhteystiedot, henkilötunnukset ja käyttäjätiedot. Henkilötietojen käsittelyksi katsotaan muun muassa näiden tietojen kerääminen, säilyttäminen, luovuttaminen, yhdistäminen ja hävittäminen.

GDPR koskee siis tietoa, jonka perusteella ihminen voidaan tunnistaa yksilöllisesti. Organisaatioissa tällaisia tietoja on tyypillisesti esimerkiksi asiakasrekistereissä sekä omia työntekijöitä koskevissa listoissa ja rekistereissä. Valmistautuminen kannattaakin aloittaa yrityksen hallussa olevien henkilötietojen tunnistamisesta.

Siirtymäajasta on kulunut jo puolet

Tällä hetkellä on käynnissä siirtymäaika, jolloin yritysten on muutettava toimintansa asetuksen mukaiseksi. Henkilötietojen käsittelyn on oltava asetuksen mukaista vuoden kuluttua eli 25.5.2018 alkaen.

On hyvä huomata, että asetukseen sisältyy velvollisuus osoittaa, että yrityksessä on todella toimittu riittävän tarkasti. Osoitusvelvollisuuden myötä ei siis enää riitä, että organisaatio noudattaa asetusta, vaan kysyttäessä on voitava osoittaa toteuttavansa tietosuojaperiaatteita myös käytännössä. Osoitusvelvollisuus on iso muutos, koska vanhan henkilötietolain aikana on riittänyt, että säännöksiä noudatetaan.

GDPR:n sakot voivat olla huomattavan suuret

Uusien tietosuojavelvoitteiden noudattamista valvotaan ja asetuksessa on säädetty vanhaa henkilötietolakia tiukemmat seuraamukset. Tietosuojaviranomainen voi määrätä henkilötietojen käsittelyyn liittyviä korjaavia toimenpiteitä ja hallinnollisia sakkoja.

Sakkomäärät ovat suuria, enimmillään jopa 20 miljoonaa euroa tai 4 prosenttia yrityksen maailmanlaajuisesta kokonaisliikevaihdosta.

Aloita valmistautuminen tiedon kartoittamisesta

Jotta yrityksessänne ollaan valmiita toimimaan tietosuoja-asetuksen mukaisesti, valmistautuminen kannattaa aloittaa hallussanne olevan tiedon kartoittamisesta. GDPR edellyttää, että organisaatiossanne tiedetään, mitä henkilötietoja teillä on käytössänne. Kokonaiskuvan luomisessa on otettava huomioon missä henkilötietoja on tallennettuina, miten niitä käsitellään ja kuka niitä yrityksessänne käsittelee. Osoitusvelvollisuuden myötä teidän on dokumentoitava mm. tietojen käsittelyn toimintamalli, toimenpiteet ja käyttämänne järjestelmät. Prosessien dokumentointiin sisältyy tieto siitä, miten yritykseenne tulee tietoa ja miten tietoa käsitellään ja luokitellaan.

Koska GDPR:n mukainen toiminta todennäköisesti edellyttää muutoksia organisaatioiden nykyisissä toimintatavoissa, tulee samalla myös tilaisuus tarkastella käytössä olevia järjestelmiä, tekniikkaa ja toimintakulttuuria. Parhaimmillaan asetukseen valmistautuminen johtaa prosessien tehostumiseen ja tarkoituksenmukaisempaan tiedon hallintaan tuoden kustannustehokkuutta ja säästöjä toimintaan.

Hyödynnä vinkkejämme ja lataa avuksesi tarkistuslistamme Valmistaudu tietosuoja-asetukseen (GDPR).