GDPR-tietosuoja-asetus

 

GDPR – toukokuussa voimaan astuva
tietosuoja-asetus

GDPR, eli General Data Protection Regulation, on EU:n laajuinen tietosuoja-asetus, joka astuu voimaan 25.5.2018. Tästä alkaen on henkilötietojen käsittelyn yrityksissä ja yhdistyksissä oltava tietosuoja-asetuksen mukaista. Aihe on yrityksissä aiheuttanut paljon päänvaivaa ja siihen on liittynyt monia kysymyksiä, epäselvyyksiä ja uskomuksia. Asetuksen tarkoituksena ei ole hankaloittaa yritysten sähköistä markkinointia vaan ajantasaistaa tietosuojaa koko EU:n alueella. Perimmäisenä syynä piilleekin kansalaisten parempi hallinta omista henkilötiedoistaan teknologian kehittyessä. EU:n antamaa asetusta tulee täydentämään jäsenmaiden omat tietosuojalait.

Mitä GDPR käytännössä tarkoittaa?

Käytännössä uusi tietosuoja-asetus tarkoittaa sitä, että yritysten halutaan entistä enemmän kiinnittävän huomiota omaan tietoturvaansa erilaisten henkilötietorekisterien suojaamiseksi. GDPR ei ole jotain, joka tulee tehdä valmiiksi 25.5.2018 mennessä. Päinvastoin, tästä työn pitäisi kunnolla vasta alkaa. Asetuksen tavoitteena on saada yritykset ottamaan tietosuoja-asiat osaksi päivittäistä tekemistään ja rutiinejaan, koko henkilökunnan kattavasti. Uuden tietosuoja-asetuksen mukainen toiminta tulee olemaan jatkuva prosessi, jolla taataan asetuksen mukaisen tietoturvan toteutuminen.

Millä periaatteella tietosuojaa toteutetaan?

Henkilötietojen käsittelyyn on yrityksillä käytettävissään erilaisia periaatteita. B-to-b puolella olisi yrityksen kannalta suotavinta käyttää oikeutettua etua, joka tarkoittaa esimerkiksi sitä, että yrityksellä on oikeutettu etu lähettää asiakkailleen ja potentiaalisille asiakkailleen markkinointiviestintää. Myös kuluttajakaupassa saa edelleen lähettää tähän periaatteeseen vedoten perinteistä suoramainontaa, mutta sähköiseen suoramainontaan tarvitaan asiakkaan suostumus. Käsittelyn periaate voi myös perustua sopimukseen, jonka käytön monipuolisuutta yritykset voisivat ruveta miettimään luovemmin. Voisimmeko esimerkiksi perustaa jonkin netissä toimivan clubin, johon liittyvät ihmiset saataisiin markkinointiviestintämme pariin? Muita käsittelyn periaatteita ovat  lakisääteinen velvoite, julkinen tehtävä ja elintärkeä tai yleinen etu.

Mitä sitten käytännössä pitää tehdä?

Suurin työ, liittyen uuteen tietosuoja-asetukseen, tulee olemaan yrityksillä sen saaminen osaksi yrityksen arkea ja jatkuvaksi prosessiksi. Ennen kuin asetus tulee voimaan, on yrityksen selvitettävä, millaisia henkilötietorekistereitä sillä on käytössään. Huomioi, että henkilötietoja voi löytyä yllättävistäkin paikoista. Tämän jälkeen yrityksen tulee laatia henkilötietorekisterit ja laittaa rekisteriselosteet ja raportit kuntoon. Yrityksen on valmisteltava myös dokumentit, joiden avulla rekisteröidylle ilmoitetaan hänen henkilötietojensa käytöstä ja rekisteröidyn oikeuksista tietojen käsittelyn suhteen. Rekisteriselosteet tulee asettaa helposti rekisteröityjen saataville. Lisäksi uutta rekisteröityä on aina tietyin periaattein informoitava hänen tietojensa käsittelystä.

Kun rekisterit ja rekisteriselosteet on saatu kuntoon, on tietosuoja-asetuksen mukainen toiminta tuotava osaksi yrityksen jokapäiväistä toimintaa.  Takaa asiantuntemus yrityksessäsi, etenkin asiakasrajapinnassa työskenteleville, eli kouluta henkilöstöäsi. Jokaisen asiakasrajapinnassa työskentelevän pitäisi tietää keväästä eteenpäin, miten toimia, jos asiakas haluaa poistaa henkilötietonsa yrityksen rekistereistä, tarkastaa omat tietonsa tai rajoittaa tietojensa käsittelyä. On myös hyvä tietää yrityksen oikeudet ja velvollisuudet kussakin tilanteessa. Ennen kaikkea, varmista, että tietosuoja-asetuksen mukainen toiminta on yrityksessäsi jatkuva prosessi.

Mitä voi seurata tietosuojan tekemättä jättämisestä?

Sanktiot tietosuojan laiminlyönnistä ja tietosuojarikkomuksesta ovat hyvin mittavia, joten suosittelemme jokaista yritystä laittamaan asian kuntoon. Mieluummin ennemmin kuin myöhemmin. Hallinnollinen sakko on enimmillään 2 miljoonaa euroa tai 4 % yrityksen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta.

Alla vielä muistilista, mitä tulee tehdä ennen 25.5.2018 ja miten toimia sen jälkeen:
 

Ennen 25.5.2018

  • selvitä, mitä kaikkia henkilötietoja yrityksesi hallusta löytyy
  • tee henkilötietorekisterit
  • varmista, että yritykselläsi on asetuksen mukainen henkilötietojen käsittelyperuste
  • laadi selosteet henkilötietojen käsittelytoimista
  • laita selosteet hyvin saataville
  • varaudu tiedottamaan rekisteröityjä kattavasti ja ymmärrettävästi
  • valmistele rekisteröidyille lähetettävät dokumentit henkilötietojen käsittelystä
  • kouluta henkilökunta
     

25.5.2018 jälkeen

  • ota tietosuoja-asetuksen mukainen toiminta osaksi yrityksesi jokapäiväistä toimintaa koko henkilökunnan kattavasti
  • ylläpidä ja päivitä henkilötietorekisterejä
  • ota rekisterien ja dokumenttien tarkastaminen ja päivittäminen osaksi yrityksesi vuosikelloa
     

Käsitteitä
 

Henkilötieto

  • Kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot. Tunnistustiedot kuten nimi, henkilötunnus, sijaintitieto, verkkotunnistetieto, yksi tai useampi henkilölle tunnusomainen tekijä (mm. fyysinen, fysiologinen, geneettinen, psyykkinen, taloudellinen, kulttuurinen tai sosiaalinen tekijä)

Henkilötietorekisteri

  • Mikä tahansa jäsennelty henkilötietoja sisältävä tietojoukko, josta tiedot ovat saatavilla tietyin perustein
  • Tyypillisiä rekistereitä: asiakasrekisteri, potentiaalisten asiakkaiden suoramarkkinointirekisteri, sidosryhmärekisteri, henkilörekisteri…

Rekisterinpitäjä

  • luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot

Käsittelijä

  • Luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka käsittelee henkilötietoja rekisterinpitäjän lukuun
     

Jos asia vielä askarruttaa niin ota yhteyttä iida.ruotsalainen@precis.fi, 0400 640108

GDPR – henkilötietojen käsittelyn ulkoistaminen

Toukokuussa voimaan astuva tietosuoja-asetus mahdollistaa yrityksille henkilötietojen käsittelyn ulkoistamisen, kuten tähänkin saakka. Tässäkin tulee ottaa huomioon muutamia asioita jatkossa, jotta toiminta on uuden tietosuoja-asetuksen mukaista. Käsittelyn ulkoistaminen voi tulla kyseeseen esimerkiksi työntekijöiden palkanmaksun ulkoistamisessa tilitoimistolle tai yrityksen uutiskirjeiden tuotannon ja lähetyksen ulkoistamisessa mainostoimistolle. Lue lisää…

  

Mainostoimisto Precis Oy | Viipurintie 4 A (Verkatehdas), 13200 Hämeenlinna | 044 775 2000

Rekisteriseloste