Tietosuoja-asetus (GDPR)

Euroopan Unionin tietosuoja-asetusta aletaan soveltaa myös Suomessa 25.5.2018.

Asetuksen tavoitteena on yhtenäistää eri EU-maiden tietosuojakäytännöt, saada yritykset kiinnittämään nykyistä enemmän huomiota tietoturvaan sekä turvata ns. rekisteröityjen oikeuksia valvoa henkilötietojensa käsittelyä. Asetus velvoittaa kaikkia yrityksiä, yrityksen koosta riippumatta. Asetus parantaa EU-kansalaisten tietosuojaa sekä henkilötietojen luottamuksellista käsittelyä.

Tietosuoja-asetuksen kohteena on henkilötietojen suojaaminen. Henkilötietoina pidetään kaikkia luonnollista henkilöä koskevia tietoja, joista hänet voitaisiin tunnistaa kuten valokuva, nimi, puhelinnumero, sähköpostiosoite, verkkotunnistetieto ja jopa viittaus julkisuuden henkilöön Wikipediassa tai muulla internetissä. Henkilötiedon käsite on siten hyvin laaja. Asetus velvoittaa rekisterinpitäjää eli yritystä, jolla on esim. asiakasrekisteri tai henkilöstöhallinnon tarpeisiin työntekijärekisteri. Yritys rekisteriä perustaessa ja ylläpitäessä päättää mitä tarkoitusta varten tietoja kerätään sekä mitä tietoja rekisteriin kirjataan, miten tietoja käsitellään, säilytetään ja kenellä on pääsy rekisteriin kirjattuihin henkilötietoihin. Jokaisesta ylläpitämästään henkilörekisteristä tulee yrityksen tehdä tietosuojaseloste, josta käy ilmi muun muassa kuka on tietojen käsittelystä vastaava rekisterinpitäjä, mitä henkilötietoja rekisterissä on, mitä tarkoitusta varten ne on kerätty, kenelle tietoja mahdollisesti luovutetaan ja miten tiedot on suojattu. Rekisterinpitäjä eli yritys ei välttämättä käsittele itse rekisteristä löytyviä henkilötietoja vaan on voinut ulkoistaa tietojen käsittelyn jollekin muulle taholle. Rekisterinpitäjän ja tietojen käsittelijän on kyettävä osoittamaan, että asetuksen määräyksiä noudatetaan. Osoitusvelvollisuus toteutuu helpoiten siten, että tietoturvallisuutta koskevat suunnitelmat pidetään aina ajan tasalle.
Edellisten lisäksi tulee yrityksen ilmoittaa tietomurroista vähintään viranomaisille, jotka ilmoituksen jälkeen arvioivat oliko yritys suojannut rekisterin ja sen tiedot asianmukaisesti. Mikäli yritys ei ole suojannut tietoja tietosuoja-asetuksen vaatimusten mukaisesti viranomaiset voivat määrätä yritykselle sakon jonka suuruus voi olla sangen merkittävä.

Sivustolta https://www.asiakastieto.fi/web/fi/ voitte tilata tietosuoja-asetukseen varautumiseen opastavan esitteen.

Lisäksi Tietosuojavaltuutetun toimiston sivustolta löytyy lisää tietoja ja hyödyllistä materiaalia. http://www.tietosuoja.fi/sv/index/materiaalia/lomakkeet/rekisteri-jatietosuojaselosteet.html