Tietosuoja-asetus koskee jokaista yritystä

28.3.2018

Uutta, koko EU:n laajuista tietosuoja-asetusta aletaan soveltaa 25.5.2018. Se koskee jokaista yritystä Suomessa. Asetuksen tavoitteena on turvata yksilön oikeudet tietosuojaan.

Tietosuoja-asiat eivät ole uutta yritysmaailmassa, sillä yksityisyyden suojaa on pohdittu kansainvälisillä foorumeilla jo vuosikymmenien ajan. Yksityishenkilön tietosuojaa käsittelevät säännökset ja lait ovat kuitenkin tähän asti olleet kansallisia. Nyt 25.5.2018 alkaen sama asetus koskee kaikkia EU-maita.

Asetus on laadittu yksityishenkilön eli rekisteröidyn osapuolen näkökulmasta ja tavoitteena on turvata yksilön oikeudet tietosuojaan. Se mikä muuttuu uuden asetuksen myötä verrattuna aiempiin säädöksiin, on yrityksen velvoite osoittaa, että asetuksen säätämiä velvoitteita henkilötietojen käsittelyssä noudatetaan.

- Benemenin kanta uuteen tietosuoja-asetukseen on pelkästään myönteinen, sanoo Benemenin tietosuojavaltuutettu Mikko Muurinen

Muurinen toteaa, että on hyvä asia, jos henkilön yksityisyyttä suojataan. Se on ainoa tapa tehdä pitkäkestoista ja kannattavaa liiketoimintaa. Oivallinen motto on, että yrityksessä käsitellään muiden henkilötietoja samalla tavalla kuin toivotaan omia tietoja käsiteltävän. Parhaillaan vellova facebook-skandaali, jota käsitellään eri medioissa, on hyvä esimerkki huonosti hoidetusta yksilön tietosuojasta ja sen seurauksista.

Benemenin sitoutuminen tietosuoja-asetukseen näkyy käytännön toimina

Benemenillä ollaan valmiita asetuksen tuomiin muutoksiin. Valmistelut aloitettiin syksyllä 2017, jolloin myös tietosuojavastaava päätettiin nimetä. Benemenin kokoisessa yrityksessä tietosuojavastaavan tehtävä ei ole pakollinen, mutta yrityksen johto halusi osoittaa sitoutumisensa tietosuoja-asioihin ja päätti tietosuojavastaavan nimeämisestä.

Valmistautuminen aloitettiin nykytilan kartoituksella ja sen jälkeen päätettiin omien prosessien kehittämisprojekteista. Sopimukset ja niiden sisältö Benemenin asiakkaiden sekä muiden toimijoiden kanssa käytiin läpi ja tehtiin niihin tarvittavat lisäykset. Tämä prosessi on vielä meneillään. Valmistautumiseen kuului myös Benemenin tietoturvapolitiikan päivitys ja yrityksen intrassa julkaistava Tietosuojakäsikirja henkilöstön käyttöön.

Isoja muutoksia henkilötietojen käsittelyyn ei ole tarvinnut tehdä. Järjestelmiin on tehty joitakin muutoksia, joiden myötä asiakkaan on helpompi suorittaa omia velvoitteitaan omille asiakkailleen. Benemenin omia sisäisiä työkaluja on myös kehitetty. Kaikesta tietojen käsittelystä jää jälki, joten tekemiset on helppo todentaa.

- Olemme valmiita tietosuoja-asetuksen soveltamiseen toukokuun lopussa. Henkilöstöä koulutetaan edelleen tietosuoja-asioiden tiimoilta ja sisäistä dokumentaatiota täydennetään kartoituksen ja riskien osalta. Parannuksia tehdään toukokuun 25. päivän jälkeenkin, sillä ainahan käytännöistä ja prosesseista parannettavaa löytyy, Muurinen sanoo.

Yrityksen on tärkeää ymmärtää oma roolinsa

Muurisen mielestä tietosuoja-asetus selkeyttää toimijoiden rooleja. Jos asetusta tarkastellaan yksinkertaistettuna Benemenin ja sen asiakkaiden näkökulmasta, Benemen on toimittaja, joka käsittelee henkilötietoja ja sen asiakas on rekisterinpitäjä. Toimittajana Benemen noudattaa tietosuoja-asetusta tuottaessaan palveluita asiakkaalleen eli rekisterinpitäjälle sen ohjeistuksen mukaisesti. Rekisterinpitäjällä on osoitusvelvollisuus rekisteröimilleen henkilöille siitä, että heidän tietoja käytetään oikein.

Jos yrityksessä on vielä epävarmuutta velvoitteiden sisällöstä ja niiden täytäntöönpanon tilasta omalla kohdalla, eri nettisivuilta löytyy tarkistuslistoja, joita kannattaa käydä läpi.

Tärkeää on ymmärtää, että tietosuojamuutosten tekeminen ei ole tietojärjestelmähanke, vaan kyse on siitä, miten yrityksessä hoidetaan asioita ja prosesseja.

Luotettava toimija pärjää paremmin

- Vaikka julkisuudessa on peloteltu sanktioilla asetuksen laiminlyöntitapauksessa, sakkojen merkitys on pienempi kuin maineriski tai taloudelliset seuraamukset, joita laiminlyönnistä voi syntyä. Jos asiat eivät ole yrityksessä kunnossa ja viranomainen kieltää henkilötietojen käsittelyn, seurauksena voi olla liiketoiminnan lamaantuminen ja taloudellisia tappioita maineen menetyksen lisäksi, Muurinen muistuttaa.

Muurinen painottaa, että olennaista on osoittaa, että yrityksellä on hyvä aikomus noudattaa velvoitteita ja ymmärrys niiden sisällöstä sekä merkityksestä.

Merkittävän hyödyn tietosuoja-asetukseen valmistautunut yritys saa siitä, että se luo toimillaan kuvan luotettavasta toimijasta, joka hoitaa velvoitteensa. Selvää on, että kuluttaja ja palveluiden käyttäjä valitsee itselleen sen palveluntarjoajan, jonka kokee luotettavaksi ja osaavaksi.

Tietoa tietosuoja-asetuksesta

EU:n yleistä tietosuoja-asetusta sovelletaan 25.5.2018 alkaen kaikissa EU:n jäsenmaissa. Tietosuoja-asetusta (General Data Protection Regulation, GDPR) sovelletaan lähtökohtaisesti kaikkeen henkilötietojen käsittelyyn.

Tietosuoja-asetusta täydennetään ja täsmennetään kansallisella lainsäädännöllä. Suomessa on tekeillä tietosuojalaki, joka täydentää asetusta.

Uuden lainsäädännön tavoitteena on:

• parantaa henkilötietojen suojaa ja rekisteröityjen oikeuksia,

• vastata uusiin digitalisaatioon ja globalisaatioon liittyviin tietosuojakysymyksiin,

• yhtenäistää tietosuojasääntelyä kaikissa EU-maissa,

• edistää digitaalisten sisämarkkinoiden kehittymistä.

Tietosuoja-asetus päivittää ja uudistaa periaatteita, joilla taataan oikeus henkilötietojen suojaan. Asetuksella vahvistetaan ihmisten oikeuksia ja EU:n sisämarkkinoita sekä sujuvoitetaan henkilötietojen kansainvälisiä siirtoja.

Keskeistä ja uutta tietosuoja-asetuksessa on muun muassa riskiperusteinen lähestymistapa ja rekisterinpitäjän osoitusvelvollisuus. Rekisterinpitäjän velvollisuudet kasvavat sitä mukaa, mitä korkeampia riskejä henkilötietojen käsittelyyn liittyy. Rekisterinpitäjän on myös pystyttävä osoittamaan, että se noudattaa tietosuoja-asetusta. Henkilötietojen käsittely on suunniteltava ja dokumentoitava.

Hyötyjä kansainvälisille yrityksille

Tietosuojan uudistaminen auttaa digitaalisia sisämarkkinoita toteuttamaan liiketoimintamahdollisuuksia seuraavien periaatteiden avulla:

• Yksi maanosa, yksi lainsäädäntö: Euroopassa otetaan käyttöön yksi tietosuojan sääntökokonaisuus, joka korvaa kansallisten lakien tilkkutäkin. Yritykset toimivat 28 lain sijasta yhden lain mukaan. Tästä kertyy vuodessa komission arvion mukaan 2,3 miljardin euron säästöt.

• Yhden luukun järjestelmä: Yrityksille suunnattu yhden luukun järjestelmä merkitsee, että yritysten tarvitsee ottaa yhteyttä vain yhteen tietosuojaviranomaiseen 28:n viranomaisen sijasta.Tämä tekee liiketoiminnan harjoittamisesta EU:n alueella halvempaa ja mutkattomampaa.

• Samat säännöt kaikille yrityksille sijaintimaasta riippumatta: Nykyään eurooppalaisten yritysten on noudatettava tiukempia normeja kuin EU:n ulkopuolelle sijoittuneiden yhtiöiden, jotka harjoittavat liiketoimintaa sisämarkkinoillamme. Uudistuksen myötä Euroopan ulkopuolelle sijoittuneiden yritysten on sovellettava samoja EU:n sääntöjä, kun ne tarjoavat tavaroita tai palveluja EU-markkinoilla. Tämä luo tasavertaiset kilpailumahdollisuudet.

Lähde: Tietosuoja.fi