EU:n tietosuoja-asetus GDPR uudistaa digitaalisten henkilötietojen suojauksen periaatteita | Digitoimisto KWD Digital

Ota yhteyttä ja kerro miten voimme auttaa

Henkilötiedot
Kerro hieman projektistanne.

Ota yhteyttä

Olet täällä

EU:n tietosuoja-asetus GDPR uudistaa digitaalisten henkilötietojen suojauksen periaatteita

EU:n uusi tietosuoja-asetus (GDPR – General Data Protection Regulation) tuo tuntuvia muutoksia digitaalisten palveluiden henkilötietojen käsittelyyn 25.5.2018 voimaan astuva asetus koskee niin yrityksiä, järjestöjä kuin julkisen sektorin organisaatioitakin.

Mikäli sinun yrityksesi tai organisaatiosi käsittelee eli kerää, tallentaa ja/tai käyttää henkilötietoja digitaalisesti, asetus koskee sinua. Muutokseen on syytä varautua hyvissä ajoin. Myös toisten yritysten puolesta tietoja käsittelevät kuuluvat uuden tietosuoja-asetuksen piiriin.

Tiedätkö, mitä henkilötietojasi on kerätty eri verkkopalveluihin?

GDPR-astuksella halutaan sekä lisätä ihmisten luottamusta digitaalisiin palveluihin että vauhdittaa yritysten kasvua. Euroopan kommision Tietosuoja-esitteen mukaan vain 15 % ihmisistä tuntee voivansa hallita verkossa antamiaan tietoja. Epäluottamus on hidaste myös digitaalitalouden kehitykselle.

Ja tietysti kyse on myös yhtenäisistä, kaikkia koskevista, pelisäännöistä. Liiketoimitaa pidetään helpompana ja reilumpana, kun kaikkia EU:n yrityksiä koskevat samat säännöt.

Toukokuusta 2018 alkaen astuvat voimaan mm. nämä henkilötietojen suojauksen periaatteet:

  • Henkilötietoja ei tule kerätä laajemmin eikä säilyttää kauemmin kuin on välttämättä tarpeellista kuhunkin konreettiseen tarkoitukseen.
  • Henkilötietojen suojaaminen tulee ottaa kaikkien henkilötietoja sisältävien tietojärjestelmien suunnittelun lähtökohdaksi.
  • Henkilötietojen käyttötarkoitus ja keruutapa on ilmoitettava mahdollisimman ymmärrettävästi ja selkeästi.
  • Henkilön on aktiivisesti annettava lupa henkilötietojensa keräämiseen.
  • Yritysten on voitava todistaa, että lupa henkilötietojen keräämiseen on saatu henkilöltä itseltään.
  • Lasten  (alle 16-vuotiaat, mutta jäsenmaakohtaisesti alimmillaan myös alle 13-vuotiaat) on pyydettävä lupa henkilötietojensa luovuttamiseen vanhemmiltaan, myös sosiaalisissa medioissa.
  • Itsestä kerättyjä henkilötietoja on voitava tarkistaa helposti.
  • Omat henkilötiedot pitää pystyä poistamaan tai siirtämään toiselle yritykselle.
  • Tietovuodosta ja -loukkauksesta on tiedotettava 72 tunnin kuluessa, mikäli asianosaisiin kohdistuva uhka on vakava.
  • Tietosuoja on sitä vakavampi, mitä enemmän ja mitä useammalta tietoa kerätään. Erityissuojauksessa ovat esimerkiksi terveys, uskonto ja sukupuolinen suuntautuminen.
  • Mikäli henkilötietojen käsittely kuuluu yrityksen ydinliiketoimintaan, sen on valittava tietosuojavastaava.

     

Laaja vastuu, kovat sanktiot

Uuden GDPR-asetuksen noudattamista valvotaan. Rikkojaa uhkaavat ankarat sakot, myös silloin, kun on kyse kumppanista. Palveluntarjoajien palveluntarjoajat, esimerkiksi KWD Digitalin kaltaiset digitoimistot, ovat siis omalta osaltaan myös vastuussa asetuksen noudattamisesta. Vaikka tietoturva on yleensä ollut kaikissa sovelluksissa etusijalla, jatossa sen on oltava myös kattavasti dokumentoitua ja todennettavissa.

Pääasiallinen velvoite koskee silti itse yrityksiä ja organisaatioita, joiden tulee jatkossa voida todistaa dokumentein, että uutta asetusta noudatetaan. Osoitusvelvollisuus aiheuttaa sen, että asetuksen uudistumiseen on valmistauduttava jo nyt siirtymäkaudella. Nykytilan kartoitus ja uusien käytänteiden suunnittelu on välttämätöntä mahdollisimman hyvissä ajoin.

Asetuksen noudattamatta jättämisestä seuraavat sanktiot eivät yle vähäpätöisiä. Rangaistusmaksut voivat olla 20 miljoonaa euroa tai jopa 4 % yrityksen globaalista liikevaihdosta sen mukaan, kumpi saktio on isompi. Alkuvaiheessa tosin saatetaan selvitä pelkällä huomautuksella tuntuvien sakkojen sijaan.

Aloita nykytilanteen kartoitus heti

Yksi merkittävä hankaluus asetusmuutoksessa on sen tulkinnanvaraisuus. Hyvä lähtökohta on kuitenkin nykytilanteen tarkka analysointi. Käytännössä lähes jokainen yritys ja organisaatio käsittelee henkilötietoja tavalla tai toisella. Ei riitä, että yrityksen tietojärjestelmät ja ohjelmistot syynätään. Jopa henkilökunnan kuluvalvonta kuuluu henkilötietojen keräämisen piiriin.

Lisätietoja EU:n uudesta tietosuoja-asetuksesta löytyy mm. Tietosuojavaltuutetun toimiston yhdessä oikeusministeriön kanssa julkaisemasta oppaasta Miten valmistautua EU:n tietosuoja-asetukseen.

Varmista, että oma liiketoimintasi täyttää uuden asetuksen asettamat velvoitteet - varaa nykytilanteen analyysi ja tulevaisuuden toimintasuunnitelma jo tänään! Voit myös otttaa suoraan yhteyttä myyntiimme: timo.sahakari@kwd.fi tai 050 464 8662.