EU:n tietosuoja-asetus uudistaa henkilötietojen käsittelyn myös yrityksissä

Joulukuussa 2015 Euroopan komissio, parlamentti ja neuvosto löysivät yksimielisyyden koskien pitkään valmisteltua tietosuojauudistusta. Kolmikantaneuvotteluissa tehdyn päätöksen johdosta uusi tietosuoja-asetus, jolla säännellään henkilötietojen käsittelyä, julkaistaneen vielä tämän kevään aikana. Uuden asetuksen soveltaminen alkaa keväällä 2018. Uudistus koskee kaikkia henkilötietoja käsitteleviä tahoja ja näin ollen se vaikuttaa myös isoon osaan yrityksistä.

Uuden tietosuoja-asetuksen lähtökohtana on niin kutsuttu riskipohjainen lähestymistapa. Henkilötietojen käsittelyä koskeva sääntely tiukentuu sen mukaan, kuinka korkeariskistä henkilötietojen käsittely on. Riskipohjaisen lähestymistavan ansiosta voidaan varmistaa henkilötietojen käsittelyn korkea taso, mutta samalla vältytään raskaiden, kaikkia velvoittavien säädösten määräämiseltä.

Yksilön oikeus saada tietoa hänestä tallennetuista henkilötiedoista sekä poistaa tiedot rekisteristä vahvistuu uuden asetuksen myötä. Jokaista yritystä koskee velvollisuus ilmoittaa viivytyksettä henkilötietoihin kohdistuvasta tietoturvaloukkauksesta sekä asianomaisille henkilöille että viranomaisille. Osaa yrityksistä koskee velvollisuus nimittää tietosuojavastaava. Tietosuojavastaavalla tulee olla riittävä tietotaito tehtävän hoitamiseen. Tietosuoja-asetuksen määräysten noudattamatta jättämisestä voidaan määrätä huomattavan suuria sakkoja.

Keskuskauppakamari on julkaissut neuvoja, joiden avulla yritykset voivat valmistautua tietosuoja-asetuksen tuomiin muutoksiin. Keskuskauppakamarin mukaan yrityksen kannattaa ennen asetuksen voimaantuloa muun muassa arvioida yrityksen henkilötietojen käsittelyn tämänhetkinen tila, nimittää tietoturvavaltuutettu sekä tarkistaa ja päivittää tietosuojaa koskevat sopimukset. Keskuskauppakamarin ohjeistuksen voi lukea kokonaisuudessaan täällä. Lisätietoa on saatavilla myös esimerkiksi tästä Euroopan komission lehdistötiedotteesta.

Vieritä ylös