This site uses cookies to provide you with a more responsive and personalised service. By using this site you agree to our use of cookies. Please read our PRIVACY POLICY for more information on the cookies we use and how to delete or block them.
Artikkeli:

Tietosuoja-asetus astuu voimaan – mitä se merkitsee sinun organisaatiollesi?

27 syyskuuta 2016

EU:n tietosuoja-asetus hyväksyttiin tämän vuoden huhtikuussa. Asetusta sovelletaan Suomessa suoraan lainsäädäntöön, ja sen myötä tietosuoja-asioihin on tullut kaikkia organisaatioita koskevia muutoksia.

Tietosuoja-asetus nostaa esiin asioita, joiden tulisi olla jokaisen organisaation kehityslistalla ja riskienhallinnan piirissä. Motivaatiota kehitystyöhön tuovat sanktiot, jotka ovat huomattavia riskejä sekä taloudellisesti että maineenhallinnan kannalta. Valvontaviranomaisen määräämät hallinnolliset sakot voivat jatkossa olla merkittävissä rikkeissä jopa 4 % yrityksen liikevaihdosta tai 20 miljoonaa, kun taas pienempien rikkeiden tapauksessa ne voivat olla 2 % liikevaihdosta tai 10 miljoonaa. Sakot suhteutetaan rikkeen vakavuuteen, kestoon, seurauksiin ja asetuksen mukaan toteutettuihin toimenpiteisiin.

Tietosuoja-asetusta sovelletaan kahden vuoden täytäntöönpanoajan päätyttyä 25.5.2018 alkaen.  Asetukseen liittyy vielä avoimia kysymyksiä ja täsmennettävää. Kansallista liikkumavaraa on annettu julkiselle sektorille ja esimerkiksi lapsen ikäraja päätetään kansallisesti. Hallitus pyrkii antamaan toukokuussa 2017 esityksen yleislaiksi, jossa täsmennetään tietosuoja-asetuksessa avoimeksi jääneitä asioita.

 

Kehen tietosuoja-asetusta sovelletaan?

Asetusta sovelletaan kaikkeen EU:n alueella tapahtuvaan henkilötietojen käsittelyyn muutamin viranomaisia koskevin poikkeuksin. Henkilötiedolla tarkoitetaan kaikkea sellaista tietoa, jonka kautta henkilö voidaan yksilöidä.

Asetusta sovelletaan sellaisenaan yksityisellä sektorilla. Soveltamisaloihin kuuluvat myös esimerkiksi kunnat, kuntayhtymät, yhdistykset, taloyhtiöt ja seurakuntien hallinnolliset rekisterit. Ulkopuolelle on jätetty ainoastaan uskonnonharjoittaminen ja henkilöiden yksityiseen käyttöön pitämät rekisterit. Julkisen sektorin osalta asetuksen soveltamista voidaan kansallisesti muokata.

 

Miten huomioida tietosuoja-asetus ulkoisten palveluiden hankinnoissa?

Kuntien, yritysten ja muiden hankintayksiköiden on hyvä jo nyt varautua sekä henkilötietoja käsittelevien palveluntuottajien hankinnassa että tietojärjestelmähankinnoissaan tietosuoja-asetuksen vaatimuksiin.

Tietojärjestelmien hankinnoissa tietosuojan tulee olla oletusarvoista ja järjestelmiin sisäänrakennettua. Kun tietosuoja-asiat huomioidaan jo järjestelmän suunnitteluvaiheessa, voidaan välttyä merkittäviltä sanktioilta ja lisäkustannuksilta, joita muodostuu jos järjestelmiin rakennetaan uusia ominaisuuksia myöhemmin. Järjestelmiä hankittaessa on hyvä dokumentoida tietosuojaan liittyvät riskit, jotta ne voidaan myöhemmin tarvittaessa todentaa.