Valitse sivuston käyttötapa: Mobiili
Uusi tietosuoja-asetus eli GDPR - mikä se on?

Uusi tietosuoja-asetus – mikä, miksi ja miten?

 Olet varmasti kuullut puhuttavan uudesta eurooppalaisesta tietosuojalaista (GDPR), joka astuu voimaan 25.5.2018. Mitä asetuksen voimaantulo tarkoittaa käytännössä? Kuinka asetus vaikuttaa käytännön työhön? Asiantuntijat suosittelevat, että yritykset ja organisaatiot aloittavat jo ajoissa tarkkailemaan ja tarvittaessa korjaamaan toimintaansa asetuksen edellyttämään suuntaan. 

Onko työpaikallasi varauduttu uuden tietosuoja-asetuksen vaatimuksiin?

Huolimatta siitä, millä toimialalla työskentelet, on hyvin todennäköistä, että tietosuoja-asetus tulee vaikuttamaan työhösi. Erityisesti henkilöstöhallinnon, markkinoinnin, juridiikan ja IT-alan henkilöstön kannattaa tarkistaa henkilötietojen käsittelyä koskevat käytäntönsä. Tietosuoja-asioissa kannattaa kääntyä asiantuntijoiden puoleen. Apua saa esimerkiksi aihepiirin koulutuksista.

GDPR

Lyhenne GDPR tulee sanoista General Data Protection Regulation. Asetusta on noudatettava 25. toukokuuta 2018 alkaen kaikissa EU-maissa. Virallisesti yleinen tietosuoja-asetus tuli kuitenkin voimaan jo 24. toukokuuta 2016, joka aloitti kahden vuoden siirtymäajan. Suomessa GDPR korvaa vanhan henkilötietolain.

Miksi tietosuoja-asetusta tarvitaan?

Uuden tietosuoja-asetuksen tarkoituksena on vahvistaa henkilötietojen käsittelyn tietosuojaa. Henkilötiedot voivat käsittää erilaista informaatiota niin työntekijöistä, asiakkaista kuin potentiaalisista asiakkaistakin. Tavoitteena on harmonisoida EU:n jäsenvaltioiden tietosuojasäännöstöä GDPR:n avulla. Aikaisemmin on ollut jokaisen jäsenmaan oman tulkinnan varassa, miten henkilötietosuojaa käsitteleviä direktiivejä sovelletaan.

Miten tietosuoja-asetus eroaa henkilötietolaista?

Tietosuoja-asetuksen voidaan katsoa olevan kuin vahvistettu henkilötietolaki. Useat osat henkilötietolaista löytyvät edelleen myös tietosuoja-asetuksesta, mutta tärkeitä eroavaisuuksiakin löytyy. Henkilötietolain keskittyessä enemmän siihen, miten tietoja hallitaan ja käsitellään kun yritys on ne hankkinut, keskittyy GDPR enemmän siihen, miten ja miksi henkilötietoja kerätään. Suurin ero henkilötietolain ja GDPR:n välillä lienee, että yritykset eivät voi enää omistaa henkilötietoja. Niitä voi ainoastaan lainata.

Keihin GDPR vaikuttaa?

Uusi tietosuoja-asetus tuo mukanaan keskeisen muutoksen niihin toimintatapoihin, joilla suomalaiset yritykset, organisaatiot ja viranomaiset käsittelevät henkilötietoja.

Yritykset ja muut organisaatiot

  • Velvoite informoida, miten henkilötietoja käsitellään, mitä tietoja kerätään ja miksi.
  • Velvoite tuntea kaiken keräämänsä informaation ja ne järjestelmät, jotka informaatiota käsittelevät.
  • Velvoite nimittää tietosuojavastaava jos yritys esimerkiksi käsittelee hienovaraisia tietoja suurissa määrin. Tietosuojavastaava on vastuussa lain noudattamisesta ja henkilöstön kouluttamisesta sekä toimii yleisön yhteyshenkilönä tietosuojaa koskevissa asioissa.

Henkilötietoja käsittelevissä yrityksissä ja organisaatioissa tulisi jo nyt osata vastata esimerkiksi seuraaviin kysymyksiä:

  • Miksi meillä on tiettyjä käyttäjä-, henkilö- tai muita tietoja?
  • Tarvitsemmeko niitä?
  • Miten tiedot kerätään?
  • Kenellä on pääsy tietoihin?

Tietosuoja-asetukseen tulee varautua esimerkiksi jos organisaation verkkosivustolla, verkkokaupassa tai muussa verkkopalvelussa voi rekisteröityä asiakkaaksi tai jäseneksi tai organisaatio ylläpitää sähköpostirekisteriä esimerkiksi asiakaspostitusten tekemiseen.

Yksityishenkilöt

  • Tietosuoja-asetus vahvistaa yksilön oikeutta tulla informoiduksi kun hänestä kerätään dataa, miten dataa kerätään ja mihin dataa käytetään.
  • Suoramarkkinoinnilta välttyminen helpottuu.
  • Yksityishenkilöillä tulee uuden asetuksen myötä olemaan oikeus pyytää, että hakumoottorit poimivat henkilökohtaiset tiedot pois. Tätä kutsutaa oikeudeksi tulla unohdetuksi.

Mitä tapahtuu jos asetusta ei noudata?

Yritykset, jotka eivät noudata asetuksen säännöksiä, voivat joutua maksamaan isoja korvauksia. Korvaus voi olla jopa 20 miljoonaa euroa tai neljä prosenttia yrityksen liikevaihdosta. Suomessa tietosuojavaltuutetun virasto valvoo sääntöjen noudattamista. Myös EU-tasolta löytyy tietosuojasta vastaava päätöselin, joka vetää suuntaviivat ja päättää lain tulkinnoista.

löytyykö teiltä tarvittavaa tietosuojaosaamista?

Lakiprosessi on ollut pitkä ja monimutkainen, ja ensimmäinen luonnos tuotiin esiin jo vuonna 2012. Tulee edelleen ottamaan aikansa ennen kuin uuden tietosuoja-asetuksen mukaiset käytännöt saavat tukevan jalansijan. Onkin tärkeää pysyä kehityksessä mukana ja ottaa selvää, mikä sitoo itseä ja mikä taas ei. Ajan tasalla pysyy erityisen hyvin ottamalla yhteyttä asiantuntijoihin, pyytämällä konsultointiapua ja hakeutumalla tietosuojakoulutukseen.

Etsitkö tietosuojakoulutusta? Kurkkaa täältä!

EU:n tietosuoja-asetus

Etsitko koulutusta tietosuoja-asetuksesta tai tietosuojasta?

Löydä itsellesi tai organisaatiollesi sopiva tietosuojakoulutus täältä!

Lähteet: Tietosuoja.fi

Viimeksi päivitetty: 17 touko 2019

Nämäkin voisivat kiinnostaa sinua:

Viimeksi päivitetty 10.4.2018

Selvennys siviili- ja julkisoikeuden aloihin

Tutustu juridiikkaoppaaseemme ja saat selkeyden eri termeistä ja niiden merkityksistä. Lisäksi opit erottamaan siviilioikeuden ja julkisoikeuden toisistaan.

Lue lisää
Viimeksi päivitetty 9.8.2019

Koulutusvähennys: hyödynnä 3 päivän koulutusoikeus

Hyödynnetäänhän teilläkin koulutusvähennys? Sen ansiosta henkilöstön osaamisen kehittäminen on kannattavampaa. Lue lisää koulutusvähennyksestä!

Lue lisää
Viimeksi päivitetty 1.7.2019

5 merkkiä ikävästä yrityskulttuurista

Etsitkö uutta työtä? Haluatko tietää, tuletko viihtymään uudessa työpaikassasi? Tarkkaile ainakin näitä viittä merkkiä.

Lue lisää