17.11.2016

Tietosuoja-asetus korostaa vastuuta henkilötietojen käsittelyssä

Euroopan unionin 25.5.2018 lähtien sovellettava yleinen tietosuoja-asetus asettaa organisaatioille merkittäviä uusia vaatimuksia koskien henkilötietojen käsittelyä. Nyt on hyvä aika käydä yrityksesi käsittelytoimet ja tietosuojadokumentaatio läpi sekä varmistaa niiden vastaavan asetuksen vaatimuksia.

Euroopan unionin yleistä tietosuoja-asetusta aletaan soveltaa 25.5.2018 lähtien. Se korvaa EU:n vuoden 1995 tietosuojadirektiivin sekä Suomen nykyisen vuoden 1999 henkilötietolain. EU:n jäsenvaltioissa välittömästi sovellettavana lainsäädäntönä asetuksen tarkoituksena on yhtäältä parantaa kuluttajien luottamusta sähköisiin palveluihin sekä toisaalta edistää EU:n digitaalisten sisämarkkinoiden kehittämistä luomalla henkilötietoja käsitteleville organisaatioille EU:n alueella yhdenmukaiset ja kattavat tietosuojapelisäännöt.

Osoitusvelvollisuus

Merkittävänä muutoksena nykyiseen henkilötietolakiin verrattuna asetus esittelee uuden rekisterinpitäjiä koskevan osoitusvelvollisuuden. Aiemmin henkilötietolain nojalla on riittänyt, että henkilötietojen käsittelyn tarkoituksen ja keinot määrittelevä rekisterinpitäjä noudattaa henkilötietojen käsittelyperiaatteita ja muita lain asettamia vaatimuksia. Jatkossa rekisterinpitäjän on pystyttävä osoittamaan noudattavansa asetuksen 5 artiklan vaatimuksia. Jatkossa rekisterinpitäjän on siis henkilötietojen käsittelystä ylläpidettävän dokumentaation kautta pystyttävä osoittamaan, että kerätyt henkilötiedot ovat tarpeellisia ja täsmällisiä, ja että niitä käsitellään lainmukaisesti ja asianmukaisesti niihin käyttötarkoituksiin, joita varten ne on alun perin kerätty.

Tietosuoja-asetus ja vaikutustenarviointi

Lisäksi uutena vaatimuksena rekisterinpitäjän tulee suorittaa tietosuojaa koskevaa vaikutustenarviointia ennen henkilötietojen käsittelyä, mikäli käsittely todennäköisesti aiheuttaa rekisteröidyn oikeuksien ja vapauksien kannalta korkean riskin. Vaikutustenarvioinnissa on muun ohella kuvattava suunnitellut käsittelytoimet ja käsittelyn tarkoitukset järjestelmällisesti, arviot käsittelytoimien tarpeellisuudesta ja riskeistä sekä toimenpiteet ja mekanismit riskeihin puuttumiseksi.

Tietosuojavastaavan nimeäminen

Kolmantena tietosuoja-asetuksen uusista henkilötietoja käsitteleviin organisaatioihin kohdistuvista vaatimuksista voidaan nostaa esille tietosuojavastaavan nimittäminen. Mikäli organisaation ydintehtävät edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa tai laajamittaista erityisten henkilötietoryhmien käsittelyä, on organisaation nimitettävä tietosuojavastaava. Tietosuojavastaava antaa ohjeita henkilötietojen käsittelystä ja varmistaa organisaation noudattavan asetusta. Asetus edellyttää, että tietosuojavastaava raportoi suoraan organisaation ylimmälle johdolle.

Henkilötietojen laillisen käsittelyn varmistamiseksi tietosuoja-asetus mahdollistaa raskaiden sanktioiden langettamisen niille organisaatioille, jotka eivät noudata asetuksen vaatimuksia käsittelytoimissaan. Rikkomuksen luonteesta riippuen asetus antaa tietosuojaviranomaisille mahdollisuuden langettaa enimmillään jopa 20 miljoonan euron suuruisen hallinnollisen sakon tai hallinnollisen sakon, joka käsittää neljä prosenttia yrityksen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta.

Henkilötietoja käsittelevien organisaatioiden vastuuta korostamalla sekä ankarilla sanktioilla EU:n yleisen tietosuoja-asetuksen myötä tietosuoja-asiat tulevat siten väistämättä osaksi organisaatioiden ydintoimintoja. Nyt onkin hyvä aika käydä läpi yrityksesi tietosuojakäytänteet ja -dokumentaatio. Näin tulee varmistettua hyvissä ajoin, että henkilötietojen kerääminen ja käsittely vastaavat asetuksen vaatimuksia. Asianajotoimisto Applexin asiantuntijat auttavat teitä mielellään tietosuoja-asetukseen liittyvissä kysymyksissänne.

 

Asianajotoimisto Applex järjestää vuonna 2017 aamiaisseminaarin EU:n yleisestä tietosuoja-asetuksesta ja siihen valmistautumisesta. Tiedotamme aamiaisseminaarin ajankohdasta tarkemmin sen varmistuttua. Järjestämme yrityksille myös räätälöityä koulutusta aiheesta.