Mitä haasteita tietosuoja-asetus tuo organisaatioille?
Tietosuoja-asetus edellyttää uudenlaista suhtautumista tietosuojaan. Organisaatioilta edellytetään aikaisempaa parempaa tietoa siitä, mitä henkilötietoja ne käsittelevät, missä henkilötiedot sijaitsevat ja mihin tarkoitukseen henkilötietoja käytetään.
Osoitusvelvollisuus edellyttää kattavaa henkilötietojen käsittelytoimien, prosessien ja vastuiden dokumentointia. Mahdollisiin ongelmatilanteisiin tulee varautua, joita varten tulisi olla määriteltynä selkeät hallintaprosessit. Myös henkilötietojen käsittelyä sisältävien sopimusten tulee täyttää tietosuoja-asetuksen vaatimukset.
Haasteita:
- Tietosuojavastaavan nimittäminen tulee pakolliseksi organisaatioille, joiden ydintehtävät muodostuvat henkilötietojen käsittelytoimista, jotka edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa tai laajamittaista käsittelyä, joka kohdistuu arkaluonteisiin henkilötietoihin.
- Organisaatioiden informointivelvollisuudet lisääntyvät ja henkilötietojen käsittelystä on annettava aikaisempaa yksityiskohtaisempia tietoja rekisteröidyille.
- Rekisteröity voi vaatia henkilötietojensa poistamista, ellei rekisterinpitäjällä ole muuta lainmukaista perustetta käsitellä henkilötietoja.
- Rekisteröity voi vaatia henkilötietojen siirtämistä palveluntarjoajalta toiselle.
- Organisaatioiden tulee suunnitella ja rakentaa tietosuoja osaksi liiketoimintaprosessiensa ja uusien järjestelmiensä kehittämistä. Yksityisyysasetukset tulee asettaa oletusarvoisesti korkealle tasolle.
- Organisaatioiden on tehtävä tietosuojaa koskeva vaikutustenarviointi, kun ne suorittavat riskialtista tai laajamittaista henkilötietojen käsittelyä.
- Osoitusvelvollisuus edellyttää yrityksiltä kattavaa henkilötietojen käsittelytoimien, prosessien ja vastuiden dokumentointia.
- Tietosuoja-asetus tuo mukanaan velvollisuuksia myös henkilötietojen käsittelijöille.
- Velvollisuus ilmoittaa tietoturvaloukkauksista valvontaviranomaisille.
- Merkittävät hallinnolliset sakot tietosuoja-asetusten velvoitteiden laiminlyönnistä.
- Rekisteröidyillä mahdollisuus vaatia vahingonkorvauksia yksityisyytensä loukkaamisesta.
Tietosuojasta huolehtiminen edellyttää jatkuvaa kehitystyötä
Tietosuojaan liittyviä toimenpiteitä ja riskejä on arvioitava säännöllisesti. Organisaatioilta edellytetään kykyä hoitaa päivittäiset tietosuojaa koskevat kysymykset ja ongelmatilanteet. Olemme organisaatioiden tukena niin yksittäisissä tietosuojaan liittyvissä kysymyksissä kuin isompien kehityshankkeiden toteuttamisessa. Tarjoamme tarvittaessa myös jatkuvan tuen organisaation tietosuojan kehittämiseksi ja ylläpitämiseksi.
Tiedon merkitys liiketoiminnalle on kasvanut. Tiedonhallinta ja riskien tunnistaminen on yhä tärkeämpi osa organisaatioiden päivittäistä toimintaa.
Miten EY voi auttaa?
Yhteenveto
EU:n yleisen tietosuoja-asetuksen (General Data Protection Regulation, GDPR) soveltaminen alkoi 25. toukokuuta 2018. Tietosuoja-asetus toi mukanaan yrityksille aikaisempaa tiukempia tietosuojavaatimuksia ja se koskee sekä rekisterinpitäjiä että henkilötietojen käsittelijöitä. Samalla myös rekisteröityjen oikeudet vahvistuivat entisestään. Velvoitteiden noudattamatta jättämisestä voi seurata tuntuvia sakkoja, jotka voivat nousta jopa 20 miljoonaan euroon tai 4 prosenttiin yrityksen liikevaihdosta.