28 lokak. 2019
Member of canyoning team with yellow protective helmet moving down the stream in the canyon. Rope security system is in front.

Täyttääkö organisaatiosi EU:n yleisen tietosuoja-asetuksen (GDPR) vaatimukset?

Kirjoittaja EY Suomi

Tilintarkastuksen, verotuksen, liikejuridiikan ja yritysjärjestelyiden asiantuntija ja konsultti

EY on globaali tilintarkastuksen, verotuksen, liikejuridiikan ja yritysjärjestelyiden asiantuntija ja konsultti.

28 lokak. 2019
Samankaltaisia aiheita Lakipalvelut

Näytä

Selvitä tietosuojasi nykytila ja laadi suunnitelma vaatimusten täyttämiseksi.

EU:n yleisen tietosuoja-asetuksen (General Data Protection Regulation, GDPR) soveltaminen alkoi 25. toukokuuta 2018. Tietosuoja-asetus toi mukanaan yrityksille aikaisempaa tiukempia tietosuojavaatimuksia ja se koskee sekä rekisterinpitäjiä että henkilötietojen käsittelijöitä. Samalla myös rekisteröityjen oikeudet vahvistuivat entisestään. Velvoitteiden noudattamatta jättämisestä voi seurata tuntuvia sakkoja, jotka voivat nousta jopa 20 miljoonaan euroon tai 4 prosenttiin yrityksen liikevaihdosta.

Organisaatioiden on jatkossa huolehdittava, että henkilötietojen käsittelyssä kunnioitetaan rekisteröityjen oikeuksia ja noudatetaan tietosuoja-asetuksen säännöksiä. Organisaatioiden on kiinnittävä erityisesti huomiota:

  • Ajantasaisen ja kattavan dokumentaation ylläpitämiseen
  • Tietosuojaan liittyvien riskien tunnistamiseen ja ehkäisyyn
  • Sisäisten toimintamallien kehittämiseen
  • Lainsäädännön ja valvontaviranomaisten ohjeistuksen seuraamiseen

Vaikka tietosuojavastaavan nimittäminen ei ole pakollista kaikille organisaatioille, on silti suositeltavaa nimetä henkilö, jonka tehtävänä on organisaation tietosuojavelvoitteiden noudattamisen varmistaminen.

Mitä haasteita tietosuoja-asetus tuo organisaatioille?

Tietosuoja-asetus edellyttää uudenlaista suhtautumista tietosuojaan. Organisaatioilta edellytetään aikaisempaa parempaa tietoa siitä, mitä henkilötietoja ne käsittelevät, missä henkilötiedot sijaitsevat ja mihin tarkoitukseen henkilötietoja käytetään.

Osoitusvelvollisuus edellyttää kattavaa henkilötietojen käsittelytoimien, prosessien ja vastuiden dokumentointia. Mahdollisiin ongelmatilanteisiin tulee varautua, joita varten tulisi olla määriteltynä selkeät hallintaprosessit. Myös henkilötietojen käsittelyä sisältävien sopimusten tulee täyttää tietosuoja-asetuksen vaatimukset.

Haasteita:

  • Tietosuojavastaavan nimittäminen tulee pakolliseksi organisaatioille, joiden ydintehtävät muodostuvat henkilötietojen käsittelytoimista, jotka edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa tai laajamittaista käsittelyä, joka kohdistuu arkaluonteisiin henkilötietoihin.
  • Organisaatioiden informointivelvollisuudet lisääntyvät ja henkilötietojen käsittelystä on annettava aikaisempaa yksityiskohtaisempia tietoja rekisteröidyille.
  • Rekisteröity voi vaatia henkilötietojensa poistamista, ellei rekisterinpitäjällä ole muuta lainmukaista perustetta käsitellä henkilötietoja.
  • Rekisteröity voi vaatia henkilötietojen siirtämistä palveluntarjoajalta toiselle.
  • Organisaatioiden tulee suunnitella ja rakentaa tietosuoja osaksi liiketoimintaprosessiensa ja uusien järjestelmiensä kehittämistä. Yksityisyysasetukset tulee asettaa oletusarvoisesti korkealle tasolle.
  • Organisaatioiden on tehtävä tietosuojaa koskeva vaikutustenarviointi, kun ne suorittavat riskialtista tai laajamittaista henkilötietojen käsittelyä.
  • Osoitusvelvollisuus edellyttää yrityksiltä kattavaa henkilötietojen käsittelytoimien, prosessien ja vastuiden dokumentointia.
  • Tietosuoja-asetus tuo mukanaan velvollisuuksia myös henkilötietojen käsittelijöille.
  • Velvollisuus ilmoittaa tietoturvaloukkauksista valvontaviranomaisille.
  • Merkittävät hallinnolliset sakot tietosuoja-asetusten velvoitteiden laiminlyönnistä.
  • Rekisteröidyillä mahdollisuus vaatia vahingonkorvauksia yksityisyytensä loukkaamisesta.

Tietosuojasta huolehtiminen edellyttää jatkuvaa kehitystyötä

Tietosuojaan liittyviä toimenpiteitä ja riskejä on arvioitava säännöllisesti. Organisaatioilta edellytetään kykyä hoitaa päivittäiset tietosuojaa koskevat kysymykset ja ongelmatilanteet. Olemme organisaatioiden tukena niin yksittäisissä tietosuojaan liittyvissä kysymyksissä kuin isompien kehityshankkeiden toteuttamisessa. Tarjoamme tarvittaessa myös jatkuvan tuen organisaation tietosuojan kehittämiseksi ja ylläpitämiseksi.

Tiedon merkitys liiketoiminnalle on kasvanut. Tiedonhallinta ja riskien tunnistaminen on yhä tärkeämpi osa organisaatioiden päivittäistä toimintaa.

Miten EY voi auttaa?

Yhteenveto

EU:n yleisen tietosuoja-asetuksen (General Data Protection Regulation, GDPR) soveltaminen alkoi 25. toukokuuta 2018. Tietosuoja-asetus toi mukanaan yrityksille aikaisempaa tiukempia tietosuojavaatimuksia ja se koskee sekä rekisterinpitäjiä että henkilötietojen käsittelijöitä. Samalla myös rekisteröityjen oikeudet vahvistuivat entisestään. Velvoitteiden noudattamatta jättämisestä voi seurata tuntuvia sakkoja, jotka voivat nousta jopa 20 miljoonaan euroon tai 4 prosenttiin yrityksen liikevaihdosta.

EY:n tietosuoja-asiantuntijat


EY:n kokeneet tietosuoja-asiantuntijat auttavat organisaatiosi tunnistamaan tietosuojaan liittyvät riskit ja keskeiset kehityskohteet. Asiantuntijoillamme on kattava kokemus tietosuojaan liittyvistä toimeksiannoista ja tietosuoja-asetuksen johdosta suoritettujen kehitysprojektien menestyksekkäästä läpiviennistä. Olemme mielellämme tukena organisaatiosi tietosuojan kehittämisessä ja vaatimustenmukaisuuden saavuttamisessa.

Lue lisää

Tästä artikkelista

Kirjoittaja EY Suomi

Tilintarkastuksen, verotuksen, liikejuridiikan ja yritysjärjestelyiden asiantuntija ja konsultti

EY on globaali tilintarkastuksen, verotuksen, liikejuridiikan ja yritysjärjestelyiden asiantuntija ja konsultti.

Related topics Lakipalvelut