• header1
  • header2
  • header3
  • header4
  • header5
  • header6
  • header7
  • header8

Kari Lepistö

Tietosuoja-asetus GDPR

 

Muutoksia tietosuoja-asioihin on odotettavissa. EU:n yleistä tietosuoja-asetusta sovelletaan 25.5.2018 alkaen kaikissa EU:n jäsenmaissa. Tietosuoja-asetusta (General Data Protection Regulation, GDPR) sovelletaan lähtökohtaisesti kaikkeen henkilötietojen käsittelyyn.

Kansallinen henkilötietojen suojaa koskeva lainsäädäntö uudistuu, kun EU:n yleinen tietosuoja-asetus tulee sellaisenaan sovellettavaksi jäsenvaltioissa. Suomessa on ehdotettu, että säädettäisiin uusi henkilötietojen suojaa koskeva yleislaki, täsmennettäisiin yleistä tietosuoja-asetusta.

EU:n yleistä tietosuoja-asetusta sovelletaan laajasti yhteiskunnan eri sektoreilla, ja se koskee kaikenlaista henkilötietojen käsittelyä. Se sisältää säännökset rekisteröidyn oikeuksista sekä rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuuksista. Yleinen tietosuoja-asetus on tärkein kansallisestikin sovellettava henkilötietojen käsittelyä koskeva laki. Yleisen tietosuoja-asetuksen soveltaminen jäsenvaltioissa alkaa 25.5.2018. Työryhmän ehdottama tietosuojalaki tulisi voimaan yhtä aikaa tietosuoja-asetuksen kanssa.

EU:n yleistä tietosuoja-asetus koskee kaikenlaista henkilötietojen käsittelyä. Se sisältää säännökset rekisteröidyn oikeuksista sekä rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuuksista. Asetuksessa asetettujen vaatimusten rikkominen on myös sanktioitu, joten jokaisen (yrityksen, yhteisön) on syytä hyvissä ajoin varmistaa, että vaatimukset toteutuvat omassa organisaatiossa, varsinkin kun rekisterin ylläpitäjällä on näyttövastuu toimintansa asianmukaisuudesta.

Toiminnan asianmukaisuutta kannattaa lähestyä vaiheessa 1 kartoittamalla ja tunnistamalla kaikki rekisterit, joissa GDPR:n mukaisia tietoja säilytetään. Vaiheessa 2 on syytä tunnistaa tietojen ja rekisterien riskit. Vaiheessa 3 on syytä siirtää kaikki mahdolliset rekisterit yrityksen valvottuun ja suojattuun tietojärjestelmään. Vaiheessa 4 on suunniteltava suojausmenettelyt niille rekistereille, joita ei voi säilyttää keskitetysti suojatussa tietojärjestelmässä. Vaiheessa 5 on syytä dokumentoida prosessit ja menettelytavat, joilla rekisterien suojaus hallitaan. Dokumentointi toimii näyttönä siitä, että yritys toimii tietosuoja-asetuksen vaatimusten mukaisesti.

Mikäli tarvitset apua GDPR:n vaatimusten toteuttamisessa autamme mielellämme tarvittavien tunnistusten, riskikartoitusten ja dokumentoinnin laatimisessa.

Laatu- ja ympäristö järjestelmien päivitys

 

ISO 9001:2008 ja ISO 14001:2004 standardien voimassaolo päättyy syyskuussa 2018. Tästä syystä yritysten on päivitettävä sertifioidut järjestelmänsä molempien standardien vuoden 2015 versiota vastaavaksi.

Kustannusten minimoimiseksi laatu- ja ympäristöjärjestelmien uudistus kannattaa ajoittaa sertifioinnin vuosittaisen seuranta-auditoinnin yhteyteen. Mikäli ette ole vielä päivittäneet järjestelmäänne on sertifioijanne kanssa syytä sopia uudelleen sertifiointi keväälle 2018 tai heti kesäloman jälkeiseen aikaan. Mikäli näihin ajankohtiin osuu normaali vuosittainen auditointi, on järjestelmän auditointi syytä toteuttaa 2015 vaatimusten mukaan, jotta ylimääräisiltä auditoinneilta vältytään ja kustannukset minimoituvat.

Mikäli koet olevasi epätietoinen uuden standardin asettamista vaatimuksista, niin autamme mielellämme järjestelmänne päivittämisessä ja uudelleen sertifioinnin varmistamisessa.