• header1
  • header2
  • header3
  • header4
  • header5
  • header6
  • header7
  • header8

Ajankohtaista

Tietosuoja-asetus GDPR

 

Muutoksia tietosuoja-asioihin on odotettavissa. EU:n yleistä tietosuoja-asetusta sovelletaan 25.5.2018 alkaen kaikissa EU:n jäsenmaissa. Tietosuoja-asetusta (General Data Protection Regulation, GDPR) sovelletaan lähtökohtaisesti kaikkeen henkilötietojen käsittelyyn.

Kansallinen henkilötietojen suojaa koskeva lainsäädäntö uudistuu, kun EU:n yleinen tietosuoja-asetus tulee sellaisenaan sovellettavaksi jäsenvaltioissa. Suomessa on ehdotettu, että säädettäisiin uusi henkilötietojen suojaa koskeva yleislaki, täsmennettäisiin yleistä tietosuoja-asetusta.

EU:n yleistä tietosuoja-asetusta sovelletaan laajasti yhteiskunnan eri sektoreilla, ja se koskee kaikenlaista henkilötietojen käsittelyä. Se sisältää säännökset rekisteröidyn oikeuksista sekä rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuuksista. Yleinen tietosuoja-asetus on tärkein kansallisestikin sovellettava henkilötietojen käsittelyä koskeva laki. Yleisen tietosuoja-asetuksen soveltaminen jäsenvaltioissa alkaa 25.5.2018. Työryhmän ehdottama tietosuojalaki tulisi voimaan yhtä aikaa tietosuoja-asetuksen kanssa.

EU:n yleistä tietosuoja-asetus koskee kaikenlaista henkilötietojen käsittelyä. Se sisältää säännökset rekisteröidyn oikeuksista sekä rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuuksista. Asetuksessa asetettujen vaatimusten rikkominen on myös sanktioitu, joten jokaisen (yrityksen, yhteisön) on syytä hyvissä ajoin varmistaa, että vaatimukset toteutuvat omassa organisaatiossa, varsinkin kun rekisterin ylläpitäjällä on näyttövastuu toimintansa asianmukaisuudesta.

Toiminnan asianmukaisuutta kannattaa lähestyä vaiheessa 1 kartoittamalla ja tunnistamalla kaikki rekisterit, joissa GDPR:n mukaisia tietoja säilytetään. Vaiheessa 2 on syytä tunnistaa tietojen ja rekisterien riskit. Vaiheessa 3 on syytä siirtää kaikki mahdolliset rekisterit yrityksen valvottuun ja suojattuun tietojärjestelmään. Vaiheessa 4 on suunniteltava suojausmenettelyt niille rekistereille, joita ei voi säilyttää keskitetysti suojatussa tietojärjestelmässä. Vaiheessa 5 on syytä dokumentoida prosessit ja menettelytavat, joilla rekisterien suojaus hallitaan. Dokumentointi toimii näyttönä siitä, että yritys toimii tietosuoja-asetuksen vaatimusten mukaisesti.

Mikäli tarvitset apua GDPR:n vaatimusten toteuttamisessa autamme mielellämme tarvittavien tunnistusten, riskikartoitusten ja dokumentoinnin laatimisessa.