Oletko yrittäjä? Onko yrityksesi tietosuojaseloste ajantasalla?

Suomen ja Euroopan unionin tietosuojalait ovat uudistumassa. EU:n yleistä tietosuoja-asetustaAvautuu uuteen ikkunaan sovelletaan 25.5.2018 alkaen kaikissa EU:n jäsenmaissa. Tietosuoja-asetusta (General Data Protection Regulation, GDPR) sovelletaan lähtökohtaisesti kaikkeen henkilötietojen käsittelyyn.
GDPR:n yksi tavoite on lisätä läpinäkyvyyttä. Sen myötä EU-kansalaisilla on oikeus tietää, mitä tietoja heistä on yritysten rekistereissä ja kenellä on oikeus käsitellä tietoja. Kaikilla on myös oikeus muokata omia tietojaan tai pyytää niitä kokonaan poistettaviksi.

Tässä tekstiä suoraan Tietosuojavaltuutetun sivulta:

Miten valmistautua tietosuoja-asetukseen?

Monet periaatteet säilyvät ennallaan, mutta tietosuoja-asetus tuo myös uusia tietosuojaa ja henkilötietojen käsittelyä koskevia velvoitteita, joihin rekisterinpitäjien ja henkilötietojen käsittelijöiden on valmistauduttava. Tietosuoja-asetuksen rikkomisesta voi seurata muun muassa sakkoja tai henkilötietojen käsittelykielto.

Keskeistä ja uutta tietosuoja-asetuksessa on muun muassa riskiperusteinen lähestymistapa ja rekisterinpitäjän osoitusvelvollisuus. Rekisterinpitäjän velvollisuudet kasvavat sitä mukaa, mitä korkeampia riskejä henkilötietojen käsittelyyn liittyy. Rekisterinpitäjän on myös pystyttävä osoittamaan, että se noudattaa tietosuoja-asetusta. Henkilötietojen käsittely on suunniteltava ja dokumentoitava.

Tietosuojaperiaatteiden noudattaminen

Rekisterinpitäjän on huolehdittava siitä, että tietosuoja-asetuksessa määriteltyjä tietosuojaperiaatteita noudatetaan kaikissa henkilötietojen käsittelyvaiheissa.

Tietosuojaperiaatteiden mukaan henkilötietoja on

• käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi

• käsiteltävä luottamuksellisesti ja turvallisesti

• kerättävä ja käsiteltävä tiettyä, nimenomaista ja laillista tarkoitusta varten

• kerättävä vain tarpeellinen määrä henkilötietojen käsittelyn tarkoitukseen nähden

• päivitettävä aina tarvittaessa ‒ epätarkat ja virheelliset henkilötiedot on poistettava tai oikaistava viipymättä

• säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten.

Tietosuoja-asetukseen valmistautuminen

Valmistautuessasi tietosuoja-asetukseen:

1. Selvitä, pitääkö organisaatioosi nimittää tietosuojavastaava.

2. Selvitä, miten organisaatiossasi käsitellään henkilötietoja. Käy läpi kaikki henkilötietojen käsittelyn vaiheet keräämisestä hävittämiseen ja dokumentoi ne. Varmista, että organisaatiosi noudattaa nykyisin sovellettavaa henkilötietolakia.

3. Selvitä, millä perusteella organisaatiosi käsittelee henkilötietoja. Henkilötietojen käsittelylle on oltava aina laista löytyvä peruste.

4. Arvioi, millaisia riskejä henkilötietojen käsittelyyn liittyy organisaatiossasi. Selvitä, miten riskejä voitaisiin minimoida. Ryhdy toimenpiteisiin, jotka vastaavat henkilötietojen käsittelyyn liittyvää riskiä. Esimerkiksi silloin, kun henkilötietojen käsittelyyn kohdistuu todennäköisesti korkea riski, on rekisterinpitäjän tehtävä tietosuojaa koskeva vaikutustenarviointi.

5. Selvitä, miten organisaatiosi noudattaa tietosuoja-asetuksessa määriteltyjä rekisteröityjen oikeuksia. Selvitä myös, miten rekisteröityjen pyyntöihin tällä hetkellä vastataan. Päivitä prosessit tietosuoja-asetuksen vaatimusten mukaisiksi.

6. Huolehdi tietoturvasta. Valmistaudu ilmoittamaan henkilötietojen tietoturvaloukkauksista.

7. Varmista, että toimeksiantosopimukset vastaavat asetuksessa säädettyjä ehtoja, jos organisaatiosi on ulkoistanut henkilötietojen käsittelyyn liittyviä tehtäviä. Ota tietosuoja-asetus huomioon myös muissa sopimuksissa ja hankinnoissa.

8. Määrittele johtava valvontaviranomainen, jos organisaatiosi toimii usean EU:n jäsenmaan alueella.

9. Selvitä, miten organisaatiosi on huomioitava lasten erityisasema. Jatkossa lapsi tarvitsee huoltajan tai muun vanhempainvastuunkantajan suostumuksen tai valtuutuksen tietoyhteiskunnan palveluiden käyttöön. Suomessa ikäraja ei ole vielä selvillä, mutta se on vähintään 13 ja enintään 16 vuotta.

Lue lisää:
Opas: Miten valmistautua EU:n tietosuoja-asetukseen? (pdf, 0.3 Mt)Miksi tietosuojalait muuttuvat?

Uuden lainsäädännön tavoitteena on

• parantaa henkilötietojen suojaa ja rekisteröityjen oikeuksia

• vastata uusiin digitalisaatioon ja globalisaatioon liittyviin tietosuojakysymyksiin

• yhtenäistää tietosuojasääntelyä kaikissa EU-maissa

• edistää digitaalisten sisämarkkinoiden kehittymistä.

Tietosuoja-asetusta koskevat kysymykset

Tietosuojavaltuutetun toimisto ei voi ottaa kantaa yksityiskohtaisiin, yksittäistä organisaatiota koskeviin kysymyksiin EU:n yleisen tietosuoja-asetuksen soveltamisesta ja tulkinnasta. Nykyisin sovellettavan henkilötietolain mukaan tietosuojavaltuutetulla ei ole ennakollista lupa- tai kieltotoimivaltaa, vaan tietosuojavaltuutetun toimiston tehtävänä on antaa yleistä ohjausta ja neuvontaa. Olemme julkaisseet tietosuoja-asetusta koskevia ohjeita ja valmisteilla on lisää yleistä ohjeistusta.

Tietosuoja-asetuksen tulkintaa koskevia ohjeita julkaisee EU:n kansallisista tietosuojaviranomaisista koostuva WP29-työryhmä. Osa ohjeista on jo julkaistu verkkosivuillamme ja uudet ohjeet julkaistaan niiden valmistuttua.

Tarvitsetko apua?

Olen itse tehnyt töitä asiakasrekisterien kanssa yli 20 vuotta ja käynyt tämän uudenkin asetuksen kursseilla ja lukenut aiheesta ja tiedän pystyväni auttamaan pieniä, paikallisia yrityksiä. Isojen yritysten tarpeet ja ratkaisut ovat minun palveluideni ulkopuolella. Tarjoan apua pikaiseen läpikäyntiin ja varmistukseen, että olet tekemässä oikeita asioita.

Jos epäilet mitä sinun pitäisi tehdä, soita ja tavataan, yhden tunnin
aikana käydään läpi ne asiat, jotka sinun pitää hoitaa.
Tapaamisen kustannus on Lohjan ja Vihdin alueella 89,- (+alv 24%).

Terveisin,
Kari Oksanen, kari.oksanen@ertuki.fi, 0400 733 469
ER-tuki | Kalkkipetteri, Kievarintie 23, 08700 LOHJA | www.ertuki.fi