GDPR tulee – oletko valmis?

EU:n uuden tietosuoja-asetuksen (General Data Protection Regulation, ”GDPR”) soveltaminen alkaa ensi vuoden toukokuun 25. päivänä. Asetus korvaa pääosin EU:n jäsenvaltioiden kansalliset henkilötietolait, mutta valitettavasti asetus edelleen sallii kansalliset poikkeukset tietosuojalainsäädännössä.

Asetuksen soveltamisen alkamishetkeen on aikaa vain runsaat puoli vuotta. Tästä huolimatta läheskään kaikki yritykset eivät ole vielä alkaneet selvittää, mitä uudet tietosuojavaatimukset tarkoittavat niiden liiketoiminnan ja siihen liittyvien taloudellisten riskien kannalta.

GDPR:n myötä tietosuoja-asiat tulevat kiinteäksi osaksi useimpien yritysten liiketoimintaa. Sisäänrakennetun ja oletusarvoisen tietosuojan periaatteen mukaisesti tietoturva- ja tietosuojavaatimukset, kuten rekisteröityjen uudet oikeudet ja henkilötietojen käsittelyn minimointia koskeva periaate, tulee ottaa huomioon jo henkilötietojen käsittelyä suunniteltaessa. Tämä tarkoittaa, että edellä mainitut vaatimukset on huomioitava esimerkiksi henkilötietojen käsittelyä koskevaa uutta teknologiaa käyttöönottaessa tai palveluita ulkoistettaessa.

Tässä yrityksen muistilista toimenpiteistä, joihin on syytä ryhtyä välittömästi valmistautuessa GDPR:n tuloon.

  • Selvitä, mitä henkilötietoja yhtiössäsi käsitellään, miten laajasti ja kuinka kauan niitä säilytetään.
  • Selvitä missä roolissa toimit – käsittelijänä vai rekisterinpitäjänä – sillä vastuusi ja velvoitteesi määräytyvät pitkälti roolisi mukaisesti.
  • Arvioi henkilötietojen käsittelyn peruste ja tarve sekä luo käytännöt tietojen ajantasaisuuden varmistamiseksi ja tarpeettomien tietojen poistamiseksi.
  • Laadi käytännöt tietosuojan huomioimiseksi henkilötietojen käsittelyä koskevien uudistusten yhteydessä, kuten uusien teknologioiden ja palveluiden käyttöönotossa.
  • Huolehdi riittävien teknisten ja organisatoristen tietoturvatoimien, kuten salauksen, anonymisoinnin ja pseudonymisoinnin, toteuttamisesta.
  • Laadi käytännöt rekisteröityjen oikeuksien toteuttamiseksi ja rekisteröityjen informoimiseksi henkilötietojen käsittelystä.
  • Huolehdi, että yhtiösi tietosuojaa koskeva dokumentaatio on ajantasainen. Varmista, että yhtiösi kykenee osoittamaan toimivansa tietosuoja-asetuksen mukaisesti.
  • Asetus edellyttää muutoksia henkilötietojen käsittelyä koskeviin sopimuksiin. Päivitä kaikki sopimukset, joihin liittyy henkilötietojen käsittelyä sekä silloin, kun toimit rekisterinpitäjänä, että silloin, kun toimit käsittelijänä. Huolehdi, että henkilötietojen käsittelystä sovitaan uusissa sopimuksissa.
  • Luo prosessi tietoturvaloukkausten tunnistamiseksi ja ilmoittamiseksi rekisteröidyille ja valvontaviranomaiselle.
  • Nimitä tarvittaessa tietosuojavastaava.
  • Pyydä tarvittaessa apua ulkopuoliselta konsultilta, kuten asianajotoimistolta.

GDPR:stä puhuttaessa on kiinnitetty huomiota erityisesti sen synnyttämiin haasteisiin. Moni on myös säikähtänyt paljon julkisuutta saanutta tietoa, jonka mukaan asetuksen noudattamatta jättämisestä voi seurata ankara sakko, joka on enimmillään neljä prosenttia yrityksen globaalista liikevaihdosta tai 20 miljoonaa euroa. Täytyy kuitenkin muistaa, että asetuksen asianmukainen implementaatio mahdollistaa myös henkilötietojen käsittelyä uusilla tavoilla, jotka voivat tehostaa yrityksesi liiketoimintaa.

Varautumista GDPR:n tuloon helpottaa myös HPP:n GDPR Ready -tietosuojatuote, jonka avulla yritys voi huomioida ja implementoida EU:n yleisen tietosuoja-asetuksen vaatimukset määräaikaan mennessä.

 

Kirjoittaja
Terho Nevasalo
Osakas
HPP Asianajotoimisto Oy

Terho Nevasalo on erikoistunut teknologia-alan oikeudellisiin kysymyksiin, immateriaalioikeuteen sekä tietosuojaan ja tietoturvallisuuteen. Hänellä on laaja kokemus erilaisista tietojärjestelmien hankinta- ja ylläpitosopimuksista, lisenssisopimuksista sekä muista ICT-alan sopimuksista niin tilaajan kuin toimittajan näkökulmasta. Lisäksi hänellä on kokemusta laajoista tietoturva- ja tietosuojalainsäädäntöön liittyvistä projekteista ja ICT -alaan liittyvistä oikeudenkäynneistä.

Jaa artikkeli