HPP Asianajotoimisto

Tietosuojasta tulee kilpailuoikeutta

22.12.2015

Tietosuoja-asetuksen lopullinen sisältö on nyt selvillä, kun EU:n toimielimet ovat saavuttaneet siitä poliittisen yhteisymmärryksen. Asetus annetaan tammikuussa 2016. Sen mukaisia velvoitteita täytyy noudattaa kahden vuoden siirtymäajan jälkeen eli vuoden 2018 alusta.

Erityisesti organisaatioiden, jotka rekisterinpitäjinä tai muuten käsittelevät laaja-alaisesti henkilötietoja tai joilla yksittäisten rekisteröityjen määrä on suuri, kannattaa viimeistään nyt aloittaa valmistautuminen. Vaikka kaksi vuotta voi tuntua pitkältä ajalta, monet henkilötietojen käsittelyyn liittyvistä prosesseista ovat sellaisia, joissa varautuminen tuleviin muutoksiin vaatii pitkäjänteistä suunnittelua ja työtä. Erityisesti tietojärjestelmähankinnoissa ja henkilötietojen käsittelyä koskevissa sopimusehdoissa tämä korostuu.

Osittain valmistautumiseen liittyvää työtä voi ulkoistaa, mutta ei läheskään kaikilta osin. Yrityksen, joka toimii rekisterinpitäjänä tai henkilötietojen käsittelijänä, täytyy itse tuntea henkilötietojen käsittelyä koskevat prosessinsa. Organisaatioiden omien tietosuojavastaavien rooli tulee olemaan tietosuojaosaamisen jalkauttamisessa tärkeä.

Ne organisaatiot, joilla tietosuoja-asiat ovat olleet hyvin hallussa jo entisestään, pystyvät hyödyntämään aikaisempaa osaamistaan myös valmistautuessaan tuleviin muutoksiin. Laajalti on jo ymmärretty ja hyväksytty se, että organisaation johdon tulee sitoutua tietosuojaa koskeviin tavoitteisiin.

Koska tietosuojavelvoitteiden rikkominen voi jatkossa johtaa huomattaviin sakkoihin, on selvää, ettei erityisesti isommissa organisaatioissa tietosuoja-asioita voi hoitaa vasemmalla kädellä – ”tietosuojasta tulee kilpailuoikeutta”.

Data protection becomes competition law

Now that the EU institutions have reached political consensus on the matter, the final content of the Data Protection Regulation is clear. The Regulation will be issued in January 2016. The obligations drawn from the Regulation shall be complied with after a two-year transitional period, i.e. from the beginning of 2018.

Especially it is recommended for the organizations, which either as controllers or otherwise extensively process personal data or have a great amount of data subjects, to begin the preparations now, at the latest. Even though two years might feel like a long time, many procedures related to the processing of personal data require lots of long-term planning and work to prepare for the coming changes. This is especially highlighted in the procurement of information systems and in the contractual terms on data processing.

It is possible to partially outsource the work related to the preparation, but not in its entirety. A company that acts as a controller or a processor must know its own processes related to the processing of personal data. The role of the data protection officer in each organization will be important in the practical implementation of the know-how on data protection.

The organizations, which have had their data protection matters well under control already before, are able to make use of their previous know-how in the preparation for the changes. It is widely understood and accepted that the governance of the organization must commit to the objectives of the data protection.

Since in the future a breach of a data protection obligation may lead to substantial fines, it is clear that especially in large organizations any matters of data protection cannot be handled negligently – “data protection becomes competition law”.