Yrityksillä on enää hieman yli vuosi armon aikaa muuttaa henkilötietoihin liittyvät käytäntönsä EU:n tietoturva-asetuksen mukaisiksi. Aloita valmistautuminen nyt, sillä muutoksia saattaa tulla rutkasti. Olemme valmistelleet yrityksellesi tiiviin tietopaketin, mitä EU:n uudesta tietosuoja-asetuksesta tulee tietää. Tiedä ainakin se, ettei tietosuoja-asetukseen valmistautuminen ole pelkkä IT-projekti, vaan se liittyy vahvasti koko yrityksen liiketoimintaan.
Euroopan tietosuojalainsäädäntö uudistuu ja yhdenmukaistuu kaikissa EU:n jäsenmaissa. Uusi tietosuoja-asetus astui voimaan toukokuussa 2016, ja sitä sovelletaan 25.5.2018 alkaen.
Tietosuoja-asetus pähkinän kuoressa
Euroopan Unionin tietosuoja-asetus velvoittaa yrityksiä ja kaikenlaisia henkilötietoja kerääviä organisaatioita tarkempaan henkilötietojen käsittelyyn. Samalla kuluttajat saavat paremmat mahdollisuudet hallita omien henkilötietojensa käyttöä.
Mikä on henkilötieto?
Henkilötietoja ovat esimerkiksi nimi, henkilötunnus, puhelinnumero, sähköposti, kuva, verkkotunnistetiedot, IP-osoitteet, evästeet sekä nämä yhdistettynä johonkin muuhun tietoon, jolla rakennetaan esimerkiksi asiakasprofiileja, tai käyttäjiä yritetään tunnistaa yli laitteiden. Henkilötiedot ovat siis kaikki mahdollinen tieto, josta yksittäinen henkilö on tunnistettavissa.
Missä henkilötietoja rekisteröidään?
Uusi tietosuoja-asetus ei ota kantaa mihin henkilötiedot tallennetaan. Ne voivat esimerkiksi olla: CRM-alustat, järjestelmät, tiedostot, sähköpostit, paperidokumentit, somekanavat, tiedostopalvelut, pilvipalvelut ja muut.
Mikä muuttuu tietosuoja-asetuksen myötä?
Tässä merkittävimmät muutokset:
- Henkilöllä on oikeus tietää mitä, miten ja miksi hänen henkilötietojansa käsitellään.
- Henkilöllä on oikeus pyytää henkilötietojensa täydellistä poistamista rekistereistä.
- Henkilöllä on oikeus vastustaa automaattista asiakasprofilointia.
- Henkilöllä on oikeus saada tieto ja korvaus tietoturvaloukkauksista.
- Rekisterinpitäjällä sekä -käsittelijällä on velvollisuus ilmoittaa tietomurroista.
- Rekisterinpitäjällä on oletuksena velvollisuus suojata henkilötiedot.
Mikäli rekisterinpitäjä ei noudata EU:n tietosuoja-asetusta, luvassa on varsin ankaria sanktioita. Sanktioihin lukeutuvat muun muassa korjaavia toimenpiteitä, lisädokumentointia sekä rahallisia sakkoja, jotka voivat olla 10-20 miljoonaa euroa tai 2-4 prosenttia yrityksen liikevaihdosta.
Tietosuoja-asetus koskettaa koko yritystä
Valmistautuminen tietosuoja-asetukseen koskee koko yritystä. Asetus vaikuttaa ennen kaikkia näihin toimintoihin:
- Johdon on sitoutettava henkilöstö tietosuoja-asetuksen vaatimiin valmisteluihin.
- IT kartoittaa asetuksen vaatimat muutostarpeet järjestelmissä, ja toteuttaa ne.
- Viestintä & markkinointi viestittävät, miten asetus vaikuttaa asiakkaisiin.
- Markkinointi ottaa asetuksen huomioon kampanjoissaan.
Tietosuoja-asetuksen vaatimien muutosten toteuttamisen laajuus riippuu yrityksesi tai organisaatiosi nykykäytännöistä, käsiteltävien tietojen määrästä ja laadusta sekä käsittelyyn liittyvistä riskeistä. Huomioi, että muutokset ovat luultavasti mittavia! Aloita siksi tietosuoja-asetuksen valmistelu mahdollisimman pian niin, että olet valmiina keväällä 2018.
Näin varaudut EU:n tietosuoja-asetuksen velvoitteisiin
Tässä tiivistetysti merkittävimmät toimenpiteet, jotka liittyvät tietosuoja-asetukseen:
- Tunnista tietosuoja-asetuksen muutosvaikutukset liiketoiminnassasi.
- Tunnista kaikki organisaatiosi käyttämät henkilötiedot.
- Tarkista ja päivitä tietosuojalausekkeet ja rekisteriselosteet.
- Huomioi henkilön uudistuneet oikeudet (listattiin jutun toisen otsikon alla).
- Organisaatiolla on jatkossa 30 päivää aikaa vastata henkilötietopyyntöihin.
- Henkilötietoja saa kerätä vain tiettyä nimettyä käyttötarkoitusta varten.
- Henkilö myöntää jatkossa omalla aktiivisella toiminnallaan luvan tietojensa käsittelyyn.
- Alaikäisten lasten henkilötietojen käsittelyyn on saatava huoltajan lupa.
- Tietosuoja tulee vastuuttaa nimetylle tietosuojavastavalle.
- Tietosuoja tulee ottaa huomioon kaikissa käytetyissä ja tarjottavissa teknologioissa.
- Varaudu tietoturvaloukkauksiin. Tee ilmoitus viranomaisille 72 tunnin sisällä tietoturvaloukkauksen ilmitulosta. Jos yksilölle koituu haittaa, tulee myös hänelle ilmoittaa asiasta. Saatat joutua myös korvausvelvolliseksi.
- Varmista, että tiedät kenelle viranomaiselle organisaatiosi on raportointivelvollinen.
Tutustu syvällisemmin aiheeseen Tietosuojavaltuutetun oppaasta. Seuraa myös Valtionhallinnon tieto- ja kyberturvallisuuden ohjausryhmän VAHTI-ohjesivustoa. Lue myös Microsoftin blogi aiheesta. Mikäli vielä haluat hakea lisätietoa, niin EU:n tietosuoja-asetus on englanniksi General Data Protection Regulation (GDPR).
Kaipaatko tietosuoja-asetukseen valmistautumisessa apua?
Huomioi, että varautuminen tietosuoja-asetukseen ei ole pelkkä IT-projekti, sillä muutoksilla on laajat vaikutukset liiketoimintaasi. Yrityksesi muutostarpeet liittyvät organisaatiosi tämän hetkiseen tapaan kerätä henkilötietoja. Valmistelussa joudut siten laaja-alaisesti käymään läpi organisaatiosi toimintatapoja.
Digitalisaatiota edistävä Midpointed on mukana valmistelemassa kumppaneitaan tietosuoja-asetukseen. Ota ihmeessä meihin yhteyttä, mikäli yrityksesi kaipaa sparrausta sekä konsultointia aiheeseen.
Tulemme säännöllisen välein julkaisemaan uusia juttuja aiheesta – joten pistähän meidät myös seurantaan!