EU-n tietosuojamalli – Mihin muutoksiin organisaatioiden tulee valmistautua

EU:n tietosuojamalli – Mihin muutoksiin organisaatioiden tulee valmistautua?

Jaa myös muille

Henkilötietojen käsittelyn merkitys on kasvanut palveluiden ja tietojen sähköistämisen myötä. Digitalisaatiosta johtuen henkilöstä kerättyä tietoa käytetään entistä kattavimmin, koska nykymaailmassa data on valuuttaa. Muutos ICT-aikakaudesta palvelupohjaisiin yksilöllisiin palveluihin, joissa pääpainona on asiakaskokemus, asettaa erityisiä vaatimuksia henkilötietojen käsittelyyn. Euroopan Unioni ottaa kantaa miten tätä tietoa tulee käsitellä jatkossa, ja sen myötä jokaisen organisaation on tehtävä valmistelut varmistaakseen EU:n tietosuoja-asetuksen noudattamisen.

Kohti uudistusta

Euroopan komissio julkaisi ehdotuksen tietosuojan lainsäädäntöuudistuksesta tammikuussa 2012. Noin neljän vuoden jälkeen parlamentti, komissio ja neuvosto pääsivät sopuun asetuksen ja direktiivin sisällöstä joulukuussa 2015, ja säädökset julkaistiin 4.5.2016. Elämmekin tällä hetkellä siirtymäaikaa, jonka aikana organisaatioiden, jotka käsittelevät henkilötietoa, on tarkoitus tutustua asetukseen ja tehdä tarvittavat toimenpiteen joilla varmistetaan asetuksen noudattaminen.  Ja kuten tässä vaiheessa varmasti kaikki tiedämme, aletaan asetusta soveltamaan 25.5.2018 alkaen.

Asetuksen on tarkoitus suojata kaikkien EU-kansalaisten henkilökohtainen tietosuoja. Direktiivi oikeudellisena välineenä asettaa tavoitteet, joihin kaikkien unionin jäsenvaltioiden on päästävä. Direktiivi on lainsäädäntöohje, jonka kukin jäsenvaltio toteuttaa omassa kansallisessa lainsäädännössään.

Asetus koskettaa kaikkia toimijoita, jotka operoivat EU:n alueella. Eli myös Euroopan Unionin ulkopuolella päätoimistoa pitävät organisaatiot joutuvat asetuksen alaisuuteen, ja heidän tulee toimia sen mukaisesti. Valvontaviranomainen (ei  vielä nimetty) voi määrätä rekisterinpitäjälle sakon tietosuoja-asetuksen vaatimusten laiminlyönnistä. Sakon suuruus määräytyy rikkomuksen luonteen perusteella. Sakon enimmäismäärä on 20 milj. € tai 4% yrityksen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta.

Asetuksen  keskeisimmät vaatimuksen

  • Organisaation tulee osoittaa, että se noudattaa asetusta. Kun asetus tulee voimaan ei enää riitä, että organisaatio noudattaa asetusta, vaan sen on myös pystyttävä dokumentaatiolla osoittamaan, että miten se on hoitanut tietosuoja-asetuksen noudattamisen.
  • Käyttäjiltä tulee olla suostumus henkilötietojen keräämiseen. Tähän vaaditaan rekisteröidyn henkilön vapaaehtoinen ja tietoinen suostumus. Asetuksen mukaan siis organisaatiot eivät voi kerätä henkilötietoja ilman henkilöiden suostumusta.
  • Internet-palvelun käyttäjällä on oikeus tulla unohdetuksi
  • Käyttäjällä on oikeus nähdä mitä tietoa hänestä on kerätty. Tietosuoja-asetuksen mukaan henkilöillä on oikeus saada pääsy omiin henkilötietoihinsa. Tämä tarkoittaa, että organisaation on henkilön pyytäessä osoitettava käsitelläänkö häntä koskevia henkilötietoja, sekä toimitettava dokumentaatio kaikista henkilötiedoista.
  • Henkilöillä on myös oikeus tulla unohdetuksi. Tämä tarkoittaa rekisteröidyn oikeutta pyytää organisaatiota poistamaan hänestä kerättyä vanhentunutta tietoa. Henkilö pystyy myös poistamaan suostumuksensa siitä, että on antanut luvan henkilötietojensa keräämiselle, ja tämän pitää olla yhtä helppoa kuin suostumuksen antaminen. Henkilötiedot poistetaan aina pyytäessä, ellei käsittelylle ole muuta laillista perustetta.
  • Organisaatiolla tulee olla tietosuojavastaava, joka varmistaa asetuksen noudattamisen organisaatiossa, ja opastaa henkilökunnan asetuksen mukaiseen henkilötietojen käsittelyyn ja dokumentointi tarpeisiin. Asetus ei vaadi kaikki organisaatioita nimeämään tietosuojavastaavaa, mutta suosituksemme on, että tietosuojavastaava nimetään jokaiseen organisaatioon, jolloin asetuksen noudattaminen selkeytyy, ja koko organisaatio on varmasti tietoinen kaikista asioista, jotka muuttuvat uuden asetuksen voimaantulon jälkeen.
  • Tietoturvan loukkausilmoitus on osa uutta asetusta. Organisaatioilla on velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksesta henkilökohtaisesti niille rekisteröidyille, joiden tietoja loukkaus koskettaa. Oikeus saada tieto perustuu arviolle, onko tietovuodossa mahdollista tulla vahinkoja

Ratkaisumme apunanne

Tarjoamme kokonaisratkaisun, johon kuuluu sekä työkalu tiedonhallintaan, että räätälöity koulutus. Käytämme hyväksemme ARC -ohjelmistoamme. Projektimme on aina suunniteltu asiakkaan tarpeiden mukaan niin, että otetaan huomioon organisaation valmiustaso ja mahdolliset ajankäyttö rajoitteet. Projektimme varmistaa sen, että tietotaito ja osaaminen jäävät organisaatioon, joten tietosuojan ajantasainen päivittäminen on helppoa ja vaivatonta.

 

Katso alta myös aiheeseen liittyvä webinaaritallenne:

Tagged , .

Avainasiakaspäällikkö Mikko Hiltunen innostuu digitalisaatiosta, muutosjohtamisesta ja asiakasorganisaatioiden haasteista.