Näin sanoo Suomen Yrittäjien lainopillinen asiamies Ville Kukkonen. Toukokuussa 2018 voimaan tuleva asetus vaikuttaa kaikkiin tahoihin, jotka jollain tavalla käsittelevät henkilötietoja.
– Merkittävä muutos on, että uusi sääntely tuo huomattavat sakot säännösten rikkomisesta. Puhutaan miljoonien, jopa kymmenien miljoonien sakoista. Sakkotasot määräytyvät suhteessa yrityksen maailmanlaajuiseen liikevaihtoon.
EU:n yleisen tietosuoja-asetuksen tietyt säännökset koskettavat kaikkia henkilötietoja kerääviä tai käsitteleviä yrityksiä ja osa sääntelystä vain osaa yrityksiä.
– Asetus muuttaa merkittävästi nykyistä henkilötietojen käsittelyä koskevaa sääntelyä.
Tarvitseeko yrityksesi erityisen tietosuojavastaavan?
Aikaa asetuksen voimaan tuloon on vajaat kaksi vuotta, mutta valmistautuminen kannattaa aloittaa jo nyt.
Yrityksille tulee uusia velvoitteita, jotka tulee ottaa huomioon esimerkiksi asiakkaiden, yhteistyökumppaneiden tai työntekijöiden henkilötietojen keräämisessä, käsittelyssä ja säilyttämisessä.
Nykyinenkin sääntely edellyttää henkilötietojen asianmukaista suojaamista. Uuden sääntelyn myötä yrityksille asetetaan velvollisuus ilmoittaa viranomaisille tietoturvaloukkauksista ja nimittää tietyissä tilanteissa erityinen tietosuojavastaava. Lasten henkilötietojen käsittelyyn tulee uusia säännöksiä.
Asetuksen myötä yritysten tulisi aiempaa tarkemmin pohtia jo ennakolta mahdollisia henkilötietojen käsittelyyn liittyviä riskitekijöitä sekä sitä, miten riskeihin voi varautua ennakolta.
– Rekisteröidyille tulee myös aiempaa yksiselitteisempi oikeus vaatia itseään koskevien tietojen poistamista ja kieltäytyä niin sanotusta profiloinnista sekä oikeus rajoittaa itseään koskevien henkilötietojen käyttöä, Kukkonen kertoo rekisteröityjen oikeuksista, SY:n Kukkonen selvittää.
Kolme pointtia
1. Käy läpi yrityksessä tapahtuva henkilötietojen kerääminen, rekisteröinti ja käsittely sekä niihin liittyvät perusteet ja käytännöt. Millä perusteella henkilötietoja kerätään tai käsitellään? Täyttääkö toiminta nykysääntelyn vaatimukset? Harjoitetaanko yrityksessä henkilötietojen profilointia?
2. Arvioi henkilötietojen käsittelyn tarpeellisuutta ja siihen liittyviä riskejä sekä sitä, miten riskejä voitaisiin vähentää?
3. Selvitä millä tavalla yrityksessä reagoidaan rekisteröityjen pyyntöön tarkistaa tai poistaa itseään koskevat tiedot yrityksen rekistereistä?
Lähde: Ville Kukkonen
Riikka Koskenranta
'; // -->