Ajankohtaista

Uusi EU:n tietosuoja-asetus astuu voimaan 25.5.2018 – Ketä se koskee ja mitkä ovat sen keskeisimmät muutokset?

Blogi - 23.8.2016

Mikä on uusi eurooppalainen tietosuoja-asetus? Ketä se koskee? Miten se vaikuttaa yrityksemme toimintaan? Mitkä ovat sen keskeisimmät muutokset? Nämä ovat kysymyksiä mitä monelle nousee ensimmäisenä mieleen aiheesta. Mistä siis oikeastaan on kyse?

EU:n uusi tietosuoja-asetus astuu voimaan 25.5.2018. Asetuksen tavoitteena on yhdenmukaistaa henkilötietojen käsittelyyn liittyvä sääntely EU:n sisällä. Nykyään voimassa olevaa henkilötietodirektiiviä on sovellettu eri EU-maissa hyvinkin kirjavasti. Se mikä on nyt ollut sallittua Suomessa, ei välttämättä ole sallittua esimerkiksi Saksassa. Tavoitteina ovat yksilön oikeuksien vahvistaminen, tietosuojan globaalin ulottuvuuden huomioiminen sekä tietosuojasääntöjen valvonnan tehostaminen. Lisäksi tavoitteena on edistää EU:n digitaalista sisämarkkinoiden kehitystä, jolloin tieto voisi siirtyä turvallisesti ja vapaasti Euroopan unionin sisällä.

Lähes jokaisella yrityksellä on rekistereitä työntekijöihin liittyvistä tiedoista sekä erinäisiä asiakas- ja markkinointirekistereitä.

Melkein jokaisella yrityksellä on käytössään henkilötietoja. Yleisenä haasteena on, etteivät yritykset välttämättä tiedä kovinkaan hyvin, mitä kaikkea tietoa niiltä löytyy, missä ja miten sitä säilytetään, käsitellään, ylläpidetään tai kuka siitä vastaa. Lähes jokaisella yrityksellä on rekistereitä työntekijöihin liittyvistä tiedoista sekä erinäisiä asiakas- ja markkinointirekistereitä. Tämän vuoksi on hyvä, että yritys on tietoinen voimaan tulevasta asetuksesta ja oman datansa tilasta.

Kysy ainakin nämä kysymykset

Oman datan tilaa kannattaa selvittää ainakin seuraavien kysymysten avulla:

1. Mitä henkilötietoja keräämme ja käsittelemme sekä miksi keräämme sitä?
2. Käsittelemmekö tietoja nykyisen henkilötietolain mukaisesti?
3. Kuka vastaa rekistereistä ja niiden ylläpidosta?


Uuden tietosuoja-asetuksen 5 keskeisintä muutosta

1. Henkilötietojen säilytys, minimointi ja täsmällisyys
Yrityksen hallussa olevat henkilötiedot tulee olla sellaisessa muodossa, ettei niistä saa helposti selville ketä tiedot koskevat tai tietokannat tulee salata mahdollisen tietomurtotapauksen varalta. Jatkossa kerättävää henkilötietojen määrää pitää minimoida ja niiden tulee olla täsmällisiä. Kerättävät tiedot tulee olla välttämättömiä palvelun käytön kannalta. Lisäksi virheelliset tiedot tulee poistaa viipymättä ja tietojen oikeellisuutta tulee ylläpitää.

2. Järjestelmien toimintavarmuus
Järjestelmien toimintavarmuus, jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus on taattava. Keskiöön nousee järjestelmän kyky palauttaa tiedot nopeasti. Henkilötietoihin kohdistuvista tietoturvaloukkauksista on ilmoitettava valvontaviranomaiselle viimeistään 72 tunnin kuluessa. Jos loukkauksesta on todennäköisiä haittavaikutuksia rekisteröidyn henkilötietojen suojalle tai yksityisyydelle, on rekisterinpitäjän ilmoitettava tapahtuneesta myös rekisteröidylle itselleen.

3. Tietojenkäsittelyn turvallisuuden varmistaminen
Yrityksen tulee lisätä sisäistä valvontaa ja käyttöönottaa menettely, jossa yritys testaa, tutkii ja arvioi säännöllisesti omien teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.

4. Nimetty tietosuojavastaava
Tietosuojavastaava on nimitettävä yrityksiin, joiden ydinliiketoimintaan kuuluu rekisteröityjen henkilöiden järjestelmällinen seuranta tai arkaluontoisten henkilötietojen käsittely. Tietosuojavastaavan tehtävänä on suunnitella, kehittää, varmistaa sekä valvoa tietosuojan toteutumista yrityksen tuottamissa palveluissa. Tietosuojavastaavana voi toimia oman yrityksen henkilö tai tämä voidaan ostaa palveluna ulkopuolelta. Tietosuojavastaava on verrattavissa pääluottamusmiehen tehtävään.

5. Sanktiot rikkeistä
Tietosuoja-asetuksen laiminlyönnistä yritykselle voidaan antaa huomautus tai määrätä sakkoa. Sanktio voi olla enimmillään 20 milj. euroa tai 4 % yrityksen vuotuisesta kokonaisliikevaihdosta.

Asetuksen todellisia vaikutuksia eri toimialoille on vielä vaikea arvioida, mutta on tärkeää tarkkailla tilannetta ja laittaa perusasiat kuntoon tämän kahden vuoden siirtymäajan puitteissa. Seuraavassa blogitekstissä kerron miten tietosuoja-asetus vaikuttaa esimerkiksi tilitoimiston liiketoimintaan ja mitkä asiat voit laittaa kuntoon jo tänään.

Se on ainakin varmaa, että tietosuoja-asetus tulee teettämään paljon lisää töitä tietosuojasta vastaaville ammattilaisille.

 

Tietoturvalla tai tietoturvallisuudella tarkoitetaan tietoliikenne-, laitteisto-, ohjelmisto- ja tietoaineistotoiminnan turvallisuutta, joilla turvataan verkkojen ja palvelujen eheys, luottamuksellisuus ja käytettävyys. Eheydellä tarkoitetaan tiedon loogisuutta ja paikkansapitävyyttä. Tieto ei saa muuttua tahattomasti tai hyökkäyksen seurauksena. Luottamuksellisuudella tarkoitetaan, että tietoa voivat käsitellä vain sellaiset henkilöt, joilla on siihen oikeus. Käytettävyydellä tarkoitetaan saatavuutta, eli tiedon on oltava saatavilla, kun sitä tarvitaan. Erityisiä tietoturvavalvonnan kohderyhmiä ovat toimijat, jotka käsittelevät kansainvälistä turvaluokiteltua, viranomaisten tietoa ja henkilön terveydellistä tilaa koskevaa tietoa. Tietoturvallisuuden ohjauksessa avainasemassa ovat yhteistyö ja tiedonvaihto.

Tietosuojalla tarkoitetaan henkilötietolain henkilötietojen käsittelyä ja keruuta koskevien vaatimusten huomioimista, jotta voidaan turvata tiedon kohteen yksityisyys, edut, oikeudet ja oikeusturva. Yksilöllä on oikeus tarkastaa, mitä tietoja hänestä on tallennettu rekisteriin ja saada virheelliset tiedot korjatuksi. Henkilötietoja ei saa kerätä ilman yksilön suostumusta.

Konesalikumppanimme DataCenter Finland Oy järjesti aiheesta seminaarin keväällä. Katso tallenne täältä. Lisää aiheesta Viestintäviraston sivuilta.

 


Kirjoittaja: Sami Lehtola

Sami Lehtola

 

EmCen teknologiajohtaja. Tullut EmCeen 2016 kesäkuussa. Tuotekehityksen innostava joukkueenjohtaja, joka pitää haastavista ongelmanratkaisutilanteista.

8 kommenttia aiheeseen Uusi EU:n tietosuoja-asetus astuu voimaan 25.5.2018 – Ketä se koskee ja mitkä ovat sen keskeisimmät muutokset?

  1. Elina sanoo:

    Olen parturi-kampaaja. Käytössä on pahvinen käsinkirjoitettu kortisto, jossa asiakkaan nimi, puhelinnumero ja väriresepti. Tarvitseeko tehdä toimenpiteitä ?

  2. kuusiniemi pirjo sanoo:

    Hoidan orkesterin kannatusyhdistystä, joka on perustetti v.1994. Yhdistys kerää jäsenmaksun vuosittain. Jäsenistä on rekisteri, jossa on osoitteet ja s-postit, ei sotuja. Jaamme joka vuosi stipendejä soittajille esim. 30vuoden ja 40 vuoden palvelusviosien mukaan.
    Orkesterin jäsenistä haluaisimme tietää palvelusvuosista, mutta ne tiedot ovat salaisia? Onko näin?

  3. pekka sanoo:

    Euroopan Unionin tietosuoja-asetus 2016/679 astui voimaan 27.4.2016. Sitä aloitetaan soveltamaan 28.5.2018.

  4. yllapito sanoo:

    Hei,
    Olet oikeassa, eli uutta tietosuoja-asetusta aletaan soveltamaan 25.5.2018.

    Ystävällisesti, Susanna//EmCe

  5. Oliko syrjintää kun kieltäydyin antamasta puh.nroa sanoo:

    Oulussa avasi uusi caravan liike ovensa ja avajaisissa kilpailuun osallistuminen edellytti nimeä, sähköpostia ja puhelinnumeroa. Tilaisuudessa ollut atk laite ei ottanut osallistumista vastaa jos puuttui puhelinnumero.

    Huomautin asiasta liikkeessä, jolloin hekilökunnan eräs edustaja vastasi “ettei ole pakko mitään sinne kirjoittaa”. Minulle tämä tarkoitti sitä, että tapahtui syrjintää ; jos ei puh.numeroa anna vaikka on email osoite annettu, niin se ei heille kelvannut. Mikään keksitty numero ei mennyt läpi

    Deletoin eli pyyhin kaikki tietoni pois heidän päätteeltä ja äänestin jaloillani eli lähdin liikkeestä pois. Mielestäni mokasivat lopussa kaiken hyvän mielen. Puhelimeni nro n oikeasti salainen, mutta sana salainen ei riittänyt heille. Eikä se ole tarkoitus jaettavaksi kuin luotettaville tahoille.

    Voiko tällaisessa tilanteessa liike itse päättää keitä he “palvelevat” ja voivat näin tehdä “erottelun keitä haluavat palvella”.

    Huomautettakoon että itse asiassa omistan m-auton, jota en sitten alkanut moisen “palvelun” siivittämänä heille kertomaan. Meni ns. maku koko asiaa kohtaan. Onneksi löytyy muualtakin vaihtoehtoja. Tulikohan sinä 50 t € todellinen munaus tälle yhtiölle.

    Eli kysymys kuului: voiko jokin kauppayhtiö itse päättää kelpuuttaako vai ei. Tilaisuus oli sen järjestämä myös paikkatila oli sen. Kutsut tilaisuuteen oli yleisesti julkaistu sanomalehdessä. Jos asiakas rajoittaa tietojansa levittämistä, niin se on yhtä kuin “painu ulos – tänne lattioille ei turhia hiekkoja kanneta” -tai jotain siihen suuntaan. Tilanteessa oli paljon näkijöitä ja kuulijoita.

    Tietääkseni laki juuri antaa ihmisille oikeuden itse päättää mitä tietoja haluaa jakaa.

  6. Suski sanoo:

    Hei, miten rekisteröimättömän yhdistyksen jäsenrekisteri, koskeeko asetus myös rekisteröimättömiä yhdistyksiä/yhteisöjä?

  7. Finski sanoo:

    Evästeen hyväksymispakko on mielestämme laiton. Koko tietosuoja on politikkojen keksimää paskaa, kun ei ole järkevää tekemistä.

  8. Eulis sanoo:

    Nyt kuitenkin Trafi on päättänyt julkaista kaikkien suomalaisten ajokortillisten ihmisten ajokorttitiedot, syntymäajat, ajokortin voimassaoloajat ja asuinkunnan. Eikö tämä ole kovastikin ristiriidassa rekistereistä annetun lain kanssa?

Kommentoi

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

Uusimmat

  • 29.1.2019
    Jännittäviä pelihetkiä ja makeita juttutuokioita – lue Tili- ja Veropäivien jälkitunnelmat!
    Lue lisää »
  • 20.1.2019
    Tilipalvelu Saarelan EmCe 365 -menestystarina palkittiin makeasti
    Lue lisää »
  • 24.12.2018
    Miksi palkkahallinnolla on tärkeä rooli yrityskulttuurin rakentamisessa?
    Lue lisää »
  • 23.12.2018
    Teknologiasta tehoa työntekoon ja taloushallintoon
    Lue lisää »
  • 22.12.2018
    EmCen kuulumiset ja kiitokset kuluneesta vuodesta
    Lue lisää »
  • 12.12.2018
    Auta yhdessä EmCen kanssa
    Lue lisää »
  • 9.12.2018
    Basware InvoiceReady – Vuodenvaihteen muistilista
    Lue lisää »
  • 14.11.2018
    Tulorekisteri – Varmenteen asennus EmCe-ohjelmaan
    Lue lisää »
  • 13.11.2018
    Tulorekisteri – Varmennetilauksen tekeminen
    Lue lisää »
  • 10.9.2018
    Näin tulorekisteri vaikuttaa EmCe Palkkahallinto-ohjelmistoon
    Lue lisää »