Ajankohtaista

Uusi EU:n tietosuoja-asetus astuu voimaan 25.5.2018 – Ketä se koskee ja mitkä ovat sen keskeisimmät muutokset?

Blogi - 23.8.2016

Mikä on uusi eurooppalainen tietosuoja-asetus? Ketä se koskee? Miten se vaikuttaa yrityksemme toimintaan? Mitkä ovat sen keskeisimmät muutokset? Nämä ovat kysymyksiä mitä monelle nousee ensimmäisenä mieleen aiheesta. Mistä siis oikeastaan on kyse?

EU:n uusi tietosuoja-asetus astuu voimaan 25.5.2018. Asetuksen tavoitteena on yhdenmukaistaa henkilötietojen käsittelyyn liittyvä sääntely EU:n sisällä. Nykyään voimassa olevaa henkilötietodirektiiviä on sovellettu eri EU-maissa hyvinkin kirjavasti. Se mikä on nyt ollut sallittua Suomessa, ei välttämättä ole sallittua esimerkiksi Saksassa. Tavoitteina ovat yksilön oikeuksien vahvistaminen, tietosuojan globaalin ulottuvuuden huomioiminen sekä tietosuojasääntöjen valvonnan tehostaminen. Lisäksi tavoitteena on edistää EU:n digitaalista sisämarkkinoiden kehitystä, jolloin tieto voisi siirtyä turvallisesti ja vapaasti Euroopan unionin sisällä.

Lähes jokaisella yrityksellä on rekistereitä työntekijöihin liittyvistä tiedoista sekä erinäisiä asiakas- ja markkinointirekistereitä.

Melkein jokaisella yrityksellä on käytössään henkilötietoja. Yleisenä haasteena on, etteivät yritykset välttämättä tiedä kovinkaan hyvin, mitä kaikkea tietoa niiltä löytyy, missä ja miten sitä säilytetään, käsitellään, ylläpidetään tai kuka siitä vastaa. Lähes jokaisella yrityksellä on rekistereitä työntekijöihin liittyvistä tiedoista sekä erinäisiä asiakas- ja markkinointirekistereitä. Tämän vuoksi on hyvä, että yritys on tietoinen voimaan tulevasta asetuksesta ja oman datansa tilasta.

Kysy ainakin nämä kysymykset

Oman datan tilaa kannattaa selvittää ainakin seuraavien kysymysten avulla:

1. Mitä henkilötietoja keräämme ja käsittelemme sekä miksi keräämme sitä?
2. Käsittelemmekö tietoja nykyisen henkilötietolain mukaisesti?
3. Kuka vastaa rekistereistä ja niiden ylläpidosta?


Uuden tietosuoja-asetuksen 5 keskeisintä muutosta

1. Henkilötietojen säilytys, minimointi ja täsmällisyys
Yrityksen hallussa olevat henkilötiedot tulee olla sellaisessa muodossa, ettei niistä saa helposti selville ketä tiedot koskevat tai tietokannat tulee salata mahdollisen tietomurtotapauksen varalta. Jatkossa kerättävää henkilötietojen määrää pitää minimoida ja niiden tulee olla täsmällisiä. Kerättävät tiedot tulee olla välttämättömiä palvelun käytön kannalta. Lisäksi virheelliset tiedot tulee poistaa viipymättä ja tietojen oikeellisuutta tulee ylläpitää.

2. Järjestelmien toimintavarmuus
Järjestelmien toimintavarmuus, jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus on taattava. Keskiöön nousee järjestelmän kyky palauttaa tiedot nopeasti. Henkilötietoihin kohdistuvista tietoturvaloukkauksista on ilmoitettava valvontaviranomaiselle viimeistään 72 tunnin kuluessa. Jos loukkauksesta on todennäköisiä haittavaikutuksia rekisteröidyn henkilötietojen suojalle tai yksityisyydelle, on rekisterinpitäjän ilmoitettava tapahtuneesta myös rekisteröidylle itselleen.

3. Tietojenkäsittelyn turvallisuuden varmistaminen
Yrityksen tulee lisätä sisäistä valvontaa ja käyttöönottaa menettely, jossa yritys testaa, tutkii ja arvioi säännöllisesti omien teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.

4. Nimetty tietosuojavastaava
Tietosuojavastaava on nimitettävä yrityksiin, joiden ydinliiketoimintaan kuuluu rekisteröityjen henkilöiden järjestelmällinen seuranta tai arkaluontoisten henkilötietojen käsittely. Tietosuojavastaavan tehtävänä on suunnitella, kehittää, varmistaa sekä valvoa tietosuojan toteutumista yrityksen tuottamissa palveluissa. Tietosuojavastaavana voi toimia oman yrityksen henkilö tai tämä voidaan ostaa palveluna ulkopuolelta. Tietosuojavastaava on verrattavissa pääluottamusmiehen tehtävään.

5. Sanktiot rikkeistä
Tietosuoja-asetuksen laiminlyönnistä yritykselle voidaan antaa huomautus tai määrätä sakkoa. Sanktio voi olla enimmillään 20 milj. euroa tai 4 % yrityksen vuotuisesta kokonaisliikevaihdosta.

Asetuksen todellisia vaikutuksia eri toimialoille on vielä vaikea arvioida, mutta on tärkeää tarkkailla tilannetta ja laittaa perusasiat kuntoon tämän kahden vuoden siirtymäajan puitteissa. Seuraavassa blogitekstissä kerron miten tietosuoja-asetus vaikuttaa esimerkiksi tilitoimiston liiketoimintaan ja mitkä asiat voit laittaa kuntoon jo tänään.

Se on ainakin varmaa, että tietosuoja-asetus tulee teettämään paljon lisää töitä tietosuojasta vastaaville ammattilaisille.

 

Tietoturvalla tai tietoturvallisuudella tarkoitetaan tietoliikenne-, laitteisto-, ohjelmisto- ja tietoaineistotoiminnan turvallisuutta, joilla turvataan verkkojen ja palvelujen eheys, luottamuksellisuus ja käytettävyys. Eheydellä tarkoitetaan tiedon loogisuutta ja paikkansapitävyyttä. Tieto ei saa muuttua tahattomasti tai hyökkäyksen seurauksena. Luottamuksellisuudella tarkoitetaan, että tietoa voivat käsitellä vain sellaiset henkilöt, joilla on siihen oikeus. Käytettävyydellä tarkoitetaan saatavuutta, eli tiedon on oltava saatavilla, kun sitä tarvitaan. Erityisiä tietoturvavalvonnan kohderyhmiä ovat toimijat, jotka käsittelevät kansainvälistä turvaluokiteltua, viranomaisten tietoa ja henkilön terveydellistä tilaa koskevaa tietoa. Tietoturvallisuuden ohjauksessa avainasemassa ovat yhteistyö ja tiedonvaihto.

Tietosuojalla tarkoitetaan henkilötietolain henkilötietojen käsittelyä ja keruuta koskevien vaatimusten huomioimista, jotta voidaan turvata tiedon kohteen yksityisyys, edut, oikeudet ja oikeusturva. Yksilöllä on oikeus tarkastaa, mitä tietoja hänestä on tallennettu rekisteriin ja saada virheelliset tiedot korjatuksi. Henkilötietoja ei saa kerätä ilman yksilön suostumusta.

Konesalikumppanimme DataCenter Finland Oy järjesti aiheesta seminaarin keväällä. Katso tallenne täältä. Lisää aiheesta Viestintäviraston sivuilta.

 


Kirjoittaja: Sami Lehtola

Sami Lehtola

 

EmCen teknologiajohtaja. Tullut EmCeen 2016 kesäkuussa. Tuotekehityksen innostava joukkueenjohtaja, joka pitää haastavista ongelmanratkaisutilanteista.

9 kommenttia aiheeseen Uusi EU:n tietosuoja-asetus astuu voimaan 25.5.2018 – Ketä se koskee ja mitkä ovat sen keskeisimmät muutokset?

  1. Elina sanoo:

    Olen parturi-kampaaja. Käytössä on pahvinen käsinkirjoitettu kortisto, jossa asiakkaan nimi, puhelinnumero ja väriresepti. Tarvitseeko tehdä toimenpiteitä ?

  2. kuusiniemi pirjo sanoo:

    Hoidan orkesterin kannatusyhdistystä, joka on perustetti v.1994. Yhdistys kerää jäsenmaksun vuosittain. Jäsenistä on rekisteri, jossa on osoitteet ja s-postit, ei sotuja. Jaamme joka vuosi stipendejä soittajille esim. 30vuoden ja 40 vuoden palvelusviosien mukaan.
    Orkesterin jäsenistä haluaisimme tietää palvelusvuosista, mutta ne tiedot ovat salaisia? Onko näin?

  3. pekka sanoo:

    Euroopan Unionin tietosuoja-asetus 2016/679 astui voimaan 27.4.2016. Sitä aloitetaan soveltamaan 28.5.2018.

  4. yllapito sanoo:

    Hei,
    Olet oikeassa, eli uutta tietosuoja-asetusta aletaan soveltamaan 25.5.2018.

    Ystävällisesti, Susanna//EmCe

  5. Oliko syrjintää kun kieltäydyin antamasta puh.nroa sanoo:

    Oulussa avasi uusi caravan liike ovensa ja avajaisissa kilpailuun osallistuminen edellytti nimeä, sähköpostia ja puhelinnumeroa. Tilaisuudessa ollut atk laite ei ottanut osallistumista vastaa jos puuttui puhelinnumero.

    Huomautin asiasta liikkeessä, jolloin hekilökunnan eräs edustaja vastasi “ettei ole pakko mitään sinne kirjoittaa”. Minulle tämä tarkoitti sitä, että tapahtui syrjintää ; jos ei puh.numeroa anna vaikka on email osoite annettu, niin se ei heille kelvannut. Mikään keksitty numero ei mennyt läpi

    Deletoin eli pyyhin kaikki tietoni pois heidän päätteeltä ja äänestin jaloillani eli lähdin liikkeestä pois. Mielestäni mokasivat lopussa kaiken hyvän mielen. Puhelimeni nro n oikeasti salainen, mutta sana salainen ei riittänyt heille. Eikä se ole tarkoitus jaettavaksi kuin luotettaville tahoille.

    Voiko tällaisessa tilanteessa liike itse päättää keitä he “palvelevat” ja voivat näin tehdä “erottelun keitä haluavat palvella”.

    Huomautettakoon että itse asiassa omistan m-auton, jota en sitten alkanut moisen “palvelun” siivittämänä heille kertomaan. Meni ns. maku koko asiaa kohtaan. Onneksi löytyy muualtakin vaihtoehtoja. Tulikohan sinä 50 t € todellinen munaus tälle yhtiölle.

    Eli kysymys kuului: voiko jokin kauppayhtiö itse päättää kelpuuttaako vai ei. Tilaisuus oli sen järjestämä myös paikkatila oli sen. Kutsut tilaisuuteen oli yleisesti julkaistu sanomalehdessä. Jos asiakas rajoittaa tietojansa levittämistä, niin se on yhtä kuin “painu ulos – tänne lattioille ei turhia hiekkoja kanneta” -tai jotain siihen suuntaan. Tilanteessa oli paljon näkijöitä ja kuulijoita.

    Tietääkseni laki juuri antaa ihmisille oikeuden itse päättää mitä tietoja haluaa jakaa.

  6. Suski sanoo:

    Hei, miten rekisteröimättömän yhdistyksen jäsenrekisteri, koskeeko asetus myös rekisteröimättömiä yhdistyksiä/yhteisöjä?

  7. Finski sanoo:

    Evästeen hyväksymispakko on mielestämme laiton. Koko tietosuoja on politikkojen keksimää paskaa, kun ei ole järkevää tekemistä.

  8. Eulis sanoo:

    Nyt kuitenkin Trafi on päättänyt julkaista kaikkien suomalaisten ajokortillisten ihmisten ajokorttitiedot, syntymäajat, ajokortin voimassaoloajat ja asuinkunnan. Eikö tämä ole kovastikin ristiriidassa rekistereistä annetun lain kanssa?

  9. Lonkkalenkka sanoo:

    Suomessa on olemassa mm kymmeniä hyväntekeväisyysjärjestöjä. Eikö samaa lakia kuuluisi soveltaa näiden järjestöjen välillä sillon kun on kyse asiakastiedoista. Järjestöt ja hyväntekeväisyysryhmittymät jakavat asiakastietoja keskenään häikäilemättömän tarkkojen detaljien, mm nimen ja yksityisyyteen kohdistettavien tietojen kera.
    Toimiiko järjestöt väärin? Onko tietosuoja rajallinen vai miten näissä ryhmissä kuuluu salata asiakastiedot?

Kommentoi

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

Uusimmat

  • 25.9.2020
    Optimoi varastonhallinta Tasklet Factor Mobile WMS:n avulla
    Lue lisää »
  • 2.9.2020
    Vinkkaa taloushallinnon ohjelmistoa etsivä yritys ja lunasta itsellesi kuunteluoikeutta Storytel -palveluun
    Lue lisää »
  • 2.9.2020
    Mitä kotimaisuus merkitsee meille ja asiakkaillemme?
    Lue lisää »
  • 17.8.2020
    Palveluhinnastomme on julkaistu – tutustu asiakastukemme palveluihin
    Lue lisää »
  • 12.8.2020
    Mihin startup tarvitsee toiminnanohjausta?
    Lue lisää »
  • 22.6.2020
    Näin nopeutat palvelupyyntösi käsittelyä HelpDeskissä
    Lue lisää »
  • 25.2.2020
    EmCe-nimen tarina
    Lue lisää »
  • 19.2.2020
    Näin tyhjennät selaimesi välimuistin
    Lue lisää »
  • 20.12.2019
    Palkkahallinnon muistilista vuodelle 2020
    Lue lisää »
  • 26.11.2019
    Basware InvoiceReady – Vuodenvaihteen muistilista
    Lue lisää »