Diarium on aikataulussa EU:n tietosuoja-asetuksen vaatimusten suhteen

EU:n tietosuoja-asetus (GDPR) tulee muuttamaan datan käyttöä koko EU:n alueella. Asetuksella lisätään yksilön oikeuksia omien henkilötietojensa hallintaan ja yhtenäistetään lainsäädäntöä EU:ssa.
Asetus astui voimaan jo vuonna 2016. Nyt on menossa siirtymäaika, joka päättyy toukokuussa 2018. Silloin pitää henkilötietojen käsittelyn yrityksissä olla asetuksen mukaisessa kunnossa.

Asetus tuo uusia velvollisuuksia rekisterinpitäjille ja henkilötietojen käsittelijöille. Ehkä merkittävin muutos on osoitusvelvollisuus. Se tarkoittaa, että jokaisen organisaation pitää kyetä todistamaan noudattavansa henkilötietojen käsittelyn periaatteita. Käytännössä se tarkoittaa dokumentointia: enää ei riitä, että sanoo noudattavansa lakia. Se on voitava myös osoittaa.

”Meillä perehtyminen asiaan on aloitettu ajoissa. Kattava kartoitustyö on hyvin käynnissä. Seuraava askel on tehdä tekniset muutokset ohjelmistoihin – ja samalla dokumentoida, dokumentoida ja dokumentoida. Työtä on vielä paljon, mutta toukokuun loppuun mennessä olemme valmiita”, koordinaattori Minna Nousiainen vakuuttaa.

Hänen tuntumansa on, että tietoisuus uudesta asetuksesta on useimmissa organisaatioissa ihan hyvä, mutta ehkä kaikkialla ei vielä täysin ole ymmärretty, kuinka laaja ja työtä vaativa se lopulta on.

”Monet kokevat tietosuoja-asetuksen vain pakkona ja taakkana, mutta itse pidän sitä mahdollisuutena imago- ja markkinaetuun”, hän toteaa.

EU-asetuksen noudattamiseen kannustaa suuren sakon riski. Se voi olla enimmillään jopa 20 miljoonaa euroa tai neljä prosenttia liikevaihdosta.

Henkilötietoja vain tiettyyn tarkoitukseen

Tähänkään mennessä lainsäädäntö ei ole sallinut henkilörekisterien tekemistä ilman perusteltua syytä. Nyt rekisterinpitäjän on käytävä läpi muun muassa mitä kaikkia tietoja kerätään, mistä ja mihin tarkoitukseen, millä perusteella, missä ja miten kauan tietoja säilytetään ja miten tiedot turvataan. Jatkossa kerätään vain välttämättömät tiedot.

FNS:n valmistamissa ohjelmissa käsitellään henkilötietoja. Nyt yrityksessä arvioidaan esimerkiksi sitä, millaisia riskejä ohjelmistoihin mahdollisesti liittyy. Niihin liittyvät tarvittavat tekniset muutokset tehdään ja huolehditaan, että jatkossa tietosuoja ja tietoturva on sisäänrakennettu ohjelmiston kehitysprosessiin.

”Asiakkaamme ovat rekisterinpitäjiä, joten heitä koskevat rekisterinpitäjän velvollisuudet. Asiakkaillamme on myös tiedonantovelvoite omille asiakkailleen. Se tarkoittaa muun muassa sitä, että heidän nettisivuiltaan tulee löytyä tietosuojaseloste eli rekisteriseloste, jossa kerrotaan rekisteröidyn oikeuksista.”, Nousiainen sanoo.

Rekisteröidyllä on oikeus päästä omiin tietoihinsa, oikeus saada ilmoitus tietoturvaloukkauksesta, oikeus tietojen oikaisemiseen ja siirtämiseen toiseen järjestelmään ja myös niiden poistamiseen, paitsi jos kyseessä on lakisääteinen rekisteri.

”Kaikissa näissä asioissa autamme asiakkaitamme. Neuvomme niin paljon kuin pystymme. Aika paljon on kysymyksiä jo tullutkin. Teemme myös kirjalliset sopimukset henkilötietojen käsittelystä tai tarkennamme nykyisiä sopimuksia”, Minna Nousiainen kertoo.

Uutena palveluna FNS tarjoaa nykytilan kartoitusta. Se sisältää aloituspalaverin, asiantuntijoiden tekemän kartoituksen, tulosten läpikäynnin ja toimenpide-ehdotukset.

Tietosuoja-asetus koskee FNS:ssä kaikkia. Jokaisen on ainakin jollain tasolla oltava tietoinen sen vaatimuksista. Henkilökunta saakin tarvittavan koulutuksen. Asiakaspalvelijat osaavat vastata asiakkaiden kysymyksiin, myyjät ymmärtävät uudet sopimusvaatimukset ja ohjelmistokehittäjät tietävät, millaisia ominaisuuksia tuotteesta pitää löytyä uuden asetuksen tultua voimaan.

Kirjoittaja