2016_05_23
Uutiset

Tietosuoja murroksessa

EU:n yleinen tietosuoja-asetus on 14.4.2016 lopullisesti hyväksytty Euroopan parlamentin ja neuvoston päätöksillä. Tätä seuraa kahden vuoden siirtymäaika, joka päättyy 25.5.2018. Tietosuoja-asetus koskee kaikkia organisaatioita, jotka käsittelevät henkilötietoja.

Miten yrityksesi on valmistautunut EU:n uuden tietosuoja-asetuksen velvoitteisiin?

Henkilötietoja kerätään koko ajan yhä enemmän ja enemmän eri yhteyksissä. Digitalisaatio ja datalähtöiset liiketoimintamallit ovat tuoneet henkilötietojen käsittelyyn uusia haasteita. Tämän kehityksen vuoksi tarvitaan yhä vahvempi ja johdonmukaisempi tietosuojakehys, joka varmistaa henkilötietojen suojan ja mahdollistaa digitaalitalouden toiminnan. EU:n uusi tietosuoja-asetus lisää tietosuojasääntelyn määrää, vahvistaa rekisteröityjen oikeuksia ja asettaa yrityksille merkittäviä uusia velvoitteita ja sanktioita.

Mikä muuttuu?

Tietosuoja-asetus päivittää ja uudistaa laaja-alaisesti periaatteita, joilla taataan oikeus henkilötietojen suojaan. Jatkossa yritysten on kyettävä antamaan rekisteröidyille yhä enemmän, läpinäkyvämmin ja selkeämmin tietoa siitä, mihin ja mitä tarkoitusta varten heitä koskevia henkilötietoja kerätään ja käsitellään. Tietoturvaloukkausten raportointivelvollisuutta laajennetaan ja kansallisten tietosuojaviranomaisten tietosuojasääntöjen täytäntöönpanon valvontaa tehostetaan. Samalla tietosuoja-asetus luo EU:lle yhtenäisen ja kattavan tietosuojakehyksen sekä vahvistaa henkilötietojen suojaa myös EU:n ulkopuolella.

Uuden asetuksen myötä yritys on velvollinen ilmoittamaan henkilötietoihin kohdistuvista vakavista tietoturvaloukkauksista valvontaviranomaiselle 72 tunnin kuluessa tietoturvaloukkauksen ilmitulosta ja rekisteröidyille ilman aiheetonta viivytystä. Yritysten on siten varauduttava toiminnassaan mahdollisten tietoturvaloukkausten riittävän nopeaan ja tehokkaaseen havaitsemiseen, ilmoittamiseen sekä haittavaikutusten estämiseen.

Tietosuoja-asetus edellyttää muun muassa viranomaisilta ja laajamittaista henkilötietojen käsittelyä suorittavilta toimijoilta tietosuojavastaavan nimittämistä. Tietosuojavastaavan tehtävänä on tietosuojan toteutumisen varmistaminen ja valvonta. On perusteltua, että henkilötietojen käsittelyä koskevat kysymykset ja asetettujen vaatimusten noudattaminen vastuutetaan tähän erikoistuneelle taholle, vaikka tietosuojavastaavan nimittämiseen ei asetuksen perusteella velvoitetta olisikaan.

Jatkossa ei ole riittävää, että yritys noudattaa säädettyjä velvoitteita. Yritysten on pystyttävä tarvittaessa osoittamaan, että tietosuojavelvoitteet huomioidaan yrityksen toiminnassa. Valvontaviranomaisille on annettu mahdollisuudet merkittävien taloudellisten sanktioiden määräämiseen, mikäli yritys toiminnassaan rikkoo asetuksessa säädettyjä velvoitteita. Sanktiot voivat olla enimmillään jopa 20 miljoonaa euroa tai 4 % yrityksen globaalista liikevaihdosta.

Tietosuoja menestyksen mahdollistajana

Teknologisen kehityksen ja erityisesti digitaalisen teknologian murroksen myötä yritysten on jatkossa huomioitava entistä tarkemmin tuotteiden ja palveluiden suunnittelussa tietosuojan sille asettamat vaatimukset. Tehokkaat tietosuojaperiaatteita noudattavat menettelytavat ja käytännöt mahdollistavat tiedon elinkaaren hallinnan ja tukevat siten yrityksen toimintaa sen kaikilla tasoilla. Suunnitelmallisesti toteutettuna tietosuoja voi olla osa yrityksen strategiaa, jolla on mahdollista erottua kilpailijoista.    

Valmistaudu tuleviin muutoksiin

Valmistautuminen uuden tietosuoja-asetuksen asettamiin velvoitteisiin on syytä aloittaa ajoissa. Accountorin ammattilaiset suorittavat tietosuojaprosessien nykytilan kartoituksen, analysoivat muutostarpeet ja laativat toimintasuunnitelmaehdotukset. Ammattilaisemme keskustelevat mielellään aiheesta kanssasi lisää.

Lähde: Yrityslakimies Teemu Limnell, Accountor

Jäikö joku artikkelissa askarruttamaan mieltäsi? Lähetä sähköpostia asiantuntija@accountor.fi -osoitteeseen, niin jatketaan keskustelua aiheesta.

Ota yhteyttä Lisää ajankohtaisia uutisia Tilaa uutiskirje