Euroopan Unionin tietosuoja-asetus hyväksyttiin huhtikuussa 2016 ja se tulee kaikkia osapuolia velvoittavaksi toukokuussa 2018. Asetus koskee kaikkea henkilötietojen käsittelyä ja se korvaa nykyisen henkilötietolain.

– Ajurina muutoksessa on ollut toisaalta lainsäädännön yhdenmukaistaminen kaikkien jäsenmaiden osalta ja toisaalta aika. Järjestelmien ja sovellusten kyky kerätä tietoa ja käyttäjien halu syöttää tietoa on kasvanut räjähdysmäisesti siitä, mitä se oli aiemman lain säätämisen aikaan 1990-luvulla, Warma sanoo.

Tietosuoja-asetuksen tarkoituksena on parantaa yksilön oikeuksia. Rekisteröidyllä on esimerkiksi oikeus tulla unohdetuksi ja oikeus siirtää omat tietonsa järjestelmästä toiseen.Yritys on asetuksen myötä velvollinen osoittamaan, että se noudattaa asetusta. Monessa tilanteessa yrityksellä tulee olla tietosuojavastaava.

– Tiedon käsittelijän rooli vahvistuu. Jos yrityksen tiedonkäsittely on ulkoistettu, ovat myös ulkoistuskumppanit sääntelyn piirissä ja heidän kanssaan on sovittava kirjallisesti tietojen käsittelystä, sanoo Warma.

 

Henkilötieto ymmärrettävä laajemmin

Asetusta sovelletaan kaikenlaisen henkilötiedon käsittelyyn, jonka perusteella luonnollinen henkilö voidaan tunnistaa. Asetuksen soveltamisala organisaation arkipäivän toiminnassa on hyvinkin laaja.

– Esimerkiksi kaikki tieto työntekijöistä, yhteistyökumppaneista, asiakastiedot, asiakaspalvelunauhoitteet, kameravalvontatallenteet, tietoverkkojen IP-osoitteet, järjestelmälogit ja sähköiset tunnisteet ovat henkilötietoja, toteaa Warma.

Viranomainen voi määrätä merkittävän hallinnollisen seuraamusmaksun asetuksen noudattamatta jättämisestä.

– Seuraamusmaksu voi enimmillään olla 20 miljoonaa euroa tai 4 % konsernin globaalista liikevaihdosta. Kyse on merkittävistä kustannuksista, Warma sanoo.

 

Varaudu muutokseen ajoissa

Warman tuntuma on se, että sääntelyä tunnetaan vielä melko heikosti. Hän kannustaa varautumaan muutokseen tuntemalla ja tunnistamalla henkilötiedot ja henkilörekisterit yrityksen tietojärjestelmistä.

– Kuvaa yrityksen tämän hetkinen tiedonkäsittelykokonaisuus ja selvitä mitä tietoa yrityksellä on ja missä tieto fyysisesti sijaitsee. Käsitelläänkö tieto itse vai onko se ulkoistettu? Apuna tässä voi tietenkin käyttää ulkopuolisia ammattilaisia. Tärkeintä olisi kuitenkin, että organisaation sisällä tiedetään, mitä sääntely vaatii ja mitkä sen vaikutukset ovat omalle toiminnalle, sanoo Warma.

Rekisterien ja järjestelmien siivoaminen kannattaa. Se tuo mukanaan laadukkaampaa ja hallittavampaa tietoa.

– On fakta, että valmistautumisvaiheessa tulee kustannuksia ja työtä. Tietosuoja-asetus kuitenkin tarjoaa mahdollisuuden saada arvokas tieto tukemaan liiketoimintaa, Warma summaa.

 

Näin valmistaudut tietosuoja-asetukseen:

 

  1. Tunnista henkilötiedot
  2. Auditoi tietoj­ärjestelmät
  3. Päivitä sopimukset
  4. Nimitä vastuuhenkilöt
  5. Kouluta organisaatiota.