Blogi

Tietosuoja-asetus uudistuu – kiinnitä näihin 6 asiaan huomiota

Satu Kontio

EU:n tietosuoja-asetus uudistuu vuoden kuluttua. Uuden asetuksen tavoitteena on yhdenmukaistaa eurooppalaista tietosuojasääntelyä. Vuonna 2018 voimaan tuleva asetus tulee korvaamaan vuonna 1995 annetun henkilötietodirektiivin.

Nykyisin henkilötietojen käsittelyä säädellään sekä globaalilla että kansallisella tasolla – pelisäännöt ovat siis usein maakohtaisia. Uuden asetuksen tavoitteena on luoda yhtenäinen tietosuojakehys Euroopan unionille, lisätä luottamusta online-palveluihin sekä edistää EU:n digitaalisten sisämarkkinoiden kehittämistä. Jatkossa asetuksen vaikutukset ulottuvat myös EU:n ulkopuolelle. Mikäli palveluita ja tavaroita tarjotaan EU-asiakkaille, asetusta tulee soveltaa vaikka yritys ei itsessään sijaitsisi EU-alueella.

Nykyinen henkilötietolaki antaa asiakasrekisteriin rekisteröityneelle oikeuden tarkastaa omat tietonsa sekä vaatia niiden oikaisemista tai poistamista rekisteristä. Uudessa asetuksessa yritysten tulee antaa entistä läpinäkyvämmin henkilöille tietoa siitä, miten ja miksi heidän tietojaan käsitellään.

Listasimme kuusi asiaa, jotka jokaisen asiakasrekisterin omaavan yrityksen tulee tehdä ennen tietosuoja-asetuksen muuttumista.

1. Laita rekisteriseloste kuntoon

Mikäli yrityksessänne ei vielä ole asiakasrekisterin rekisteriselostetta, se täytyy viimeistään nyt hoitaa kuntoon. Huomaathan, että rekisteriseloste tulisi laatia kaikista yrityksessä ylläpidettävistä henkilörekistereistä. Rekisteriselosteen tulee olla helposti saatavilla digitaalisessa muodossa.

Rekisteriselosteen sisällöstä löytyy erittäin hyvät ohjeet Tietosuojavaltuutetun toimisto-sivustolta: http://www.tietosuoja.fi/fi/index/useinkysyttya/rekisteriseloste.html

2. Pyydä asiakkaalta suostumus

Uuden asetuksen myötä henkilötietojen lisäämiseen rekisteriin vaaditaan yksiselitteinen suostumus rekisteröidyltä. Suostumuksella rekisteröity hyväksyy henkilötietojensa käsittelyn. Suostumus voi olla esimerkiksi vastaus sähköpostiin, joka sisältää tietoa siitä, mitä tietoa henkilöstä tallennetaan sekä lauseen suostumuksesta. Suostumusteksti voidaan näyttää myös sillä sivulla, jossa henkilö itse luo itsellensä rekisteritiedot johonkin järjestelmään. Syy, jonka vuoksi henkilö lisätään asiakasrekisteriin, kannattaa kuvata rekisteriselosteessa.

3. Mahdollista asiakkaalle oikeus tulla unohdetuksi

Kun asiakas ei enää halua, että hänen tietojaan käsitellään, tiedot tulee poistaa ellei jokin laillinen peruste edellytä niiden säilyttämistä. Laillinen peruste voi olla esimerkiksi tietojen välttämätön säilytys sopimuksen tai lakisääteisen velvollisuuden takia. Rekisteriselosteessa kannattaa myös mainita tavasta, jolla tiedot voidaan pyytää poistettavaksi.

4. Nimeä tietosuojavastaava

Uuden direktiivin myötä jokaisessa yrityksessä, joka käsittelee henkilörekisterissä arkaluonteista tietoa tulee olla nimetty tietosuojavastaava. Rekisterinpitäjällä on velvollisuus tarkistaa tarve tietosuojavastaavalle itse.

5. Luo ohjeistus

Mikäli viranomainen aiemmin epäili ettei yritys huolehdi henkilötietojen turvaamisesta, todistustaakka oli viranomaisella. Jatkossa asiakasrekisterin pitäjän on pystyttävä kysyttäessä osoittamaan, että tietosuojasäännökset huomioidaan yrityksen toiminnan suunnittelussa ja toteutuksessa. Se taas edellyttää, että henkilötiedon pääsynhallinnasta, käsittelystä ja suojauksesta sekä tiedon elinkaaresta on oltava olemassa ohjeistus, jota noudatetaan kun tietoja käsitellään.

6. Tee sopimus ulkoistettujen palveluntarjoajien kanssa

Jos jokin ulkoistettu palveluntarjoaja käsittelee tietoa, joka on yrityksenne asiakasrekisterissä, on yrityksen tehtävä kirjallinen sopimus palveluntarjoajan kanssa henkilötietojen käsittelystä. Asetuksessa on lueteltu sisällöllisiä vaatimuksia tälle sopimukselle, joten sopimukset täytyy tarkistaa, mikäli yrityksenne tekee yhteistyötä jonkin palveluntarjoajan kanssa. Asetus lähtee siitä, että henkilörekisterin varsinainen haltija (eli yritys itse) on päävastuussa ja käsittelijä (palveluntarjoaja) on tilivelvollinen, jos laiminlyönti aiheuttaa henkilölle seuraamuksia.

Aiheet: Tietosuoja

Satu Kontio
Satu Kontio

Requeste Liiketoimintajohtaja