Mikä on GDPR EU-tietosuoja-asetus?

Kirjoittanut Panu Palmu 8/2017

GDPR_tietosuoja_

 

GDPR eli General Data Protection Regulation on vuonna 2016 voimaan tullut EU:n tietosuoja-asetus, joka korvaa vuoden 1995 henkilödirektiivin. 

 

Mikä on EU-tietosuoja-asetus, eli GDPR?

GDPR yhdenmukaistaa tietosuojalainsäädäntöä ja helpottaa näin yritysten näkökulmasta palveluiden tarjoamista koko EU-alueella. Kuluttajien osalta GDPR sekä parantaa eri palveluihin tallennettujen henkilötietojen suojaa että antaa oikeuden pyytää rekisterin tiedot itselleen. Kuluttajalla on myös oikeus tulla unohdetuksi, kunhan se ei ole ristiriidassa lainsäädännön kanssa. Esimerkiksi verottajan rekisteristä tuskin pääsee unohdetuksi, mutta Facebookin palvelimilta tiedostojen poistaminen pitää olla mahdollista. 

 

Mitä GDPR vaatii yritykseltä ja mitä se koskee?

Kuinka valmistautua EU tietosuoja-asetukseen? GDPR tulee vaatimaan kaikilta henkilörekistereiden ylläpitäjiltä järjestelmällistä ja tietoturvallista tietojen ylläpitoa. Asetus koskee kaikkea dataa eli tietoa, jonka perusteella ihminen voidaan tunnistaa yksilöllisesti. GDPR käsittelee myös datan yksityisyyden suojaa, datan kohteen oikeuksia (yleensä esim. asiakas) ja asettaa velvoitteita organisaatiolle. Yksilöivä tieto voi olla nimi, sähköpostiosoite, henkilöturvatunnus tai pankkitilin numero.

Siirtymäajan päätyttyä 25. toukokuuta 2018 organisaatio on vastuussa tietojen turvaamisesta, sekä rekisteröidyn kuluttajan oikeuksista. Mikäli velvoitteita laiminlyö ja tietoja pääsee vuotamaan organisaation ulkopuolelle, on organisaatio automaattisesti korvausvelvollinen.

 

Miten vakavissaan asetus tulisi ottaa?

Hyvin vakavissaan, sillä siirtymäajan jälkeen tietoturvarikkeen osoittaminen ei ole enää viranomaisten velvollisuus, vaan organisaation on pystyttävä osoittamaan, että se on tehnyt merkittäviä ponnistuksia tietoturvan, prosessien ja käyttäjien oikeuksien turvaamiseksi. Käytännössä tämä osoitetaan läpikäymällä yrityksen toimintatapoja sekä dokumentoimalla ne yrityksen sisäiseksi ohjeistukseksi ja tietoturvapolitiikaksi.

Rekisterinpitäjän vastuu ja velvoite on:

          • selvittää, että omat järjestelmät täyttävät tietosuoja-asetuksen vaatimat kriteerit tietojen käsittelyä varten
          • selvittää, että alihankkijat ja käsittelijät täyttävät tietosuoja-asetuksen vaatimat kriteerit tietojen käsittelyä varten
          • huolehtia rekisteröityjen oikeuksista ja toimia uuden tietosuoja-asetuksen mukaisesti tietoja kerätessä ja käyttäessä

Miten asetukseen valmistaudutaan?

EU tietosuoja-asetuksen myötä organisaation tulee kartoittaa ja analysoida yrityksen nykytilanne ja tavoitetila sekä laatia dokumentaatiot tiedon käsittelyn ympäristöstä. 

 

New call-to-action

Lue myös:
GDPR suomeksi – ota termit haltuun
GDPR-vaatimukset – näin yrityksesi pitää valmistautua


Topics: gdpr, tietosuoja, määräykset

Haluatko kuulla uusista blogijulkaisuista ensimmäisenä? Tilaa ilmoitukset!

Jaa somessa


 

Tarvitsetko apua tietoturvan ja tietosuojan kanssa? Ota yhteyttä ja autamme järjestämään tietosuoja-asiat kuntoon!

GDPR-vaatimukset – näin yrityksesi pitää valmistautua

GDPR oi mukanaan vaatimuksia, joista yrityksen tulee olla tietoinen, jotta mahdollisilta sanktioilta vältytään. Lista käytännön toimenpiteistä...

GDPR termit – ota GDPR kunnolla haltuun

GDPR tarkoittaa suomeksi EU tietosuoja-asetusta. Aiheeseen liittyy myös useita muita termejä ja sanoja, jotka on hyvä olla hallussa asetuksesta puhuttaessa. 

Tietosuoja - Kuka vastaa ja mistä? Riskianalyysi.

Vastaamon tietomurto herätti monia kysymyksiä. Olisi mielenkiintoista nähdä Vastaamon GDPR:n riskianalyysi. Kenen vastuulla tietomurrot ovat?