Blogi

Mikä on GDPR EU-tietosuoja-asetus 2018?

Kirjoittanut Panu Palmu 29.8.2017 10:17

GDPR eli General Data Protection Regulation on vuonna 2016 voimaan tullut EU:n tietosuoja-asetus, joka korvaa vuoden 1995 henkilödirektiivin. 

eteva-illustration_GDPR-large.svg

GDPR yhdenmukaistaa tietosuojalainsäädäntöä ja helpottaa näin yritysten näkökulmasta palveluiden tarjoamista koko EU-alueella. Kuluttajien osalta GDPR sekä parantaa eri palveluihin tallennettujen henkilötietojen suojaa että antaa oikeuden pyytää rekisterin tiedot itselleen. Kuluttajalla on myös oikeus tulla unohdetuksi, kunhan se ei ole ristiriidassa lainsäädännön kanssa. Esimerkiksi verottajan rekisteristä tuskin pääsee unohdetuksi, mutta Facebookin palvelimilta tiedojen poistaminen pitäisi mahdollistua. 

Mitä GDPR vaatii yritykseltä ja mitä se koskee?

GDPR tulee vaatimaan kaikilta henkilörekistereiden ylläpitäjiltä järjestelmällistä ja tietoturvallista tietojen ylläpitoa. Asetus koskee kaikkea dataa eli tietoa, jonka perusteella ihminen voidaan tunnistaa yksilöllisesti. GDPR käsittelee myös datan yksityisyyden suojaa, datan kohteen oikeuksia (yleensä esim. asiakas) ja asettaa velvoitteita organisaatiolle. Yksilöivä tieto voi olla nimi, sähköpostiosoite, henkilöturvatunnus tai pankkitilin numero.

Siirtymäajan päätyttyä 25. toukokuuta 2018 organisaatio on vastuussa tietojen turvaamisesta sekä rekisteröidyn kuluttajan oikeuksista. Mikäli velvoitteita laiminlyö ja tietoja pääsee vuotamaan organisaation ulkopuolelle, on organisaatio automaattisesti korvausvelvollinen.

Miten vakavissaan asetus tulisi ottaa?

Hyvin vakavissaan, sillä siirtymäajan jälkeen tietoturvarikkeen osoittaminen ei ole enää viranomaisten velvollisuus, vaan organisaation on pystyttävä osoittamaan, että se on tehnyt merkittäviä ponnistuksia tietoturvan, prosessien ja käyttäjien oikeuksien turvaamiseksi. Käytännössä tämä osoitetaan läpikäymällä yrityksen toimintatapoja sekä dokumentoimalla ne yrityksen sisäiseksi ohjeistukseksi ja tietoturvapolitiikaksi.

Rekisterinpitäjän vastuu ja velvoite on:

  1. selvittää, että omat järjestelmät täyttävät tietosuoja-asetuksen vaatimat kriteerit tietojen käsittelyä varten
  2. selvittää, että alihankkijat ja käsittelijät täyttävät tietosuoja-asetuksen vaatimat kriteerit tietojen käsittelyä varten
  3. huolehtia rekisteröityjen oikeuksista ja toimia uuden tietosuoja-asetuksen mukaisesti tietoja kerätessä ja käyttäessä

Miten asetukseen valmistaudutaan?

EU tietosuoja-asetuksen myötä organisaation tulee kartoittaa ja analysoida yrityksen nykytilanne ja tavoitetila sekä laatia dokumentaatiot tiedon käsittelyn ympäristöstä. 

Lue myös:

Eteva GDPR