Mitä EU:n yleinen tietosuoja-asetus tarkoittaa

Vuoden päästä 25.5.2018 täytäntöön pantava EU:n tietosuoja-asetus koskettaa käytännössä kaikkia yrityksiä ja organisaatioita. Samalla yksittäisen kansalaisen oikeudet muuttuvat. Tietosuoja-asetus päivittää ja uudistaa periaatteita, joilla taataan oikeus henkilötietojen suojaan. Asetuksella vahvistetaan ihmisten oikeuksia ja EU:n sisämarkkinoita sekä sujuvoitetaan henkilötietojen kansainvälisiä siirtoja.

Muutokset antavat ihmisille paremmat edellytykset seurata ja hallinnoida omien henkilötietojensa käsittelyä ja ajantasaisuutta. Tarkoituksena on varmistaa, että ihmisten henkilötiedot ovat suojassa riippumatta siitä, missä ne lähetetään, käsitellään tai säilytetään – myös EU:n ulkopuolella, kuten internetissä usein on asian laita.

Asetuksen artikla 4

Määritelmä henkilötiedosta

’Henkilötiedoilla’ tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilönumeron, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

Määritelmä käsittelystä

’Käsittelyllä’ tarkoitetaan toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista

Määritelmä rekisteristä ja rekisterinpitäjästä

’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu,

’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,

http://www.privacy-regulation.eu/fi/4.htm

Asetus on astunut voimaan 25.5.2016, mutta siinä on kahden vuoden siirtymäaika. Yritysten on siirtymäajan jälkeen tiedettävä ja pystyttävä osoittamaan mitä, missä ja miten ne henkilötietoja käsittelevät. Näistä tiedoista on tehtävä riskiarvio. Lisäksi riskiarvioon perustuen joidenkin yritysten on nimettävä erityinen tietosuojavastaava.

Jos tietomurto tai -vuoto sattuu, yrityksen on tiedotettava henkilötietojen vuotamisesta asiakkailleen tai vähintään viranomaisille. Tiedotusvelvoite siis laajenee esimerkiksi pankeista, teleoperaattoreista ja terveydenhuollosta muille aloille. Vuodon jälkeen viranomaiset arvioivat, olivatko yrityksen tietojenkäsittelyn periaatteet lain mukaisia ja riittäviä, sekä olivatko tekniset suojaukset ja rajoitukset riittävällä tasolla ja päättävät mahdollisista seuraamuksista.

Yritysten välistä kilpailua lisätäkseen kuluttajalla on myös oikeus vaatia itseään koskevat tiedot siirrettäväksi toiseen yritykseen. Tämä aiheuttaa haasteita useille tietojärjestelmille ja toimijoille.

 

EUn yleinen tietosuoja-asetuksen tuomat velvoitteet pähkinänkuoressa

  • Kansalaisen oikeus saada tietoa tietoturvaloukkauksesta viivytyksettä
    • Ilmoitusvelvollisuus viranomaisille 72h kuluessa tapahtumasta
  • Kansalaisen oikeus unohdetuksi tulemiseen (pois lukien organisaatioiden lailliset velvoitteet)
  • Kansalaisen oikeus siirtää tiedot järjestelmästä toiseen (esim. eri palveluntarjoajien välillä)
  • Sisäänrakennettu ja oletusarvoinen tietosuoja, esim. anonymisointi/pseudonymisointi massadatan käsittelyssä
    • Yritysten tulee pystyä ennakoimaan massadatan mahdollisia käyttöjä ja hyötyjä sekä informoimaan ihmisiä niistä
  • Tiukemmat seuraukset rikkomusista, jopa 4% yrityksen kansainvälisestä liikevaihdosta tai enintään 20.000.000 €
  • Yksi maanosa, yksi lainsäädäntö kattaen koko Euroopan
    • Kansainvälisesti toimiville yrityksille vain yksi, paikallinen asiointipiste koko EU:n laajuisesti 28 viranomaisen sijaan
  • Samat säännöt kaikille EU:n alueella toimiville yrityksille, velvoittavat myös EU:n ulkopuolisia, alueella toimivia yrityksiä

Mikä on yrityksesi kunto EU-asetuksen suhteen?

JMJping auttaa kartoittamaan yrityksesi nykytilanteen ja kunnon tietoturva-asetuksen kannalta katsottuna. Kuntokartoituksen tuloksena saat selkeän tiedon asioista, jotka tulee laittaa kuntoon ennen asetuksen soveltamisajankohtaa. Lisäksi saat apua esimerkiksi tietotilinpäätöksessä, tietosuojavastaavan toimenkuvasta, toimintatapojen ja teknisten menetelmien käyttöön ottamisesta ja ilmoitusvelvollisuuden vaatimista järjestelyistä.

Ota yhteyttä joko sähköpostilla myynti [a] jmjping.fi tai soittamalla 02 – 7631 430