RSM Finland
Languages

Languages

GDPR puhuttaa kaikkia

EU:n tietosuoja-asetus, joka kansainvälisesti kulkee nimellä GDPR eli General Data Protection Regulation, on ollut lähes kaikkien huulilla kuluneena keväänä. GDPR astuu täysimääräisesti voimaan 25.5.2018. Asetus velvoittaa myös pieniä yrityksiä henkilötietojen tarkempaan suojaamiseen ja nykyiseen henkilötietolakiin verrattuna tietosuoja-asetus sisältää yrityksille uusia velvoitteita.

Lisäksi tietosuoja-asetus velvoittaa asiakkaiden henkilötietorekistereitä käsittelevät toimijat, kuten tilintarkastusyhteisöt ja tilitoimistot, sopimaan henkilötietojen käsittelystä kirjallisesti. Tästä syystä monet yritykset ovat lähestyneet lähiaikoina asiakkaitaan sopimuspäivitysten merkeissä.

Mutta mistä tietosuoja-asetuksessa tarkemmin ottaen on kyse?

Aloitetaan peruskäsitteistä.

Rekisteröidyllä tarkoitetaan henkilötietojen pohjalta tunnistettavissa olevaa ihmistä, jonka henkilötiedot ovat käsittelyn kohteena. Tietosuoja-asetus ei siis säätele esimerkiksi yrityksen asiakasrekisterin pitoa muuten kuin asiakkaiden yhteyshenkilöiden osalta.

Henkilötieto viittaa kaikkiin rekisteröityä koskeviin tietoihin, joiden perusteella tämä on suoraan tai epäsuorasti tunnistettavissa. Osa tiedoista on asetuksessa säädetty erityisen arkaluontoiseksi. Tällaisia ovat esimerkiksi henkilön terveystiedot ja ay-jäsenyystiedot.

Rekisterillä tarkoitetaan mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa. Tietokantojen lisäksi jo Excel-taulukko tai valokuvakansio voi siis muodostaa rekisterin. Tyypillisiä rekistereitä ovat asiakasrekisteri sekä työntekijärekisteri henkilöstöhallinnon ja palkanlaskennan tarpeisiin.

Rekisterinpitäjä tarkoittaa luonnollista henkilöä tai oikeushenkilöä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Yritys on työntekijärekisterinsä pitäjä, vaikka palkanlaskenta olisikin ulkoistettu tilitoimistolle ja vaikka tilitoimisto hoitaisi rekisterin tietojen ylläpidon ja käyttäisi rekisteriä palkanlaskennan hoitoon. Rekisterinpitäjä on viime kädessä vastuussa rekisterin käsittelystä.

Henkilötietojen käsittelijä tarkoittaa luonnollista henkilöä tai oikeushenkilöä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Esimerkiksi tilitoimisto, joka käsittelee asiakkaiden työntekijöiden tietoja laskeakseen palkat, on henkilötietojen käsittelijä. Rekisterinpitäjä on velvollinen ohjeistamaan käsittelijää henkilötietojensa käsittelyssä.

Riskiperusteisuus tarkoittaa sitä, että yrityksen toimet on suunniteltava sen mukaan, mikä riski tietojen vuotamisella tai häviämisellä on. Esimerkiksi asiakasrekisterissä oleva tieto siitä, että Ville Virtanen (insinööri) toimii tuotantopäällikkönä yrityksessä X ja käyttää tiettyä puhelinnumeroa ja sähköpostiosoitetta ei aiheuta samanlaista riskiä kuin terveydenhuoltoalan yrityksen tieto asiakkaan terveydentilan kehityksestä tai palkanlaskentaa varten rekisteröity tieto Pekka Pekkalan sairaspoissaolojen suuresta määrästä.

 

Entä mikä muuttuu asetuksen myötä?

Kuten tietosuojavaltuutetun verkkosivu kertoo, ”Keskeistä ja uutta tietosuoja-asetuksessa on siis muun muassa riskiperusteinen lähestymistapa ja rekisterinpitäjän osoitusvelvollisuus. Rekisterinpitäjän velvollisuudet kasvavat sitä mukaa, mitä korkeampia riskejä henkilötietojen käsittelyyn liittyy.”

”Riskiperusteinen lähestymistapa tarkoittaa, että -- Tällä pyritään välttämään matalariskisen toiminnan ylisääntelyä ja suhteuttamaan tarpeelliset toimenpiteet kulloinkin henkilötietojen käsittelyyn liittyvän riskin mukaisesti.”, selventää aihetta käsittelevä opas.

Edellä mainitun lisäksi asetukseen sisältyy osoitusvelvollisuus. Toisin sanoen rekisterinpitäjän on pystyttävä osoittamaan, että se noudattaa tietosuoja-asetusta. Tästä syystä henkilötietojen käsittely on suunniteltava ja dokumentoitava kattavasti. Henkilötietoja kerättäessä tulee myös pyytää siihen lupa.

Tietosuoja-asetus saattaa vaikuttaa alkuun mutkikkaalta ja työläältä. Ajan kanssa asetuksesta tulee varmasti muodostumaan luonteva osa liiketoimintaa. Toistaiseksi hype aiheen ympärillä käy kuumana mutta käytännön toteutukset ja tulkinnat nähdään vasta ajan kanssa.

 

Mikäli kaipaat tukea tai vinkkejä tietosuoja-asetuksen vaatimusten täyttämisessä, olemme mieluusti käytettävissäsi.

Otathan yhteyttä RSM Finlandin tietosuojasta vastaavaan Tytti Saariseen, e-mail tytti.saarinen@rsm.fi,  puh. 050 544 6127.

 

EU:n tietosuojauudistuksesta tietosuojavaltuutetun sivulla.

Tietosuojavaltuutetun laatima opas ” Miten valmistautua EU:n tietosuoja-asetukseen?”

 

Kuinka voimme auttaa?

Ota yhteyttä puhelimitse
+358 29 3700 788 tai lähetä kysymykset, kommentit ja tarjouspyynnöt sähköpostitse.

Ota yhteyttä