EU:n uusi tietosuoja-asetus on hyväksytty keväällä 2016. Asetuksen tavoitteena on luoda Euroopan unionille nykyaikainen, yhtenäinen ja kattava tietosuojakehys. Sen vaatimukset tulee täyttää 25.5. 2018 lähtien. Yrityksille ja organisaatioille, jotka laiminlyövät tietosuojavelvoitteensa, voidaan määrätä huomattavia taloudellisia seuraamuksia.

Tiedon käsittelijän syytä olla perillä asetuksesta

Uudessa asetuksessa mainittu rekisterinpitäjä on taho, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Tietojen käsittelijä puolestaan on taho, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.

Ja nyt tarkkana: ohjelmistoalan yritys, joka joko toteuttaa henkilörekisterin, yhdistää henkilötietoja sisältäviä järjestelmiä tai vaikka ainoastaan välittää ohjelmiensa avulla henkilötietoja on mainittu tietojen käsittelijä. Henkilötietoihin liittyvän työn tilaaja varmasti olettaa, että ohjelmistoalan yritys osaa käsitellä henkilötietoja niin, että tietosuojavaatimukset täyttyvät. Ja vaikkei tilaaja olettaisi, laki edellyttää.

Mitä uutta asetuksessa on?

Suomessa tällä hetkellä sovellettavan henkilötietolain pääperiaatteet säilyvät EU:n tietosuoja-asetuksessa. Uusi asetus antaa kuitenkin yksilölle lisää oikeuksia ja lisää turvaa henkilötietojensa käsittelyyn. Rekisterinpitäjälle ja tietojen käsittelijälle asetus tarkoittaa uusia velvoitteita:

Organisaation pitää pystyä todistamaan, että tietosuoja-asetusta on noudatettu ja että sen periaatteet toteutuvat käytännössä. Tietosuojan toimenpiteet on siis dokumentoitava.

Julkisen sektorin toimijan sekä ydintoimintonaan henkilötietoja käsittelevän yrityksen tulee nimittää tietosuojavastaava, joka suunnittelee, kehittää ja valvoo tietosuojan toteutumista. Vastuu henkilötietojen käsittelyn lainmukaisuudesta kuuluu kuitenkin organisaation johdolle.

Rekisteröidyllä henkilöllä on oikeus nähdä hänestä talletetut tiedot, saada siirrettyä tiedot sähköisesti kolmannelle osapuolelle sekä (tietyin rajoituksin) halutessaan vaatia tietojensa korjaamista tai poistamista.

Yksilö voi tietyissä tilanteissa kieltäytyä olemasta sellaisen päätöksenteon kohteena, mikä perustuu pelkästään automaattisella tietojen käsittelyllä tehtävään profilointiin.

Mahdolliset tietoturvaloukkaukset pitää pystyä havaitsemaan. Niistä pitää viipymättä ilmoittaa rekisteröidyille ja valvontaviranomaisille.

Alle 16-vuotiaiden tietoja saa kerätä vain vanhempien (todennettavissa olevalla) luvalla.

Mistä lisätietoa?

Tietosuojavaltuutetun toimisto on julkaissut nettisivuillaan tietoa EU:n tietosuoja-asetuksesta. Myös tietojen käsittelijän on hyvä perehtyä asiaan, jotta osaa käsitellä henkilötietoja lain edellyttämällä tavalla.

ATR Soft on ohjelmistokehitystalo, joka tuottaa softaa tukemaan yritysten liiketoimintaa. Päätoimipisteemme sijaitsee Turussa ja toimimme myös Tampereella. Tuotteidemme jälleenmyyjiä löytyy Euroopasta, Pohjois-Amerikasta, Aasiasta ja Australiasta.

Seuraa meitä

© ATR Soft Oy : Joukahaisenkatu 1 : 20520 Turku : Finland : +358 20 712 9620 : atrsoft@atrsoft.com : atrsoft.com