english

Tietosuoja-asetus ei tapa viestintää

Julkaistu 27.11.2017

EU:n tietosuoja-asetuksen soveltaminen alkaa 25. toukokuuta 2018. Uuden asetuksen tavoitteena on lisätä henkilötietojen käsittelyn avoimuutta ja läpinäkyvyyttä. Asetuksen myötä yksilöillä on enemmän oikeuksia määrätä omien tietojensa käsittelystä. Henkilötietoja käsittelevien tahojen velvollisuudet taas lisääntyvät. Myös sanktiot kovenevat, ja rikkomuksista voi seurata sakkorangaistus.

Tällä hetkellä henkilötietojen käsittelyä säätelee vuonna 2001 voimaan tullut henkilötietolaki, jonka taustalla on vuonna 1996 annettu tietosuojadirektiivi. Tavoitteena on siis myös päivittää tietosuojaa koskevaa sääntelyä vastaamaan teknologista kehitystä.

Tietosuoja-asetus ei ole vain IT-osaston asia vaan koskee koko organisaatiota. Siksi meidän kaikkien on otettava tietosuoja-asetuksen tuomat muutokset huomioon toiminnassamme. Alla muutamia vinkkejä tietosuoja-asetuksen kanssa painiskeleville:

  • tutustu tietosuoja-asetuksen määritelmiin: mikä on henkilötieto, rekisterinpitäjä tai henkilötiedon käsittelijä
  • huomaa, että henkilötiedon käsite on laaja: henkilötietoja ovat kaikki ne tiedot, joista voi suoraan tai epäsuorasti tunnistaa henkilön, esimerkiksi nimi, valokuva, sähköpostiosoite, sijaintitieto, auton rekisterinumero tai IP-osoite
  • kartoita nykytilanne: mitä henkilötietoja organisaatiossasi kerätään, miksi niitä kerätään, kuka tietoja käsittelee, mihin tietoja käytetään ja onko kaikki kerätty tieto tarpeellista
  • poista vanhentuneet tiedot ja rekisterit ja tee siivouksesta säännöllinen tapa
  • valmistaudu kysymyksiin: rekisteröidyllä on oikeus saada itseään koskevia tietoja tai pyytää poistamaan tai korjaamaan niitä
  • käy läpi palveluntarjoajat ja sopimukset: luovutetaanko henkilötietoja ulkopuolisille tahoille, kuka niitä käsittelee ja mitä sopimuksiin on kirjattu
  • selvitä, miten palveluntarjoajat huolehtivat tietosuoja-asetuksen noudattamisesta
  • selvitä myös, säilytetäänkö tietoja EU:n alueella – jos näin ei ole, asia tulee kertoa rekisteröidylle
  • muista, että rekisterinpitäjä on vastuussa ylläpitämistään tiedoista, vaikka ne olisivat ulkopuolisessa palvelussa
  • päivitä tietosuoja- ja rekisteriselosteet (rekisterin käyttötarkoitus, kerättävät tiedot ja säilytysaika) sekä sisäiset ohjeistukset
  • ilmoita mahdollisesta tietosuojaan liittyvästä vahingosta, kuten tietomurrosta tai tietojen tuhoutumisesta, tietosuojavaltuutetulle 72 tunnin kuluessa
  • siirry reagoinnista ennakointiin

Tiivistetysti voisi sanoa, että 1) toimi heti ja 2) käänny asiantuntijan puoleen, jos oma osaaminen ei tunnu riittävän. Lisätietoja saa muun muassa tietosuojavaltuutetulta, tietosuojajuristi Elina Koivumäen sivuilta ja tapahtumajärjestäjä Lyytin sivuilta.

Ja muista, että tietosuoja-asetus ei ole tappamassa markkinointia tai viestintää, vaikka käytännöt muuttuvat. Hyvin toteutettuna tietosuoja-asetus voi olla myös organisaation kilpailuetu.

Kirjoittanut Päivi Luoti
Tilaa uutiskirje