Henkilötietojen käsittely yrityksessä tarkoittaa tietojen keräämistä, tallettamista, järjestämistä, käyttämistä, siirtämistä ja luovuttamista. Lähes jokaisella yrityksellä on käytössään henkilötietoja, näitä ovat esim. rekisterit työntekijöistä tai asiakkaista mutta myös esim. markkinointirekisterit. Näin ollen henkilötietoasiat ja tietosuojalainsäädäntö koskettavat kaikkia yrityksiä, joissa on työntekijöitä. Myös yritysten asiakkaat ovat entistä valveutuneempia heitä koskevien henkilötietojen käsittelystä. Mutta tiedetäänkö yrityksissä, millaista tietoa niissä on, missä ja miten tietoja säilytetään, kuka niitä käsittelee tai kuka tietosuojasta vastaa sekä mitä vaatimuksia EU:n uusi tietosuoja-asetus GDPR tuo mukanaan?
Mikä on GDPR?
Nykyisen EU:n henkilötietodirektiivin mukaan jäsenmaat voivat soveltaa lainsäädäntöä eri lailla. Suomessa saattaa joku henkilötietojen käsittelytapa olla tietosuojalainsäädännön kannalta sallittua, kun taas vaikka Saksassa menettely on kiellettyä. EU:n uusi tietosuoja-asetus GDPR tulee voimaan toukokuussa 2018 ja sen tavoitteena on yhdenmukaistaa henkilötietojen käsittelyyn liittyvä sääntely EU:n sisällä. Lain valmistelussa on todettu, että uusi tietosuoja-asetus vahvistaa yksilön oikeuksia ja ottaa entistä paremmin huomioon tietosuojan globaalin ulottuvuuden. Myös viranomaisten mahdollisuudet säädösten noudattamisen valvontaan tehostuvat. Ylätason tavoitteena on EU:n digitaalisten sisämarkkinoiden kehityksen edistäminen, jotta tieto voisi siirtyä turvallisesti ja vapaasti Euroopan unionin sisällä.
Nyt on jokaisen yrityksen kohdalla hyvä aika ryhtyä selvittämään uuden tietosuoja-asetuksen vaikutuksia omaan toimintaansa. Onko yrityksellä henkilötietoja, joita koskee EU:n henkilötieto-asetus, onko rekisterit olemassa, mitä henkilötietoja rekisteristä löytyy ja miten tai mihin tarkoitukseen niitä käytetään ja säilytetään.
Erityistä huomiota tulee kiinnittää nyt ja jatkossa myös yrityksen sopimuksiin. GDPR asettaa sopimuksille korkeamman vaatimustason verrattuna nykytilaan. Sopimustyypistä riippuen tulee sopimuksissa olla huomioitu tietosuoja-asetuksen velvoitteet esimerkiksi erillisellä tietosuojaliitteellä tai kannanotolla henkilötietojen käsittelyn vastuunjaosta. GDPR:n myötä kirjallisen dokumentaation merkitys henkilötietojen käsittelyn osalta korostuu, jolloin henkilötietojen käsittelyä koskevat vastuut on selkeintä olla kirjattuna jo sopimustasolla.
Haluatko kartoittaa sopimustesi tilanteen tietosuoja-asetuksen vaatimusten osalta? Teemme maksuttoman kartoituksen, jossa käymme sopimuksesi läpi ja tarkistamme niiden henkilötietojen käsittelyä koskevan sisällön.
Lakitoimisto VisionLaw laatii myös henkilötietosuunnitelmia yrityksille, jolloin saat tietosuojamielenrauhan.