Neuvontapuhelin.png0600 199 33
Oikeudellisten asioiden neuvontapuhelin
(1 € + ppm/min)

Artikkelikirjastostamme löydät satoja asiantuntijoiden laatimia artikkeleja useista eri aihealueesta

25.5.2018 voimaan tulevan tietosuoja-asetuksen merkitys yrityksille

Julkaistu 27.2.2018

Uusi tietosuoja-asetus (GDPR) merkitsee olennaisia muutoksia kaikkien yritystoimintaa harjoittavien velvollisuuteen suojata asiakkaidensa, työntekijöidensä sekä muiden henkilöiden henkilötietoja. Kaikissa EU-maissa voimaan tuleva tietosuoja-asetus, jota tullaan myöhemmässä vaiheessa täydentämään ja täsmentämään uudella kansallisella tietosuojalailla, koskee lähtökohtaisesti kaikkea henkilötietojen käsittelyä. Tietosuoja-asetuksen tavoitteena on parantaa henkilötietojen suojaa ja rekisteröityjen oikeuksia, vastata uusiin digitalisaatioon ja globalisaatioon liittyviin tietosuojakysymyksiin sekä yhtenäistää tietosuojasääntelyä kaikissa EU-maissa.

Tietosuoja-asetuksen tuomista muutoksista merkittävimmät koskevat yritysten velvollisuuksia, joiden on 25.5.2018 lukien huomioitava erityisesti seuraavat muutokset:

1.      Henkilötietojen on oltava välttämättömiä kerättävään lainmukaiseen tarkoitukseen

Yritysten tulee kyetä perustelemaan, että miksi tietyt tiedot asiakkaista on kerätty ja mihin käyttöön kerätyt tiedot on tarkoitettu. Yritysten tulee siten aiempaa tarkemmin pohtia, että onko jonkin tiedon kerääminen välttämätöntä. Yritysten tulee tehdä käsiteltävänä olevista henkilötiedoista riskiarvio eli yritysten on tiedettävä, että minkälaisia henkilötietoja ne käsittelevät, missä ne niitä käsittelevät ja miten.

2.      Henkilötietojen tallentamisen luvanvaraisuus  sekä velvollisuus tiedottaa keräämisen tarpeesta ja asiakkaan oikeuksista

Yrityksen on saatava asiakkaalta lupa häntä koskevien tietojen tallentamista varten ja samalla tulee myös ilmoittaa, että mihin tarpeeseen tietoa käytetään ja tiedottaa asiakasta hänen oikeuksistaan.

3.      Tietosuojavastaavan nimittäminen

Mikäli yrityksen tietokannassa on vuoden ajanjaksolla enemmän kuin 5.000 kohdetta, yrityksen velvollisuus on nimittää IT-alan ammattilaistaustainen henkilö yrityksen tietosuojavastaavaksi.

4.      Asiakkaan oikeus vaatia tietojen poistamista eli oikeus tulla unohdetuksi

Asiakkaalla on oikeus vaatia kaikkia häntä koskevien tietojen poistamista yrityksen tietokannasta.

5.      Asiakkaan oikeus vaatia tietojen siirtämistä

Asiakas voi vaatia, että häntä koskevat henkilötiedot siirretään sellaisenaan toisen yrityksen sähköiseen järjestelmään.

6.      Vastuu henkilötietojen vahvasta suojaamisesta

Henkilötietojen suojaamisessa on käytettävä korkeinta mahdollista tietosuojaa ja henkilötiedoista muodostuva rekisteri tulee suojata siten, ettei tietojen väärinkäyttö voi olla missään tilanteessa mahdollista.

7.      Välitön ilmoitusvelvollisuus tietovuodosta tai tietomurrosta

Yrityksen tulee tehdä ilmoitus tietovuodon tai tietomurron tapahtumisesta viranomaisille 72 tunnin sisällä. Mikäli tietovuodosta tai tietomurrosta voi olla haittaa asiakkaille, yrityksen tulee ilman säädettyä aikarajaa tiedottaa tapahtuneesta myös vuodon kohteena oleville henkilöille.

8.      Laiminlyönneistä voi seurata olennaisia seuraamuksia

Tietosuoja-asetuksen noudattamisen laiminlyönneistä voidaan määrätä:

  • ei-tahallisen rikkomuksen tilanteessa kirjallinen varoitus,
  • henkilötietojen käsittelykielto, ja
  • vakavampien rikkomusten tilanteessa sakkomaksu, jonka suuruus voi olla enintään neljä prosenttia yrityksen liikevaihdosta tai 20 miljoonaa euroa.

9.      Asiakkailla on oikeus nostaa ryhmäkanne yritystä vastaan

Asiakkaat voivat vaatia yhdessä korvauksia esimerkiksi tietomurron yhteydessä aiheutuneista vahingoista