2016_10_24
Uutiset

EU kiristää tietosuojavaatimuksia

Yksi digitalouden suurimmista riskeistä on se, että yrityksen keräämät asiakas- ja henkilötiedot joutuvat vääriin käsiin. Euroopan Unioni puuttui tähän ilmiöön hyväksyessään huhtikuussa uuden tietosuoja-asetuksen. Accountorin lakiasiainpäällikkö Anna-Maija Marjakangas summaa, mitä tietosuoja-asetus edellyttää suomalaiselta yritykseltä.

Lähes jokainen yritys käsittelee henkilötietoja, esimerkiksi asiakas- tai henkilöstörekistereitä. Digitaalisessa yhteiskunnassa kaikki tieto voi liikkua ketterästi, mutta henkilötiedot on silti kyettävä pitämään ei-toivottujen tahojen ulottumattomissa. Muuten luottamus yritykseen saattaa romahtaa.

Euroopan Unioni haluaa pitää henkilötiedot suojattuna ja digitalouden pyörimässä. Siksi se hyväksyi huhtikuun 14. päivä uuden tietosuoja-asetuksen, joka koskee kaikkia henkilötietoja käsitteleviä organisaatioita.

– Henkilö, jonka tiedot löytyvät yrityksen rekisteristä, saa jo nykyisen lain mukaan tarkistaa omat tietonsa ja vaatia niiden oikaisua tai rekisteristä poistamista. Uusi tietosuoja-asetus velvoittaa yrityksiä antamaan rekisteröidyille entistä läpinäkyvämpää tietoa siitä, mihin heitä koskevia henkilötietoja kerätään ja miten niitä käsitellään. Samalla se tuo Euroopan Unionille yhtenäisen tietosuojakehyksen ja vahvistaa henkilötietojen suojaa myös EU:n ulkopuolella, sanoo lakiasiainpäällikkö Anna-Maija Marjakangas Accountorista.

Tietoturvaloukkauksista on kerrottava nopeasti

Uuden asetuksen myötä yrityksen on kerrottava rekisteröidyille heidän henkilötietoihinsa kohdistuvista vakavista tietoturvaloukkauksista mahdollisimman nopeasti. Valvontaviranomaisille asiasta on ilmoitettava 72 tunnin kuluessa loukkauksen havaitsemisesta.

– Organisaatioiden pitää olla entistä varautuneempia havaitsemaan tietoturvaloukkaukset ja minimoimaan niistä koituvat vahingot. Viranomaisille vaatimukset ovat tiukimpia. Niiden on nimettävä tietosuojavastaava, joka valvoo tietosuojan toteutumista. Yrityksille tietosuojavastaavan nimittäminen on pakollista vain tietyissä tapauksissa – muun muassa silloin, jos niiden ydintehtävät edellyttävät rekisteröityjen säännöllistä ja järjestelmällistä seurantaa laajassa mitassa. Kaikkien yritysten on silti helpompi seurata uusien vaatimusten noudattamista, kun vastuu asiasta keskitetään yhdelle taholle, arvioi Marjakangas.

Ei kuitenkaan riitä, että yritys noudattaa säädettyjä velvoitteita. Tarvittaessa sen pitää pystyä myös todistamaan, että säädöksiä todella on noudatettu.

– Tämä vaatimus on syytä ottaa tosissaan. Velvoitteiden rikkoutuessa valvontaviranomaiset voivat määrätä yrityksen maksamaan sanktioita jopa 20 miljoonaa euroa tai 4 prosenttia yrityksen vuotuisesta maailmanlaajuisesta liikevaihdosta.

Siirtymäaika päättyy toukokuussa 2018

Tietosuoja-asetuksen siirtymäaika päättyy vuoden 2018 toukokuussa, joten yrityksillä on vajaat kaksi vuotta aikaa ryhtyä noudattamaan uutta asetusta. Tästedes yritysten kannattaa siis ottaa tietosuojan asettamat vaatimukset paremmin huomioon jo silloin, kun ne suunnittelevat uusia tuotteita ja palveluita.

Anna-Maija Marjakangas muistuttaa, että muuttuva tietosuojasääntely ei tarkoita vain uusia velvollisuuksia. Se saattaa avata monille yrityksille myös isoja mahdollisuuksia.

– Jos tietosuoja toteutetaan suunnitelmallisesti ja liitetään osaksi strategiaa, yritys voi kehittää siitä itselleen jopa kilpailuedun.

Valmistaudu tuleviin muutoksiin

Valmistautuminen uuden tietosuoja-asetuksen asettamiin velvoitteisiin on syytä aloittaa ajoissa. Accountorin asiantuntijat suorittavat tietosuojaprosessien nykytilan kartoituksen, analysoivat muutostarpeet ja laativat toimintasuunnitelmaehdotukset. Asiantuntijamme keskustelevat mielellään aiheesta kanssasi lisää.

Jäikö joku artikkelissa askarruttamaan mieltäsi? Lähetä sähköpostia asiantuntija@accountor.fi -osoitteeseen, niin jatketaan keskustelua aiheesta.

Tutustu Accountorin tarjoamiin laki- ja asiantuntijapalveluihin: http://www.accountor.fi/asiantuntijapalvelut/laki-ja-veroneuvonta

Ota yhteyttä Lisää ajankohtaisia uutisia Tilaa uutiskirje