Uuden Eurooppa-tasoisen lainsäädännön soveltaminen alkaa 25. toukokuuta 2018. Laissa ja LegalWorks tekivät viime vuoden lopulla Pohjoismaisille lakiasiainjohtajille tietosuojatutkimuksen. Sen mukaan 88% suomalaisista vastaajista oli jo aloittanut tietosuoja-asetukseen valmistautumisen. Suomalaiset yritykset olivat kyselyn mukaan muutoinkin edellä muita Pohjoismaita tietosuoja-asioissa. Monissa pienemmissä yrityksissä valmistautuminen on kuitenkin vielä aloittamatta. Viimeistään nyt on aika ryhtyä valmistautumaan uuteen asetukseen.
Tietosuoja-asetus tuo joitain uusia vaatimuksia ja sanktioita. Asetuksen tietosuojaperiaatteet ovat: i) käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys, ii) käyttötarkoitussidonnaisuus, iii) tietojen minimointi, iv) tietojen täsmällisyys, v) tietojen säilytyksen rajoittaminen, vi) tietojen eheys ja luottamuksellisuus sekä vii) rekisterinpitäjän osoitusvelvollisuus. Näitä periaatteita pitää noudattaa kaikessa henkilötietojen käsittelyssä. Organisaation tulee myös dokumentoida kuinka se tietosuojaperiaatteiden noudattamisen varmistaa ja toteuttaa.
Rekisterinpitäjän on pystyttävä osoittamaan, että se noudattaa, ja on noudattanut, henkilötietojen käsittelyssä asetuksen vaatimuksia. Riittävän suunnittelun ja dokumentoinnin merkitys korostuu. Organisaatioiden on tarpeen huolella suunnitella, arvioida ja kartoittaa henkilötietojen käsittelynsä sekä siihen sisältyvät riskit. On valittava asianmukaiset ja riittävät tekniset ja organisatoriset ratkaisut, joilla tietosuoja sisäänrakennetusti varmistetaan ja riskit poistetaan tai saatetaan hyväksyttävälle tasolle. Tietojen suojausratkaisut on suhteutettava suojattavien tietojen luonteeseen ja niihin kohdistuviin riskeihin. Mikäli henkilötietojen käsittelyyn kohdistuu todennäköisesti korkea riski, on rekisterinpitäjän tehtävä tietosuojaa koskeva vaikutustenarviointi.
Tietokantojen rakenteisiin saattaa olla tarpeen tehdä muutoksia, jotta rekisteröidyille pystytään antamaan heille asetuksen mukaan kuuluvat oikeudet esim. tietojen korjaamiseen, unohdetuksi tulemiseen ja tietojen siirrettävyyteen liittyen. Tietoturvaloukkausten raportointivelvollisuus saattaa myös aiheuttaa tarpeen muokata prosesseja ja tietokantoja.
Viimeistään nyt on myös johdon syytä ottaa tietosuoja agendalleen ja huolehtia sen asianmukaisesta arvioinnista, järjestämisestä ja organisoinnista. Henkilökunta on syytä kouluttaa uuden lainsäädännön vaatimuksiin ja yrityksen omiin tietosuojaprosesseihin ja -sääntöihin. Myös tietosuojavastaavan nimittäminen saattaa olla tarpeen. Uudet sanktiot voivat nousta jopa neljään prosenttiin yrityksen maailmanlaajuisesta liikevaihdosta tai 20 miljoonaan euroon.
Tietosuojavaltuutettu julkaisi hiljattain ohjeistuksen tietosuoja-asetukseen valmistautumiseen. Voit lukea tuon dokumentin tästä.
Osa vaatimuksista täsmentyy vielä, kun viranomaiset ottavat kantaa asetuksen tulkinnanvaraisiin osiin. Viranomaislinjauksia ei kuitenkaan kannata jäädä odottelemaan, jos haluaa varmistaa, että pystyy noudattamaan asetusta toukokuussa 2018.