GDPR:n voimaantulosta jo kaksi kuukautta

Asetuksen voimaantulosta kaksi kuukautta - mikä tietosuojan tilanne on nyt?

”Yrityksen tietosuojan dokumentoinnissa ja muutoinkin sen saattamisessa lainmuutosta vastaavalle tasolle Haglex Oy oli kiitettävä kumppani. Palvelu ja yhteydenpito oli vaivatonta ja työ hoitui tehokkaasti ja ammattitaitoisesti. Saamani opastuksen myötä pystyn tulevaisuudessa itsenäisesti reagoimaan tietosuoja-asetuksen edellyttämin tavoin mahdollisiin toiminnan muutoksiin.”

Veijo Saarinen, toimitusjohtaja, VJS Kiinteistöt Oy

“Yhtiöllemme pidetystä henkilöstön tietosuojakoulutuksesta arvostimme erityisesti, että Haglex oli perehtynyt yhtiömme toimintaan ja toteutti koulutuksen tätä vastaavasti. Puhujat olivat selkeitä ja innostavia, ja siten myös tylsänkuuloisesta aiheesta tuli koko henkilöstölle mielenkiintoinen. Suosittelemme Haglexia niin tietosuoja-asioissa, kuin muutoinkin.”

Minna Halonen, toimitusjohtaja, Festum Software Oy

 

Uudesta EU:n yleisen tietosuoja-asetuksen velvoitteiden voimaantulosta on kulunut nyt kaksi kuukautta. Vaikkakin Suomen kansallinen lainsäädäntö antaa vielä odotuttaa itseään ainakin tovin tai mitä luultavammin loppuvuodelle 2018 asti, ovat asetuksen velvoitteet Suomessakin yrityksiä sitovia jo unionin oikeuden nojalla. Lakiesitys on tällä hetkellä palautettuna takaisin perustuslakivaliokuntaan ja siten lainsäädäntötyö on vielä valitettavasti kesken. Kansallinen erityislainsäädäntö on jouduttu asetuksen valossa tarkistamaan kaikissa EU:n jäsenmaissa. Monessa jäsenmaassa, kuten myös naapurimaassamme, kansallinen tietosuojalaki on kuitenkin jo saatettu voimaan.

Siten erityisesti toukokuussa kohisuttanut tietosuojatyö jatkuu Suomessa edelleen niin viranomaisten kuin organisaatioiden tasolla. Monet yritykset ovat myös heränneet lainmuutokseen vasta sen voimaantulon jälkeen. Haluamme Haglexilla korostaa, että vaikka velvoitteet pannaan yhtiöissä projektinluontoisesti täytäntöön, ovat ne kiinteä osa tulevaisuuden liiketoimintaa ja vaativat lähtökohtaisesti huomiota yhtiön toimintaa suunniteltaessa.

Haglexilla tietosuojaprojekteja työstäessä erityisesti viimeisen, hyvin tiiviin puolivuotisen aikana olemme kiinnittäneet huomiomme moniin käytännön tilanteisiin tai lainkohtiin, joita tyypillisesti on nähty yhtiöiden, erityisesti rekisterinpitäjien näkökulmasta ongelmallisina. Alla esimerkki huomio henkilötietojen käsittelijästä pohdintojemme kera.

Henkilötietojen käsittelijän roolissa ja ”puolesta käsittelyn” tunnistamisessa on yrityksissä kohdattu monihaaraisia ongelmia. Lähtökohtaisesti henkilötietojen käsittelijä on taho, joka käsittelee henkilötietoja ainoastaan rekisterinpitäjän puolesta ja joka noudattaa käsittelyssä rekisterinpitäjän antamia ohjeita. Henkilötietojen käsittelijä on yleensä yritykseen nähden ulkopuolinen, kolmas osapuoli, jonka kanssa on laadittu sopimus tai muu oikeudellinen asiakirja. Lisäksi asetus edellyttää laadittavan henkilötietojen käsittelystä kirjallisen sopimuksen henkilötietojen käsittelijöiden eli niiden yrityksen kumppaneiden kanssa, joille tietoa siirtyy ja jotka käsittelevät kyseisiä tietoja yrityksen itsensä lukuun. Monissa tapauksissa tilanne on kuitenkin se, että tietoja käsitellään osana omaa toimintaa ja osin omiin käyttötarkoituksiin; tällöin käsittelytarkoitukset, eli se, miten, missä ja miksi tietoja käsitellään tulevat itse määritellyksi. Siten siis vaikka henkilötietojen vaihtoa toimijoiden välillä tapahtuu, tulisi ennen käsittelysopimuksen laatimista huomioida juurikin ”puolesta käsittelyn”-vaatimus. Mikäli molemmat tahot käsittelevät tietoja itsenäisesti määritellen omat käsittelytarkoituksensa ja toimivat siten rekisterinpitäjinä, ei käsittelysopimusta vaadita.

”Puolesta käsittely” on noussut usein esille erityisesti alihankkijasuhteissa. Asetuksen nojalla henkilötietojen käsittelijä saa käyttää toista henkilötietojen käsittelijää vain rekisterinpitäjän antamalla nimenomaisella tai yleisellä kirjallisella ennakkoluvalla. Esimerkiksi mikäli rakennusyhtiö käyttää alihankkijaa ja luovuttaa tälle asiakkaiden yhteystiedot, joille alihankkija suuntaa omaa markkinointiaan. Alihankkija on tällöin katsottava itsenäiseksi rekisterinpitäjäksi sen nojalla, että se käsittelee tietoja osin myös omiin tarkoituksiin, eikä käsittele niitä ainoastaan rakennusyhtiön puolesta (lähde: Euroopan komissio: Voiko joku muu käsitellä tietoja organisaationi puolesta? luettu 24.7.2018)

Nykyisenkaltaisessa tietosuojayhteiskunnassa ehdotammekin pohtimaan tietosuojavelvoitteisiin vastatessa, miten dataa halutaan hyödyntää yrityksessä myös tulevaisuudessa. Tieto on monella tapaa järkevästi hyödynnettävissä siten, että se auttaa merkittävässä määrin esimerkiksi parempien palveluiden tuottamisessa, joka taas on omiaan maksimoimaan yrityksen tuloksen. Kerätyn tiedon hyödyntämisen ohella tulisi pohtia muun muassa määräaikoja käsiteltävien tietojen poistamiselle ja myös tämän kautta lainmuutoksella on isompaa vaikutusta yrityksen käytännön toimintaan.

Erityisesti toukokuulla, kun asetus oli tullut juuri velvoittavaksi, yhtiöiden toimissa oli osin nähtävillä myös selvää ylireagointia. Tämä valitettavasti vei yhtiöiltä ylimääräisiä resursseja ja pahimmassa tapauksessa laillisestikin kerättyä tietoa saatettiin hävittää. Tältä ja muilta vahingoilta välttymiseksi ehdotammekin juridista tukea jokaiselle yritykselle velvoitteisiin vastaamisessa. Ottamalla avuksesi meidät yrityksesi tietosuojaprojektiin, voimme auttaa sinua ja yritystäsi tekemään joko tarvittavat toimenpiteet velvoitteiden täytäntöönpanemiseksi tai vaihtoehtoisesti voimme yhdessä miettiä, kuinka kääntää yrityksen data pidemmällä aikavälillä yhtiön eduksi toimeenpanemalla velvoitteet. Vaihtoehtoisesti voimme toimia myös neuvonantajana tietosuoja-asioissa.

Kirjoittanut: Miia Saarinen

Uusi liikesalaisuuslaki

Kuinka liikesalaisuudet ovat huomioitu yrityksesi riskienhallinnassa? Mitkä tiedot ovat yrityksesi liikesalaisuuksia? Mitä suojakeinoja yrityksessä toteutetaan niiden suojaamiseksi ja mihin niiden suoja ulottuu?

Lue lisää

Työharjoittelussa Haglexilla

Haglex on monipuolinen työharjoittelupaikka. Kiinnostaako työharjoittelu kehittävässä ja kannustavassa työssä täällä Haglexilla? Minua taloushallinnon opiskelijana kiinnosti ja päätin ottaa yhteyttä taloushallinnon harjoitteluani varten.

Lue lisää

EU ja yleinen tietosuoja-asetus

Tiesithän että EU:n yleinen tietosuoja-asetus koskee myös yritystänne? EU:n yleistä tietosuoja-asetusta et voi ohittaa, jos esimerkiksi yrityksellänne on työntekijöitä tai kuluttaja-asiakkaita.

Lue lisää
Tietosuojaseloste