Muhiiko asiakasrekisterissäsi pommi?
EU:n uuden tietosuoja-asetuksen tavoitteena on yhtenäistää lainsäädäntöä ja parantaa eurooppalaisten oikeutta omiin henkilötietoihinsa. Asetus tulee voimaan toukokuussa 2018.
Kun uuden tietosuoja-asetuksen kahden vuoden siirtymäaika on ohi ensi toukokuussa, moni asia säilyy samanlaisena kuin nykyisessä Suomen henkilötietolaissa. Uutta kansalliseen lainsäädäntöön nähden ovat jättimäiset sanktiot, joita voidaan langettaa asetusta rikkoessa.
Jos esimerkiksi asiakasrekisteriin merkittyjen ihmisten oikeuksia rikotaan, yritys voidaan velvoittaa maksamaan sakko, joka voi olla jopa 20 miljoonaa euroa tai neljä prosenttia yrityksen liikevaihdosta. Maksettavaksi määräytyy näistä kahdesta suurempi vaihtoehto.
”Nämä ovat maksimirangaistuksia. On todennäköistä, että ennen sakkojen antamista yritys selviää pienempien rikkomusten osalta huomautuksilla tai varoituksilla”, Telian myyntipäällikkö Anssi Hakkarainen kertoo.
Rekisteriin merkityn ihmisen oikeuksia ovat muun muassa oikeus tulla unohdetuksi, oikeus saada nähdä omat tiedot, oikeus siirtää tiedot muualle ja oikeus tulla informoiduksi, mikäli tietomurto koskee henkilön tietoja. Yrityksille ihmisten kasvavat oikeudet tarkoittavat tarvetta uudenlaiselle ajattelulle.
”Yritysten on valmistauduttava uudistukseen erityisesti tietojärjestelmien, prosessien ja henkilöstön koulutuksen osalta”, Hakkarainen kertoo.
On hyvä miettiä etukäteen esimerkiksi, mitä tapahtuu sen jälkeen, kun yritys havaitsee joutuneensa tietomurron kohteeksi. Arkisempi skenaario rekisteröityjen oikeuksien turvaamisesta on tilanne, jossa ihminen pyytää omia tietojaan nähtäväksi tai poistettavaksi. Yrityksessä pitää olla selvillä, kenen vastuulla pyyntöön vastaaminen on ja millä tavoin tietojen luovutus tai poisto voidaan käytännössä toteuttaa.
”Tietojärjestelmiin kohdistuvat haasteet taas liittyvät tietoturvakysymyksiin, kuten teknisiin keinoihin, joilla tiedot suojataan tai siihen, kenellä on pääsy tietoihin. Toisaalta järjestelmiä kannattaa kehittää niin että rekisteröityjen pyynnöt olisi helpompi toteuttaa jatkossa.”, Hakkarainen kertoo.
Kahden tason sanktioita
Tietosuoja-asetuksessa on kaksi eri rikeryhmää, jotka määrittävät sanktion suuruuden.
Asetuksen perusteella nämä rikkeet voivat johtaa maksimissaan 10 miljoonan euron tai kaksi prosenttia yrityksen liikevaihdosta olevaan sakkoon:
• Yritys ei ole nimittänyt tietosuojavastaavaa.
• Yritys jättää ilmoittamatta siihen kohdistuneesta tietomurrosta.
• Tietojenkäsittelyä ei ole dokumentoitu asetuksen vaatimalla tavalla. (osoitusvelvollisuus)
• Yritys ei ole tehnyt DPIA-vaikutusarviointia
Asetuksen perusteella nämä rikkeet voivat johtaa maksimissaan 20 miljoonan euron tai neljä prosenttia yrityksen liikevaihdosta olevaan sakkoon:
• Tietojenkäsittelyä koskevan ohjeistuksen rikkominen.
• Rekisteröityjen eli datasubjektien oikeuksien rikkominen.
• Kansainvälistä tietojen siirtoa koskevien sääntöjen rikkominen.
• Viranomaisen käskyn laiminlyönti.
ASIAKASTIETOJEN UUDET SÄÄNNÖT
Lähes jokainen yritys ja organisaatio käsittelee henkilötietoja. Ne voivat olla esimerkiksi asiakas- tai markkinointirekistereitä. Tietosuoja-asetus koskee kaikkia henkilötietoja käsitteleviä organisaatioita.
Kartoita tilanteesi nyt ja selvitä, miten sinun pitää varautua EU:n uuteen tietosuoja-asetukseen. Saat meiltä nykytilan kartoituksen, analysoimme muutostarpeesi ja saat havaitut yrityskohtaiset toimenpidesuositukset.