EU:n tietosuoja-asetuksen vaikutukset yritysten näkökulmasta sekä henkilötietojen rekisterinpitäjän ja käsittelijän vastuiden jakautuminen
Järvenpää, Riikka (2018)
Järvenpää, Riikka
Haaga-Helia ammattikorkeakoulu
2018
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201804194992
https://urn.fi/URN:NBN:fi:amk-201804194992
Tiivistelmä
Tämä on tutkimuksellinen raportti EU:n tietosuoja-asetuksen vaikutuksista yritysten näkökulmasta tarkasteltuna. Tietosuoja-asetuksen kahden vuoden siirtymäaika päättyy 25.5.2018, jolloin henkilötietolain soveltaminen päättyy ja tietosuoja-asetuksen soveltaminen alkaa. Opinnäytetyön yhteydessä toteutettiin maaliskuussa 2018 eri kokoisille yrityksille osoitettu kyselytutkimus, jossa selvitettiin yritysten valmistautumisen astetta tietosuojauudistukseen.
Tietosuoja-asetusta sovellettaessa henkilötietojen käsittelyn täytyy olla lainmukaista, läpinäkyvää ja käsittelyn pitää olla sidoksissa käyttötarkoitukseen. Vain tarpeellisia tietoja saa kerätä ja henkilötietojen pitää olla oikein, ajan tasalla ja niitä saa säilyttää vain tarvittavan ajan. Kun tietoja käsitellään suostumuksella, tulee suurin muutos olemaan rekisteröidyn kannalta oikeus poistaa kaikki tietonsa ja saada itseensä liittyvät tiedot kuukauden kuluessa. Tiedot on saatava sähköisessä muodossa, jolla ne on myös helppo siirtää toisen palveluntarjoajan järjestelmään. Rekisterinpitäjänä toimivilla organisaatioilla on jatkossa osoitusvelvollisuus asetuksen noudattamisesta. Vaatimuksen täyttämiseksi organisaation tulee laatia selosteet ulkoiseen käyttöön rekisteröityjen informoimiseksi ja sisäiseen käyttöön viranomaista varten. Dokumentaatiossa kartoitetaan ja kuvataan eri tietotyyppeihin liittyvät tietoturvatekniset ja organisatoriset toimet sekä prosessit. Henkilötietojen käsittelijöinä toimivien organisaatioiden on myös hyvä huolehtia toimintojen dokumentoinnista, sillä jatkossa rekisterinpitäjät todennäköisesti haluavat varmistua alihankkijoidensa asetuksen noudattamisesta. Jos organisaation ydintehtävät edellyttävät laajamittaista ja järjestelmällistä henkilötietojen rekisteröintiä, tulee heidän nimittää tietosuojavastaava, joka informoi vastuussa olevaa johtoa tietosuoja-asetuksesta.
Kyselytutkimuksen mukaan yritykset ovat valmistautuneet viimeisen vuoden ajan tietosuojauudistukseen ja valmistautuminen on ollut haastavaa mm. vaatimusten epäselvyyden vuoksi.
Tietosuoja-asetusta sovellettaessa henkilötietojen käsittelyn täytyy olla lainmukaista, läpinäkyvää ja käsittelyn pitää olla sidoksissa käyttötarkoitukseen. Vain tarpeellisia tietoja saa kerätä ja henkilötietojen pitää olla oikein, ajan tasalla ja niitä saa säilyttää vain tarvittavan ajan. Kun tietoja käsitellään suostumuksella, tulee suurin muutos olemaan rekisteröidyn kannalta oikeus poistaa kaikki tietonsa ja saada itseensä liittyvät tiedot kuukauden kuluessa. Tiedot on saatava sähköisessä muodossa, jolla ne on myös helppo siirtää toisen palveluntarjoajan järjestelmään. Rekisterinpitäjänä toimivilla organisaatioilla on jatkossa osoitusvelvollisuus asetuksen noudattamisesta. Vaatimuksen täyttämiseksi organisaation tulee laatia selosteet ulkoiseen käyttöön rekisteröityjen informoimiseksi ja sisäiseen käyttöön viranomaista varten. Dokumentaatiossa kartoitetaan ja kuvataan eri tietotyyppeihin liittyvät tietoturvatekniset ja organisatoriset toimet sekä prosessit. Henkilötietojen käsittelijöinä toimivien organisaatioiden on myös hyvä huolehtia toimintojen dokumentoinnista, sillä jatkossa rekisterinpitäjät todennäköisesti haluavat varmistua alihankkijoidensa asetuksen noudattamisesta. Jos organisaation ydintehtävät edellyttävät laajamittaista ja järjestelmällistä henkilötietojen rekisteröintiä, tulee heidän nimittää tietosuojavastaava, joka informoi vastuussa olevaa johtoa tietosuoja-asetuksesta.
Kyselytutkimuksen mukaan yritykset ovat valmistautuneet viimeisen vuoden ajan tietosuojauudistukseen ja valmistautuminen on ollut haastavaa mm. vaatimusten epäselvyyden vuoksi.