eu-gdpr

Mitä GDPR tarkoittaa sinulle ja yrityksille?

Uusi EU:n tietosuoja-asetus GDPR (General Data Protection Regulation) astuu voimaan 25.5.2018. Asetus tuo suuria muutoksia siihen, miten yritysten on jatkossa suojattava asiakkaidensa ja työntekijöidensä henkilötietoja. Muutoksen merkityksestä kertoo paljon se, että sitä varten on julkaistu oma kotisivu ja useita koulutusohjelmia.

Uudessa tietosuoja-asetuksessa tietojen huolellisen käsittelyn merkitys korostuu ja odotettavissa on yritysten siirtymistä kokonaan sähköisiin asiakasrekistereihin. Myös markkinoinnin ja myynnin parissa työskentelevien yritysten on elintärkeää tietää vähintään perusteet uudesta tietosuojauudistuksesta.

Asetuksen tarkoituksena on yhtenäistää henkilötietojen käsittelyä Euroopan Unionin alueella. Uuden tietosuoja-asetuksen taustalla on kaksi syytä. Ensinnäkin Euroopan Unioni haluaa antaa ihmisille enemmän valtuuksia ja päätäntävaltaa omien henkilötietojensa käyttöön ja hallintaan. Toiseksi EU haluaa myös antaa yrityksille selkeämmän ja yksinkertaisemman laillisen työympäristön jossa operoida, jolloin tietosuojalainsäädäntö on kaikille identtinen sisämarkkinoilla. Uusi tietosuoja-asetus tuo mukanaan hyötyjä ja oikeuksia, mutta myös vastuuta ja velvollisuuksia. Vastuut ja velvollisuudet määräytyvät yrityksen roolin mukaan, ts. toimiiko yritys henkilötietojen käsittelijänä vai rekisterinpitäjänä.

 

 

Tärkeimmät muutokset
Oikeus tulla unohdetuksi ja luvanvaraisuus

Asetus tulee koskettamaan jokaista yritystä ja rajoittamaan melko helpoksi tehtyä ja joskus jopa kyseenalaista tapaa kerätä asiakkaiden henkilötietoja. Euroopan Unionin jäsenet ja asukkaat ovat toukokuusta eteenpäin oikeutettuja vaatimaan yrityksiä poistamaan kaikki henkilötietonsa yrityksen rekistereistä. Jatkossa asiakastietojen kerääminen, poistaminen tai siirtäminen tulee tuoda esille selkeästi tietojen keräämisen yhteydessä.

Tietosuojavastaavan nimeäminen

Yrityksen on suositeltavaa nimetä tietosuojavastaava. Tämä ei ole pakollista kaikille yrityksille, mutta helpottaa niiden toimintaa huomattavasti. On eduksi, jos toimistossa on henkilö, joka tietää tietosuoja-asetuksesta muita enemmän.

Velvollisuus ilmoittaa tietosuojaloukkauksesta

Tietosuojaloukkauksen tapahtuessa yrityksen tulee kolmen vuorokauden (72 tunnin) sisällä ilmoittaa valvontaviranomaiselle asiasta.

Tiukemmat seuraukset rikkomuksista / sanktiot

Laiminlyönneistä tullaan rankaisemaan ja niistä voi seurata rangaistuksia, jotka eivät aina ole pienimmästä päästä. Hallinnollinen sakko voi olla korkeimmillaan jopa 20 miljoonaa euroa tai neljä (4) prosenttia yhtiön edellisen vuoden liikevaihdosta.

Tietosuojatilinpäätös

Yritysten ja organisaatioiden täytyy jälkikäteen pystyä osoittamaan, että lainsäädännön vaatimukset ja riskit on otettu niiden toiminnassa asianmukaisesti huomioon. Eräs työkalu tähän on omista prosesseista, käytännöistä ja sopimuksista koostettava niin kutsuttu tietosuojatilinpäätös.

 

Yrityksille myös hyötyjä

Vaikka yritysten näkökulmasta uusi tietosuoja-asetus saattaa näyttää tuovan vain lisää vastuuta ja velvollisuuksia, voi uudistus myös hyödyttää yrityksiä. Organisoimalla dataa yritys voi saada arvokasta tietoa asiakkaistaan ja parantaa näin asiakaspalveluaan ja markkinointiaan. Datan avulla voidaankin tuottaa entistä personoidumpia ja yksityiskohtaisempia asiakaskokemuksia sekä nykyistä kohdennetumpaa markkinointia.

Myös valtioiden rajojen yli ulottuva kaupankäynti helpottuu. Aikaisemmin yritysten on täytynyt huomioida jokaisen maan oma henkilötietolaki, mutta jatkossa EU:n sisällä tapahtuva henkilötietojen käsittely tapahtuu yhden yhtenäisen lain perusteella.

 

 

EU GDPR lyhyesti

Mikä?

  • EU GDPR (General Data Protection Regulation) eli uusi EU:n tietosuoja-asetus

Milloin?

  • Astuu voimaan 25.5.2018

Muutokset?

  • Kaupankäynti helpottuu.
  • Laiminlyönnin seuraukset tiukentuvat ja sakot nousevat.
  • Oikeus tulla unohdetuksi.
  • Yritysten velvollisuus ilmoittaa valvontaviranomaiselle tietoturvavuodoista.
  • Tietosuojavastaavan nimeäminen.
  • Tietosuojatilinpäätös