EU:n tietosuoja-asetus (Asetus (EU) 2016/679) (“Tietosuoja-asetus”) tuli voimaan 24.5.2016 ja sitä tulee noudattaa 25.5.2018 lähtien.
Tietosuoja-asetus tulee huomioida, mikäli yritys kerää ja prosessoi EU alueen henkilöiden tietoja tarjotessaan tuotteita tai palveluita. Tätä vaatimusta tulee noudattaa vaikka yrityksellä ei olisi kotipaikkaa EU:n alueella. Tästä syystä monen ei-EU yhtiön tulee nimittää edustaja EU alueelle.
Tietosuoja-asetus asettaa yhtiöille uusia Compliance vaatimuksia mm. i) vaatimuksen ylläpitää vaadittua dokumentaatiota; ii) tietosuoja-arviointi tulee suorittaa mikäli riskialttiita prosessointeja suoritetaan sekä iii) asettaa tietosuoja IT-suunnittelun keskiöön sekä lähtökohdaksi eli tiedon mahdollisimman vähäiseksi keräämiseksi.
Tietosuojavastaava tulee nimetä: i) milloin tietoa kerää viranomainen; ii) milloin tietoa kerätään laajassa mittakaavassa ja tämä toiminta on liiketoiminnan keskiössä; tai iii) milloin toiminnan keskiössä on laajamittainen tiedon kerääminen tietystä erityisestä henkilötietoryhmästä.
Tietosuojavastaavalla tulee olla riittävä asiantuntijuus kuin ammattipätevyys tietosuojalainsäädännöstä. Asiantuntijuutta arvioidaan toiminnan tiedon keräämisen tarpeesta. Tämän toiminnan laillisuudesta tietosuojavastaava on vastuussa.
Tietosuojavastaava voi olla työntekijä tai ostettu palvelu (palvelusopimus). Useampi yritys (konserni) voi nimetä yhden tietosuojavastaavan tarvittaessa. Tietosuojavastaavan yhteystiedot on julkistettava ja ilmoitettava valvontaviranomaiselle. Tietosuojavastaava raportoi suoraan ylimmälle johdolle. Tietosuojavastaavan asema on keskeinen ja tästä syystä hänen oikeutensa ja tehtävät määritellään seikkakohtaisesti Tietosuoja-asetuksessa.
Tietosuoja-asetus asettaa vaatimuksia henkilötietojen käsittelylle. Näitä ovat mm. i) kirjallisen ohjeistuksen olemassaolo käsittelyn toiminnoista; ii) tietosuoja-vastaava nimettynä milloin edellytetään; iii) edustaja nimetty EU alueella milloin yhtiö ei toimi EU alueella määritellyissä tilanteissa; ja iv) ilmoitusvelvollisuus valvontaviranomaiselle milloin havaitaan henkilötietoloukkaus. Tämä ilmoitus tulee tehdä ilman aiheetonta viivästystä (72 tunnin kuluessa ilmitulosta).
Tietosuoja-asetus mahdollistaa valvontaviranomaisen asettamat sakot. Tietyistä määritellyistä rikkomuksista sakko voi olla enintään yritykselle neljä (4) prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta tai enintään 20 miljoonaa euroa sen mukaan, kumpi näistä määristä on suurempi. Toisissa määritellyissä rikkomuksissa sakko voi olla enintään yritykselle kaksi (2) prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta tai enintään 10 miljoonaa euroa sen mukaan, kumpi näistä määristä on suurempi.
Sakkoja määrättäessä tulee valvontaviranomaisen huomioida, että sakko on kussakin yksittäisessä tapauksessa tehokas, oikeasuhteinen ja varoittava. Sakkolauseke vastaa luonteeltaan kilpailurikkomusmaksua. Sakon määrällä pyritään varmistamaan, että yhtiöiden hallitustason johtajat huomioivat Tietosuoja-asetuksen sääntelyn.
Ohessa kahdeksan keskeistä neuvoamme siitä, mitä teidän tulisi nyt tehdä valmistautuessanne tulevaan uudistukseen:
Tässä artikkelissa on lyhyesti käyty läpi keskeiset uudistuvan Tietosuoja-asetuksen säännökset. Huomioiden siirtymäaika 25.5.2018 asti on yhtiöillä hyvin aikaa toimia ja päivittää toimintatapojaan ennen määräajan päättymistä.
* * *
LKOS Law Office Oy on liikejuridiikkaan keskittynyt boutique toimisto. Palvelemme asiakkaitamme yksilöllisesti, ylittäen asiakkaidemme odotukset.
Mikäli tarvitsette lisätieto uudesta 25.5.2018 voimaantulevasta EU:n Tietosuoja-asetuksesta, pyydämme olemaan yhteydessä.
Tietosuojaterveisin
* Tämä artikkeli on tarkoitettu ohjeeksi eikä perusta lopullista neuvoa.
