Asetus parantaa rekisteröidyn oikeuksia, mutta tarjoaa myös rekisterinpitäjille eli yrityksille ja organisaatioille uusia mahdollisuuksia.
EU:n yleisen tietosuoja-asetuksen GDPR:n (General Data Protection Regulation) soveltaminen astuu voimaan 25.5.2018 kahden vuoden siirtymäajan päätteeksi. Asetuksen päätarkoituksena on parantaa rekisteröidyn oikeuksia sekä tehdä henkilötietojen käsittelystä avoimempaa ja läpinäkyvämpää.
Asetus tarjoaa rekisteröidylle useita erilaisia oikeuksia. Rekisteröidyllä on asetuksen voimaan astumisen jälkeen oikeus tarkastaa, oikaista ja poistaa henkilötietojaan, vastustaa ja rajoittaa henkilötietojensa käsittelyä sekä pyytää henkilötietojensa siirtoa rekisterinpitäjältä toiselle.
Käytännössä tämä tarkoittaa muun muassa sitä, että rekisteröity saa jatkossa pyytää yrityksiltä ja organisaatioilta nähtäväksi omat henkilötietonsa helpossa ja selkeästi ymmärrettävässä muodossa, muuttaa rekistereissä olevia henkilötietojaan sekä pyytää rekisterinpitäjää poistamaan hänen henkilötietonsa lain asettamissa rajoissa.
Tavoitteena yhdenmukainen toiminta
Tietosuoja-asetuksen voimaantulo tarkoittaa rekisterinpitäjän kannalta toki useita erilaisia velvollisuuksia. Asetuksen tarkoituksena ei kuitenkaan ole hankaloittaa – vaan päinvastoin parantaa, helpottaa ja yhdenmukaistaa henkilötietojen käsittelyä koko EU:n alueella.
Suomessa lainsäädäntötyö on vielä kesken ja eduskunnassa on tällä hetkellä käsittelyssä asetusta täydentävä lakiesitys. Kaikkien EU:n jäsenmaiden on kuitenkin sitouduttava noudattamaan uutta tietosuoja-asetusta, joten tietyt yhdenmukaiset raamit unionin alueella ovat toukokuun 25. päivän jälkeen olemassa.
Kun rekisterinpitäjien on jatkossa pystyttävä toimittamaan rekisteröidyille heidän pyytämänsä tiedot, perustelemaan, millä perusteella ja miksi henkilötietoja kerätään ja käsitellään sekä vastaamaan rekisteröidyn pyyntöön tietojen poistamisesta, yritysten on pakko miettiä ja selvittää, millaista dataa heillä säilötään ja miten henkilötietoja heillä hallinnoidaan.
Millaisia etuja uusi tietosuoja-asetus yrityksille tarjoaa?
1. Kun tietosuojaa sovelletaan asetuksen voimaanastumisen jälkeen koko EU:n sisällä yhdenmukaisesti, tietosuojalainsäädäntö on kaikille sama. Kun aiemmin jokaisessa jäsenmaassa on noudatettu kansallisia lakeja, yhtenäinen lainsäädäntö helpottaa yritysten liiketoimintaa ja kasvua. Kaikilla henkilötietoja käsittelevillä yrityksillä EU:n sisällä on jatkossa samat, yhtenäiset säännöt.
2. GDPR:n voi myös ajatella lisäävän luottamusta asiakkaan ja yritysten välillä, koska rekisteröidyllä on paremmin tietoa oikeuksistaan kuin ennen tietosuoja-asetuksen voimaantuloa. Kun asiakas tietää, että hänen henkilötietojaan käsitellään ja säilytetään oikein, hänen luottamuksensa yrityksen tai organisaation toimintaa kohtaan lisääntyy.
3. Kun yritysten on tietosuoja-asetuksen myötä pystyttävä osoittamaan rekisteröidylle, millä perusteella viestintää toteutetaan ja kohdennetaan, on yrityksen tietokantojen oltava jäsennellyssä ja selkeässä muodossa. Näin kohdennetun viestinnän tavoite toteutuu EU-tasoisesti ja asiakkaat voivat avoimesti vaikuttaa saamaansa markkinointiin ja viestintään.
4. Yritysten on myös käytävä läpi omat prosessinsa, jotta ne saavat oikean kokonaiskuvan nykytilastaan henkilötietojen käsittelyn suhteen. Edessä saattaa esimerkiksi olla yrityksen ylläpitämien arkistojen päivittäminen digitaaliseen muotoon tai yrityksen prosessien, sisäisten käytäntöjen tai roolien perusteellinen tuulettaminen.
5. Koska yritysten ja organisaatioiden pitää paneutua tietosuojaan, myös tietoturva-asiat nousevat esille. Tällöin mahdollisten tietoturvassa olevien aukkojen kuntoon fiksaaminen onnistuu samalla kerralla tietosuoja-asetuksen vaatimien muutosten kanssa.
Kun tietosuoja-asetusta ajatellaan asiakaskokemus edellä, saattaa muutos synnyttää sivutuotteena tukun uusia liikeideoitakin.
Onko sinulla täsmäkysymyksiä liittyen GDPR:ään? Kysy meiltä, kirjoitamme mielellämme aiheesta lisää!