EU:n tietosuoja-asetuksen noudattamisen valvonta alkanut Suomessa – ensimmäiset seuraamusmaksut määrätty

29.03.2021

EU:n tietosuoja-asetus eli GDPR on henkilötietojen käsittelyä säätelevä laki, jota alettiin soveltaa kaikissa EU-maissa viimeistään keväällä 2018. Lain voimaantulon jälkeen organisaatioille on annettu aikaa päivittää järjestelmänsä vastaamaan lain tuomia muutoksia, mutta nyt tämä vaihe on ohi ja valvontaviranomaiset ovat alkaneet valvoa lain toteutumista. Valvontaviranomaiset ovat puuttuneet tähän mennessä lähinnä perustason tapauksiin. Huomautuksia on jaettu paljon, mutta myös seuraamusmaksuja on määrätty. Suomessa seuraamusmaksut ovat liikkuneet 10 000 – 100 000 € välillä, mutta esimerkiksi Isossa-Britanniassa on päästy jo miljoonan suuruusluokkaan.

Nyt viimeistään on oikea hetki varmistaa, että henkilötietojen käsittely on organisaatiossanne tietosuoja-asetuksen mukainen. TIMMI järjestelmän GDPR-lisäominaisuudet auttavat tietosuoja-asetuksen mukaisessa henkilötietojen käsittelyssä seuraavasti.

Valvontaviranomaiset ovat antaneet seuraamusmaksuja tilanteissa, joissa henkilön suostumus henkilötietojensa tallentamisesta ei ole ollut riittävän tietoinen ja yksiselitteinen. TIMMI Järjestelmässä suostumusprosessi on yksinkertainen:

  • Henkilö rekisteröityy järjestelmään: Henkilölle annetaan luettavaksi tietosuojaseloste, rekisteriseloste ja käyttöehdot, jonka jälkeen hän voi antaa suostumuksensa henkilötietojensa tallentamiseksi. Suostumus henkilötietojen tallennukseen pyydetään uudestaan kirjautumisen yhteydessä myös silloin, kun selosteita on päivitetty. 
  • Operatiivinen käyttäjä luo henkilötiedon järjestelmään: Mikäli henkilötieto luodaan esimerkiksi puhelinsoiton perusteella, kysyy käyttäjä suullisesti luvan ja merkitsee sen järjestelmään. Järjestelmä tallentaa tiedon siitä kuka luvan on kirjannut ja milloin.
  • Järjestelmästä voidaan myös kootusti tarkistaa henkilötiedot, joista puuttuu vielä suostumus ja lähettää suostumuspyyntö henkilölle. Mikäli suostumuspyyntöä ei saada, henkilö voidaan poistaa.

Henkilötietojen tarpeettomasta ja perusteettomasta keräämisestä voi seurata suuria seuraamusmaksuja. TIMMI Järjestelmässä voidaan valita organisaatiokohtaisesti henkilöltä rekisteröitymisen yhteydessä pyydettävät tiedot ja näin voidaan varmistaa, että kerätään vain sellaisia henkilötietoja, joita aidosti tarvitaan.

Rekisteröityneellä henkilöllä on tietosuoja-asetuksen mukainen oikeus tarkistaa hänestä tallennetut tiedot. Valvontaviranomaiset ovat puuttuneet tapauksiin, joissa tarkistuspyyntöihin vastaaminen on kestänyt liian kauan. TIMMI Järjestelmässä kaikki henkilöistä tallennetut tiedot saadaan raportoitua kootusti, jolloin organisaation on helppo ja nopea vastata tietopyyntöön.

Valvontaviranomaiset ovat puuttuneet myös tilanteisiin, joissa henkilötietoja säilytetään perusteettoman pitkään. TIMMI Järjestelmässä henkilötietoja voidaan poistaa helposti. Poisto muokkaa henkilön tiedot tunnistamattomaan muotoon, joka mahdollistaa sen, että esimerkiksi varauksia voidaan jatkossakin raportoida, vaikka niistä olisi poistettu henkilön viittaavat tiedot.

Mikäli käytössänne ei ole vielä TIMMI GDPR-lisäominaisuuksia, otathan yhteyttä omaan vastuumyyjäänne tai osoitteeseen myynti@timmi.fi.

Tietosuojaterveisin,

Miia Tiiromäki, tuotepäällikkö