”Uuteen lainsäädäntöön syytä alkaa valmistautua viivytyksettä”
Jo perinteisen käytännön mukaan suuri salillinen liikematkustuksen ammattiväkeä aloitti viime viikon lopulla pidetyt Matka 2017 -messut FBTA:n Hot Topic -seminaarilla.
Torstaina 19.1. aamun avauksena keräännyttiin kuulemaan asianajaja Jaakko Lindgrenin esitys otsikolla ”Liikematkapalvelut ja EU:n yleinen tietosuoja-asetus”.
Lindgren on teknologiaoikeuteen liitännäisiin lakiasioihin suuntautunut juristi.
”Asiaa monet pitivät toisarvoisena ja marginaalisena, mutta viimeistään tietovuotaja Edward Snowdenin paljastukset, miten henkilötietoja käytetään, käänsivät ajattelun myös Euroopassa”, herätteli Lindgren kuulijat aiheeseensa.
Ajankohtaiseksi nyt asian tekee se, että EU:n uusi tietosuoja-asetus tulee kahden vuoden siirtymäajan jälkeen voimaan 25.5. 2018. Asetuksella kumotaan nykyinen henkilötietodirektiivi ja asetusta sovelletaan myös Suomessa sellaisenaan. Tarkoituksena on aikaansaada yhtenäinen digitaalinen markkina-alue EU:n alueelle.
”Asetusta sovelletaan henkilötietojen käsittelyyn, jota suoritetaan unionin alueella sijaitsevassa rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikassa toiminnan yhteydessä, riippumatta siitä, suoritetaanko käsittely unionin alueella vai ei”, rajasi Lindgren asetuksen soveltamisalaa.
Seuraamuksena tietosuoja-asetuksen rikkomisesta rangaistukset voivat olla todella tuntuvia, sakot jopa 4 % yrityksen liikevaihdosta, ylärajoina tapauksesta riippuen jopa ~10 tai ~20 miljoonaa. Mittavia sakkorangaistuksia tietosuojarikkomuksista on jo nähty mm. Saksassa Deutsche Bahnin tapauksessa.
Missä tietosuoja-asetuksen mukaisia henkilötietoja on ja käytetään? Tällaisia ovat yhtä hyvin henkilöstöä kuin markkinointiin käytettävät, asiakkaita koskevat tietojärjestelmät. Avainkysymyksiä ovat, minne tietoja luovutetaan ja kuka pääsee niihin käsiksi.
Lainmukaisuus, kohtuullisuus ja läpinäkyvyys ovat keskeisiä vaatimuksia rekisterinpitäjän toiminnassa sekä henkilötietojen tekninen salaus niin, että ne eivät voi vuotaa rekisterinpitäjän hallinnasta vahingossa tai tietojärjestelmään kohdistuvin hyökkäyksin. Suuret yritykset velvoitetaan nimeämään erityinen tietosuojavastaava, joka voi olla sisäinen tai ulkoinen toimija.
Uusi asetus määrittää myös erilaisiin rekistereihin rekisteröityjen oikeudet varsin täsmällisesti, mm. oikeuden ”tulla unohdetuksi” eli saada tietonsa pois rekisteristä tai kieltäytyä profiloinnista.
On ilmeistä, että uusi tietosuoja-asetus ja sen kansallinen soveltaminen jo ensi vuonna edellyttävät suurelta joukolta yrityksiä ja muita yhteisöjä varsin perusteellisia toimia – työtä, joka on tehtävä, vaikka se ei sellaisenaan taida lisätä muiden yritysten kuin asiaa konsultoivien ja kouluttavien lakimiesten kassavirtaa.
Asiaan kannattaa ryhtyä paneutumaan viivytyksettä myös matkakaupan yrityksissä ja niiden asiakasyrityksissä.
Asianajaja Jaakko Lindgrenin esitys kokonaisuudessaan avautuu Suomen Liikematkayhdistys ry:n jäsenille FBTA:n tietopankissa osoitteessa www. fbta.net.
(EH)