25.5.2018 lähtien suomalaisten organisaatioiden henkilötietojen käsittelyn on ollut oltava EU:n tietosuoja-asetuksen mukaista. Tietosuoja-asetus on yhdenmukaistanut henkilötietojen käsittelyyn liittyvän sääntelyn EU:n sisällä ja parantanut yksityishenkilöiden tietosuojan asemaa aiemmasta. Merkittävä sanktiouhka ohjaa organisaatiot käsittelemään henkilötietoja asetuksen määrittämällä tavalla.
Käytännössä tietosuoja-asetus merkitsee kaikille suomalaisille organisaatioille seuraavaa:
1. On selvitettävä mitä kaikkia henkilötietoja organisaatio kerää, käsittelee ja säilyttää. Tyypillisesti henkilötietoja kertyy organisaation työntekijöistä, nykyisistä asiakkaista ja mahdollisista asiakkaista (markkinointirekisterit).
2. On varmistettava, että henkilötietojen käsittely on vaatimusten mukaista, kuten: ei kerätä ja säilytetä tarpeetonta tietoa, tieto on paikkansa pitävää, tiedot poistetaan kun säilytysperuste lakkaa ja tietojen käsittely ja säilytys on rajattua ja turvallista.
3. Rekisteröidyn henkilön pyynnöstä hänelle on toimitettava kaikki hänestä rekisteröidyt henkilötiedot, virheelliset tiedot on korjattava ja noudatettava mahdollista tietojen poistopyyntöä.
4. On tehtävä perusteellinen arvio henkilötietojen käsittelyyn liittyvistä riskeistä. Tietosuoja-asetuksessa riskeillä tarkoitetaan henkilötietojen käsittelystä rekisteröidylle henkilölle mahdollisesti aiheutuvia fyysisiä, aineellisia tai aineettomia vahinkoja.
5. Asetuksen noudattaminen tyypillisesti edellyttää henkilöstön koulutusta ja ohjeistusta, salassapitositoumuksia, tilavalvontaa, käytönvalvontaa, tietojärjestelmien tietoturvaa ja tietojen salausta.
6. On kyettävä tarvittaessa osoittamaan tietosuojaviranomaiselle, että organisaatiossa henkilötietojen käsittely on vaatimusten mukaista. Siksi henkilötietojen käsittelyyn liittyvät prosessit on syytä dokumentoida.
7. On velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksista tietosuojaviranomaiselle ja henkilöille itselleen. Tietoturvaloukkauksella tarkoitetaan loukkausta, jonka seurauksena on henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai pääsy tietoihin.
8. On dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset ja loukkaukseen liittyvät seikat, loukkauksen vaikutukset ja toteutetut korjaavat toimet. Valvontaviranomaisen on voitava tämän dokumentoinnin avulla tarkistaa, että rekisterinpitäjä on noudattanut ilmoitusvelvollisuuttaan.
Tietosuoja-asetuksen laiminlyönnistä voidaan antaa huomautus, määrätä henkilötietojen käsittelyyn liittyviä korjaavia toimenpiteitä tai määrätä sakkoa. Sanktio voi olla enimmillään 20 milj. euroa tai 4% vuotuisesta kokonaisliikevaihdosta.