Från och med den 25 maj 2018 måste finska organisationers behandling av personuppgifter följa EU:s dataskyddsförordning. Dataskyddsförordningen harmoniserar regleringen för behandling av personuppgifter inom EU och förbättrar statusen för privatpersoners dataskydd från det nuvarande. Ett betydande sanktionshot styr organisationer att behandla personuppgifter enligt förordningens krav.
I praktiken innebär dataskyddsförordningen följande för alla finska organisationer:
1. Man måste ta reda på vilka personuppgifter organisationen samlar in, behandlar och lagrar. Vanligtvis samlas personuppgifter om organisationens anställda, aktuella kunder och potentiella kunder (marknadsföringsregister).
2. Man måste säkerställa att behandlingen av personuppgifter är kravenlig, såsom att: inte samla in och lagra onödig information, informationen är korrekt, uppgifterna raderas när lagringskriteriet upphör och behandlingen och lagringen av uppgifterna är begränsad och säker.
3. På begäran av en registrerad ska man överlämna alla personuppgifter som registrerats om personen till hen, korrigera oriktiga uppgifter och hörsamma en eventuell begäran om radering.
4. Man ska göra en grundlig bedömning av riskerna i samband med behandlingen av personuppgifter. I dataskyddsförordningen avser risker varje fysisk, materiell eller immateriell skada som orsakas av behandlingen av en registrerads personuppgifter.
5. Efterlevnaden av förordningen kräver vanligtvis personalutbildning och vägledning, sekretessavtal, volymskydd, driftövervakning, informationssystemsäkerhet och datakryptering.
6. Vid behov måste man kunna påvisa till dataskyddsmyndigheten att organisationen behandlar personuppgifter kravenligt. Därför är det skäl att dokumentera processerna för behandling av personuppgifter.
7. Man är skyldig att rapportera personuppgiftsincidenter till dataskyddsmyndigheten och till personerna själva. Med dataintrång avser en överträdelse som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörig överföring av eller tillgång till personuppgifter.
8. Man måste dokumentera alla personuppgiftsincidenter och aspekter kring överträdelsen, effekterna av överträdelsen och de korrigerande åtgärder som vidtagits. På basis av denna dokumentation ska tillsynsmyndigheten kunna kontrollera att den registeransvarige har uppfyllt sin anmälningsskyldighet.
Underlåtenhet att följa dataskyddsförordningen kan medföra en anmärkning, korrigerande åtgärder för behandling av personuppgifter eller böter. Sanktionen kan uppgå till högst 20 miljoner euro eller 4 % av den totala årliga omsättningen.