Toukokuun lopussa tulee yrityksissä tapahtuvan henkilötietojen käsittelyn olla EU:n yleisen tietosuoja-asetuksen mukaista. Kaupan liitto pyrkii osaltaan helpottamaan paikoin vaikeaselkoisen asetuksen tulkintaa laatimalla toimialakohtaiset käytännesäännöt.

EU:n yleistä tietosuoja-asetusta aletaan soveltaa koko unionin alueella 25.5.2018 alkaen. Suomessa ollaan säätämässä uusi tietosuojalaki, jossa yksittäisiä säädöksiä kansallisen liikkumavaran puitteissa tullaan antamaan varsin suppeasti. Hallituksen esitys tietosuojalaiksi annettaneen viikolla 9. Lisäksi työelämän tietosuojalainsäädännön muutostarpeita arvioiva työryhmä jatkaa työtään maaliskuun loppuun asti. Myös tästä työstä voidaan odottaa esityksiä lainsäädäntömuutoksiksi.

Sääntelyn kova ydin tulee kuitenkin suoraan EU-asetuksesta. Säädös on monin kohdin erittäin vaikeatulkintainen, ja Euroopan tietosuojaviranomaisten työryhmä on antanut tähän mennessä useita satoja sivuja ohjeita helpottamaan tulkintaa. ”Sääntelyn tulkinnallisuus sekä kansallisten säädösten valmistelun jääminen loppusuoralle johtaa siihen, että tuskin yksikään yritys voi olla sataprosenttisen varma siitä, että täyttää 25.5. mennessä kaikki lainsäädännön vaatimukset”, toteaa Kaupan liiton asiantuntija Janne Koivisto.

Työryhmä valmistelee kaupan alan käytännesääntöjä

Kaupan liitto pyrkii osaltaan helpottamaan asetuksen tulkintaa kaupan alalle tyypillisissä soveltamistilanteissa. Tietosuoja-asetuksen mukaan rekisterinpitäjiä edustavat toimialayhdistykset voivat nimittäin asetuksen säännösten soveltamisen täsmentämiseksi laatia käytännesääntöjä. Käytännesäännöillä voidaan helpottaa asetuksen soveltamista ”ottaen huomioon toimialalla suoritettavan käsittelyn erityispiirteet ja pk-yritysten erityistarpeet”. Käytännesääntöjä noudattamalla yritys voi osoittaa tietyissä tilanteissa täyttävänsä asetuksen vaatimukset.

”Käytännesääntöjen valmistelu on aloitettu Kaupan liiton jäsenyritysten tietosuoja-asiantuntijoista muodostetussa työryhmässä. Tavoitteena on tunnistaa toimialan keskeisimmät yhteiset tulkintatilanteet ja antaa niihin käytännön toimintaohjeita. Tällaisia voisivat olla vaikkapa rekisteröidyn oikeuksien käyttöön tai läpinäkyvään informointiin liittyvät menettelyt”, kertoo Koivisto.

Mikäli kansallinen valvontaviranomainen katsoo, että alalla laaditut käytännesäännöt ovat asetuksen mukaisia, se hyväksyy säännöt, minkä jälkeen ne julkaistaan. Muodollisesti viranomainen, Suomessa tietosuojavaltuutettu, ei voi kuitenkaan hyväksyä käytännesääntöjä ennen kuin asetuksen soveltaminen alkaa ja kansallinen tietosuojalaki on astunut voimaan.