Uusi tietosuoja-asetus vaikuttaa yritysten keräämien henkilötietojen käsittelyyn. Uudistus ei tuo suuria mullistuksia apteekkareille, jotka ovat tähänkin asti käsitelleet tietoa huolellisesti.
EU:n uusi tietosuoja-asetus astuu voimaan toukokuussa 2018. Sen tarkoitus on yhtenäistää eri maiden käytäntöjä ja parantaa kansalaisten oikeuksia omien tietojensa käsittelyyn.
Asetuksen ytimessä on dokumentointi siitä, miten tietoja käsitellään erilaisissa tilanteissa. Käytännössä tämä tarkoittaa myös toimintasuunnitelmaa yllättävien tilanteiden varalle.
”Dokumentoinnissa täytyy kertoa, mitä henkilöön liittyviä tietoja yrityksellä on hallussaan ja ketkä tietoja käsittelevät. Entä mitä tehdään, jos tietoja vuotaa?” Suomen Yrittäjien lainopillinen asiamies Petri Holopainen kertoo.
Luottamus on tärkeintä
Apteekit ovat olleet tietosuojan edelläkävijöitä, koska henkilötietojen käsittely on niille tuttua puuhaa. Asiat ovat varsin hyvin kunnossa, mutta periaatteet kannattaa nyt päivittää.
”Tärkeintä on luottamuksen säilyttäminen, eli asiakkaille voidaan osoittaa, että heidän tietonsa ovat turvassa ja niitä käsitellään asianmukaisesti”, sanoo Receptumin tietoturvavastaava Helena Ruotsalainen.
Jatkossa asiakkaalla on oikeus tarkastaa, mitä tietoja hänestä on tallennettu sekä oikeus korjata ja poistattaa tietoja.
Jos yrityksessä käsitellään laajasti arkaluonteista tietoa, kuten sairaus- tai potilastietoja, yritys tarvitsee tietosuojavastaavan. Hän voi olla yrityksen sisältä tai ulkopuolelta, mutta ei kuka tahansa.
”Tietosuojavastaavan on tunnettava alan lainsäädöntö ja käytännöt, ja luonnollisesti hänellä on salassapitovelvollisuus kaikesta”, Holopainen kertoo. ”Tietosuojavastaava tulee ottaa mukaan ajoissa kaikkiin tietosuojaan liittyviin kysymyksiin, joita yrityksessä käsitellään.”
Ei sanktioiden pelkoa
Uudessa asetuksessa mainitaan kovat sanktiot tietosuojan rikkeistä. Helena Ruotsalainen tyynnyttelee pelkoja.
”Sanktioihin tuskin tullaan menemään kovin helposti – toiminnan pitäisi olla silloin todella leväperäistä. On kuitenkin hyvä ymmärtää, että henkilötieto tarkoittaa muutakin kuin henkilötunnusta.”
Receptum on apteekkien tukena ja järjestää koulutusta uuden asetuksen tiimoilta.
”Hoidamme myös tietojärjestelmänäkökulmasta vaaditut asiat ajoissa kuntoon”, Ruotsalainen lupaa.
Petri Holopaisen mukaan on tärkeintä, että toimeen tartutaan hyvissä ajoin. Suomen Yrittäjien jäsenille jaetaan tietoa ja järjestetään syksyllä webinaari-koulutusta. ”Vuosi on pitkä aika valmistautua. Ja kun olet valmistautunut, et pelkää.”
INFO: Apua tietosuoja-asetuksen muutoksiin:
Cyber Scheme Finlandin (www.fincsc.fi) tietosuojasertifikaatti. Kysymyspatteristolla varmistetaan, että asiat ovat kunnossa.
Tietosuojavaltuutetun (www.tietosuoja.fi/) tietotilinpäätös. Helppokäyttöinen kysymyspatteristo tiedon käsittelyn dokumentoimiseen.
