Tässä kaksiosaisen Brexitiä ja GDPR:ää käsittelevän blogin viimeisessä osassa tarkastellaan sääntöjen noudattamista ja vastuuvelvollisuutta, sitä, mitä Brexit tarkoittaa yrityksille Yhdistyneessä kuningaskunnassa ja missä GDPR:n suhteen ollaan nyt.
Lue ensimmäinen osa täältä.
GDPR - vaatimustenmukaisuus ja vastuullisuus
GDPR:n noudattaminen edellyttää kaikkien säilytettävien henkilötietojen lopullista tunnistamista, varmuutta siitä, miten ja miksi kyseisiä tietoja kerätään, ja kykyä ilmoittaa tarkasti, missä kerättyjä tietoja säilytetään. Jotta rekisterinpitäjäorganisaatio voisi saavuttaa GDPR:n vaatimustenmukaisuuden, sen on ensin arvioitava nykyinen tilanteensa vaatimustenmukaisuuden puutteiden tunnistamiseksi. Korjaavien toimenpiteiden priorisoinnin avulla organisaatio voi sen jälkeen edetä kohti GDPR-vaatimustenmukaisuutta.
Rekisterinpitäjien olisi myös muistettava, että ne ovat viime kädessä vastuussa sääntöjen noudattamisen varmistamisesta ja voivat siksi joutua vastuuseen käyttämiensä tietojenkäsittelijöiden (esim. pilvipalvelujen tarjoajien) käsittelytoimista. Tämä edellyttää huolellista harkintaa laadittaessa tai tarkistettaessa sopimuksia, jotka ulottuvat 25. toukokuuta 2018 jälkeen.
GDPR:n toistuva teema on vastuullisuus. Organisaatioiden on pystyttävä todistamaan sekä rekisteröidyille että sääntelyviranomaisille, että on toimittu oikein, usein vuosia alkuperäisen päätöksen tekemisen jälkeen. Tietosuojavastaavat ovat pakollisia tietyille organisaatioluokille, kuten viranomaisille ja korkean riskin käsittelyyn osallistuville organisaatioille. Tietosuojavastaavalla on oltava "asiantuntijatietämys" tietosuojalainsäädännöstä, ja hänen tehtävänään on tiedottaa ja neuvoa tietosuojasäännösten noudattamisessa. Yleisessä tietosuoja-asetuksessa todetaan myös, että henkilötietojen käsittelyssä on noudatettava sisäänrakennettua ja oletusarvoista tietosuojaa. Tämä edellyttää, että organisaatiot omaksuvat ajattelutavan, joka perustuu ennakoivaan eikä reaktiiviseen toimintaan ja ennaltaehkäisevään eikä korjaavaan toimintaan. Yksityisyydensuojaa koskevien vaikutustenarviointien (PIA) käyttöä suositellaan ja joissakin tapauksissa se on jopa pakollista tässä suhteessa.
Brexit sisään, Big Business ulos?
Tämä on aika, jolloin tiedot luonnollisesti liikkuvat yli rajojen. Jos Yhdistyneessä kuningaskunnassa ei katsottaisi olevan riittävää tietosuojan tasoa, kaikki siirto Yhdistyneeseen kuningaskuntaan olisi oikeudellisesti toteutettava EU:n mallilausekkeiden avulla, mikä on hyvin hallinnollisesti raskas tehtävä.
Mallilausekkeita käytetään tietojen siirtämisen sallimiseksi EU:n ulkopuolisiin maihin, ja valvontaviranomaiset sääntelevät niitä. Myös sitovia yrityssääntöjä (BCR) saatetaan tarvita. Ne ovat periaatteessa sama väline kuin mallilausekkeet, mutta yritys itse laatii ne yrityksen sisäisiä siirtoja varten. Tämä lisää kustannuksia ja saattaa johtaa siihen, että jotkut yritykset siirtävät osan toiminnoistaan EU:hun ainakin siihen asti, kunnes asiat selkiytyvät. Muut brittiläiset yritykset perustavat todennäköisesti EU:n varjoyhtiöitä tietojen rajaamiseksi yksinkertaisuuden vuoksi, mikä on monimutkainen ja kallis ratkaisu, jonka tarkoituksena on helpottaa tietojen käsittelyä. EU:n ulkopuolelta tulevat yritykset saattavat yksinkertaisesti välttää perustamista Yhdistyneeseen kuningaskuntaan lainkaan.
GDPR - missä mennään nyt?
Valtiosihteeri Karen Bradley MP vahvisti asian kulttuuri-, media- ja urheiluvaliokunnan kokouksessa 24. lokakuuta 2016: "Siksi olisi odotettavissa ja täysin normaalia, että voisimme liittyä GDPR:ään ja tarkastella myöhemmin, miten voisimme parhaiten auttaa brittiläisiä yrityksiä tietosuojassa ja säilyttää samalla kansalaisten korkeatasoisen suojan."
Itse asiassa ICO ja Yhdistyneen kuningaskunnan hallitus ovat useiden vuosien ajan ajaneet EU:n lainsäädännön uudistamista, jotta Yhdistyneen kuningaskunnan digitaalitalouden kehitys voisi jatkua. Tietosuojavaltuutettu Elizabeth Denham kommentoi:
"Digitaalitalouden kasvu edellyttää yleistä luottamusta (henkilötietojen) suojaan... ICO on sitoutunut auttamaan yrityksiä ja julkisia elimiä valmistautumaan GDPR:n vaatimusten täyttämiseen ennen toukokuuta 2018 ja sen jälkeen."
Denham myöntää myös, että kysymyksiä siitä, miten tietosuoja-asetus toimisi, kun Yhdistynyt kuningaskunta eroaa EU:sta, esitetään edelleen, mutta tämän ei pitäisi häiritä tietosuoja-asetuksen noudattamista toukokuuhun 2018 mennessä.
Jos haluat varmistaa, että henkilökuntasi on täysin tietoinen GDPR:stä ja siitä, miten sitä sovelletaan organisaatioonne, ota meihin yhteyttä saadaksesi lisätietoja tai pyydä esittelyä GDPR:ää käsittelevästä eLearning-kurssistamme.