Miten uusi eurooppalainen tietosuoja-asetus vaikuttaa yrityksemme toimintaan? Mihin kaikkeen meidän täytyy valmistautua ja miten?
2.3.2016
Miten valmistautua EU:n uuden tietosuoja-asetuksen vaatimuksiin?
Eija Warma-Lehtinen
Näitä kysymyksiä on varmasti useampikin yritys jo ehtinyt miettiä sen jälkeen, kun poliittinen yhteisymmärrys EU:n uuden tietosuoja-asetuksen sisällöstä saavutettiin joulun alla.
Uusi asetus kannattaa ottaa vakavasti: se antaa kansalliselle valvontaviranomaiselle vallan määrätä jopa kymmenien miljoonien eurojen sakkoja asetuksen vaatimusten noudattamatta jättämisestä. Listaamme tässä blogikirjoituksessa asioita, jotka jokaisen yrityksen tulee ottaa huomioon ennen kuin uusi asetus astuu voimaan.
Yksilön oikeudet vahvistuvat
Lähes jokainen yritys käsittelee henkilötietoja. Erilaisia rekistereitä on paljon: on asiakasrekistereitä, erilaisia markkinointirekistereitä sekä tietysti rekistereitä työntekijöihin liittyvistä tiedoista. Henkilöä, jonka henkilötiedot on talletettu rekisteriin, kutsutaan rekisteröidyksi.
Rekisteröidyllä on jo nykyisen henkilötietolain mukaan oikeus muun muassa tarkastaa omat tietonsa sekä vaatia niiden oikaisua ja poistamista rekisteristä. Asetus säilyttää nämä vanhat rekisteröidyn oikeudet mutta tarjoaa rekisteröidylle entistä vahvemman kontrollin omiin tietoihinsa. Jatkossa yritysten tulee esimerkiksi antaa rekisteröidyille yhä enemmän, läpinäkyvämmin ja selkeämmin tietoa siitä, miten heidän tietojaan käsitellään ja miksi.
Asetus tuo tullessaan myös uusia oikeuksia, kuten oikeuden tietojen siirrettävyyteen sekä oikeuden kieltäytyä profiloinnista. Oikeus tietojen siirrettävyyteen mahdollistaa tietojen siirtämisen ilman välikäsiä rekisterinpitäjien välillä. Oikeus, tietyissä tilanteissa, kieltäytyä profiloinnista puolestaan tarkoittaa sitä, että rekisteröidyllä on oikeus kieltäytyä olemasta sellaisten päätösten kohteena, jotka perustuvat ainoastaan automaattisella tietojenkäsittelyllä – eli ilman ihmisen puuttumista – tapahtuvaan tiettyjen henkilökohtaisten ominaisuuksien arviointiin. Esimerkkinä profiloinnista voisi olla mm. online-luottohakemuksen automaattinen epääminen tai sähköisen rekrytoinnin käyttö ilman ihmisen osallistumista.
Arvioi henkilötietojen käsittelyn nykytila ja siihen liittyvät riskit
DPIA (Data protection impact assessment) -selvityksessä eli vaikutustenarvioinnissa arvioidaan henkilötietojen käsittelyn tarpeellisuutta, riskejä sekä sitä, miten riskejä voidaan minimoida ja miten niihin voidaan puuttua. Vaikka PIA ei ole kaikille yrityksille pakollinen, kannattaa yritysten toteuttaa tietosuoja-asetuksen velvoitteita silmällä pitäen jonkinasteinen nykytilan arviointi. Selvittää kannattaa ainakin,
Nimitä yrityksellesi tietosuojavastaava
Uusi tietosuoja-asetus velvoittaa tietyt toimijat nimittämään tietosuojavastaavan. Velvollisuus koskee muun muassa julkista sektoria ja sellaisia yrityksiä, joiden keskeiset tehtävät koostuvat rekisteröityjen laajamittaisesta ja järjestelmällisestä seurannasta tai laajamittaisesta arkaluonteisten tietojen käsittelystä. Vaikka tietosuojavastaavan nimittäminen ei ole kaikille yrityksille pakollista, on suositeltavaa vastuuttaa tietosuoja-asioista huolehtiminen ja vaatimusten noudattamisen seuranta yhdelle taholle. Yrityksen sisäisistä käytännöistä riippuen sopivia tahoja voivat olla lakiasiat, tietohallinto, henkilöstöhallinto tai sisäinen tarkastus.
Tietosuojavastaavalta vaaditaan asiantuntemusta niin tietosuojalainsäädännöstä kuin sen käytännön soveltamisesta yrityksen toimintaan. Tietosuojavastaavan rooli yrityksessä on itsenäinen, ja hänen tulee raportoida suoraan yrityksen korkeimmalle johdolle. Lisäksi tietosuojavastaavan tehtäviin kuuluu henkilöstön ohjeistus ja kouluttaminen, asetuksen vaatimusten noudattamisen varmistaminen päivittäisessä toiminnassa sekä yhteyshenkilönä toimiminen niin viranomaisiin kuin rekisteröityihinkin päin. Parhaimmassa tapauksessa tietosuojavastaava toimii liiketoiminnan mahdollistajana ja sen edelleen kehittäjänä.
Tietoturvaloukkauksista ilmoitettava
Tietoturvaloukkaukset ovat todellinen haaste ja asiakkaiden luottamuksen säilyttäminen on yrityksille entistä tärkeämpää digitalisoituvassa maailmassa. Uuden asetuksen myötä jokainen yritys on velvollinen ilmoittamaan henkilötietoihin kohdistuvista tietoturvaloukkauksista niin valvontaviranomaiselle kuin rekisteröidyillekin. Määräaika ilmoituksen tekemiselle on lyhyt: ilmoitus tulee tehdä viranomaisille 72 tunnin kuluessa tietomurron havaitsemisesta ja rekisteröidyille ilman aiheetonta viivytystä. Yrityksillä on näin ollen oltava valmiudet mahdollisten tietoturvaloukkausten havaitsemiseen, niistä ilmoittamiseen sekä vahinkojen minimointiin.
Tarkista ulkoisten tietojenkäsittelijöiden sopimukset
Tietosuoja-asetus edellyttää kirjallisen sopimuksen tekemistä ulkoisen palveluntarjoajan kanssa, joka käsittelee henkilötietoja. Asetus asettaa sopimukselle tietyt sisällölliset vaatimukset.Jos yritys on ulkoistanut tietojenkäsittelyään kolmannelle osapuolelle, kannattaa näiden sopimusten sisältö käydä läpi ja tarkistaa, vastaako se myös jatkossa asetuksen vaatimuksia. Tällainen ulkoinen henkilötietojen käsittelijä voi olla esimerkiksi yrityksen palkkahallinto, pilvipalveluiden tarjoaja tai vaikka asiakasmyyntiä tekevä ulkoinen yritys.
Toimi jo nyt!
Tietosuoja-asetus tulee voimaan, kun Euroopan parlamentti on sen hyväksynyt ja asetus on julkaistu EU:n virallisessa lehdessä. Tästä alkaa kahden vuoden siirtymäaika, jonka jälkeen yritysten on noudatettava asetuksen vaatimuksia. Asetuksen oletettu voimaantuloaika on vuoden 2018 keväällä. Koska tietosuoja-asetus luo yrityksille useita velvoitteita, niiden noudattamisen suunnittelu olisi hyvä aloittaa mahdollisimman pian. Nykytilan lainmukaisuuden arviointi on hyvä lähtökohta.
Lue lisää EU:n tietosuoja-asetuksesta ja sen tuomista keskeisimmistä muutoksista aikaisemmin julkaistusta uutisestamme (uutinen englanniksi).
Uusimmat uutiset
Julkaistu 7.5.2026 – FDI-sääntelyneuvonta
Suomen laajentuva FDI-seuranta ei saa muodostua investointien hidasteeksi
Julkaistu 6.5.2026 – Pääomasijoittaminen
Kestävän rahoituksen SFDR 2.0 – mitä rahastojen hallinnoijien tulee tietää
Julkaistu 4.5.2026 – ESG ja yritysvastuu
Yritysvastuulain valmistelu etenee – esitysluonnos lausunnoille
Julkaistu 28.4.2026 – Kilpailuoikeus ja julkiset hankinnat
Ulkomaisten sijoitusten seuranta Suomessa uudistumassa – Uudistukset vaikuttavat useisiin suomalaisiin yrityksiin
Kiti Karvinen, Wille Järvelä & Jussi Nieminen
Freja Väyrynen, Anna Kuusniemi-Laine & Karin Hentunen
Anna Kuusniemi-Laine & Laura Vuorinen
Kiti Karvinen, Johanna Kyllöinen & Joachim Wik
Uusimmat referenssit
G&W Electric – Safegridin osto
Avustimme G&W Electriciä sen ostaessa suomalaisen Safegrid Oy:n, johtavan älykkäiden sähköverkon valvontaratkaisujen tarjoajan. Yrityskauppa nopeuttaa G&W Electricin pitkäaikaista strategiaa integroida älykäs verkonvalvonta ja ennakoiva analytiikka sähkönjakeluportfolioonsa sekä vahvistaa sen tarjontaa sähköyhtiöasiakkaille maailmanlaajuisesti. Vuonna 1905 perustettu G&W Electric on Illinoisin Bolingbrookissa pääkonttoriaan pitävä globaali johtaja innovatiivisissa sähköverkkojärjestelmissä, jolla on toimintaa yli 100 maassa. Yhtiö tunnetaan kehittyneiden kytkentälaitteiden, jälleenkytkinten, antureiden, järjestelmänsuojauslaitteiden sekä sähköverkon automaatioratkaisujen suunnittelusta ja valmistuksesta. Safegrid on suomalainen teknologiayritys, jonka pääkonttori sijaitsee Espoossa. Yhtiö kehittää Intelligent Grid System® -sähköverkon valvontaratkaisua, joka yhdistää langattomia antureita ja kehittynyttä analytiikkaa reaaliaikaisen tiedon tuottamiseksi verkon tilasta. Ratkaisu mahdollistaa sähköyhtiöille syntyvien ongelmien tunnistamisen, vikojen ennakoinnin sekä häiriöaikojen lyhentämisen keski- ja suurjännitteisillä jakelu- ja siirtoverkoilla.
Julkaistu 8.5.2026
Kiwa – Sertion osto
Avustimme Kiwaa Sertio Oy:n hankinnassa. Sertio on suomalainen ilmoitettu laitos, jonka viranomainen on nimennyt in vitro -diagnostiikkaan tarkoitetuista lääkinnällisistä laitteista annetun EU-asetuksen (IVDR) nojalla. Yhtiö tarjoaa IVDR:n mukaisia vaatimustenmukaisuuden arviointipalveluita. Kiwa on yksi maailman johtavista testaus-, tarkastus- ja sertifiointiyrityksistä, joka toimii yli 35 maassa.
Julkaistu 7.5.2026
Metsäkonepalvelu – Junnonen Forestin osakekannan ja Lameritin liiketoiminnan osto
Avustimme Metsäkonepalvelu Oy:tä sen ostaessa puunkorjuupalveluliiketoimintaa harjoittavan Junnonen Forest Oy:n koko osakekannan sekä Lamerit Oy:n puunkorjuupalveluliiketoiminnan. Yrityskauppa tukee Metsäkonepalvelu Oy:n kasvustrategiaa ja vahvistaa yhtiön asemaa erityisesti Kaakkois-Suomessa. Metsäkonepalvelu on suomalaisen perheomisteisen teollisen omistajan A. Ahlström Oy:n portfolioyhtiö. Yhtiö tuottaa koneellisen puunkorjuun palveluita metsäalan yrityksille, suurille yksityisille metsänomistajille ja julkiselle sektorille Suomessa ja Ruotsissa. Metsäkonepalvelu-konsernin palveluksessa on lähes kaksisataa metsäalan ammattilaista.
Julkaistu 6.5.2026
Scanreco – CrossControlin osto
Toimimme Scanrecon suomalaisena neuvonantajana sen hankkiessa CrossControlin. Ruotsalainen asianajotoimisto Mannheimer Swartling toimi Scanrecon pääneuvonantajana. CrossControl on Ruotsissa perustettu huipputeknologian toimittaja, joka tarjoaa edistyksellisiä näyttötietokoneita ja ajoneuvojen keskusohjausratkaisuja teollisuusajoneuvoihin ja -koneisiin. Scanreco on maailman johtava ammattikäyttöön tarkoitettujen radio-ohjausjärjestelmien toimittaja kansainvälisille kone-, raskaan kaluston ja nosturivalmistajille. Konsernin palveluksessa on noin 600 työntekijää, ja sen vuotuinen liikevaihto on noin 1,4 miljardia Ruotsin kruunua.
Julkaistu 5.5.2026