Direktiivin pääkohtia
Tietosuoja-asetus päivittää ja uudistaa periaatteita, joilla taataan oikeus henkilötietojen suojaan. Muutokset antavat ihmisille paremmat edellytykset kontrolloida omia henkilötietojaan ja helpottavat tiedonsaantia omien henkilötietojen käsittelystä. Tarkoituksena on varmistaa, että ihmisten henkilötiedot ovat suojassa riippumatta siitä missä niitä lähetetään, käsitellään tai säilytetään – EU:n ulkopuolinen alue ja internet mukaan lukien.Paikalliset tietosuojaviranomaiset valvovat lain noudattamista. Heidän työtään koordinoidaan EU:n tasolla.
Tietojen käsittely ja elinkaaren hallinta
Ihmisiltä tulee pyytää selkeä suostumus tietojen käsittelyyn. Hänelle tulee selkeästi kertoa miksi käsittelet heidän tietojaan, kuinkakauan niitä säilytetä ja kenelle ne luovutetaan.Henkilötietoja ovat mm. nimi, henkilötunnus, sijaintitieto, verkkotunnistetieto. Arkaluonteisten tietojen kuten terveys, rotu, sukupuolinen suuntautuneisuus, uskonto ja poliittinen tausta turvaamiseksi on erilliset suojatoimet.
Tietojen elinkaaren hallintaan vaaditaan jatkossa asiakkaan suostumus, apteekissa asiointi katsotaan tällaiseksi suostumukseksi. Kanta-asiakasjärjestelmää puolestaan vaatii oman suostumuksensa asiakkaalta.
Suomessa tietosuojadirektiivien mukainen toiminta on pääsääntöisesti ollut hyvällä tasolla. Jatkossa rekisteröidyllä on
– oikeus nähdä itsestään tallennettu tieto,
– oikeus tiedon poistamiseen eli ”oikeus tulla unohdetuksi”,
– mahdollisuus oikaisuun ja tiedon siirtämiseen järjestelmästä tai yrityksestä toiseen,
– oikeus kieltäytyä profiloinnista,
– oikeus saada tieto henkilötietojen vaarantumisesta tai loukkaamisesta.
Tietoturvaloukkauksesta tulee tiedottaa, kun tilanteeseen kohdistuu vakava uhka. Tietosuojaloukkauksissa voimaan astuu 72 h ilmoitusvelvollisuus. Mikäli rikkomus on tapahtunut ja ilmoitus on tehty määräajan puitteissa, velvollisuus katsotaan hoidetuksi. Mikäli tehtävä on jäänyt suorittamatta, valvova viranomainen voi määrätä sanktioita ja sakkoja.
Rekisterin pito ja osoitusvelvollisuus
Rekisterinpitäjä voi olla yritys, viranomainen, yhdistys, laitos tai säätiö joka pitää henkilörekisteriä. Rekisterinpitäjä on juridisessa vastuussa rekisteristä, määrää sen käytöstä sekä on taho, jonka käyttöä varten rekisteri on luotu. Lain mukaan rekisterinpitäjän on laadittava rekisteriseloste, josta käy ilmi muun muassa rekisterin käyttötarkoitus, kerättävät tiedot ja niiden tietolähteet, rekisterin suojaus sekä rekisterinpitäjän yhteystiedot.Rekisterinpitäjällä tulee olla tietosuojaorganisaatio joka ottaa vastuun rekisterin käsittelystä. Rekisterin luomiseksi täytyy olla oikeudellinen perusta ja tiedon saa säilyttää vain, mikäli se on jollain tapaa perusteltua (tietojen minimointi). Rekisterinpitäjällä on osoitusvelvollisuus siitä, että tietoa käytetään oikealla tavalla. Tietosuojatyö tulisi tämän vuoksi dokumentoida huolella.
Pharmadatalla on tietosuojavastaava ja tietosuojatyöryhmä joka kokoontuu säännöllisesti ja arvioi mm. yhteistyökumppanit. Tietosuojakäytännöt ovat ajan tasalla ja henkilöstö on koulutettu ja ohjeistettu. Ohjelmistoihin tehdään tarvittavat muutokset ja sopimukset ja palvelukuvaukset päivitetään. Apteekin itseauditointia tukevaa dokumentointia työstetään tällä hetkellä.
Apteekin vastuulla huolehtia, että omavalvontasuunnitelma on ajan tasalla ja henkilökunta koulutettu. Lainsäädännön voimaantuloon on aikaa reilu puoli vuotta. Nyt on hyvä aika sopia tietosuojavastuista ja käytännöistä ja valita apteekkiin tietosuojatyöryhmä, johon tulisi kuulua vähintään apteekkari, tietosuojavastaava ja henkilöstön edustaja. Tämän ohjausryhmän olisi hyvä tavata säännöllisesti ja käsitellä asioita vakioitua esityslistaa käyttäen.
Euroopan komission mukaan uusilla säädöksillä pyritään parantamaan kuluttajan luottamusta ja siten yritysten kasvua. Pharmadatan ja apteekkien yhteistyöllä tuemme tavoitteen toteutumisesta.
Tiedotamme tietosuojaan ja asetuksen etenemiseen liittyen Neuvossa, verkkosivuilla ja Uutiskirjeessä. Epäselvissä asioissa kysymykset voi soittaa Service Deskiin.
Aiheeseen liittyviä linkkejä:
Salkku – Tietosuoja
Tietosuojavaltuutettu
Euroopan komissio – Tietosuoja