EU:n tietosuoja-asetus ei koske vain sähköisessä muodossa olevia tietoja. Myös paperiset arkistot kuuluvat asetuksen piiriin. Asetus astuu voimaan toukokuussa 2018.
EU:n tietosuoja-asetus on puhuttanut jo pidemmän aikaa digitaalisessa maailmassa toimivia yrityksiä. Asetuksen tavoitteena on yhdenmukaistaa henkilötietojen käsittelyyn liittyvä sääntely EU:n jäsenvaltioissa. Nyt voimassa olevaa direktiiviä on sovellettu vaihtelevasti.
Uusi asetus selkeyttää kansalaisten oikeuksia liittyen heitä koskeviin tietoihin ja rekistereihin. Samalla se velvoittaa yrityksiä kertomaan asiakkailleen ripeästi esimerkiksi tietovuodoista tuntuvien sakkojen uhalla.
Vaikka tietosuoja-asetuksen syntyhistoria liittyy tietokoneiden myötä kasvaneeseen henkilötietojen käsittelyyn, koskee se myös paperisia tietoja. Yrityksen on esimerkiksi pohdittava, ovatko toimiston nurkkiin ja varastotilojen perukoille säilötyt paperiset arkistot tarpeellisia.
Aiemman lainsäädännön mukaan rekisteröidyllä henkilöllä on muun muassa oikeus tarkastaa omat tietonsa sekä vaatia niiden oikaisua ja poistamista rekisteristä. Näiden oikeuksien rinnalle tuli oikeus kontrolloida omia tietojaan.
Asetus toi tullessaan esimerkiksi oikeuden tietojen siirrettävyyteen sekä oikeuden kieltäytyä profiloinnista. Omien rekisteritietojen tarkistamisen ja poistamisen lisäksi asiakas saa siis oikeuden siirtää hänestä kerätyt henkilötiedot yhdeltä rekisterinpitäjältä toiselle.
Uusi asetus kiristää entisestään vanhojen asiakirjojen säilyttämistä. Monissa yrityksissä säilytetään esimerkiksi vanhoja työsopimuksia, vaikka siihen ei ole enää perusteita. Uuden asetuksen myötä näiden tietojen säilyttäminen ei ole enää sallittua.
Vanhojen henkilötietoja sisältävien paperiarkistojen tuhoaminen tulikin ajankohtaiseksi vuoden 2018 alussa.
Paperisiin arkistoihin kannattaa suhtautua vakavasti, koska uusi asetus ohjaa yrityksiä myös varmistamaan ja testaamaan, että tietoturva on jatkuvasti ajan tasalla. Yrityksien on esimerkiksi nimettävä tietosuojavaltuutettu, joka valvoo, että yritys toimii tietojen suhteen oikein.
Huolellinen valmistautuminen kannattaa, sillä tietosuoja-asetuksen laiminlyönnistä saa tuntuvat sakot. Sanktio voi olla enimmillään 20 miljoonaa euroa tai neljä prosenttia yrityksen vuotuisesta kokonaisliikevaihdosta.