EU:n yleistä tietosuoja-asetusta on sovellettava viimeistään 25.5.2018 alkaen. Asetus velvoittaa käsittelemään entistä huolellisemmin esimerkiksi asiakkaista ja työntekijöistä kerättyjä henkilötietoja.
Henkilötietojen käsittelystä on jatkossa tiedotettava nykyistä selkeämmin, koska tietosuoja-asetus korostaa henkilötietojen käsittelyn läpinäkyvyyden tärkeyttä. Tärkeää on selvittää, miten ihmisten tietoja organisaatiossa käsitellään, varmistaa, että tämä tapahtuu asianmukaisesti, ja selvittää, onko organisaatio velvollinen nimeämään tietosuojavastaavan.
Tietosuoja-asetuksessa säädetään rekisterinpitäjän dokumentointivelvollisuudesta. Rekisterinpitäjän on pystyttävä osoittamaan, että tietosuoja-asetuksen tietosuojaperiaatteita on noudatettu. Rekisterinpitäjän on käytävä läpi tietovarantonsa, arvioitava niihin kohdistuvat riskit, omaksuttava tarvittavat käytännöt ja toimenpiteet riskien vuoksi ja selvitettävä, miten nämä on koulutettu henkilökunnalle. Kaikki tämä on dokumentoitava ja tarvittaessa esitettävä valvontaviranomaiselle.
Asetus antaa kansalaisille uusia oikeuksia, joihin pitää varautua. Yksi näistä on oikeus saada varoitus esimerkiksi tietomurroista, joissa henkilötiedot ovat joutuneet tai ovat vaarassa joutua vääriin käsiin. Edelleen kansalaiset saavat vaatia organisaatioita hävittämään heitä koskevat tiedot.
EK on laatinut yrityksille tietopaketin tietosuoja-asetukseen liittyen. Tietosuojavaltuutetun toimisto on antanut ohjeet siitä, miten muutokseen valmistaudutaan.
THL ohjaa sitä, kuinka sote-organisaatio liittyy Kanta-palvelujen asiakkaaksi. Yleisen tietosuoja-asetuksen kannalta pelkästään asiakas- ja potilastietojen käsittelyn dokumentaatio ja suojaaminen ei ole riittävää, koska työnantajaorganisaatiossa käsitellään väistämättä muidenkin tahojen henkilötietoja (kuten työntekijät, yhdistyksen jäsenet, yhteistyökumppanit), joita voidaan joutua luovuttamaan esimerkiksi ulkoistetulle taloushallinnolle tai jäsenmaksutilitysten yhteydessä työntekijäliitoille. Myös näiden henkilötietojen käsittely on etukäteen dokumentoitava ja suojattava yleisen tietosuoja-asetuksen perusteella.
Terveydenhuollon organisaatioissa on lähtökohtaisesti oltava tietojen käsittelyn lainmukaisuuden seuranta- ja valvontatehtäviä varten nimettynä tietosuojavastaava. Tietosuojavaltuutetun toimisto ja sosiaali- ja terveysministeriö ovat laatineet yhteistyössä esitteen tietosuojavastaavan toimenkuvasta, tehtävistä ja asemasta.
Sosiaalihuollon asiakasasiakirjojen käsittelystä säädetään useissa eri laeissa. Asiakasasiakirjojen ja asiakastietojen hallintaa ohjeistetaan tarkemmin esimerkiksi Tietosuojavaltuutetun toimiston julkaisemassa oppaassa Sosiaalihuollon asiakastietojen käsittelystä.
Tietosuojaa valvova viranomainen voi määrätä sakkoja rekisterinpitäjälle tai henkilötietojen käsittelijälle tietosuoja-asetuksen rikkomisesta. Hallinnollinen sakko voi olla enintään 20 miljoonaa euroa tai neljä prosenttia maailmanlaajuisesta liikevaihdosta. Muita mahdollisia seuraamuksia ovat muun muassa varoitukset, huomautukset ja määräykset sekä henkilötietojen käsittelyn rajoittaminen ja kieltäminen. Asetusta on siis syytä noudattaa.