EU:n tietosuoja-asetus velvoittaa yrityksiä

EU:n tietosuoja-asetus eli ns. GDPR (General Data Protection Regulation) tulee voimaan 25.5.2018. Siis jo ihan pian ja tästä päivämäärästä alkaen henkilötietojen käsittelyn on oltava tietosuoja-asetuksen mukaista ja yritysten tulee muutoinkin toimia uuden tietosuojalain mukaisesti.

Uusi säännöstö koskee kaikkia ja sen tarkoituksena on ajantasaistaa koko EU:ssa tietosuojan sääntely. Säännöt ovatkin samat kaikille EU:ssa toimiville yrityksille kotipaikasta riippumatta. Sen tavoitteena on, että kansalaiset voivat hallita tietojaan paremmin. Sääntely koskee mm. henkilötietojen keräämistä, tallentamista, järjestämistä, muuta käsittelyä ja luovuttamista sekä näihin liittyviä oikeuksia ja velvollisuuksia. Koska lähes kaikki yritykset käsittelevät toiminnassaan henkilötietoja, koskee tämä käytännössä kaikkia yrityksiä.

Miksi tämä koskee sinua?

Esimerkiksi, jos vaikka yrityksen asiakaskunta muodostuisi pelkistä yrityksistä, on niillä yleensä asiakasrekisteri, joka useimmiten sisältää tietoa myös asiakasyritysten yksityishenkilöistä. Tämä johtaa velvoitteeseen ainakin tarkistaa, mitä tietoa yksityishenkilöstä on sinne tallennettu. Mutta lisäksi useimmilla yrityksillä on palkkalistoilla työntekijöitä ja palkanlaskenta taas sisältää henkilötunnuksista alkaen tietoa aina esimerkiksi sairaspoissaoloihin jne. Tästä syystä säännöstö koskee ja velvoittaa käytännössä kaikkia yrityksiä, yhteisöjä ja muita toimijoita.

Henkilötietojen käsittelyn tietosuojaperiaatteet

Lähtökohtana on, että henkilötietojen käsittelyssä tulee noudattaa tietosuojaperiaatteita. Tämä tarkoittaa mm. sitä, että kaikki henkilötiedot, joita kerätään, kerätään vain laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteen sopimattomalla tavalla. Samalla käsittelyn tulee olla läpinäkyvää. Ennen kaikkea tämä korostaa henkilötietojen käsittelyn turvallisuutta, mutta myös tietojen oikeellisuutta.

Pohdittavaksi tulevat mm. arkaluonteisten tms. tietojen toimittamisen muodot. Esimerkiksi täyttääkö tietojen toimittaminen sähköpostitse toimitettuna nämä vaatimukset. On siis paitsi varmistettava, että tiedot eivät häviä tms. vahingossa tai että kukaan ulkopuolinen ei pääse niihin ylipäätään käsiksi. Useimmiten tällaista tietoa – jos sitä toimitetaan sähköpostitse – on se syytä tehdä ns. salatulla yhteydellä.

Mikä on rekisteri?

Rekisterillä tarkoitetaan tässä mitä tahansa henkilötietoja sisältävää jäsenneltyä tietojoukkoa. Se voi olla keskitetty tai hajautettu tai muutoin jaettu jollain perusteella. Rekisteri voi olla teknisesti järjestetty monella vaihtoehtoisella tavalla. Se voi olla paperinen rekisteri, Excel-tiedosto, asiakastietojen hallintaan käytetty ohjelmisto tai mikä tahansa tietokanta.

Henkilötietojen käsittelyn lailliset syyt

Tietosuoja-asetus sisältää perusteet sille, milloin henkilötietoja saa käsitellä laillisesti. Vähintään yksi alla olevista tulisi siis täyttyä.

  • Rekisteröity henkilö on antanut suostumuksensa.
  • Yrityksen ja rekisteröidyn henkilön välillä on ns. merkityksellinen suhde (oikeutettu etu), kuten asiakassuhde, työsuhde tms.
  • Rekisteröidyn henkilön ja yrityksen välillä on sopimus, jonka täytäntöönpanemiseksi tulee käsitellä kyseisen henkilön henkilötietoja.
  • Lakisäänteinen velvoite perustuu nimensä mukaisti lain vaatimukseen. Esimerkiksi palkka tms. tiedot työnantajan tulee ilmoittaa viranomaisille lakiperusteisesti.
  • Julkisen tehtävän suorittaminen tai ns. yleinen tai elintärkeä etu ovat luonnollisia perusteita henkilötiedon käsittelyyn, mutta nämä liittyvät yleensä paremminkin viranomaistoimintaan.

Varmista ainakin nämä – näillä pääset alkuun

Tunnista kaikki rekisterit

Edellä on määritelty rekisteri. Varmista, että kaikki rekisterit, joita säännös koskee, on yrityksessä tunnistettu. Yksi hyvä tapa on aloittaa työ nimenomaan tästä eli listataan kaikki järjestelmät, joissa henkilötietoja käsitellään.

Oikeus henkilötietojen käsittelyyn

Varmista, että yrityksellä on asetuksen mukainen käsittelyperuste (ks. edellä), joka siis oikeuttaa käsittelemään henkilötietoja.

Arkaluonteiset tiedot

Varmista, että arkaluonteista tietoa – kuten lääkärintodistukset – käsitellään niin, että niihin ei pääse käsiksi vahingossa tai mistään syystä sellaiset tahot, joille ko. tieto ei ole tarkoitettu. Jos mitä tahansa arkaluonteista tietoa on, pohdi aina, miten sitä tulee käsitellä, tallentaa, lähettää (tiedonsiirto) jne.

Ohjeet ja koulutus

Laadi riittävä ohjeistus henkilötietojen käsittelyyn ja ohjeista/kouluta henkilöstö toimimaan sen mukaan.

Rekisteröityjen henkilöiden oikeudet

Rekisteröidyillä henkilöillä tulee olla oikeus tarkastaa omat tietonsa ja tarvittaessa voitava korjauttaa mahdolliset virheelliset tiedot. Yksi tärkeä lähtökohta on tietojen läpinäkyvyys, joten ratkaistava on mm. se, miten henkilö voi tarkistuttaa tietonsa siten, että tietosuoja ei vaarannu millään muotoa.

Aineiston hävittäminen

Kun kerätty henkilötietoaineisto ei ole enää tarpeen, se tulee hävittää. Käytännössä, jos yksikään laillinen syy henkilötietojen käsittelyyn (ks. edellä) ei ole enää voimassa, tieto tulee hävittää. Syytä on muistaa, että osaan tietoja on lakisääteinen säilytysaika – esimerkiksi palkka-aineisto on tällaista.

Kenellä on vastuu?

Yritys eli rekisterinpitäjä on viimekädessä vastuussa siitä, että henkilötietoja käsitellään lainmukaisesti.

Koska yritys on vastuussa siitä, että henkilötietojen käsittelyn periaatteita on noudatettu, on tämä tarpeen tullen myös kyettävä näyttämään ja tästä syystä tarvittava dokumentaatio on oltava olemassa.

Rikkomukset on sanktioituja ja säännösten noudattamista myös valvotaan.

Lisätietoja saa myös netistä, esimerkiksi Tietosuojavaltuutetun toimistosta http://www.tietosuoja.fi/fi/index/euntietosuojauudistus.html

Tutustu 
referensseihimme »

Kokonaisvaltainen osaaminen, asiantuntijuus ja henkilökohtainen palvelu ovat luoneet vankan pohjan yrityksemme menestykselle. Sen vuoksi meillä onkin suuri joukko arvostettuja yrityksiä asiakkainamme. Tutustu asiakkaidemme tarinoihin »