Tietosuoja

Lähes jokainen yritys käsittelee henkilötietoja toiminnassaan. Tietosuoja-asetusta, josta käytetään myös nimitystä GDPR eli General Data Protection Regulation, alettiin soveltaa kaikissa EU-maissa keväällä 2018. Asetuksen tavoitteena on yhtenäistää tietosuojasääntelyä ja varmistaa, että kansalaiset voisivat hallita heitä koskevia tietojaan paremmin.

Asetus lisää kaikkien yritysten tietosuojavaatimuksia. Säännöt ovat samat kaikille EU:ssa toimiville yrityksille kotipaikasta riippumatta.

Mikä on henkilötieto

Henkilötiedolla tarkoitetaan esimerkiksi asiakkaiden, työntekijöiden tai yrityskontaktien henkilötietoja, kuten nimeä, osoitetta, puhelinnumeroa tai mitä tahansa muuta tietoa, jonka voi liittää tiettyyn henkilöön.

Tietosuojaperiaatteet

Henkilötiedot on kerättävä ja käsiteltävä tiettyä, nimenomaista ja laillista tarkoitusta varten. Niitä on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi, ja kerättävä vain tarpeellinen määrä henkilötietojen käsittelyn tarkoitukseen nähden.

Henkilötiedot tulee päivittää aina tarvittaessa: epätarkat ja virheelliset henkilötiedot on poistettava tai oikaistava viipymättä.

Tiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten, ja niitä on käsiteltävä luottamuksellisesti ja turvallisesti.

Yrittäjänä ja rekisterinpitäjänä sinun täytyy kyetä osoittamaan, että tietosuojaperiaatteet toteutuvat tehokkaasti henkilötietoja käsiteltäessä. Tietosuojaperiaatteita on noudatettava kaikissa henkilötietojen käsittelyn vaiheissa.

Tietosuojalainsäädännön vaatimukset koskevat myös mahdollisten alihankkijoittesi ja kumppaneittesi toimintaa. Jos esimerkiksi järjestät arvonnan, johon osallistujat jättävät yhteystietonsa, jokaisen pitää halutessaan saada tietää, miten hänen tietojaan käytetään ja säilytetään.

Rekisteröidyn oikeudet

Tietosuoja-asetuksen mukaan rekisteröidyllä on oikeus

  • saada tietoa henkilötietojensa käsittelystä
  • saada pääsy tietoihin
  • oikaista tietoja
  • poistaa tiedot ja tulla unohdetuksi
  • rajoittaa tietojen käsittelyä
  • siirtää tiedot järjestelmästä toiseen
  • vastustaa tietojen käsittelyä
  • olla joutumatta automaattisen päätöksenteon kohteeksi.

Rekisteröity ei voi käyttää kaikkia oikeuksia kaikissa tilanteissa. Tilanteeseen vaikuttaa esimerkiksi se, millä perusteella henkilötietoja käsitellään.

Rekisteröidyn pyyntöön on vastattava viipymättä, mutta viimeistään kuukauden sisällä. Vastauksessasi rekisterinpitäjänä sinun tulee kertoa, mihin toimenpiteisiin olet pyynnön myötä ryhtynyt.

Vastausaikaa voi jatkaa perustellusta syystä enintään kaksi kuukautta, jos esimerkiksi pyyntöjä on paljon tai ne ovat monimutkaisia.

Rekisterinpitäjä voi kieltäytyä pyynnöstä, mutta kieltäytyminen täytyy perustella viimeistään kuukauden kuluessa pyynnön saapumisesta. Silloin sinun täytyy kertoa rekisteröidylle mahdollisuudesta tehdä valitus valvontaviranomaiselle sekä käyttää muita oikeussuojakeinoja.

Informoi rekisteröityä

Rekisteröidyn tulee saada kaikki henkilötietojen käsittelyä koskeva tieto tiiviissä, läpinäkyvässä, helposti ymmärrettävässä ja selkeässä muodossa.

Informoinnin tarkoituksena on, että rekisteröity saa kattavan ja selkeän kuvan henkilötietojen käsittelyn kokonaisuudesta.

Rekisteröidylle on kerrottava muun muassa kuka rekisterinpitäjä on, mitä tarkoitusta varten rekisteröidyn henkilötietoja käsitellään, kuinka kauan henkilötietoja säilytetään, luovutetaanko henkilötietoja eteenpäin tai siirretäänkö niitä ETA-maiden ulkopuolelle sekä miten rekisteröity voi käyttää henkilötietoihin liittyviä oikeuksiaan.

Vastuu tietosuoja-asioista

Yrityksesi on nimettävä myös tietosuojavastaava, jos henkilötietojen käsittely on yrityksen keskeistä liiketoimintaa, rekisteröityjä seurataan säännöllisesti ja järjestelmällisesti tai arkaluonteisia tietoja käsitellään laajasti. Tietosuojavastaava voidaan nimittää myös silloin, kun tietosuoja-asetus ei siihen velvoita.

Tietosuojavastaavan ei tarvitse olla yrityksen oma työntekijä, vaan tehtävän voi ulkoistaa. Viime kädessä henkilötietojen käsittelyn lainmukaisuus on kuitenkin organisaation johdon vastuulla.

Osoita noudattavasi tietosuojasäännöksiä

Rekisterinpitäjän täytyy noudattaa tietosuoja-asetuksen säädöksiä sekä pystyttävä osoittamaan, että noudattaa tietosuojalainsäädäntöä.

Osoitusvelvollisuus on tietosuojavelvoitteiden keskeinen periaate. Lakisääteisten vaatimusten toteutumisen arvioinnin lisäksi sen tarkoitus on näyttää, miten rekisterinpitäjä, eli sinä, kunnioitat henkilötietojen käsittelyn kohteen tietosuojaa.

Osoitusvelvollisuuden täyttämiseksi sinun on toteutettava tekniset ja organisatoriset velvollisuudet sekä dokumentoida ne, eli kyse on tiettyjen toimenpiteiden tekemistä ja kirjaamista.

Tietosuoja-asetuksessa on osoitusvelvollisuutta koskevia vaatimuksia, joiden velvoittavuus on analysoitava tapauskohtaisesti. Osoitusvelvollisuuden laajuus riippuu muun muassa organisaatiosi koosta, henkilötietojen määrästä ja siitä, millaisia henkilötietoja rekisterinpitäjä käsittelee. Rekisterinpitäjän on huomioitava osoitusvelvollisuus jo henkilötietojen käsittelyn suunnitteluvaiheessa.

Täysin tyhjentävää listaa siitä, mitä osoitusvelvollisuus pitää sisällään, on mahdotonta antaa, sillä sen laajuus vaihtelee tapauskohtaisesti. Toimenpiteistä ja dokumenteista löydät listausta täältä.

Jos huomaat rekisterinpitäjänä tietosuojarikkomuksen, sinun tulee osoittaa, että olet aktiivisesti pyrkinyt tunnistamaan tietosuojaan liittyviä riskejä ja ottanut käyttöön tarvittavia toimenpiteitä henkilötietojen suojaamiseksi. Jos et rekisterinpitäjänä pysty osoittamaan, että noudatat tietosuoja-asetuksia, voit saada hallinnollisia seuraamuksia.

Sanktiot voivat olla kovia

Tietosuoja-asetuksen rikkomisesta voi aiheutua henkilötietojen käsittelijälle tai rekisterinpitäjälle seuraamusmaksu, jos henkilölle aiheutuu aineellista tai aineetonta vahinkoa. Kukin tietojenkäsittelyyn osallistunut rekisterinpitäjä tai henkilötietojen käsittelijä on vastuussa vahingosta.

Muita sanktioita ovat varoitus tai huomautus sekä määräyksen antaminen. Rekisterinpitäjän oikeuksia käsitellä henkilötietoja voidaan myös rajoittaa tai kieltää se määräajaksi tai kokonaan. Rekisterinpitäjä voi myös menettää sertifiointinsa, jos kriteerit eivät enää täyty.

Rekisterinpitäjä voi saada myös hallinnollisen seuraamusmaksun, joka on enimmillään 20 miljoonaa euroa tai neljä prosenttia yrityksen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

Reksiterinpitäjä voi saada myös uhkasakon.

Lisäksi vakavimmista henkilötietojen suojan loukkauksista voidaan tuomita rikoslain mukainen rangaistus.

Tietosuoja-asetuksen rikkominen ei siis ole mitätön asia. Käy siis läpi, miten ja missä yrityksesi säilyttää henkilötietoja ja että täytät tietosuoja-asetuksen vaatimukset.

Mitä eroa on tietosuojalla ja tietoturvalla?

Tietoturva on yksi tietosuojan toteuttamisen keino. Sen tarkoitus on suojata tietoaineisto ja tietojärjestelmät. Tietoturva tarkoittaa muun muassa organisatorisia ja teknisiä toimenpiteitä, joilla varmistetaan tiedon luottamuksellisuus ja eheys, järjestelmien käytettävyys sekä rekisteröidyn oikeuksien toteutuminen.

Lähde: Tietosuoja.fi

Tutustu myös tietosuoja-oppaaseemme

Mitä yrittäjän tulee tietää GDPR-asioista? Yrittäjän tietosuojaopas avaa asiat konkreettisesti. Oppaasta saat myös käytännön toimintaohjeet.

Lataa Tietosuojaopas

Apua Yrittäjien koulutuksista

Suomen Yrittäjät järjestää jäsenilleen erilaisia koulutuksia kuten tietosuojakoulutusta.

Tapahtumat ja koulutukset

Henkilötietojen käsittelyssä on noudatettava EU:n yleistä tietosuoja-asetusta ja muuta henkilötietojen käsittelyä koskevaa lainsäädäntöä.

Henkilötietojen käsittelyä koskevaa erityislainsäädäntöä 

Tarvittavia lomakkeita löydät Yrittäjien lomakepankista.
Siirry jäsenpalveluun