Mikä on tietosuoja-asetus?

GDPR eli General Data Protection Requlation on yleinen EU:n tietosuoja-asetus, jota aletaan soveltaa 25.5.2018 alkaen. Asetus korvaa henkilötietolain ja koskee kaikkia EU:n alueella toimivia organisaatioita. Tietosuoja-asetus asettaa yrityksille uusia velvollisuuksia mm. henkilötietojen käsittelyyn, rekisteröintiin ja luovuttamiseen liittyen, mutta takaa samalla meille jokaiselle enemmän oikeuksia yksityisyyteen. Jokaisen yrityksen tulee kartoittaa ja dokumentoida henkilötietojen käsittely, poistaminen, luovuttaminen ja suojaus, eli tehdä henkilötietojen käsittelyä koskeva inventaatio.

Mitä yrityksen tulee tehdä?

1. Varmista rekisteröityjen oikeuksien toteutuminen

• Rekisteröidyllä tulee olla pääsy omiin tietoihinsa.
• Hänelle on pyynnöstä taattava tietojen oikaisu.
• Rekisteröidyn pyynnöstä hänen tietonsa tulee voida siirtää järjestelmästä toiseen.
• Rekisteröidylle tulee ilmoittaa häntä koskevasta tietovuodosta 72 tunnin kuluessa tietomurron paljastumisesta.
• Rekisteröidyllä on oikeus kieltää hänen henkilötietojensa käsittely sekä tulla unohdetuksi, mikä tarkoittaa hänen henkilötietojensa poistamista yrityksen tietojärjestelmistä.

2. Osoita kirjallisesti noudattavasi asetusta

Suositus on, että yritys tunnistaa ja kuvaa  tietosuojaprosessinsa, tietovarantonsa ja tietovirtansa.  Yrityksen tulee siis noudattaa asetusta toiminnassaan sekä pystyä osoittamaan se dokumentaation avulla.

3. Nimeä tietosuojavastaava

Viranomaisten, julkishallinnon sekä henkilötietoja järjestelmällisesti ja laajamittaisesti käsittelevien organisaatioiden tulee asetuksen mukaan nimetä tietosuojavastaava. Nimittämiseen ei siis vaikuta yrityksen koko vaan sen toiminta. Yritys voi myös vapaaehtoisesti nimittää tietosuojavastaavan taikka valita henkilön, joka on vastuussa tietosuojan toteuttamisesta yrityksessä, kuten johtoon kuuluva IT-päällikkö.

Jos päädytään siihen, että tietosuojavastaavaa ei valita yritykseen, tulisi tietosuojaselvitykseen avata syyt, miksi tähän päätökseen on tultu ja kuka on yrityksessä tietosuoja-asetuksen noudattamisesta vastaava henkilö.

4. Pyydä lupa henkilötietojen keräämiseen

Silloin kun yrityksellä ei ole lakiin tai sopimukseen perustuvaa syytä kerätä henkilötietoja, tulee huolehtia siitä, että rekisteröity antaa suostumuksensa selkeästi suostumusta ilmaisevalla toimella, kuten rastittamalla ruutu taikka hallinnoimalla käyttämiensä palveluiden preferenssejään tavalla, joka selkeästi osoittaa hänen hyväksyvän henkilötietojensa käsittelyä koskevan ehdotuksen. Suostumusta ei sen vuoksi pitäisi voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta.  Lähde: EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS (EU) 2016/ 679

Mitä on henkilötieto?

Henkilötietoa on kaikki luonnolliseen henkilöön liittyvä tieto josta henkilö on tunnistettavissa, kuten nimi, sähköpostiosoite, luottokortin numero, auton rekisterinumero, IP-osoite tai valokuva. Näiden lisäksi arkaluontoisiksi tiedoiksi lasketaan mm. terveyteen liittyvät tiedot, lasten tiedot, etnisyys ja poliittinen vakaumus.

Mikä on henkilötietorekisteri?

Henkilötietorekisteri on mikä tahansa jäsennelty joukko edellä mainittuja henkilötietoja. Henkilötietorekisterit voivat olla niin sähköisiä kuin paperisiakin, mikä tulee huomioida tietosuojaprosesseja laatiessa. Paperisten asiakirjojen tuhoaminen ja niiden turvallinen säilyttäminen on yhtä tärkeää kuin sähköisestä tietoturvasta huolehtiminen.