EU:n tietosuoja-asetus sovellettavaksi 25.5.2018 alkaen
Asetus korvaa aiemman henkilötietodirektiivin ja henkilötietolain. Tältä sivulta löydät yleistä tietoa EU:n tietosuojadirektiivistä;
- GDPR - Käsitteet
- Rekisterinpitäjän velvollisuuksia sähköisen suoramarkkinoinnin ja asiakasrekistereiden osalta
- Vaadittavat GDPR-dokumentit kuntoon
- Milloin organisaation on nimettävä tietosuojavastaava?
GDPR – käsitteet
Henkilötieto
Henkilötietoja ovat tiedot, jotka yhdessä jonkin muun tiedon kanssa tai yksittäin ovat yhdistettävissä tiettyyn luonnolliseen henkilöön. Esimerkiksi nimi, sosiaaliturvatunnus, katuosoite, sähköpostiosoite ja tietokoneen ip-osoite luetaan henkilötiedoiksi.
Henkilörekisteri
Sähköinen tai paperimuodossa oleva kortistoksi,
luetteloksi tai muulla näihin verrattavalla tavalla järjestetty joukko tietoja, josta tiettyä
henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta
kustannuksitta. Henkilörekisteriksi voidaan periaatteessa lukea myös vaikkapa kasa käyntikortteja toimiston pöytälaatikossa.
Henkilötietojen käsittely
Kaikki henkilötietoihin kohdistuvat toimenpiteet, mm. tietojen siirtäminen ja tallentaminen ovat henkilötietojen käsittelyä.
Rekisterinpitäjä
Yritys, yhteisö tai henkilö, jonka käyttöön henkilörekisteri on perustettu ja joka määrää rekisterin käytöstä.
Henkilötietojen käsittelijä
Henkilötietojen käsittelyä toimeksiantajan eli rekisterinpitäjän lukuun suorittava taho.
QUILL Marketing/ Tmi Laura Bäckman on esim. PostON-uutiskirjepalvelun suhteen asiakkaidensa henkilötietojen käsittelijä. Käsittelemme henkilötietoja asiakkaiden lukuun. Asiakas itse on rekisterinpitäjä.
Rekisterinpitäjän velvollisuuksia sähköisen suoramarkkinoinnin ja asiakasrekistereiden ylläpitämisen osalta
Sähköisen suoramarkkinoinnin säännökset eivät ole muuttuneet EU:n uuden tietosuoja-asetuksen myötä.
Sähköpostia saa yhä lähettää yrityksille, ja myös yksityishenkilöille, mikäli yksityishenkilöltä on tähän nimenomainen lupa. Sähköisestä suoramarkkinoinnista ja mm. evästeiden käytöstä on säädetty Tietoyhteiskuntakaaressa.
Oleellista on, että rekisteröity saa helposti pyynnöstään halutut tietonsa poistetuksi rekisteristä ja saa pyynnöstä rekisterinpitäjältä tiedon hänestä talletetuista henkilötiedoista. Tietojen poistopyyntöihin ei kuitenkaan tarvitse suostua, mikäli laki tai voimassa oleva asiakassopimus oikeuttaa tietojen rekisteröinnin. Tärkeää on myös, että käsitellään vain tarkoituksen kannalta tarpeellisia henkilötietoja, ja vain tarkoituksenmukaisen ajan.
Rekisterinpitäjänä organisaatio on velvoitettu informoimaan rekisteröityä henkilötietojen käsittelystä. Näiden selosteiden ei kuitenkaan velvoiteta olevan rekisteröidyn luettavissa ja saatavilla julkisesti - vaikkapa yrityksen kotisivuilla.
Omien asiakkaiden henkilörekisteriselostetta ei ole välttämätöntä pitää julkisesti nähtävillä, kunhan se on asiakkaiden saatavilla pyynnöstä. Jos taas keräätte kotisivujenne kautta rekisteriä (kotisivuiltanne voi tilata esim. uutiskirjeen), voihan seloste olla nähtävillä myös kotisivustossa. Siitä henkilö näkee mm. mitä tietoja hänestä talletetaan, mihin tarkoitukseen tietoja käytetään ja kuinka kauan tietoja säilytetään.
Ajantasaisuuden vaatimus on tärkeä, eli itse rekisterit tulee pitää ajan tasalla; vanhat, virheelliset ja tarpeettomat tiedot tulee poistaa ja tietoja kerättävä vain se tarkoituksenmukainen määrä. Jos siis vaikkapa henkilön kansallisuus tai sotu on turha tieto, ei sitä tule rekisteriin tallentaa.
Uhatuista sakoista ja sanktiosta on moni saattanut säikähtää, mutta lievissä puutteissa ensimmäinen toimi luultavasti on huomautus ja pyyntö korjata asiat kuntoon. Tietojen väärinkäyttö tai ylimalkainen tietoturvariskin aiheuttava suhteutuminen tietoturvaan eivät kuitenkaan liene rikkeistä lievimpiä. Jotta pystyy osoittamaan tietosuoja-asetuksen säännösten noudattamisen, on asiat pidettävä kunnossa ja dokumentoitava.
Vaadittavat GDPR-dokumentit kuntoon
Seloste käsittelytoimista ("entinen" rekisteriseloste/ tietosuojaseloste täydennettynä rekisteröidyn oikeuksilla)
Kaikilta henkilötietojen käsittelyä suorittavilta organisaatioilta on nyt GDPR-aikaan löydyttävä
seloste henkilötietojen käsittelytoimista.Kun noudatimme vielä henkilötietolakia, olimme velvoitettuja tekemään jokaisesta henkilörekisteristä rekisteri-/ tietosuojaselosteen. Näitä rekisterikohtaisia tietosuojaselosteita voi toki käyttää yhä GDPR:n velvoittamana selosteena käsittelytoimista, mikäli ne täydennetään sisältämään tietosuoja-asetuksenkin vaatimat tiedot
(henkilötietolain edellyttämään Tietosuojaselosteeseen tulisi näin ollen lisätä myös osio rekisteröidyn oikeuksista).
Tietosuojalaki ei edellytä entisen kaltaista rekisteriselostetta (linkki Tietosuoja.fi -sivustoon)
Seloste käsittelytoimista on tietosuoja-asetuksen (GDPR) aikaan kuitenkin tarkoitettu organisaation omaan käyttöön - helpottamaan rekisteröidyn pyyntöihin vastaamisessa. Sen ei tarvitse olla esillä esim. organisaation kotisivuilla.
Lisätietoja löytyy mm. Tietosuojavaltuutetun sivuilta.
Tietoturvadokumentti
Vastaa mahdollisiin kyselyihin organisaation tietosuojan riittävyydestä ja siitä, mitkä ovat organisaation periaatteet tietoturvasta huolehtimisen osalta.
Henkilötietojen käsittelyn ehdot määrittelevä sopimus
Lisäksi osapuolten vastuut määrittelevä sopimus/ sopimusliite on ajankohtainen henkilötietoja asiakkaansa lukuun käsitteleville organisaatioille (esim. SaaS-palveluja tarjoavan yrityksen ja sen asiakkaan välinen sopimus). Moni onkin varmasti saanut tätä koskevia viestejä palveluntarjoajiltaan.
Tietojen suojaus ja tietoturvaloukkaukset
Mikäli yrityksessä/ muussa organisaatiossa on tehty tietovirta- ja tietovarantokaavioita, lisää se toki omaa ymmärrystä ja auttaa ongelmatilanteisiin varautumisessa. Ilman kaavioitakin tulee ymmärtää missä tietty henkilötieto tai rekisteri sijaitsee (omalla palvelimella/ minkä palveluntarjoajan palvelimilla/ muualla), ketkä tietoja käsittelevät, millä lailla tiedot on suojattu ja kuinka moni henkilö tietoihin pääsee käsiksi. Tämä on välttämätöntä ymmärtää, jos haluaa pystyä varmistamaan oman toiminnan riittävän laadun myös tietoturvan osalta.
Vahinkoa aiheuttavan tietoturvaloukkauksen sattuessa asia tulee raportoida viranomaiselle 72 h sisällä.
Mikäli etsitte kursseja tietosuoja-asetuksen vaatimusten ymmärtämiseen ja täyttämiseen, kannattaa kysellä seminaareja ja koulutuksia esim. yrittäjäjärjestöiltä, oman alan etuja ajavilta järjestöiltä tai suoraan GDPR-koulutuksia järjestäviltä yrityksiltä.
Milloin organisaation on nimettävä tietosuojavastaava?
Organisaation on nimettävä tietosuojavastaava, jos se
- käsittelee laajamittaisesti arkaluonteisia tietoja
- seuraa ihmisiä laajamittaisesti, säännöllisesti ja järjestelmällisesti
- on julkishallinnon toimija, joka ei ole tuomioistuin.
Tietosuojavastaavan voi toki nimetä muutoinkin, ja toimen voi myös ulkoistaa.