GDPR lyhyesti

GDPR (General Data Protection Regulation) on koko Euroopan Unionin laajuinen lakiasetus, joka astui voimaan 25.5.2018. Tämän asetuksen sisäistäminen on tärkeää kaikille toimijoille, jotka käsittelevät henkilötietoja sähköisesti, sillä GDPR on sellaisenaan voimassa olevaa lainsäädäntöä myös Suomessa.

Tämän kirjoituksen tarkoitus on avata GDPR lyhyesti.

General Data Protection Regulation

gdpr asetus
Alkuun lienee hyvä selventää, mikä GDPR oikein on ja miksi se on laadittu?

Asetuksen tarkoituksena on siis yhtenäistää henkilötietoja käsittelevä lainsäädäntö koko EU:n alueella, sillä aiemmin käytäntö on ollut hyvin kirjavaa eri maissa. Tavoitteena on myös nykyaikaistaa lainsäädäntöä aikana, jolloin henkilötiedot ovat monien suurten kansainvälisten yritysten, kuten Facebookin ja Googlen, toiminnan kulmakiviä.

Ketä ja mitä asetus koskee?

general data protection regulationGDPR-asetus koskee kaikkia tahoja, jotka käsittelevät Euroopan Unionin asukkaiden henkilötietoja. Asetus ja vaatimukset koskevat myös EU:n ulkopuolisia yrityksiä. Tarkennuksena, että asetuksella säädellään nimenomaan luonnollisten henkilöiden henkilötietojen käsittelyä.

Asetus ei siis koske oikeushenkilöiden ja erityisesti oikeushenkilön muodossa perustettujen yritysten henkilötietojen käsittelyä, kuten oikeushenkilön nimeä, oikeudellista muotoa ja yhteystietoja.

Puhtaasti B2B-toimintaan keskittyvien yritysten ei silti kannata vielä huokaista helpotuksesta. Yksityiset elinkeinonharjoittajat eivät ole erillisiä oikeushenkilöitä, joten heidän tietoja suojaa samat määräykset kuin yksityishenkilöitäkin.

Mikä lasketaan henkilötiedoksi?

Henkilötietoja ovat lähtökohtaisesti kaikki tiedot, joiden avulla voidaan yksilöidä yksittäinen käyttäjä. Selkeiden nimi, osoite- ja yhteystietojen lisäksi henkilötiedoiksi voidaan laskea myös erilaiset asiakasnumerot sekä IP-osoitteet, sijainti- ja evästetiedot, joita kerätään ja tallennetaan kotisivujen kautta.

Termit haltuun!

Rekisterinpitäjä, käsittelijä, rekisteröity… Kerrataan lyhyesti, keitä sopassa on mukana.

Rekisterinpitäjä on henkilötietorekisteristä vastuullinen taho, eli esimerkiksi verkkokauppaa harjoittava yritys. Käsittelijä taas on sellainen taho, joka käsittelee toiminnassaan kyseisen verkkokaupan asiakasdataa, kuten vaikkapa verkkokaupan kirjanpitäjä tai palvelintilan tarjoaja (esimerkiksi Zoner), jonka palvelimille tieto tallentuu. Rekisteröity taas tarkoittaa luonnollista henkilöä, jonka tietoja rekisterissä käsitellään.

Lisäksi yritys voi joutua nimittämään / vapaaehtoisesti nimittää erillisen tietosuojavastaavan, jolle on myös säädetty erilaisia vastuita ja tehtäviä henkilötietorekisterin osalta.

Vaatimuksia, oikeuksia ja uhkasakkoja

Asetus sisältää paljon tiukennuksia ja vaatimuksia tietojenkäsittelyn osalta. Vaikka monet vaatimuksista ovat haastavia ja osin tulkinnanvaraisiakin, on asetuksen perusperiaate selkeä ja ymmärrettävä. Yritysten tulisi kerätä ja käsitellä vain sellaisia henkilötietoja, joita toiminnan osalta tarvitaan ja joihin asiakkailta on myös suostumus.

Oikeus henkilötietojen käsittelyyn

Selkeä vaatimus on, että henkilötietojen käsittelyyn täytyy olla oikeus. Oikeus voi muodostua esimerkiksi tilatun palvelun osalta, eli tietoja tarvitaan palvelun toimittamista varten. Oikeus käsittelyyn voi myös muodostua rekisteröidyn erillisestä selkeästä suostumuksesta. Esimerkiksi rekisteröity tilaa yrityksen uutiskirjeen erillisen lomakkeen kautta. Oikeus voi muodostua myös jonkin lakiin säädetyn velvollisuuden osalta. Esimerkiksi .fi-verkkotunnuksia käsittelevään lakiin sähköisen viestinnän palveluista on kirjattu, että .fi verkkotunnuksen välittäjällä on automaattisesti oikeus käsitellä verkkotunnuksen haltijan henkilötietoja.

Kerättyjä henkilötietoja ei kuitenkaan voi käyttää aivan mihin tahansa, vaan niiden käsittelyn tulisi kohdistua juurikin siihen tarkoitukseen, johon niiden osalta on oikeus muodostunut. Mikäli tämä oikeus myöhemmin poistuu, ei henkilötietoja enää saisi käsitellä tai säilyttää.

Rekisterinpitäjällä on myös osoitusvelvollisuus siitä, että GDPR-asetusta noudatetaan. Tämä tarkoittaa, että erilaiset prosessit, kuten tietojen keruu, säilyttäminen ja poistaminen dokumentoidaan.

Rekisteröidyn oikeudet

gdpr oikeudetIsoimmat muutokset toimintaan tulevat rekisteröityjen oikeuksien osalta. Oikeuksia ovat:

  • Oikeus saada tallennetut tiedot nähtäväksi.
  • Oikeus saada tietoja muutetuksi.
  • Oikeus saada tietonsa itselleen koneellisesti luettavassa muodossa.
  • Oikeus vastustaa ja rajoittaa asiakastietojen käsittelyä.
  • Oikeus tulla unohdetuksi.
  • Oikeus tulla informoiduksi tietosuojan rikkoutumisesta.

Sakot ja sanktiot

Suurin uutisoitu huomio on kiinnitetty luonnollisesti sanktioihin, joista on myös asetuksessa säädetty. Suurimmillaan yritys voidaan tuomita rikkomuksista sakkoihin, jotka vastaavat 4% yrityksen liikevaihdosta maksimissaan 20 miljoonaan euroon asti. Luonnollisesti ennen sakotusta on käytössä myös pehmeämpiä keinoja, kuten varoituksia, huomautuksia sekä velvoittavia määräyksiä.

Tietosuojavaltuutetun toimiston ohjeistuksia

Jokaisen yrityksen ja muun sähköisen toimijan, on hyvä jo kartoittaa sekä sisäistää tärkeimpiä asioita henkilötietojen keruun ja käsittelyn osalta. Esimerkiksi tietosuojavaltuutetun toimisto on julkaissut virallisia ohjeistuksia GDPR-asetukseen liittyen seuraavalla sivullaan:
https://tietosuoja.fi/euroopan-tietosuojaneuvoston-ohjeet

Seuraavan linkin takaa löytyy myös usein kysyttyjä kysymyksiä liittyen yleisesti GDPR-asetukseen yksityishenkilöiden näkökulmasta:
https://tietosuoja.fi/gdpr

Zoner ja GDPR

Koska Zoner toimii myös asiakkaidensa asiakasdatan käsittelijänä, olemme huomioineet tämän jo sopimusehdoissamme. Meiltä tilattujen palveluiden ehdoissa sovitaan samalla automaattisesti myös henkilö-, välitys- ja sijaintitietojen käsittelyyn liittyvistä kohdista, eikä esimerkiksi erillistä DPA-sopimusta tarvita.

Lukijalle:

Huomioithan, että kirjoittaja ei ole lakimies, eli kirjoitusta ei kannata sellaisenaan käyttää omaa toimintaa ohjaavana ohjeistuksena, vaan lähinnä herätyksenä tutustumaan ja selvittämään GDPR-asetukseen liittyviä velvoitteita ja toimenpiteitä omassa toiminnassa.

Lue koko GDPR-asetus suomeksi

Mikäli tiukka lakiteksti ei pelota ja haluat tutustua aiheeseen syvemmin, suosittelen tutustumaan asetukseen Euroopan Unionin virallisesta lehdestä. Koko GDPR-asetus on luettavissa Suomeksi täältä:
http://eur-lex.europa.eu/legal-content/FI/TXT/PDF/?uri=CELEX:32016R0679&from=en

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on pinterest