tietosuojaweb

 

1. Mikä tietosuoja-asetus on? 
Tietosuoja-asetus (GDPR) on suoraan kaikissa EU-maissa noudatettava asetus, jossa määrätään mm. henkilötietojen keräämisestä, tallentamisesta ja käytöstä. Asetus on suoraan velvoittavaa eli sitä ei tarvitse saattaa voimaan kansallisella lainsäädännöllä. 

2. Milloin asetus tulee voimaan?
Asetus on tullut voimaan keväällä 2016. Nyt on meneillään kahden vuoden siirtymäaika ja tietosuoja-asutusta aletaan soveltaa 25.5.2018 lähtien siirtymäajan päätyttyä.

3. Mistä tiedämme, koskeeko asetus meitä?
Asetus koskee viranomaisia, säätiöitä, yrityksiä ja muita yhteisöjä, mikäli ne käsittelevät henkilötietoja. Eli mikäli käsittelette henkilötietoja, koskee asetus myös teitä.

4. Mitä henkilötiedoilla tarkoitetaan?
Yksinkertaistaen henkilötieto on tieto tai merkintä, joka koskee luonnollista henkilöä (ihmistä) taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavat, ja jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi.

5. Pitääkö henkilötietolakia edelleen noudattaa?
Henkilötietolaki esitetään kumottavaksi. Jokaisessa maassa kuten myös Suomessa tulee kuitenkin olemaan edelleen kansallista lainsäädäntöä henkilötietojen käsittelyyn liittyen tietosuoja-asetuksen lisäksi. Muutokset Suomen lainsäädäntöön on tarkoitus saada valmiiksi 25.5.2018 mennessä. 

6. Pitäisikö meidän valmistautua tietosuoja-asetukseen?
Kyllä. Jokaisessa yrityksessä tulisi kartoittaa mm. mitä henkilötietoja kerätään, säilytetään, luovutetaan ja tuhotaan, sekä millä perusteella suoritetaan edellä lueteltuja käsittelytoiminpiteitä. Lisäksi tulee selvittää mm. missä tiedot ovat ja onko huolehdittu mm. tietoturvasta ja siitä, että vain ne henkilöt käsittelevät henkilötietoja, joilla on oikeus käsittelyyn.

7. Voimmeko nimittää tietosuojavastaavan, vaikka tietosuoja-asetuksen mukaan ei olisi pakko?
Kyllä, tietosuojavastaava voidaan nimittää, vaikka tietosuoja-asetuksen mukaan siihen ei olisi velvollisuutta. Toisaalta olisi hyvä perustella miksi tietosuojavastaavaa ei nimitetä.

8. Miten henkilötunnusta voi käsitellä jatkossa?
Tietosuoja-asetuksessa ei suoraan säännellä henkilötunnuksen käyttöä. Tietosuoja-asetuksessa on kuitenkin määräyksiä erityisiä henkilötietoryhmiä koskevien tietojen käsittelystä joita saa käsitellä vain, jos asetuksessa määritelty peruste täyttyy. Erityisen henkilötiedon määritelmä vastaa pitkälti henkilötietolain mukaisia arkaluonteisia tietoja. 

9. Onko rekisteröidyllä oikeus päästä käsiksi henkilötietoihinsa?
Rekisteröidyllä on mm. oikeus saada rekisterinpitäjältä vahvistus siitä, että hänen tietojaan käsitellään tai ei käsitellä ja lisäksi oikeus päästä henkilötietoihin sekä tietosuoja-asetuksen mukaiset lisätiedot. 

10. Onko henkilötietojen käsittelijällä jossain tilanteissa vahingonkorvausvastuu?
Kyllä, mikäli henkilölle aiheutuu tietosuoja-asetuksen rikkomisesta vahinkoa, on henkilöllä oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvausta vahingosta.

lakimies Mika Lahtinen