Helsingin toimisto
Käyntiosoite: Kalevankatu 12, 00100 Helsinki
Postiosoite: PL 68, 00131 Helsinki
Puhelin: 09 228 601 (vaihde)
kauppakamari@helsinki.chamber.fi
10 kysymystä tietosuoja-asetuksesta
Julkaistu:
Yrityksissä, viranomaisissa, säätiöissä ja muissa yhteisöissä, joissa käsitellään henkilötietoja, ryhdytään soveltamaan tietosuoja-asetusta 25.5.2018 lähtien. Olethan valmistautunut uudistukseen?
1. Mikä tietosuoja-asetus on?
Tietosuoja-asetus (GDPR) on suoraan kaikissa EU-maissa noudatettava asetus, jossa määrätään muun muassa henkilötietojen keräämisestä, tallentamisesta ja käytöstä. Asetus on suoraan velvoittavaa eli sitä ei tarvitse saattaa voimaan kansallisella lainsäädännöllä.
2. Milloin asetus tulee voimaan?
Asetus on tullut voimaan keväällä 2016. Nyt on meneillään kahden vuoden siirtymäaika ja tietosuoja-asutusta aletaan soveltaa 25.5.2018 lähtien siirtymäajan päätyttyä.
3. Mistä tiedämme, koskeeko asetus meitä?
Asetus koskee viranomaisia, säätiöitä, yrityksiä ja muita yhteisöjä, mikäli ne käsittelevät henkilötietoja. Eli mikäli käsittelette henkilötietoja, koskee asetus myös teitä.
4. Mitä henkilötiedoilla tarkoitetaan?
Yksinkertaistaen henkilötieto on tieto tai merkintä, joka koskee luonnollista henkilöä (ihmistä) taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavat, ja jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi.
5. Pitääkö henkilötietolakia edelleen noudattaa?
Henkilötietolaki esitetään kumottavaksi. Jokaisessa maassa kuten myös Suomessa tulee kuitenkin olemaan edelleen kansallista lainsäädäntöä henkilötietojen käsittelyyn liittyen tietosuoja-asetuksen lisäksi. Muutokset Suomen lainsäädäntöön on tarkoitus saada valmiiksi 25.5.2018 mennessä.
6. Pitäisikö meidän valmistautua tietosuoja-asetukseen?
Kyllä. Jokaisessa yrityksessä tulisi kartoittaa muun muassa mitä henkilötietoja kerätään, säilytetään, luovutetaan ja tuhotaan, sekä millä perusteella suoritetaan edellä lueteltuja käsittelytoiminpiteitä. Lisäksi tulee selvittää muun muassa missä tiedot ovat ja onko huolehdittu muun muassa tietoturvasta ja siitä, että vain ne henkilöt käsittelevät henkilötietoja, joilla on oikeus käsittelyyn.
7. Voimmeko nimittää tietosuojavastaavan, vaikka tietosuoja-asetuksen mukaan ei olisi pakko?
Kyllä, tietosuojavastaava voidaan nimittää, vaikka tietosuoja-asetuksen mukaan siihen ei olisi velvollisuutta. Toisaalta olisi hyvä perustella miksi tietosuojavastaavaa ei nimitetä.
8. Miten henkilötunnusta voi käsitellä jatkossa?
Tietosuoja-asetuksessa ei suoraan säännellä henkilötunnuksen käyttöä. Tietosuoja-asetuksessa on kuitenkin määräyksiä erityisiä henkilötietoryhmiä koskevien tietojen käsittelystä joita saa käsitellä vain, jos asetuksessa määritelty peruste täyttyy. Erityisen henkilötiedon määritelmä vastaa pitkälti henkilötietolain mukaisia arkaluonteisia tietoja.
9. Onko rekisteröidyllä oikeus päästä käsiksi henkilötietoihinsa?
Rekisteröidyllä on muun muassa oikeus saada rekisterinpitäjältä vahvistus siitä, että hänen tietojaan käsitellään tai ei käsitellä ja lisäksi oikeus päästä henkilötietoihin sekä tietosuoja-asetuksen mukaiset lisätiedot.
10. Onko henkilötietojen käsittelijällä jossain tilanteissa vahingonkorvausvastuu?
Kyllä, mikäli henkilölle aiheutuu tietosuoja-asetuksen rikkomisesta vahinkoa, on henkilöllä oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvausta vahingosta.
Mika Lahtinen
lakimies
Helsingin seudun kauppakamari
