EU:n tietosuoja-asetus GDPR

EU:n tietosuoja-asetus GDPR

EU:n tietosuoja-asetusta (General Data Protection Regulation, GDPR) aloitetaan soveltamaan 25.5.2018. Tietosuoja-asetuksen muutoksella EU pyrkii vastaamaan teknologioiden nopeaan kehitykseen sekä parantamaan henkilötietojen suojaa ja yleistä luottamusta verkkopalveluita kohtaan.

Monet henkilötietojen käsittelyn periaatteet säilyvät ennallaan, mutta rinnalle tulee uusia tietosuojaa ja henkilötietojen käsittelyä koskevia velvoitteita, joihin rekisterinpitäjien ja henkilötietojen käsittelijöiden on pystyttävä vastaamaan.

Keskeistä ja uutta tietosuoja-asetuksessa on mm. riskiperusteinen lähestymistapa ja rekisterinpitäjän osoitusvelvollisuus. Osoitusvelvollisuus tarkoittaa, että rekisterinpitäjän on pystyttävä osoittamaan noudattavansa tietosuoja-asetusta. Tästä syystä mm. henkilötietojen käsittely on suunniteltava ennalta ja dokumentoitava. Rekisterinpitäjän velvollisuudet kasvavat sen mukaisesti mitä korkeampia riskejä henkilötietojen käsittelyyn liittyy. Tietosuoja-asetuksen rikkomisesta voi seurata varoitus, huomautus, tietojenkäsittelyn keskeyttäminen tai sakko.

Asetus parantaa yksilön oikeuksia henkilötietojensa käsittelyssä

Jatkossa jokaisella on aiempaa vahvemmat oikeudet mm. tietää mitä tietoa hänestä kerätään, mihin tarkoitukseen, missä tietoja säilytetään ja kuka tietoja käsittelee.

Tietosuoja-asetus tuo rekisteröidylle mm. oikeudet:

  • Tietää mitä tietoja hänestä kerätään
  • Mahdollisuuden kieltää itseään koskevan tiedon kerääminen ja käsittely sekä vaatia jo kerättyjen tietojen poistamista
  • Saada itseään koskevat tiedot koneluettavassa muodossa
  • Saada tieto, jos itseään koskevia merkittäviä henkilötietoja on vuotanut ulkopuolisille

Keskeisimmät termit

Henkilötietoa on kaikki tieto, joka on yksilöitävissä tiettyyn henkilöön. Henkilön voi tunnistaa esimerkiksi nimestä, henkilötunnuksesta, sähköpostista, ip-osoitteesta, tilinumerosta, kuvasta tai asiakaspalvelun äänitallenteesta.

Rekisterinpitäjällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.

Henkilötietojen käsittelijällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.

Henkilötietojen käsittelijän ja rekisterinpitäjän väliset sopimukset, vastuut ja velvollisuudet

Tietosuoja-asetus edellyttää, että rekisterinpitäjän on tehtävä henkilötietojen käsittelijän kanssa tietojenkäsittelyä koskeva sopimus.

Sopimuksen tavoitteena on määritellä henkilötietojen käsittelyä koskevia vastuita ja velvollisuuksia, joita ovat mm.

Henkilötietojen käsittelijällä:

  • Toimia aina rekisterinpitäjän ohjeiden mukaisesti
  • Avustaa rekisterinpitäjää tarvittaessa
  • Auttaa rekisterinpitäjää ilmoitusvelvollisuuden täyttämisessä mm. tietoturvaloukkausten yhteydessä
  • Auttaa rekisterinpitäjää suorittamaan tietosuojaa koskeva vaikutusarviointi henkilötietojen käsittelyyn liittyen
  • Luovuttaa tai poistaa käsittelyn tai palvelusopimuksen päätyttyä kaikki henkilötiedot

Rekisterinpitäjällä:

  • Huolehtia, että henkilötietojen käsittelyissä on toteutettu riittävät turvatoimenpiteet mm. henkilötietojen häviämisen, muuttamisen ja luvattoman käytön estämiseksi

Sopimusten tulee aina olla kirjallisia. Varmista, että solmittavat sopimukset kattavat myös mahdolliset alihankkijat. Tärkeää on ymmärtää, että rekisterinpitäjällä on aina ensisijainen vastuu koko henkilötietojen käsittelyketjusta.

Planeetta Internet on huolehtinut sopimisen asiakkaidemme (rekisterinpitäjän) puolesta tietosuojaehdot liitteellä, joka on lisätty osaksi yleisiä sopimusehtoja.

Jos yrityksesi täytyy sopia tietojen käsittelystä muiden yhteistyötahojen kanssa, löydät sopimukseen pohjia tietosuoja.fi sivustolta.

Planeetta Internetin vastuut henkilötietojen käsittelijänä

Olemme sitoutuneet uuden tietosuoja-asetuksen noudattamiseen. Käsittelemme asiakkaidemme tiedostoja pääsääntöisesti koneellisesti. Asiakkaan puolesta tehtävä henkilötietojen käsittely perustuu rekisterinpitäjän valtuutukseen/suostumukseen.

Tiedotamme kaikista havaituista poikkeuksista rekisterinpitäjää. Mikäli poikkeamat edellyttävät tiedottamista loppukäyttäjälle tai viranomaisille, vastaa rekisterinpitäjä tiedottamisesta.

Olemme lisänneet yleisiin sopimusehtoihimme liitteen “tietosuojaehdot”, jolla laajennetaan sopimusehtomme vastaamaan EU:n yleisen tietosuoja-asetuksen vaatimuksia.
Sopimusliitteellä katetaan vaatimus kirjallisesta sopimisesta tilanteissa, joissa Planeetta on henkilötietojen käsittelijänä asiakkaidemme ylläpitämässä henkilötietorekisterissä.

Tietosuojaliitteen lisäys ei edellytä asiakkailtamme toimenpiteitä. Jos asiasta herää kysymyksiä, ole yhteydessä: asiakaspalvelu@planeetta.fi

Tutustu näihin

Tietosuojavaltuutetun toimisto
Yrittäjän tietosuojaopas
(Suomen Yrittäjät)
7 tapaa, miten EU:n tietosuoja-asetus vaikuttaa ohjelmistoyrityksiin
EU:n Yleinen tietosuoja-asetus
Henkilötietolaki

Päivitämme tätä sivua tarvittaessa.