Mies selaa tabletilla verkkosivua
Mies selaa tabletilla verkkosivua

GDPR – rekisterinpitäjän velvoitteet

GDPR (General Data Protection Regulation) on uusi, lähtökohtaisesti kaikkea henkilötietojen käsittelyä koskeva tietosuoja-asetus, jota aletaan soveltaa Euroopan unionin alueella 25.5.2018 alkaen. Sen yhtenä keskeisenä tarkoituksena on parantaa henkilötietojen suojaa ja rekisteröityjen oikeuksia.

Olemme keränneet tähän kymmenen tärkeintä asiaa, jotka rekisterinpitäjän tulee tietää uudesta tietosuoja-asetuksesta. Rekisterinpitäjä tarkoittaa tahoa, jonka käyttöä varten henkilötietorekisteri on perustettu ja joka määrää sen käytöstä. Rekisteri on mikä tahansa henkilöistä tehty luettelo, jossa on yksilöiviä henkilötietoja. Lähestulkoon kaikki yritykset, yhteisöt ja järjestöt ovat siis rekisterinpitäjiä.

10 tärkeintä asiaa
EU:n tietosuoja-asetuksesta rekisterinpitäjälle

  1. Kuinka paljon tietopyyntöjä tehdään?

    Kukaan ei vielä osaa ennustaa, kuinka paljon EU:n tietosuoja-asetuksen perusteella tehtäviä tietopyyntöjä tulee. Todennäköisesti lähes jokainen organisaatio tulee saamaan vähintään muutaman tietopyynnön.

  2. Tiedonantovelvollisuus

    Tietopyyntöön pitää vastata viimeistään kuukauden kuluessa. On hyvä, että organisaatio pystyy osoittamaan, milloin tietopyyntö on tehty.

  3. Turvallisuus ja luottamuksellisuus

    Tietopyynnön tekijä pitää tunnistaa luotettavasti ja henkilötiedot tulee toimittaa pyynnön esittäjälle turvallista kanavaa pitkin. Tiedot eivät saa joutua vääriin käsiin, eikä väärä henkilö saa aiheuttaa toisen henkilön tietojen poistamista.

  4. Asetus koskee kaikkia rekisterinpitäjiä ja henkilötiedon käsittelijöitä

    EU:n tietosuoja-asetus koskee lähtökohtaisesti kaikkia henkilötietoja käsitteleviä tahoja – sekä yrityksiä, julkisen sektorin toimijoita että yhdistyksiä – olit sitten mainostoimisto, kunnallinen päiväkoti tai urheiluseura.

  5. Asetus koskee muitakin henkilötietoja kuin asiakastietoja

    EU:n tietosuoja-asetus koskee muitakin kuin asiakastietoja. Esimerkiksi organisaation työntekijätiedot, koulutustapahtuman osallistujatiedot sekä taloyhtiön asukkaiden tiedot ovat henkilötietoja.

  6. Henkilötietoja koskevat erityyppiset pyynnöt

    Rekisteröity voi pyytää pääsyn tietoihinsa (tietopyyntö), pyytää tulla unohdetuksi, tehdä oikaisupyynnön, rajoituspyynnön, vastustamispyynnön tai pyynnön siirtää tietonsa järjestelmästä toiseen.

  7. Sakot ja muut sanktiot

    Valvontaviranomainen voi antaa asetuksen vaatimusten laiminlyönnistä varoituksen tai huomautuksen, kieltää henkilötietojen käsittelyn tai määrätä hallinnollisen sakon.

  8. Tietojen täsmällisyys

    Kerättyihin tietoihin on rekisteröidyn pyynnöstä tehtävä korjaukset viipymättä, ja jos rekisteröity vaatii tulla unohdetuksi, kaikki tiedot hänestä on poistettava, ellei organisaatiolla ole laillista syytä kieltäytyä poistosta.

  9. Osoitusvelvollisuus

    Rekisterinpitäjän on pystyttävä osoittamaan, että se noudattaa tietosuoja-asetusta kaikissa henkilötietojen käsittelyvaiheissa.

  10. Asetus antaa mahdollisuuden erottua positiivisesti

    EU:n tietosuoja-asetuksen voi kääntää haasteesta kilpailuvaltiksi. Olemalla läpinäkyvä, luotettava ja tarjoamalla hyvää palvelua organisaatiosi voi erottua kilpailusta erityisesti nyt, kun yksityisyydensuoja on jatkuvasti esillä.