Mikä on GDPR?

EU:n yleinen tietosuoja-asetus tuli sovellettavaksi toukokuussa 2018. Tietosuoja-asetuksesta käytetään myös nimitystä GDPR eli General Data Protection Regulation. Tietosuoja-asetuksen tarkoituksena on suojella luonnollisen henkilön oikeuksia ja vapauksia henkilötietojen käsittelyssä. Asetusta sovelletaan lähtökohtaisesti kaikkeen henkilötietojen käsittelyyn.

EU:n yleistä tietosuoja-asetusta täydentävä kansallinen tietosuojalaki astui voimaan tammikuussa 2019. Tietosuojalaki toimii yleislakina, joka määrittelee osittain, miten tietosuoja-asetusta sovelletaan Suomessa. Lainsäädännön mukaiset velvoitteet täytyy huomioida kaikessa henkilötietojen käsittelyssä.

Keskeisiä käsitteitä

Henkilötieto

Kaikki sellainen tieto, josta luonnollinen henkilö eli rekisteröity voidaan suoraan tai epäsuorasti tunnistaa. Esimerkiksi nimi, kotiosoite, sähköpostiosoite (etunimi.sukunimi@organisaatio.fi), puhelinnumero, henkilökortin numero tai auton rekisterinumero.

On hyvä huomioida, että tunnistettavuus voi syntyä yhdistelemällä tietoja useista eri tietolähteistä, vaikka mikään yksittäinen tieto ei riittäisi tunnistamiseen. 

Henkilötietojen käsittely

Kaikki henkilötietojen keräämistä, tallentamista, säilyttämistä, järjestämistä, jäsentämistä, muokkaamista, muuttamista, kyselyä, hakemista, käyttämistä, luovuttamista ja käytön rajoittamista koskeva toiminta. Esimerkki Henkilötietojen käsittely edellyttää aina laista löytyvää käsittelyperustetta. Peruste on määritettävä ennen käsittelyn aloittamista. Tietosuoja-asetuksessa on kuusi perustetta, joilla henkilötietojen käsittely on mahdollista: rekisteröidyn suostumus, sopimus, rekisterinpitäjän lakisääteinen velvoite, elintärkeiden etujen suojaaminen, yleistä etua koskeva tehtävä tai julkinen valta tai rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu.

Tietosuoja-asetuksen soveltamisen valvonta, vastuu ja sanktiot

Tietosuoja-asetuksen soveltamista valvoo jokaisessa EU-maassa riippumaton valvontaviranomainen. Suomessa valvontaviranomaisena toimii tietosuojavaltuutetun toimisto.

Jos henkilölle aiheutuu tietosuoja-asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus. Kukin tietojenkäsittelyyn osallistunut rekisterinpitäjä on vastuussa vahingosta.

Vakavimmista henkilötietojen suojan loukkauksista voidaan tuomita rikoslain mukainen rangaistus.

Onko organisaatiossanne tarvetta GDPR-koulutukselle? Navisec-verkkokoulutusjärjestelmään on saatavilla GDPR-koulutus, jossa käsitellää mm. seuraavia asioita: henkilörekisterin ylläpitäjän vastuut ja velvollisuudet, osoitusvelvollisuuden hoitaminen ja mitkä ovat rekisteröidyn oikeudet. Lue lisää vastuuhenkilön GDPR-koulutuksesta.