EU:n yleinen tietosuoja-asetus tuli sovellettavaksi toukokuussa 2018. Siitä käytetään myös nimitystä GDPR eli General Data Protection Regulation. Tietosuoja-asetus on tarkoitettu suojelemaan luonnollisen henkilön oikeuksia ja vapauksia henkilötietojen käsittelyssä. Asetusta sovelletaan lähtökohtaisesti kaikkeen henkilötietojen käsittelyyn.
Tietosuoja-asetusta täydentävä kansallinen tietosuojalaki astui voimaan tammikuussa 2019. Tietosuojalaki toimii yleislakina, joka määrittelee osittain, miten tietosuoja-asetusta sovelletaan Suomessa. Lainsäädännön mukaiset velvoitteet täytyy huomioida kaikessa henkilötietojen käsittelyssä.
Kaikki sellainen tieto, josta luonnollinen henkilö eli rekisteröity voidaan suoraan tai epäsuorasti tunnistaa. Esimerkiksi nimi, kotiosoite, sähköpostiosoite (etunimi.sukunimi@organisaatio.fi), puhelinnumero, henkilökortin numero tai auton rekisterinumero.
On hyvä huomioida, että tunnistettavuus voi syntyä yhdistelemällä tietoja useista eri tietolähteistä, vaikka mikään yksittäinen tieto ei riittäisi tunnistamiseen.
Kaikki henkilötietojen keräämistä, tallentamista, säilyttämistä, järjestämistä, jäsentämistä, muokkaamista, muuttamista, kyselyä, hakemista, käyttämistä, luovuttamista ja käytön rajoittamista koskeva toiminta. Esimerkki Henkilötietojen käsittely edellyttää aina laista löytyvää käsittelyperustetta. Peruste on määritettävä ennen käsittelyn aloittamista. Tietosuoja-asetuksessa on kuusi perustetta, joilla henkilötietojen käsittely on mahdollista: rekisteröidyn suostumus, sopimus, rekisterinpitäjän lakisääteinen velvoite, elintärkeiden etujen suojaaminen, yleistä etua koskeva tehtävä tai julkinen valta tai rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu.
Tietosuoja-asetuksen soveltamista valvoo jokaisessa EU-maassa riippumaton valvontaviranomainen. Suomessa valvontaviranomaisena toimii tietosuojavaltuutetun toimisto.
Jos henkilölle aiheutuu tietosuoja-asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus. Kukin tietojenkäsittelyyn osallistunut rekisterinpitäjä on vastuussa vahingosta.
Vakavimmista henkilötietojen suojan loukkauksista voidaan tuomita rikoslain mukainen rangaistus.
Onko organisaatiossanne tarvetta GDPR-koulutukselle? Navisec Easy-palvelusta löytyy sekä GDPR-koulutus että koko henkilöstölle soveltuva yleinen tietosuojakoulutus. Se on erinomainen paketti millä tahansa toimialalla toimivalle yritykselle. Lue lisää Navisec Easy-palvelusta.