Yritykset joutuvat käsittelemään yksityishenkilöiden henkilötietoja hyvin monista syistä, yleensä vähintään asiakasrekisterin ylläpitämiseksi tai työntekijöistään. Nykyisin henkilötietojen käsittelyyn sovelletaan Euroopan unionin yleistä tietosuoja-asetusta, jota kutsutaan usein sen englanninkielisellä lyhenteellä GDPR (General Data Protection Regulation).
GDPR säätelee henkilötietojen käsittelyä
GDPR-asetuksen mukaisesti toimiminen ei ole vaikeaa, kunhan käy huolella läpi siinä edellytetyt toimenpiteet. Vaikka asetuksessa on mahdollisuus suuriin sanktioihin, eivät nämä käytännössä realisoidu pienille yrityksille, vaan ensisijaisesti valvontaviranomaiset antavat ohjeita ja määräyksiä ja hallinnollisiin sakkoihin päädytään vasta, jos muut keinot eivät ole tehonneet. Lindblad auttaa yritystäsi varmistamaan, että henkilötietojen käsittely on asetuksen mukaista.
Muistettavaa henkilötietojen käsittelyssä
Henkilötietojen käsittelyllä tarkoitetaan tietojen keräämistä, tallentamista, säilyttämistä, käyttöä, siirtämistä, luovuttamista ja poistamista. Tietosuoja-asetusta sovelletaan silloin, kun henkilötietoja käsitellään automaattisesti tai kun tiedot muodostavat tai niiden on tarkoitus muodostaa rekisteri. Rekisterillä tarkoitetaan jäsenneltyä tietojoukkoa, josta yksittäinen tieto on löydettävissä helposti. Esimerkiksi asiakasrekisteri, joka on järjestetty vaikkapa luetteloksi tai kortistoksi, on lain tarkoittama rekisteri.
Kun yritys käsittelee henkilötietoja, on tietojen keräämiselle oltava laillinen peruste, joita on useita:
Yksi peruste voi olla rekisteröidyn eli sen henkilön, josta tietoja kerätään, suostumus, mutta asiakassuhteissa tavallisempaa on, että tietojen tietojenkäsittelyn laillinen peruste on sopimus. Tällöin saadaan käsitellä kaikkia niitä henkilötietoja, joita tarvitaan sopimuksen täytäntöönpanemiseksi eli esimerkiksi nimeä ja osoitetietoja.
Toinen yritystoiminnassa tärkeä käsittelyperuste voi olla lakiperusteinen. Henkilötietoja saa käsitellä aina silloin, kun lainsäädännössä määrätään tästä. Esimerkiksi kirjanpitolaissa asetetaan vaatimuksia kirjanpitoaineiston säilytyksestä pääsääntöisesti vähintään 10 vuoden ajaksi. Lisäksi erityisaloilla voi olla omaa lainsäädäntöään, kuten sosiaali- ja terveydenhuollon palveluja tarjottaessa.
Kolmas käsittelyperuste, joka voi tulla yritystoiminnassa eteen on oikeutettu etu. Yritys voi taloudellisten intressiensä puitteissa kohdentaa esimerkiksi suoramarkkinointia asiakkaisiin. Tällöin on kuitenkin tarvittaessa kyettävä todistamaan, ettei toiminta vaaranna rekisteröidyn etuja ja oikeuksia. Todistamiseen voidaan käyttää ns. tasapainotustestiä, johon kerätään käsittelyn hyödyt ja riskit ja käsittely voidaan katsoa lainmukaiseksi, jos riskiä rekisteröidylle ei aiheudu.
Kaikessa henkilötietojen käsittelyssä pitää muistaa, että tärkeää on huolehtia yleisistä tietosuojaperiaatteista, kuten tietojen minimoinnista, eli on sallittua kerätä ainoastaan sellaisia tietoja, joita välttämättä tarvitaan.
Lisäksi on huolehdittava rekisteröidyn oikeuksista, joihin kuuluvat muun muassa mahdollisuus tarkastaa itseään koskevat tiedot, saada tieto mihin tarkoitukseen tietoja kerätään sekä saada ne tietyissä tilanteissa poistettua. Tietojen poistosta voi herätä kysymyksiä, sillä oikeus ei ole absoluuttinen. Sellaisia tietoja ei voida esimerkiksi vaatia poistettavan, jotka lain nojalla on pakko säilyttää taikka joita tarvitaan sopimuksen täytäntöönpanemiseksi. Rekisteröidylle pitää lain mukaan ilmoittaa, että jos hän ei suostu tietojensa antamiseen, ei esimerkiksi sopimusta ole mahdollista tehdä.
Viimeiseksi kannattaa tarkastella yrityksen sisäisiä prosesseja, jotta on olemassa suunnitelma, kuinka tietoja käsitellään sekä valmistauduttava mahdollisten tietomurtojen kohdalla ilmoittamaan sekä rekisteröidylle että valvontaviranomaiselle, mikäli tätä laissa vaaditaan.
Tietosuojaseloste
Laissa ei vaadita tietosuojaselosteen tekemistä, mutta se on kätevä tapa antaa rekisteröidyille tiedot tietojen käsittelystä, jotka heille on lain perusteella annettava. Tietosuojaseloste on hyvin saman tyyppinen kuin vanhan lain aikainen rekisteriseloste, mutta siinä on eroja sisällön suhteen, jolloin vanhan lain aikainen rekisteriseloste ei suoraan täytä tietosuoja-asetuksen vaatimuksia. Lindblad voi auttaa yritystäsi tekemään selkeän ja kattavan tietosuojaselosteen, jonka voit pitää asiakkaidesi nähtävillä.
Seloste käsittelytoimista
Seloste käsittelytoimista ei välttämättä ole tarpeellinen, jos yrityksessä tai organisaatiossa on alle 250 työntekijää. Se on yrityksen sisäinen dokumentti, joka on tarvittaessa esitettävä valvontaviranomaiselle. Sen tietosisältö on osittain yhtenevä sen kanssa mitä myös rekisteröidylle on ilmoitettava, mutta seloste käsittelytoimista sisältää kaikki yrityksen käsittelemät henkilötietoryhmät kuin myös kuvauksen tietojen suojaamisen periaatteista.
Vaikka organisaatiossa olisi alle 250 työntekijää, on seloste kuitenkin tehtävä, jos henkilötietojen käsittely ei ole satunnaista (työntekijöiden henkilötietojen käsittely on jatkuvaa samoin kuin jos organisaatiolla on esimerkiksi verkkokauppa), jos käsittely voi aiheuttaa riskin rekisteröidyn oikeuksille taikka jos käsitellään erityisiä tietoryhmiä, kuten henkilön terveyteen liittyviä tietoja.
Sekä henkilötietojen käsittelijän että rekisterinpitäjän on laadittava seloste, mikäli jokin ehdoista täyttyy. Jos yrityksessä on alle 250 työntekijää ja vain yhdessä henkilötietoryhmässä täyttyy jokin ehdoista, seloste on tehtävä vain tätä kyseistä tietoryhmää koskien. Voimme selvittää, tarvitseeko yrityksesi
Apunasi monipuolinen kokemuksemme yritysoikeuden ja yritysjuridiikan palveluista
Tarjoamme yritysasiakkaille laajoja ja asiantuntevia asianajo- ja neuvontapalveluja niin päivittäistä liiketoimintaa kuin sopimuksia tai vaikkapa yrityskauppoja koskien.
Ota yhteyttä
Täytä oheinen yhteydenottolomake ja palaamme asiaasi pian! Voit myös tutustua sivustomme monipuolisiin materiaaleihin, kuten artikkeleihin ja oppaisiin.