Tarkistettu viimeksi: 15/03/2019

Yleinen tietosuoja-asetus

Yhdistyneen kuningaskunnan ilmoitus unionista eroamisesta (SEU-sopimuksen 50 artikla): Lisää tietoa

EU:n lainsäädännön soveltaminen Yhdistyneeseen kuningaskuntaan lakkaa kokonaisuudessaan 30.3.2019, jollei ratifioidussa erosopimuksessa vahvisteta muuta päivämäärää tai jolleivät EU:n neuvosto ja Yhdistynyt kuningaskunta yksimielisesti päätä pidentää kahden vuoden neuvotteluaikaa. Lisätietoa yrityksiin kohdistuvista oikeudellisista vaikutuksista:

Yleisessä tietosuoja-asetuksessa asetetaan yrityksille ja organisaatioille henkilötietojen keräämistä, säilytystä ja hallinnointia koskevat tarkat vaatimukset. Vaatimuksia sovelletaan sekä eurooppalaisiin organisaatioihin, jotka käsittelevät ihmisten henkilötietoja EU:ssa, että EU:n ulkopuolisiin organisaatioihin, joiden suorittama tietojen käsittely kohdistuu EU:n alueella asuviin ihmisiin.

Milloin yleistä tietosuoja-asetusta sovelletaan?

Yleistä tietosuoja-asetusta sovelletaan, jos

EU:n kansalaisten tietoja käsittelevien EU:n ulkopuolisten yritysten on nimettävä EU:ssa toimiva edustaja.

Milloin yleistä tietosuoja-asetusta (GDPR) ei sovelleta?

Yleistä tietosuoja-asetusta ei sovelleta, jos

Mitä henkilötiedoilla tarkoitetaan?

Henkilötiedoilla tarkoitetaan kaikkia tietoja, jotka koskevat tunnistettua tai tunnistettavissa olevaa henkilöä, jota kutsutaan myös rekisteröidyksi. Henkilötietoja ovat muun muassa

Erityiset tietoryhmät

Yritys ei voi käsitellä henkilökohtaisia tietoja, jotka koskevat henkilön

Kuka käsittelee henkilötietoja?

Käsittelyn aikana henkilötiedot voivat kulkea useiden yritysten tai organisaatioiden läpi. Tässä prosessissa toimii kaksi seuraavaa pääprofiilia, jotka hoitavat henkilötietojen käsittelyä:

Kuka valvoo henkilötietojen käsittelyä yrityksessä?

Tietosuojavastaava, jonka yritys on voinut nimetä, valvoo henkilötietojen käsittelyä sekä neuvoo henkilötietoja käsitteleviä työntekijöitä heidän velvoitteistaan ja tiedottaa heille niistä. Tietosuojavastaava tekee yhteistyötä myös tietosuojaviranomaisen kanssa ja toimii yhteyshenkilönä tietosuojaviranomaisen ja yksityishenkilöiden välillä.

Milloin yritykseen on nimettävä tietosuojavastaava?

Yrityksen on nimettävä tietosuojavastaava, kun

Esimerkiksi jos henkilötietoja käsitellään hakukoneiden avulla tehtävää kohdemainontaa varten ihmisten verkkokäyttäytymisen perusteella, yrityksellä on oltava tietosuojavastaava. Jos yritys vain lähettää asiakkailleen mainosmateriaalia kerran vuodessa, se ei tarvitse tietosuojavastaavaa. Samoin tietosuojavastaavaa ei todennäköisesti tarvita, jos lääkäri kerää tietoja potilaidensa terveydestä. Mutta jos yritys käsittelee geneettisiä ja terveydellisiä henkilötietoja sairaalaa varten, tietosuojavastaava tarvitaan.

Tietosuojavastaava voi kuulua organisaation henkilökuntaan tai hänet on voitu palkata organisaation ulkopuolelta palvelusopimuksen perusteella. Tietosuojavastaava voi olla yksilö tai osa organisaatiota.

Tietojenkäsittely toiselle yritykselle

Rekisterinpitäjä voi käyttää vain sellaista tietojenkäsittelijää, joka antaa riittävät takeet tietoturvasäännösten noudattamisesta. Näiden takeiden on sisällyttävä osapuolten väliseen kirjalliseen sopimukseen Sopimuksen on sisällettävä myös muutamia pakollisia lausekkeita, esim. että tietojenkäsittelijä käsittelee henkilötietoja vain, kun rekisterinpitäjä sitä pyytää.

Tiedonsiirto EU:n ulkopuolelle

Kun henkilötietoja siirretään EU:n ulkopuolelle, yleisen tietosuoja-asetuksen tarjoaman suojan on siirryttävä tietojen kanssa. Tämä tarkoittaa, että jos yritys vie tietoja ulkomaille, sen on varmistettava, että jokin seuraavista toteutuu:

Milloin tietojenkäsittely on sallittua?

EU:n tietosuojasäännöt edellyttävät, että tietoja käsitellään asianmukaisesti ja lainmukaisesti tiettyä ja laillista tarkoitusta varten ja että vain tätä tarkoitusta varten tarvittavia tietoja käsitellään. Yrityksen on huolehdittava siitä, että käsitelläkseen henkilötietoja se täyttää jonkin seuraavista ehdoista:

Tietojenkäsittelyyn suostuminen

Yleisessä tietosuoja-asetuksessa on tiukat säännöt siitä, että tietojenkäsittely perustuu suostumukseen. Näiden sääntöjen tarkoituksena on varmistaa, että henkilö ymmärtää, mihin hän suostuu. Tämä tarkoittaa, että suostumus olisi annettava vapaaehtoisesti, yksilöidysti, tietoisesti ja yksiselitteisesti vastauksena selkeällä ja yksinkertaisella kielellä esitettyyn pyyntöön. Suostumus olisi annettava suostumusta ilmaisevalla toimella, kuten rastittamalla ruutu verkkosivuilla tai allekirjoittamalla lomake.

Kun henkilö hyväksyy henkilötietojensa käsittelyn, tietoja voidaan käsitellä vain niitä käyttötarkoituksia varten, joihin suostumus on annettu. Henkilölle on myös annettava mahdollisuus peruuttaa suostumuksensa.

Avoin tiedotus tietojen käsittelystä

Henkilöille on annettava selkeä tieto siitä, kuka käsittelee heidän henkilötietojaan ja miksi. Vähintään seuraavat tiedot on annettava:

Joissain tapauksissa yrityksen antamista tiedoista on käytävä ilmi myös seuraavaa:

Tämä tieto on esitettävä selkeällä ja yksinkertaisella kielellä.

Lapsia koskevat erityissäännöt

Jos suostumuksen perusteella kerätään henkilötietoja lapsesta, esimerkiksi käyttämällä sosiaalisen median tiliä tai lataustiliä, on ensin hankittava vanhempien suostumus, esim. lähettämällä ilmoitus vanhemmalle tai huoltajalle. Ikä, johon asti henkilön katsotaan olevan lapsi, riippuu asuinmaasta ja vaihtelee 13–16 vuoden välillä.

Oikeus päästä tietoihin ja siirtää tiedot järjestelmästä toiseen

Henkilöille täytyy taata ilmainen pääsy omiin henkilötietoihinsa. Jos yritys saa tällaisen pyynnön, sen on

Kun käsittely perustuu suostumukseen tai sopimukseen, henkilö voi myös pyytää yritystä palauttamaan henkilötietonsa tai lähettämään ne toiselle yritykselle. Tätä kutsutaan tiedon siirto-oikeudeksi. Tiedot on annettava yleisesti käytetyssä ja koneella luettavassa muodossa.

Oikeus korjata ja oikeus vastustaa

Jos henkilö uskoo, että hänen henkilötietonsa ovat virheelliset, puutteelliset tai epätarkat, hänellä on oikeus saada tietonsa oikaistuiksi tai täydennetyiksi ilman aiheetonta viivytystä.

Jos näin tapahtuu, yrityksen on ilmoitettava tietojen muuttamisesta tai poistamisesta kaikille henkilötietojen vastaanottajille, joiden kanssa henkilötiedot on jaettu. Jos jaetut henkilötiedot ovat virheelliset, tästä voidaan joutua ilmoittamaan myös kaikille niille, joiden nähtäville ne on asetettu (paitsi jos tämä vaatii kohtuuttomia ponnistuksia).

Henkilö voi myös milloin tahansa vastustaa henkilötietojensa käsittelyä tiettyyn käyttötarkoitukseen, kun yritys käsittelee tietoja oikeutettujen etujensa perusteella tai yleisen edun vuoksi toteutettavaan tehtävään. Ellei yrityksellä ole oikeutettua etua, joka syrjäyttää henkilön edun, yrityksen on lopetettava henkilötietojen käsittely.

Yksilö voi myös pyytää, että hänen henkilötietojensa käsittelyä rajoitetaan sen aikaa, kun määritetään, syrjäyttääkö yrityksen etu hänen etunsa. Suoramarkkinoinnissa henkilötietojen käsittely on kuitenkin lopettava aina, jos henkilö sitä pyytää.

Oikeus tietojen poistamiseen (oikeus tulla unohdetuksi)

Joissakin olosuhteissa henkilö voi pyytää rekisterinpitäjää poistamaan henkilötietonsa, esimerkiksi jos tietoja ei enää tarvita käsittelyn tarkoitukseen. Yrityksen ei kuitenkaan ole pakko poistaa tietoja, jos

Automaattinen päätöksenteko ja profilointi

Henkilöillä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn. Tähän sääntöön on kuitenkin joitakin poikkeuksia, esimerkiksi tapauksissa, joissa henkilö on antanut nimenomaisen suostumuksensa automaattiseen päätökseen. Tähän eivät sisälly tapaukset, joissa automaattinen päätös perustuu lakiin, jolloin yrityksen on

Jos esimerkiksi pankki automatisoi päätöksensä siitä, myöntääkö se lainan tietylle henkilölle, kyseiselle henkilölle olisi ilmoitettava automaattisesta päätöksestä ja annettava tilaisuus riitauttaa päätös ja vaatia päätöksentekoon osallistumista.

Tietoturvaloukkaus - asianmukaisen ilmoituksen antaminen

Tietoturvaloukkaus on kyseessä, kun yrityksen vastuulla olevia tietoja on luovutettu, joko vahingossa tai laittomasti, valtuuttamattomille vastaanottajille tai kun niihin pääsy on tilapäisesti estetty tai tietoja on muutettu.

Jos tietoturvaloukkaus tapahtuu ja loukkaus aiheuttaa riskin henkilön oikeuksille ja vapauksille, siitä on ilmoitettava tietosuojaviranomaiselle 72 tunnin kuluessa tietoon tulleesta loukkauksesta.

Riippuen siitä, aiheutuuko tietoturvaloukkauksesta suurta riskiä kyseisille henkilöille, yritys voidaan myös velvoittaa ilmoittamaan tapauksesta heille kaikille.

Tietopyyntöön vastaaminen

Jos yritys vastaanottaa pyynnön henkilöltä, joka haluaa käyttää oikeuksiaan, pyyntöön on vastattava ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Tätä vastausaikaa voidaan jatkaa kahdella kuukaudella, jos pyyntö on monimutkainen tai niitä on useita. Henkilölle on ilmoitettava vastausajan jatkamisesta. Pyynnöt on käsiteltävä maksutta.

Jos pyyntö hylätään, henkilölle on ilmoitettava hylkäyksen syistä ja hänen oikeudestaan tehdä kantelu tietosuojaviranomaiselle.

Vaikutustenarvioinnit

Tietosuojaa koskeva vaikutustenarviointi on pakollinen aina, kun käsittelyyn liittyy henkilön oikeuksien ja vapauksien kannalta suuri riski, esim. uusia tekniikoita käytettäessä.

Tällainen suuri riski on olemassa silloin, kun

Huomautus: Tietosuojaviranomaiset voivat pitää myös muita tietojenkäsittelyn ryhmiä erityisen riskialttiina.

Jos tietosuojaa koskevassa vaikutustenarvioinnissa ilmoitetut toimenpiteet eivät poista kaikkia tunnistettuja suuria riskejä, tietosuojaviranomaista on kuultava ennen suunniteltua tietojenkäsittelyä.

Henkilötietojen käsittelyn dokumentointi

Yrityksen on pystyttävä osoittamaan, että se toimii yleisen tietosuoja-asetuksen mukaisesti ja täyttää kaikki sovellettavat velvoitteet, erityisesti tietosuojaviranomaisen pyynnöstä tai sen suorittamassa tarkastuksessa.

Tämä voidaan tehdä esimerkiksi ylläpitämällä yksityiskohtaista rekisteriä seuraavista tiedoista:

Yrityksen on myös laadittava – ja päivitettävä säännöllisesti – kirjallisia menettelytapoja ja ohjeita sekä ilmoitettava niistä työntekijöilleen.

Jos yritys on pk-yritysen tai vielä pienempi yritys, sen ei tarvitse pitää rekisteriä käsittelytoimista, jos se

  • ei tee käsittelytoimia säännöllisesti
  • ei toteuta toimia, jotka vaikuttavat asianomaisten henkilöiden oikeuksiin tai vapauksiin
  • ei käsittele arkaluontoisia tietoja tai rikosrekistereitä.

Sisäänrakennettu ja oletusarvoinen tietosuoja

Sisäänrakennettu tietosuoja tarkoittaa, että yrityksen on huomioitava tietosuoja henkilötietojen uusien käsittelytapojen suunnittelun alkuvaiheessa. Tämän periaatteen mukaisesti rekisterinpitäjän on toteutettava kaikki tarvittavat tekniset ja organisatoriset toimenpiteet tietosuojaperiaatteiden toteuttamiseksi ja henkilöiden oikeuksien suojelemiseksi. Nämä toimenpiteet voivat sisältää esimerkiksi salanimen käytön.

Oletusarvoinen tietosuoja tarkoittaa, että yrityksen on aina tehtävä yksityisyyden kunnioittamisesta oletusasetus. Esimerkiksi jos järjestelmän asetuksissa on kaksi mahdollista yksityisyysasetusta ja yksi näistä estää muiden henkilöiden pääsyn henkilötietoihin, tätä olisi käytettävä oletusasetuksena.

Sääntöjen rikkominen ja seuraamukset

Yleisen tietosuoja-asetuksen noudattamatta jättäminen voi johtaa merkittäviin sakkoihin, joiden suuruus on tiettyjen rikkomusten kohdalla jopa 20 miljoonaa euroa tai 4 prosenttia yrityksen liikevaihdosta. Tietosuojaviranomainen voi määrätä muita korjaavia toimenpiteitä, kuten henkilötietojen käsittelyn lopettamisen.

Usein kysyttyä – tietosuoja ja yksityisyys verkossa

Muita vastaavia aiheita

EU-lainsäädäntö

Tarvitsetko apua?

Asiantuntijamme ovat käytettävissäsi

Paikalliset yritystukipalvelut - Onko sinulla kysyttävää yritystoiminnasta yli maiden rajojen, esimerkiksi viennistä tai toiminnan laajentamisesta toiseen EU-maahan? Enterprise Europe Network -verkoston kautta voit saada maksutonta neuvontapalvelua.

Jaa tämä sivu: