Kysy­myk­siä ja vas­tauk­sia tietosuoja-asetuksesta

Kysy­myk­siä ja vas­tauk­sia tietosuoja-asetuksesta

1. Mikä tie­to­suo­ja-ase­tus on?

Tie­to­suo­ja-ase­tus (GDPR) on suo­raan kai­kis­sa EU-mais­sa nou­da­tet­ta­va ase­tus, jos­sa mää­rä­tään mm. hen­ki­lö­tie­to­jen kerää­mi­ses­tä, tal­len­ta­mi­ses­ta ja käy­tös­tä. Ase­tus on suo­raan vel­voit­ta­vaa eli sitä ei tar­vit­se saat­taa voi­maan kan­sal­li­sel­la lainsäädännöllä.

2. Mil­loin ase­tus tulee voimaan?

Ase­tus on tul­lut voi­maan kevääl­lä 2016. Nyt on meneil­lään kah­den vuo­den siir­ty­mä­ai­ka ja tie­to­suo­ja-asu­tus­ta ale­taan sovel­taa 25.5.2018 läh­tien siir­ty­mä­ajan päätyttyä.

3. Mis­tä tie­däm­me, kos­kee­ko ase­tus meitä?

Ase­tus kos­kee viran­omai­sia, sää­tiöi­tä, yri­tyk­siä ja mui­ta yhtei­sö­jä, mikä­li ne käsit­te­le­vät hen­ki­lö­tie­to­ja. Eli mikä­li käsit­te­let­te hen­ki­lö­tie­to­ja, kos­kee ase­tus myös teitä.

4. Mitä hen­ki­lö­tie­doil­la tarkoitetaan?

Yksin­ker­tais­taen hen­ki­lö­tie­to on tie­to tai mer­kin­tä, joka kos­kee luon­nol­lis­ta hen­ki­löä (ihmis­tä) taik­ka hänen omi­nai­suuk­si­aan tai eli­no­lo­suh­tei­taan kuvaa­vat, ja jot­ka voi­daan tun­nis­taa hän­tä tai hänen per­het­tään tai hänen kans­saan yhtei­ses­sä talou­des­sa elä­viä koskeviksi.

5. Pitää­kö hen­ki­lö­tie­to­la­kia edel­leen noudattaa?

Hen­ki­lö­tie­to­la­ki esi­te­tään kumot­ta­vak­si. Jokai­ses­sa maas­sa kuten myös Suo­mes­sa tulee kui­ten­kin ole­maan edel­leen kan­sal­lis­ta lain­sää­dän­töä hen­ki­lö­tie­to­jen käsit­te­lyyn liit­tyen tie­to­suo­ja-ase­tuk­sen lisäk­si. Muu­tok­set Suo­men lain­sää­dän­töön on tar­koi­tus saa­da val­miik­si 25.5.2018 mennessä.

6. Pitäi­si­kö mei­dän val­mis­tau­tua tietosuoja-asetukseen?

Kyl­lä. Jokai­ses­sa yri­tyk­ses­sä tuli­si kar­toit­taa mm. mitä hen­ki­lö­tie­to­ja kerä­tään, säi­ly­te­tään, luo­vu­te­taan ja tuho­taan, sekä mil­lä perus­teel­la suo­ri­te­taan edel­lä lue­tel­tu­ja käsit­te­ly­toi­min­pi­tei­tä. Lisäk­si tulee sel­vit­tää mm. mis­sä tie­dot ovat ja onko huo­leh­dit­tu mm. tie­to­tur­vas­ta ja sii­tä, että vain ne hen­ki­löt käsit­te­le­vät hen­ki­lö­tie­to­ja, joil­la on oikeus käsittelyyn.

7. Voim­me­ko nimit­tää tie­to­suo­ja­vas­taa­van, vaik­ka tie­to­suo­ja-ase­tuk­sen mukaan ei oli­si pakko?

Kyl­lä, tie­to­suo­ja­vas­taa­va voi­daan nimit­tää, vaik­ka tie­to­suo­ja-ase­tuk­sen mukaan sii­hen ei oli­si vel­vol­li­suut­ta. Toi­saal­ta oli­si hyvä perus­tel­la mik­si tie­to­suo­ja­vas­taa­vaa ei nimitetä.

8. Miten hen­ki­lö­tun­nus­ta voi käsi­tel­lä jatkossa?

Tie­to­suo­ja-ase­tuk­ses­sa ei suo­raan sään­nel­lä hen­ki­lö­tun­nuk­sen käyt­töä. Tie­to­suo­ja-ase­tuk­ses­sa on kui­ten­kin mää­räyk­siä eri­tyi­siä hen­ki­lö­tie­to­ryh­miä kos­ke­vien tie­to­jen käsit­te­lys­tä joi­ta saa käsi­tel­lä vain, jos ase­tuk­ses­sa mää­ri­tel­ty perus­te täyt­tyy. Eri­tyi­sen hen­ki­lö­tie­don mää­ri­tel­mä vas­taa pit­käl­ti hen­ki­lö­tie­to­lain mukai­sia arka­luon­tei­sia tietoja.

9. Onko rekis­te­röi­dyl­lä oikeus pääs­tä käsik­si henkilötietoihinsa?

Rekis­te­röi­dyl­lä on mm. oikeus saa­da rekis­te­rin­pi­tä­jäl­tä vah­vis­tus sii­tä, että hänen tie­to­jaan käsi­tel­lään tai ei käsi­tel­lä ja lisäk­si oikeus pääs­tä hen­ki­lö­tie­toi­hin sekä tie­to­suo­ja-ase­tuk­sen mukai­set lisätiedot.

10. Onko hen­ki­lö­tie­to­jen käsit­te­li­jäl­lä jos­sain tilan­teis­sa vahingonkorvausvastuu?

Kyl­lä, mikä­li hen­ki­löl­le aiheu­tuu tie­to­suo­ja-ase­tuk­sen rik­ko­mi­ses­ta vahin­koa, on hen­ki­löl­lä oikeus saa­da rekis­te­rin­pi­tä­jäl­tä tai hen­ki­lö­tie­to­jen käsit­te­li­jäl­tä kor­vaus­ta vahingosta.

Laa­ti­ja: Laki­mies Mika Lah­ti­nen, Hel­sin­gin seu­dun kauppakamari