Tietosuoja-asetus velvoittaa yritystä

Henkilötietojen käsittelyssä on noudatettava vuonna 2018 voimaan tullutta EU:n yleistä tietosuoja-asetusta (GDPR, General Data Protection Regulation).  

Tietosuoja-asetuksen mukaan organisaatiolla on velvollisuus laatia seloste käsittelytoimista eli kirjallinen kuvaus organisaation tekemästä henkilötietojen käsittelystä. Tämä velvoite koskee käytännössä kaikkia yrityksiä. Tietosuoja-asetus velvoittaa sekä rekisterinpitäjää että henkilötietojen käsittelijää.  Yritykselle on olennaista määrittää, missä roolissa se kulloinkin toimii. Yritys voi toimia sekä rekisterinpitäjänä että henkilötietojen käsittelijänä.

Henkilötietoja ovat kaikki ne tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön. Henkilötietoja ovat esimerkiksi asiakkaiden, työntekijöiden ja yrityskontaktien yhteystiedot, kuten nimi, kotiosoite, sähköpostiosoite ja puhelinnumero tai esimerkiksi paikannustiedot.

Rekisterinpitäjä on luonnollinen henkilö tai organisaatio, joka määrittelee, mihin tarkoitukseen ja millä tavalla henkilötietoja käsitellään. Henkilötietojen käsittelijä on organisaatio, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Yrityksen rooli vaikuttaa siihen, minkälaisia henkilötietojen käsittelyyn liittyviä sopimuksia yrityksen tulee tehdä. Yritys on rekisterinpitäjä sellaisten henkilötietojen käsittelyssä, joita se käsittelee omasta puolestaan, eikä asiakkaina olevien rekisterinpitäjien puolesta esimerkiksi silloin, kun se käsittelee organisaation oman henkilökunnan henkilötietoja.

Rekisterinpitäjä vastaa viime kädessä siitä, että rekisterinpitäjän käyttämät henkilötietojen käsittelijät noudattavat tietosuoja-asetusta.  Tämän vuoksi rekisterinpitäjä voi pyytää tulevalta sopimuskumppaniltaan selvitystä siitä, onko sopimuskumppaniksi tuleva hoitanut tietosuoja-asetuksen mukaiset velvoitteet. Rekisterinpitäjän on pystyttävä osoittamaan, että noudattaa tietosuojalainsäädäntöä. Rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet täyttääkseen osoitusvelvollisuuden vaatimukset.

Henkilötietojen käsittely on tarpeen sellaisen sopimuksen täytäntöönpanemiseksi, jossa rekisteröity on osapuolena esimerkiksi silloin, kun tilitoimisto hoitaa yrityksen palkanmaksun. Henkilötietoja saa käsitellä, jos siihen on laissa määritelty peruste. Peruste voi olla rekisteröidyn suostumus, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn. Henkilötietojen käsittely voi olla tarpeen myös sopimuksen täytäntöön panemiseksi silloin, kun rekisteröity on sopimuksen toisena osapuolena tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä.

Jos rekisterinpitäjä havaitsee tietoturvaloukkauksen, rekisterinpitäjä voi osoitusvelvollisuuden avulla näyttää, että se on aktiivisesti pyrkinyt tunnistamaan tietosuojaan liittyviä riskejä ja ottanut käyttöön tarvittavia toimenpiteitä henkilötietojen suojaamiseksi. Jos rekisterinpitäjä ei pysty osoittamaan noudattavansa tietosuoja-asetuksen velvoitteita, se voi aiheuttaa maineriskin.  Lisäksi voi tulla hallinnollisia seuraamuksia.

Seloste käsittelytoimista on organisaation sisäinen asiakirja. Se toimii apuvälineenä henkilötietojen käsittelyn hahmottamiseen, ja sen tarkoituksena on osaltaan osoittaa, että henkilötietoja käsitellään tietosuojalainsäädännön mukaisesti.

Tietosuojaseloste on laajennettu rekisteriseloste, jossa tiedotetaan myös rekisteröidyn oikeuksista. Tämä on organisaation keskeinen työkalu, joka edistää läpinäkyvyyttä, luottamusta ja tietoturvaa sekä auttaa organisaatiota noudattamaan lainsäädäntöä ja hallitsemaan riskejä. Tietosuoja-asetus ei velvoita yritystä tekemään tietosuojaselostetta, mutta se velvoittaa informoimaan rekisteröityä oikeuksistaan.

Tietosuoja-asetuksen noudattamista valvoo Suomessa tietosuojavaltuutettu. Lisätietoja organisaation tietosuojasta on tietosuojavaltuutetun sivulla www.tietosuoja.fi.

Sähköinfolla on tietosuoja-asetuksen noudattamiseen opastava verkkokurssi ”Työkalu tietosuoja-asetuksen velvoitteiden hoitamiseen” osoitteessa www.sahkoinfo.fi.  Kurssi on jäsenpalvelu Sähkö- ja teleurakoitsijat STUL ry:n varsinaisille ja jäsenjärjestöjen jäsenille, ja se sisältyy jäsenmaksuun. STULin jäsenet ja jäsenjärjestöjen jäsenet voivat suoraan siirtyä ja kirjautua Severiin. Kurssi löytyy kohdasta Verkkokurssit. Kurssi sisältää olennaiset asiat tietosuoja-asetuksesta, ja kurssin lopussa on valmiita lomakepohjia sekä niiden täyttöohjeet.

27.5.2025 Inka-Liisa Ahokas