G niin kuin GDPR

Numerottoman Aakkos-blogissa G:n osalta GDPR on itseoikeutettu blogin aihe. Vaikeasta GDPR-kirjanyhdistelmästä on tullut notorisesti tunnettu yhdistelmä, mutta mitä se pitää sisällään ja mitä jokaisen yrittäjän pitäisi tältä osin tietää ja ottaa huomioon?

GDPR on lyhennys englanninkielisestä termistä General Data Protection Regulation.  GDPR on vuonna 2018 voimaan tullut EU:n yleinen tietosuoja-asetus. Sen noudattaminen on jokaisen organisaation yrittäjän, yrityksen ja muun organisaation velvollisuus, joka käsittelee henkilötietoja. Pääperiaatteena on, että henkilötietoja saa käsitellä ja -ja monesti itse asiassa tuleekin- käyttää esimerkiksi palkanmaksun, laskutuksen, asiakkaan tunnistamisen tai markkinoinnin toteuttamisen vuoksi. Juridiikka määrittelee sallituksi tietojen käsittely mm. aina silloin, kun yritys on saanut siihen rekisteröidyn henkilön suostumuksen tai yritys tarvitsee tietoja sopimusvelvoitteensa täyttämiseksi.

Henkilötiedon käsite saattaa kuitenkin tulla yllätyksenä. GDPR:n mukaan henkilötietoja ovat kaikki tiedot, jotka koskevat tunnistettua tai tunnistettavissa olevaa henkilöä. Tunnistaminen tai tunnistettavuus -kriteeri täytyy esimerkiksi henkilötunnuksen, nimen, kuvan, puhelinnumeron tai sähköpostiosoitteen perusteella.

Henkilötietojen käsittelyssä on noudatettava Tietosuoja-asetuksen ja Tietosuojalain vaatimuksia. Esimerkiksi etnistä alkuperää, uskonnollista vakaumusta, poliittista vakaumusta tai seksuaalista suuntautuneisuutta ei saa rekisteröidystä henkilöstä tallentaa. Pyynnöstä yrityksen on annettava rekisteröidylle henkilölle selkä tieto siitä, kuka käsittelee hänen tietojaan ja miksi. Rekisteröidylle on annettava pyynnöstä pääsy omiin tietoihinsa.

Kaikkien yli 250 henkilö työllistävien yritysten on laadittava seloste henkilötietojen käsittelytoimista. Myös tätä pienempien yritysten on laadittava seloste, jos henkilötietojen käsittely organisaatiossa ei ole satunnaista, henkilötietojen käsittelystä voi aiheutua riskejä rekisteröidyille tai organisaatiossa käsitellään arkaluonteisia tietoja. NumerotOn suosittelee laatimaan aina selosteet henkilötietojen käsittelystä, kun niitä käsitellään esimerkiksi myynnin, markkinoinnin, laskutuksen tai yrityksen palkanmaksun mahdollistamiseksi liiketoiminnassa. GDPR-asiaoissa Numerottoman asiakkaita palvelee juristimme Asko Hänninen. Kysy tarvittaessa rohkeasti Askolta apuaja GDPR:n kanssa.

Kirjoittaja Asko Hänninen, Asko on NumerotON Oy:n osakas ja legal advisor, KTM ja OTK.