EU:n tietosuojauudistus

Tiedotteet   18.5.2018 9.48   Päivitetty 18.5.2018 9.51

Koko EU:n kattava tietosuoja-asetus (GDPR) asetettiin toukokuussa 2016. Käynnissä on kahden vuoden siirtymäaika, jonka jälkeen 25.5.2018 asetusta ruvetaan soveltamaan.

Asetus koskee kaikkia organisaatiota (yhdistykset ja yritykset), jotka käsittelevät EU-kansalaisen henkilötietoja.

Termejä

Henkilötieto: Kaikki sellainen tieto, jolla voidaan tunnistaa ja yksilöidä henkilöitä, suoraan tai epäsuorasti. Näitä tietoja ovat muun muassa nimi, osoite, henkilötunnus, sähköpostiosoite, verkkotunnistetiedot (mm. IP-osoitteet, evästeet), pankkitiedot ja biometriset tiedot.

Rekisteröity: Luonnollinen henkilö, jota henkilötieto koskee ja joka voidaan tietojen perusteella tunnistaa suorasti tai epäsuorasti

Rekisteri: Mikä tahansa jäsenneltyä henkilötietoja sisältävä tietojoukko, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty tai hajautettu.

Rekisterinpitäjä: Luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.

Käsittely: Toiminto tai toiminnot, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti. (Tietojen kerääminen, tallentaminen, järjestäminen, säilyttäminen, muokkaaminen, muuttaminen, kysely, käyttö, luovuttaminen siirtämällä, levittäminen, yhteensovittaminen tai yhdistäminen, rajoittaminen, poistaminen tai tuhoaminen)

Henkilötietojen käsittelijä: Luonnollinen henkilö tai oikeushenkilö, viranomainen tai muu elin, joka käsittelee henkilötietoja rekisterinpitäjän lukuun

Periaatteita

1. Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:

a) niitä on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (”lainmukaisuus, kohtuullisuus ja läpinäkyvyys”);

b) ne on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla

c) henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (”tietojen minimointi”);

d) henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä (”täsmällisyys”);

e) ne on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten

f) niitä on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia (”eheys ja luottamuksellisuus”).

Käsittelyn lainmukaiset perusteet

1. Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:

a) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;

b) käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;

c) käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;

d) käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi;

e) käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;

f) käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.

Yhdistyksellä on velvollisuus ylläpitää jäsenrekisteriä ja tämä on laillinen peruste tietojen keräämiselle. Laki määrittelee jäsenluettelon pakollisiksi tiedoiksi jäsenen täydellisen nimen ja paikkakunnan. Lisäksi rekisteriin voidaan tallentaa esim. yhteydenpitoon tarvittavat yhteystiedot. Kerättävistä tiedoista on informoitava rekisteröityä (jäsen) etukäteen.

Suostumuksen edellytykset

1. Jos tietojenkäsittely perustuu rekisteröidyn suostumukseen, on rekisterinpitäjän pystyttävä osoittamaan, että rekisteröity on antanut suostumuksensa henkilötietojen käsittelyyn.

2.   Jos rekisteröity antaa suostumuksensa kirjallisessa ilmoituksessa, joka koskee myös muita asioita, suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä.

3.   Rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa. Suostumuksen peruuttaminen ei vaikuta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen. Ennen suostumuksen antamista rekisteröidylle on ilmoitettava tästä. Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen.

4.   Arvioitaessa suostumuksen vapaaehtoisuutta on otettava mahdollisimman kattavasti huomioon muun muassa se, onko palvelun tarjoamisen tai muun sopimuksen täytäntöönpanon ehdoksi asetettu suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten.

Rekisterinpitäjän velvollisuudet

- Annettava tietojenkäsittelyyn liittyviä tietoja henkilötietojen keräämisen yhteydessä rekisteröidylle. (esim. palveluun rekisteröitymisen yhteydessä, tiedot kuten selosteessa käsittelytoimista)

- Rekisterinpitäjä on vastuussa siitä, että se toteuttaa tarvittavat tekniset ja organisatoriset toimenpiteet, joilla varmistetaan ja käytännössä myös osoitetaan, että henkilötietojen käsittelyssä noudatetaan tietosuoja-asetuksen vaatimuksia.

- Dokumentoitava henkilötietojen käsittely ja suunniteltava prosessit tietosuojaloukkausten varalta.

- Tietosuojaan liittyvän vaikutustenarvioinnin laatiminen.

- Henkilötietojen käsittelyyn liittyvän tarvittavan tietoturvatason järjestäminen ja varmistaminen.

- Tarvittaessa tietosuojavastaavan nimittäminen.

Tarkistuslista

1. Selvitä mitä ja miten henkilötietoja käsitellään organisaatiossanne

2. Tarkista oletko rekisterinpitäjä tai henkilötietojen käsittelijä

3. Tarkista henkilötietojen käsittelyn perusteet ja laillisuus
- Tietosuoja-asetuksessa on määritelty lailliset perusteet tietojen käsittelyyn
- Tarvittaessa henkilöiden suostumus kerättävä uudelleen, jos nykyisestä rekisteristä ei pystytä osoittamaan henkilön suostumusta. Suostumukseksi ei riitä esimerkiksi se, että henkilö itse on antanut tilannut uutiskirjeen antamalla sähköpostiosoitteensa verkkolomakkeella, jos lomakkeella ei ole selkeästi kerrottu henkilötietojen käsittelystä ja pyydetty lupaa henkilötietojen käsittelyyn.

4. Tarkista tallennettujen tietojen ajantasaisuus ja tarpeellisuus
- Tarvittaessa poista turhat tiedot
- Määrittele aikarajat tietojen säilyttämiseen ja systemaattisesti poista vanhentuneet ja tarpeettomat tiedot

5. Päivitä tietosuojaselosteet ja sopimukset
- Tietosuojaselosteen tulee olla helposti saatavilla
- Lisää tarvittaessa sopimuksiin tietosuojaliite
- Tarkista ulkopuolisten henkilötietojen käsittelijöiden (esim. palveluntarjoaja, jonka järjestelmiin henkilötietoja on tallennettu) tehdyt sopimukset ja tee tarvittaessa tietojenkäsittelysopimus

6. Huolehdi tietoturvasta
- Henkilötietojen käsittelyssä tulee tehdä kaikki tarpeelliset toimet tietoturvaloukkausten estämiseksi
- Tietoturvaloukkausten varalta tulee olla suunnitelma ja loukkauksesta tulee informoida viranomaisia ja tarvittaessa rekisteröityjä
- Jos tietoja käsitellään verkkosivuilla (esim. jäseneksi liittymislomake), tarkista että sivut käyttävät SSL-salausta.

 

Lisätietoja EU:n tietosuojauudistuksesta tietosuojavaltuutetun toimiston verkkosivuilta: http://www.tietosuoja.fi/fi/index/euntietosuojauudistus.html

EU:n yleinen tietosuoja-asetus: https://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL