Yleisesti kysyttyä EU:n tietosuoja-asetuksesta

Yleistä tietosuoja-asetusta (GDPR) aletaan soveltaa 25.5.2018. Nykyisen henkilötietolain pääperiaatteet säilyvät tietosuoja-asetuksessa, mutta siinä on myös uusia velvoitteita rekisterinpitäjälle ja oikeuksia rekisteröidylle.

Kokosimme tähän muutaman huomioitavan seikan, jotka asiakkaidemme arjessa saattavat tulla vastaan.

1.

Tietosuoja-asetuksessa korostetaan henkilötietojen käsittelyn avoimuutta. Rekisteröidyn eli asiakkaan on tiedettävä, mitä tietoja ja mihin tarkoitukseen tallennatte. Käytännössä tämän voi hoitaa kätevästi tietosuojaselosteella, jonka on oltava asiakkaiden helposti nähtävillä esim. nettisivuilla tai vastaanotolla. Tietosuojaseloste on laajennettu rekisteriseloste; rekisteriselosteen sisällön lisäksi tietosuojaselosteessa informoidaan rekisteröidyn oikeuksista.

Tietosuojaselosteen rakenteen tulisi olla seuraavanlainen:

 • Rekisterinpitäjä (organisaationne yhteystiedot)
 • Yhteyshenkilön yhteystiedot (keneltä saa lisätietoja)
 • Rekisterin nimi (esim. asiakasrekisteri)
 • Henkilötietojen käsittelyn tarkoitus (esim. laskuttaminen ja tiedottaminen)
 • Rekisterin tietosisältö (esim. nimi ja osoite)
 • Säännönmukaiset tietolähteet (mistä henkilötiedot saatu; esim. rekisteröidyltä itseltään)
 • Tietojen vastaanottajat (organisaatiot, jotka käsittelevät henkilötietoja; esim. FNS Oy)
 • Tietojen siirto EU:n tai ETA:n ulkopuolelle
 • Rekisterin suojauksen periaatteet
 • Tietojen säilytysaika
 • Rekisteröidyn yleiset oikeudet (esim. oikeus saada pääsy tietoihin ja ohjeet, kuinka oikeutta voi käyttää)
 • Muut rekisteröidyn oikeudet (esim. oikeus tietojen siirtämiseen)

 

2.

Varmistu siitä, että rekisterissänne olevat henkilöt ovat antaneet luvan tietojensa käsittelyyn tai että käsittelylle on joku muu oikeusperuste – jos rekisterissä on vain asiakkaiden tietoja, tällaisen perusteen muodostaa sopimus tai oikeutettu etu, joten erillistä suostumusta ei tarvita.

Kunnioita kuitenkin asiakkaan toivomusta kieltäytyä markkinoinnista estämällä viestintä Diariumin asetuksissa.
 

3.

Sähköpostin käyttöä henkilötietojen välittämiseen tulee välttää, jos kyse on isoista määristä (esim. osoitelista), mutta esimerkiksi laskujen ja kuittien lähettäminen asiakkaalle on jatkossakin OK. Älä kuitenkaan välitä henkilötunnuksia sähköpostin välityksellä.

 

4.

Sinun on rekisterinpitäjänä pystyttävä osoittamaan viranomaisille, että olette noudattaneet henkilötietojen käsittelyn periaatteita. Käytännössä tämä edellyttää suunnittelua, varautumista ja kykyä osoittaa toteutetut toimenpiteet mm. dokumentaation avulla. Osoitusvelvollisuuteen kuuluu myös henkilöstön kouluttaminen – vaatimuksena voi olla vaikkapa nettitestin läpäiseminen.

Lisätietoa tietosuoja-asetuksesta löytyy esimerkiksi tietosuojavaltuutetun sivuilta sekä Tietosuojamallin Fakta- ja Akatemia-sivuilta. Työkaluja henkilöstön koulutukseen ja osoitusvelvollisuuden toteuttamiseen tarjoaa mm. Navicre.

Jäikö vielä kysyttävää? Voit olla yhteydessä koordinaattori Minna Nousiaiseen: minna.nousiainen@fns.fi

Kirjoittaja