tietosuoja-asetus

Tietosuoja-asetus lisää velvollisuuksia taloyhtiöille ja isännöitsijöille. Taloyhtiöt pitävät yllä lakisääteistä osakeluetteloa sekä mahdollisesti myös asukasluetteloa, eli henkilötietojen käsittely on osa päivittäistä toimintaa. Taloyhtiössä voi olla myös kameravalvonta, josta muodostuu henkilörekisteri. Tällaisesta henkilörekisteristä tulee laatia rekisteriseloste, josta ilmenevät mm. henkilötietojen käsittelyn tarkoitukset, rekisterinpitäjän yhteystiedot, ja mihin henkilötietoja on luovutettu tai luovutetaan.

Taloyhtiön hallitus ja isännöitsijät vastaavat siitä, että asukkaiden ja osakkaiden henkilötietojen käsittely on tietosuoja-asetuksen mukaista. Rekisterinpitäjän on siis pystyttävä osoittamaan, että se noudattaa tietosuoja-asetusta. Käytännössä tämä tarkoittaa sitä, että henkilötietojen käsittelyn suunnittelun ja dokumentoinnin merkitys korostuu. Asetuksen mukaan henkilötietojen on myös oltava asianmukaisia, olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa tietojenkäsittelyn tarkoituksiin. Taloyhtiön tulisi siis harkita, mitä henkilötietoja se kerää ja tallentaa. Esimerkiksi asukkailta ei tule vaatia henkilötunnuksia tarpeettomasti.

Taloyhtiön ja isännöitsijän on syytä perehtyä tietosuoja-asetuksen asettamiin uusiin velvoitteisiin. Asukkailla on pääsääntöisesti oikeus saada, oikaista tai poistaa rekisterissä olevia henkilötietoja maksutta ja ilman aiheetonta viivästystä. Rekisterinpitäjän on myös tehtävä perusteellinen arvio henkilötietojen käsittelyyn liittyvistä riskeistä sekä tehdä tarvittavat toimenpiteet riskien minimoimiseksi. Asetuksen mukaan rekisterinpitäjän on huolehdittavat tietoturvasta ja varauduttava tietoturvaloukkauksiin. Talonyhtiöllä on ilmoitusvelvollisuus tietoturvaloukkauksesta 72 tunnin sisällä toimivaltaiselle valvontaviranomaiselle.

Lähteet:

http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=celex:32016R0679

https://www.finlex.fi/fi/laki/ajantasa/2009/20091599

http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf

Asetuksen myötä myös sähköpostimarkkinointiin tulee muutamia muutoksia. Tietosuoja-asetuksen mukaan uutiskirjeiden lähettäjä luokitellaan rekisterinpitäjäksi. Asetuksen 6 artiklan mukaan henkilötietojen käsittelylle on aina oltava laissa säädetty oikeusperuste. Uutiskirjeen lähettäjällä tulee siis olla laillinen oikeusperuste henkilötietojen käsittelylle. Tämä tarkoittaa sitä, että henkilörekisteriä (esim. postituslistoja) ylläpitävien yrityksien tulee täyttää jokin kyseisessä artiklassa mainittu peruste.

Käytännön esimerkkinä voisi toimia useiden verkkokauppojen sivuilta löytyvä ponnahdusikkuna: ”Tilaa uutiskirjeemme sähköpostiisi ja saa 10% alennus yksittäisestä ostoksesta”. Tässä tapauksessa tilanne on selkeä, sillä rekisteröitynyt tilaa itse omasta tahdostaan yrityksen uutiskirjeen. Hän siis antaa suostumuksensa henkilötietojen käsittelyyn ja sähköpostimarkkinointiin. Tietosuoja-asetuksen 6 artiklan (a) -kohdan mukaan käsittely on lainmukaista, jos rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn.

Tähän asti enemmissä määrin sähköpostitse tapahtuva markkinointi on perustunut opt-out periaatteeseen eli kielto-oikeuteen. Tämä tarkoittaa käytännössä sitä, että jokaisella on ollut oikeus poistua sähköpostilistalta. Tietosuoja-asetuksen myötä sähköinen suoramarkkinointi tuleekin perustua opt-in periaatteeseen eli suostumukseen, kuten edellä mainitussa esimerkissä huomattiin. Asetuksen mukaan suostumusta henkilötietojen käsittelyyn ei enää jatkossa voi antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta. Suostumuksena voisi toimia esimerkiksi se, että rekisteröity rastittaa ruudun itse vieraillessaan verkkosivuilla.

Sähköpostimarkkinoijan vastuu siis kasvaa tietosuoja-asetuksen astuessa voimaan. Sen on jatkossa myös pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen tietojen käsittelyyn. Rekisteröidyllä on myös oikeus peruuttaa suostumuksensa missä tahansa vaiheessa. Uutiskirjeen lähettäjän tulee myös selkeästi informoida rekisteröidylle peruutusoikeudesta.

Lähteet:

https://eur-lex.europa.eu/legal-content/FI/TXT/HTML/?uri=CELEX:32016R0679&from=EN

http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf

http://www.tietosuoja.fi/fi/index/useinkysyttya/kielto-oikeussuoramarkkinoinnissa.html

Tietosuoja-asetuksen mukaan verkkokauppias luokitellaan rekisterinpitäjäksi. Asetuksen 6 artiklan mukaan henkilötietojen käsittelylle on aina oltava laissa säädetty oikeusperuste. Verkkokauppiaalla tulee siis olla laillinen oikeusperuste henkilötietojen käsittelylle. Tietosuoja-asetuksen 6 artiklan (a) -kohdan mukaan käsittely on lainmukaista, jos rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn. Lähtökohtaisesti henkilötietojen käsittely on siis lainmukaista, jos asiakas antaa siihen luvan.

Verkkokauppiaan ei kuitenkaan aina tarvitse pyytää suostumusta henkilötietojen käsittelylle, sillä verkkokauppias saa käsitellä henkilötietoja tilauksen perusteella. Henkilötietojen käsittely on lainmukaista 6 artiklan (b)-kohdan mukaan, jos käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena. Verkkokauppatilaus luokitellaan tällaiseksi sopimukseksi, jossa asiakas on osapuolena. Jos asiakas tekee verkkokaupassa ostoksen tai tilauksen, täyttyy tietosuoja-asetuksen vaatima oikeusperuste henkilötietojen käsittelylle, vaikka erikseen ei suostumusta asiakkaalta pyydetty.

Tietosuoja-asetuksen astuessa voimaan verkkokauppiaaseen kohdistuvat vaatimukset ja velvollisuudet lisääntyvät ja rekisteröityjen oikeudet laajentuvat. Myös rekisterinpitäjien ja henkilötietojen käsittelijöiden valvonta tehostuu. Verkkokauppiaan on jatkossa pystyttävä osoittamaan, että henkilötietojen käsittelylle on laissa säädetty oikeusperuste. Siksi henkilötietojen käsittely on suunniteltava ja dokumentoitava.

Lähteet:

https://eur-lex.europa.eu/legal-content/FI/TXT/HTML/?uri=CELEX:32016R0679&from=EN

http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf

Huhtikuussa vietämme GDPR-kuukautta ja julkaisemme joka viikko tietosuoja-asetukseen liittyvän artikkelin.

Euroopan unionin tietosuojalainsäädäntö uudistui, kun yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR) tuli voimaan 24. toukokuuta 2016. Tietosuoja-asetusta sovelletaan kaikissa EU:n jäsenmaissa kahden vuoden siirtymäajan jälkeen 25. toukokuuta 2018 alkaen, jolloin henkilötietojen käsittelyn on oltava tietosuoja-asetuksen mukaista. Asetus lisää henkilötietojen käsittelyn avoimuutta ja läpinäkyvyyttä sekä vahvistaa rekisteröityjen oikeuksia valvoa henkilötietojensa käsittelyä. Tarkoituksena on siis rakentaa luottamusta.

Koskeeko tietosuoja-asetus sinun yritystäsi? Tietosuoja-asetus koskee yrityksiä, jotka käyttävät tai käsittelevät henkilötietoja. Jos yritykselläsi on asiakkaita tai työntekijöitä, asetus koskee yritystäsi. Käytännössä tietosuoja-asetus koskee siis kaikkia yrityksiä.

Mitä henkilötietoja tietosuoja-asetus koskee? Lähtökohtaisesti tietosuoja-asetusta sovelletaan kaikkeen henkilötietojen käsittelyyn. Henkilötiedoilla tarkoitetaan kaikkia tunnistettuun ja tunnistettavissa olevaan henkilöön liittyviä tietoja. Henkilö on tunnistettavissa, jos hänet voi tunnistaa suoraan tai epäsuorasti tunnistetietojen perusteella. Tunnistetietoja ovat esimerkiksi nimi, henkilötunnus, sijaintitieto ja verkkotunnistetieto.

Onko yritykselläsi riittävät valmiudet? Tietosuoja-asetuksen tavoitteena on suojella niiden ihmisten oikeuksia, jotka luovuttavat henkilötietojaan rekisterinpitäjille. Siksi tietoturva tulisi ottaa huomioon mahdollisimman varhaisessa vaiheessa. Esimerkiksi, yrityksesi tulee valmistautua luovuttamaan, oikaisemaan tai poistamaan henkilötietoja ilman aiheetonta viivästystä. Yrityksesi tulee myös pystyä ilmoittamaan tietoturvaloukkauksista 72 tunnin sisällä toimivaltaiselle valvontaviranomaiselle.

Mikä on noudattamatta jättämisen hinta? Paikalliset tietosuojaviranomaiset valvovat lain noudattamista, ja heidän työtään koordinoidaan EU:n tasolla. Tietosuoja-asetuksen sääntöjen rikkominen voi tulla yritykselle hyvinkin kalliiksi. Sakko voi olla jopa 20 miljoonaa euroa tai 4% vuosittaisesta kokonaisliikevaihdosta. Todellisuudessa varoitus, huomautus tai mahdollinen tietojenkäsittelyn keskeyttäminen voivat olla kuitenkin riittäviä toimenpiteitä.

Tietosuoja-asetus tuo siis uusia tietosuojaa ja henkilötietojen käsittelyä koskevia velvoitteita, joihin rekisterinpitäjien ja henkilötietojen käsittelijöiden on valmistauduttava. Asetuksen myötä rekisterinpitäjän tulee tietää, miten ja mihin tarkoitukseen henkilötietoja käsitellään ja säilytetään. Yrityksen näkökulmasta asiakastietojen ylläpito ajantasaisina on erityisen tärkeää.

Lähteet:

http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=celex:32016R0679

http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf

http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/tiedotteet/z0PdCBWW7/Data_protection_infographic_FI-LR.pdf