Tietopaketti yrityksille: On tärkeätä valmistautua EU:n tietosuoja-asetukseen

Tulosta

EU:n yleistä tietosuoja-asetusta on sovellettava 25.5.2018 alkaen. Uuden sääntelyn myötä yritysten on käsiteltävä entistä huolellisemmin esimerkiksi asiakkaista ja työntekijöistä kerättyjä henkilötietoja. Henkilötietojen käsittelystä on myös informoitava nykyistä selkeämmin, koska tietosuoja-asetus korostaa henkilötietojen käsittelyn läpinäkyvyyden tärkeyttä.

Uusi sääntely edellyttää, että henkilötietoja käsittelevä yritys pystyy osoittamaan noudattavansa tietosuoja-asetuksen sääntelyä. Siksi on tärkeätä muun muassa varmistaa, että henkilötietojen käsittelyä koskeva dokumentointi ja sisäinen ohjeistus ovat kunnossa.

Asetuksen edellyttämät kansalliset lainsäädäntömuutokset ja yksityiskohdat ovat vielä auki. Tietosuoja-asetusta on tästä huolimatta sovellettava 25.5.2018 alkaen.

EK:n laatimassa tietopaketissa kuvataan tiiviisti asetuksen yritysten kannalta keskeistä sisältöä. Tietopakettia päivitetään, kun kansallisten lainsäädäntömuutosten sisältö tarkentuu ja tietosuoja-asetuksesta muotoutuu soveltamiskäytäntöä.

Tietopakettiin on päivitetty tietoa hallituksen eduskunnalle antamasta esityksestä tietosuojalaiksi. Lain sisältö voi muuttua hallituksen esittämästä eduskuntakäsittelyn aikana.

Kansallisista lainsäädäntömuutoksista informoidaan myös EK:n jäsenkirjeissä.

 

1. Mikä on yleinen tietosuoja-asetus?

Yleisen tietosuoja-asetuksen (EU) 2016/679 (jäljempänä ”tietosuoja-asetus” tai ”asetus”) tehtävänä on suojata luonnollisten henkilöiden oikeutta henkilötietojen suojaan ja taata henkilötietojen vapaa liikkuvuus EU-alueella.

Asetus sisältää sääntelyn mm. siitä milloin saa kerätä ja käsitellä henkilötietoja ja mitä velvollisuuksia henkilötietojen käsittelyyn liittyy. Nykyisin tällainen henkilötietojen suojaa ja käsittelyä koskeva yleissääntely sisältyy henkilötietolakiin (523/1999).

Asetusta sovelletaan sellaisenaan henkilötietojen käsittelyyn eli sitä ei panna täytäntöön kansalliseen lakiin. Asetus on julkaistu EU:n virallisessa lehdessä toukokuussa 2016 ja sitä on sovellettava 25.5.2018 lähtien.

Asetusta on kuitenkin tarkoitus täydentää kansallisella tietosuojalailla.

Hallitus antoi esityksen tietosuojalaiksi eduskunnalle helmikuussa (HE 9/2018).

Esityksen mukaan tietosuojalaissa on tarkoitus säätää mm. henkilötietojen käsittelyn oikeusperusteesta ja erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä eräissä tilanteissa, tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettavasta ikärajasta, valvontaviranomaisesta sekä muutoksenhausta valvontaviranomaisen päätöksiin. Laissa säädettäisiin esityksen mukaan myös henkilötunnuksen käsittelystä sekä tietyistä rajoituksista rekisteröidyn oikeuteen tutustua itseään koskeviin henkilötietoihin ja rekisterinpitäjän velvollisuuteen antaa henkilötietojen käsittelystä tietoja rekisteröidylle. Laki sisältäisi lisäksi sääntelyä henkilötietojen käsittelystä journalistisia tarkoituksia, tieteellisiä tutkimustarkoituksia ja tilastollisia tarkoituksia varten.

Eduskunta käsittelee edelleen hallituksen esitystä tietosuojalaiksi, ja lain sisältö voi muuttua hallituksen esittämästä eduskuntakäsittelyn aikana. Lain on tarkoitus tulla voimaan mahdollisimman pian, kun eduskunta on sen hyväksynyt ja laki on vahvistettu.

Henkilötietojen käsittelyyn vaikuttavia säännöksiä on myös monissa muissa laeissa, kuten esimerkiksi laissa yksityisyyden suojasta työelämässä (759/2004) (ns. työelämän tietosuojalaki).

Työ- ja elinkeinoministeriön asettaman työryhmän työ, jonka tehtävänä oli selvittää tietosuoja-asetuksen vaikutuksia työelämän tietosuojalakiin, on päättynyt. Työryhmässä käsiteltiin useita muutosehdotuksia, mutta niistä ei päästy yksimielisyyteen. Työ- ja elinkeinoministeriö on siksi päätynyt esittämään, että laki jää sellaisenaan voimaan ja siihen tehdään vain joitakin teknisluonteisia tietosuoja-asetuksen edellyttämiä korjauksia.

Huomioitavaa on, että ministeriö esittää lakiin sisältyneen rangaistussäännöksen kumoamista. Vastaisuudessa seuraamukset myös yksityisyyden suojaa koskevan lain rikkomisesta määräytyisivät tietosuoja-asetuksen perusteella, jonka nojalla rekisterinpitäjälle voidaan määrätä muun muassa hallinnollinen sakko.

Tarkoitus on, että hallituksen esitys edellä mainittujen muutosten tekemiseksi työelämän tietosuojalakiin annetaan eduskunnalle toukokuun loppupuolella.

2. Milloin yleistä tietosuoja-asetusta sovelletaan?

Tietosuoja-asetusta sovelletaan henkilötietojen käsittelyyn.

  • Henkilötietoja ovat kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, kuten esimerkiksi työntekijään tai asiakkaaseen, liittyvät tiedot. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa esimerkiksi nimen, henkilötunnuksen, puhelinnumeron, sijaintitiedon tai hänelle tunnusomaisen esimerkiksi fyysisen, geneettisen tai taloudellisen tekijän perusteella.

Tunnistettu tai tunnistettavissa oleva luonnollinen henkilö, johon tiedot liittyvät, on rekisteröity.

Asetusta ei sovelleta oikeushenkilöiden ja oikeushenkilöiden muodossa perustettujen yritysten henkilötietojen käsittelyyn (mm. oikeushenkilön nimi, oikeudellinen muoto ja yhteystiedot).

Asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä manuaaliseen käsittelyyn, jos henkilötiedot muodostavat rekisterin osan tai niiden on tarkoitus muodostaa rekisterin osa.

  • Käsittelyllä tarkoitetaan toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti. Käsittelyä on esimerkiksi tietojen kerääminen, tallentaminen, säilyttäminen, muokkaaminen, luovuttaminen tai tuhoaminen.
  • Rekisteri on mikä tahansa jäsennelty henkilötietoja sisältävä tietojoukko, josta tiedot ovat saatavissa tietyin perustein. Tietojoukko voi olla keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu. Rekistereitä ovat esimerkiksi asiakas- ja markkinointirekisterit, jotka muodostuvat käyttötarkoituksen vuoksi yhteenkuuluvasta tietojoukosta.

Asetusta ei sovelleta käsittelyyn, jota luonnollinen henkilö suorittaa yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa. Tällaista toimintaa voi olla esimerkiksi kirjeenvaihto ja osoitteiston pitäminen.

Katso tietosuoja-asetuksen artiklat 2 – 4

3. Ketä yleinen tietosuoja-asetus velvoittaa?

Tietosuoja-asetuksessa tarkoitettu rekisterinpitäjä vastaa siitä, että henkilötietojen käsittelyssä noudatetaan asetusta. Asetuksessa tarkoitettu henkilötietojen käsittelijä vastaa oman käsittelynsä asetuksenmukaisuudesta.

  • Rekisterinpitäjä on luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoituksen ja keinot. Esimerkiksi yritys on rekisterinpitäjä asiakkaidensa ja työntekijöidensä henkilötietojen käsittelyn osalta.
  • Henkilötietojen käsittelijä on luonnollinen henkilö tai oikeushenkilö, viranomainen, virasto tai muu elin, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Henkilötietojen käsittelijöitä ovat esimerkiksi yritykset, jotka tarjoavat palkkahallinnon palveluja tai pilvipalveluja, joissa säilytetään toisen yrityksen asiakastietoja.

4. Henkilötietojen käsittelyn nykytilan kartoitus

Asetuksen vaatimuksiin valmistautumiseksi on hyödyllistä kartoittaa henkilötietojen käsittelyn nykytila. Kartoituksen pohjalta on mahdollista peilata nykytilaa osiossa 5 kuvattuja asetuksen keskeisiä vaatimuksia vasten ja identifioida kehityskohteet.

Hyödyllistä on kartoittaa ainakin,

  • mitä henkilötietoja yrityksessä käsitellään esimerkiksi it-järjestelmissä ja eri rekistereissä ja ketä tiedot koskevat
  • mitä tarkoituksia varten eli miksi henkilötietoja käsitellään
  • mikä laillinen käsittelyperuste oikeuttaa henkilötietojen käsittelyn (käsittelyperusteet henkilötietolain 8 §:ssä ja tietosuoja-asetuksen 6 artiklassa)
  • miten henkilötietoja käsitellään
  • millainen sisäinen dokumentointi ja ohjeistus henkilötietojen käsittelystä on (mm. rekisteriseloste)
  • miten ja missä vaiheessa rekisteröityjä informoidaan henkilötietojen käsittelystä
  • onko henkilötietojen käsittelyä ulkoistettu ja jos on, mitä henkilötietoja ja käsittelytoimia ulkoistus koskee ja millaiset sopimukset ulkoistuksista on laadittu
  • siirretäänkö henkilötietoja käsiteltäväksi EU:n ulkopuolelle
  • kuinka henkilötietojen käsittelyn turvallisuudesta huolehditaan

5.Yleisen tietosuoja-asetuksen keskeinen sisältö

5.1. Periaatteet, laillisen käsittelyn perusteet ja erityiset henkilötiedot

5.1.1. Henkilötietojen käsittelyssä noudatettavat periaatteet

Tietosuoja-asetus edellyttää, että rekisterinpitäjä noudattaa henkilötietojen käsittelyä koskevia periaatteita. Periaatteet ovat tietosuoja-asetuksen keskeisintä sääntelyä. Ne vastaavat pitkälti henkilötietolaissa määritettyjä henkilötietojen käsittelyn yleisiä periaatteita.

Asetuksessa määritetyt periaatteet ovat seuraavat:

Käyttötarkoitussidonnaisuus

Käyttötarkoitussidonnaisuus velvoittaa rekisterinpitäjää keräämään henkilötietoja tiettyjä nimenomaisia laillisia käyttötarkoituksia varten ja varmistamaan, ettei henkilötietoja käsitellä näiden tarkoitusten kanssa yhteensopimattomalla tavalla.

Henkilötietojen käsittelyn osalta on siten aina määritettävä, mitä tarkoitusta tai tarkoituksia varten niitä kerätään ja käsitellään. Käytännössä tarkoituksen tai tarkoitusten määrittäminen kuvaa sen, minkä tehtävien hoitamiseksi rekisterinpitäjä kerää ja käsittelee henkilötietoja. Esimerkiksi asiakastietoja on mahdollista käsitellä useita hyväksyttäviä tarkoituksia varten, kuten esimerkiksi asiakassuhteen hoitamiseksi ja kehittämiseksi, rekisterinpitäjän tuotteiden markkinoimiseksi, rekisterinpitäjän liiketoiminnan ja asiakaspalvelun kehittämiseksi sekä kanta-asiakasohjelman etujen rekisteröimiseksi.

Käyttötarkoitussidonnaisuuden periaate sallii henkilötietojen käsittelyn muihinkin kuin alkuperäisiin tarkoituksiin, mutta muihin tarkoituksiin tapahtuvan käsittelyn on oltava yhteensopivaa niiden tarkoitusten kanssa, joita varten tiedot alun perin kerättiin. Jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muihin tarkoituksiin kuin niihin, joihin henkilötiedot kerättiin, rekisterinpitäjän on informoitava rekisteröityä muista tarkoituksista ennen jatkokäsittelyä (ks. kohta 5.3.2).

Tietojen minimointi

Henkilötietojen on oltava asianmukaisia, olennaisia ja rajoitettuja siihen, mikä on tarpeellista niihin tarkoituksiin, joita varten tietoja käsitellään.

Rekisterinpitäjä voi siten käsitellä määrittämiensä tarkoitusten kannalta tarpeellisia ja asianmukaisia henkilötietoja, mutta sellaisia henkilötietoja ei tule kerätä tai käsitellä, joille ei ole osoittaa tarvetta määritettyjen käyttötarkoitusten kannalta.

Lisäksi on huomioitava tietosuoja-asetuksen sääntely erityisten henkilötietoryhmien käsittelystä (ks. kohta 5.1.3)

Säilytyksen rajoittaminen

Henkilötiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten.

Rekisterinpitäjä pystyy harvoin määrittelemään tarkkaa säilytysaikaa keräämiensä henkilötietojen osalta. Säilytyksen rajoittamisen periaate velvoittaa kuitenkin rekisterinpitäjää laatimaan tietojen säilyttämisajan määrittämisen kriteerit.

On tärkeätä huomioida muun muassa mahdolliset lakisääteiset velvollisuudet määrättyjen tietojen säilyttämiseen ja hävittämiseen. Yrityksellä on esimerkiksi velvollisuus antaa työtodistus, jos työntekijä pyytää sitä kymmenen vuoden kuluessa työsuhteen päättymisestä. Tiedot palveluksessa olleiden työntekijöiden työsuhteen kestosta sekä siitä, minkälaisia työtehtäviä he tekivät, on siten säilytettävä vähintään kymmenen vuoden ajan. Myöhemminkin pyydetty työtodistus pitää antaa, jos se ei ole kohtuuttoman hankalaa.

Rekisterinpitäjän on myös  syytä suunnitella, millä tavalla tehdään määräaikaistarkistukset sellaisten henkilötietojen poistamiseksi, joita ei enää ole tarpeen säilyttää.

Täsmällisyys

Rekisterinpitäjän käsittelemien henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä. Rekisterinpitäjän on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä.

Lainmukaisuus, kohtuullisuus ja läpinäkyvyys

Rekisterinpitäjällä on oltava laillinen peruste käsitellä henkilötietoja (ks. kohta 5.1.2). Asetuksessa on määritelty käsittelyperusteet, joita voivat olla esimerkiksi rekisterinpitäjän oikeutettu etu, rekisteröidyn antama suostumus tai lakisääteinen tehtävä. Tietosuojalaissa on lisäksi tarkoitus säätää henkilötietojen käsittelyperusteista eräissä tilanteissa (ks. HE 9/2018, ehdotettu 4 §).

Läpinäkyvyyden vaatimus edellyttää rekisterinpitäjää informoimaan rekisteröityjä ymmärrettävällä tavalla henkilötietojen käsittelystä (ks. kohta 5.3.2).

Eheys ja luottamuksellisuus

Periaate velvoittaa rekisterinpitäjään suunnittelemaan asianmukaiset tekniset ja organisatoriset toimet, joilla varmistetaan henkilötietojen käsittelyn turvallisuus ja tietojen suojaaminen (ks. myös kohta 5.2.5).

Sisäänrakennettu ja oletusarvoinen tietosuoja

Tietosuoja-asetuksessa säädetty sisäänrakennetun tietosuojan velvoite edellyttää, että edellä mainitut tietosuojaperiaatteet otetaan osaksi henkilötietojen käsittelyä, ja periaatteiden täytäntöönpanoa varten toteutetaan asianmukaiset tekniset ja organisatoriset toimenpiteet.

Oletusarvoisen tietosuojan velvoite puolestaan edellyttää, että rekisterinpitäjä käsittelee oletusarvoisesti vain käsittelyn tarkoituksen kannalta tarpeellisia henkilötietoja ja toteuttaa toimenpiteet, jotka varmistavat etenkin sen, että henkilötietoja ei oletusarvoisesti saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.

Asetuksen tarkoittamia teknisiä ja organisatorisia toimenpiteitä voivat olla esimerkiksi  henkilöstölle annettava ohjeistus ja tarvittaessa henkilötietoja käsittelevän henkilöstön koulutus, salassapitositoumukset ja toimet, joilla varmistetaan it-järjestelmien tietoturvallisuus.

Sisäänrakennetun ja oletusarvoisen tietosuojan velvoitteet ovat suurelta osin päällekkäisiä tietosuoja-asetuksessa määritettyjen muiden velvoitteiden kanssa ja ne vastaavat pitkälti henkilötietolain henkilötietojen käsittelyn suunnittelu- ja huolellisuusvelvoitetta. Velvoitteita vastaavia edellytyksiä sisältyy myös henkilötietolain käyttötarkoitussidonnaisuutta, tarpeellisuusvaatimusta ja tietojen suojausta koskeviin säännöksiin.

Katso tietosuoja-asetuksen artiklat 5 ja 25

5.1.2. Henkilötietojen käsittelyn lailliset perusteet

Tietosuoja-asetuksessa määritetään, millä eri perusteilla rekisterinpitäjä voi käsitellä henkilötietoja. Jotta henkilötietojen käsittely on laillista, käsittelylle on aina oltava lainsäädännössä säädetty käsittelyperuste. Sääntely vastaa tältä osin henkilötietolakia.

Rekisterinpitäjä voi perustaa henkilötietojen käsittelyn yhteen tai useampaan tietosuoja-asetuksessa määritettyyn käsittelyperusteeseen. On tärkeätä huomioida, että käsittelyperuste vaikuttaa jonkin verran siihen, mitä oikeuksia rekisteröidyillä on (ks. kohta 5.3).

Suostumus

Henkilötietojen käsittely voi perustua rekisteröidyn antamaan suostumukseen yhtä tai useampaa erityistä henkilötietojen käsittelytarkoitusta varten. Jos käsittely perustuu suostumukseen, rekisterinpitäjän on pystyttävä osoittamaan myös jälkikäteen, että rekisteröity on antanut suostumuksen.

Rekisteröidyn suostumus on annettava selkeästi suostumusta ilmaisevalla toimella tai kirjallisella, sähköisellä tai suullisella lausumalla. Toimesta tai lausumasta on käytävä ilmi rekisteröidyn vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla hän hyväksyy henkilötietojensa käsittelyn.

Suostumusta osoittava toimi voi esimerkiksi olla se, että rekisteröity rastittaa ruudun vieraillessaan internetsivustolla, valitsee tietoyhteiskunnan palveluiden teknisiä asetuksia tai esittää minkä tahansa muun lausuman tai toimii tavalla, jolla hän selkeästi osoittaa hyväksyvänsä henkilötietojensa käsittelyn esitettyihin käyttötarkoituksiin. Suostumusta ei sen sijaan voi antaa esimerkiksi valmiiksi rastitetuilla ruuduilla.

Jos rekisteröity antaa suostumuksensa kirjallisessa ilmoituksessa, joka koskee myös muita asioita, suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista ja selkeässä muodossa.

Rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa. Jos rekisteröity peruuttaa suostumuksensa, ei henkilötietoja voida enää käsitellä suostumuksen perusteella.

Lapsille tietoyhteiskunnan palveluita tarjoavien rekisterinpitäjien on tärkeätä huomioida, että henkilötietolaista poiketen tietosuoja-asetus antaa ko. palveluita tarjottaessa erityistä suojaa lasten henkilötiedoille.

Lapsen henkilötietojen käsittely suostumuksen perusteella suoraan lapselle tarjottavien tietoyhteiskunnan palvelujen tarjoamisen yhteydessä edellyttää vanhempainvastuunkantajan suostumusta tai valtuutusta. Tietosuojalaissa on tarkoitus säätää, että lapsia ovat alle 13-vuotiaat. Vanhempainvastuunkantaja on käytännössä usein lapsen huoltaja.

Tietoyhteiskunnan palveluilla tarkoitetaan asetuksessa sähköisesti etäpalveluina palvelun vastaanottajan henkilökohtaisesta pyynnöstä toimitettavia palveluita, joista tavallisesti maksetaan korvaus.

Rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu

Henkilötietojen käsittely voi tietosuoja-asetuksen mukaan perustua rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseen. Jos käsittely perustuu oikeutettuun etuun, ei käsittelyyn tarvitse pyytää suostumusta.

Asetuksen mukaan oikeutettu etu voi olla olemassa esimerkiksi silloin, kun rekisteröidyn ja rekisterinpitäjän välillä on merkityksellinen ja asianmukainen suhde. Näin on muun muassa, kun rekisteröity on rekisterinpitäjän asiakas tai tämän palveluksessa. Nykyisin henkilötietolaki sisältää asiallisen yhteyden käsittelyperusteen, jonka nojalla yritykset usein käsittelevät asiakkaidensa tai työntekijöidensä henkilötietoja. Jatkossa tähän perusteeseen perustuvan käsittelyn voi siten yleensä perustaa asetuksen ns. oikeutetun edun perusteeseen.

Asetuksessa todetaan lisäksi, että rekisterinpitäjillä, jotka kuuluvat konserniin tai keskuselimeen kuuluvaan laitokseen, voi olla sisäisistä hallinnollisista syistä johtuen oikeutettu etu siirtää konsernin sisällä henkilötietoja, ml. asiakkaiden tai työntekijöiden henkilötietojen käsittely.

Tietosuoja-asetuksessa mainitaan myös, että henkilötietojen käsittelyä suoramarkkinointitarkoituksissa voidaan pitää oikeutetun edun toteuttamisena. Suoramarkkinointiin ei siten jatkossakaan tarvitse pyytää rekisteröidyn suostumusta, mutta rekisteröidyllä on oikeus kieltää tietojensa käsittely suoramarkkinointitarkoituksia varten ja tämä oikeus on saatettava selkeästi rekisteröidyn tietoon (ks. kohta 5.3.8). Sähköinen suoramarkkinointi kuluttajille, kuten esimerkiksi sähköpostitse tehtävä markkinointi, sen sijaan edellyttää lähtökohtaisesti etukäteistä suostumusta. Sähköisestä suoramarkkinoinnista säädetään tietoyhteiskuntakaaressa (917/2014) 24 luku).

Tietosuoja-asetuksen mukaan henkilötietojen käsittely ei ole oikeutetusta edusta huolimatta sallittua, jos henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet ne syrjäyttävät. Näin on erityisesti silloin, kun rekisteröity on lapsi.

Sen arvioiminen, syrjäyttävätkö rekisteröidyn edut tai perusoikeudet ja -vapaudet rekisterinpitäjän tai kolmannen osapuolen oikeutetun edun, on rekisterinpitäjän itsensä tehtävä. Arvioinnissa keskeistä on muun muassa se, voiko rekisteröity kohtuudella odottaa henkilötietojen keruun yhteydessä, että henkilötietoja voidaan käsitellä määritettyjä tarkoituksia varten. Tämä korostaa rekisteröidyille annettavan henkilötietojen käsittelyä koskevan selkeän informaation merkitystä.

Sopimukseen perustuva käsittely

Suostumusta ei myöskään tarvita, jos henkilötietojen käsittely on tarpeen sopimuksen täytäntöön panemiseksi tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi.

Näin ollen esimerkiksi palvelun tai tavaran myyntiä tai vuokrausta koskevaan sopimukseen liittyen voidaan sopimusosapuolena olevan asiakkaan henkilötietoja käsitellä sopimuksen perusteella, vaikka käsittely olisi sallittua myös oikeutetun edun perusteella.

Lakiin perustuva käsittely

Tietosuoja-asetuksen mukaan laillinen peruste käsitellä henkilötietoja on myös silloin, kun henkilötietojen käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi. Myöskään tällöin käsittelyyn ei tarvitse pyytää erikseen suostumusta.

Muut henkilötietojen käsittelyn lailliset perusteet

Edellä mainittujen perusteiden lisäksi henkilötietojen käsittely on laillista myös, jos se on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi.

Lisäksi tietosuojalaissa on tarkoitus säätää henkilötietojen käsittelyperusteista eräissä tilanteissa (ks. HE 9/2018, ehdotettu 4 §).

Katso tietosuoja-asetuksen artiklat 6 – 8

5.1.3. Erityisten henkilötietoryhmien käsittely

Erityisten henkilötietoryhmien käsittely on pääsääntöisesti kiellettyä. Tämä pääsääntö vastaa henkilötietolain arkaluonteisten henkilötietojen käsittelykieltoa.

Erityisten henkilötietoryhmien käsittely on sallittua vain tietosuoja-asetuksessa, EU-oikeudessa tai kansallisessa lainsäädännössä määritetyin poikkeusehdoin.

Tietosuoja-asetuksen mukaan kiellettyä on sellaisten henkilötietojen käsittely, joista ilmenee:

  • rotu tai etninen alkuperä
  • poliittinen mielipide
  • uskonnollinen tai filosofinen vakaumus tai
  • ammattiliiton jäsenyys.

Kiellettyä on myös:

  • geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten
  • terveyttä koskevien tietojen käsittely ja
  • seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely.

Erityisiä henkilötietoryhmiä on tietosuoja-asetuksen nojalla mahdollista käsitellä, jos:

  • rekisteröity on antanut nimenomaisen suostumuksensa kyseisten henkilötietojen käsittelyyn yhtä tai useampaa tarkoitusta varten, eikä EU-oikeudessa tai kansallisessa lainsäädännössä ole säädetty, että käsittelykieltoa ei voida kumota rekisteröidyn suostumuksella
  • käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan
  • käsittely suoritetaan poliittisen, filosofisen, uskonnollisen tai ammattiliittotoimintaan liittyvän säätiön, yhdistyksen tai muun voittoa tavoittelemattoman yhteisön laillisen toiminnan yhteydessä ja asianmukaisin suojatoimin, sillä edellytyksellä, että käsittely koskee ainoastaan näiden yhteisöjen jäseniä tai entisiä jäseniä tai henkilöitä, joilla on yhteisöihin säännölliset, yhteisöjen tarkoituksiin liittyvät yhteydet, ja että henkilötietoja ei luovuteta yhteisön ulkopuolelle ilman rekisteröidyn suostumusta;
  • käsittely koskee henkilötietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi
  • käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi tai aina, kun tuomioistuimet suorittavat lainkäyttötehtäviään

Edellä mainittujen edellytysten lisäksi tietosuoja-asetus sallii erityisten henkilötietoryhmien käsittelyn useassa muussa tapauksessa, jos käsittely sallitaan EU-oikeudessa tai kansallisessa lainsäädännössä, jossa säädetään myös rekisteröidyn perusoikeuksia ja etuja koskevista asianmukaisista suojatoimista.

Asetuksessa muun muassa todetaan, että erityisten henkilötietoryhmien, kuten esimerkiksi terveyttä koskevien henkilötietojen, käsittely on sallittua, jos käsittely on tarpeen rekisterinpitäjän tai rekisteröidyn velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla, siltä osin kuin se sallitaan kansallisessa lainsäädännössä tai lainsäädännön mukaisessa työehtosopimuksessa.

Tietosuojalaissa on tarkoitus säätää erityisten henkilötietoryhmien käsittelyperusteista eräissä tilanteissa (ks. HE 9/2018, ehdotettu 6 §). Hallituksen esityksen mukaan sallittua olisi esimerkiksi sellaisten erityisten henkilötietoryhmien käsittely, josta säädetään laissa tai joka johtuu välittömästä rekisterinpitäjälle laissa säädetystä tehtävästä.

Tietosuoja-asetuksessa säädetään erikseen rikoksiin ja rikkomuksiin tai niihin liittyviin turvaamistoimiin liittyvien henkilötietojen käsittelystä. Tällaisten tietojen käsittely muutoin kuin viranomaisen valvonnassa on sallittua vain, jos käsittely sallitaan EU-oikeudessa tai kansallisessa lainsäädännössä. Tietosuojalaissa on tarkoitus säätää, että näitä tietoja saa käsitellä esimerkiksi, jos käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi tai jos käsittelystä säädetään laissa tai käsittely johtuu välittömästä rekisterinpitäjälle laissa säädetystä tehtävästä (ks. HE 9/2018, ehdotettu 7 §).

 

Tietosuojalaissa on lisäksi tarkoitus säätää henkilötunnuksen käsittelystä samoin kuin nykyisin säädetään henkilötietolain 13 §:ssä (ks. HE 9/2018, ehdotettu 29 §).

Katso tietosuoja-asetuksen artiklat 9 ja 10

5.2. Rekisterinpitäjän velvollisuudet

Tietosuoja-asetus edellyttää, että rekisterinpitäjä noudattaa henkilötietojen käsittelyä koskevia periaatteita ja varmistaa, että käsittelylle on lainsäädännössä säädetty käsittelyperuste (ks. kohta 5.1.1). Periaatteiden lisäksi tietosuoja-asetus asettaa rekisterinpitäjille ja henkilötietojen käsittelijöille yksityiskohtaisempia velvoitteita.

5.2.1. Osoitusvelvollisuus

Osoitusvelvollisuus on henkilötietolakiin nähden uusi velvoite. Rekisterinpitäjän on osoitusvelvollisuuden mukaisesti voitava osoittaa, että se noudattaa henkilötietojen käsittelyä koskevia periaatteita ja asetuksen muuta sääntelyä käsitellessään henkilötietoja. Pelkkä lainsäädännön noudattaminen ei siten enää riitä.

Osoitusvelvollisuus edellyttää rekisterinpitäjältä muun muassa henkilötietojen käsittelyn aiempaa tarkempaa suunnittelua, dokumentointia sekä sisäistä ohjeistusta ja tarvittaessa henkilötietoja käsittelevän henkilöstön koulutusta.

Katso  tietosuoja-asetuksen artiklat 5 ja 24

5.2.2. Henkilötietojen käsittelyyn liittyvien riskien arviointi

Tietosuoja-asetus edellyttää, että asetuksen vaatimia toimenpiteitä ja suojatoimia, kuten esimerkiksi toimia käsiteltävien henkilötietojen suojaamiseksi, suhteutetaan henkilötietojen käsittelystä rekisteröityjen oikeuksille ja vapauksille aiheutuvaan riskiin.

Asetuksessa tällaisilla riskeillä tarkoitetaan henkilötietojen käsittelystä rekisteröidylle mahdollisesti aiheutuvia fyysisiä, aineellisia tai aineettomia vahinkoja esimerkiksi silloin, kun käsittely saattaa johtaa syrjintään, identiteettivarkauteen tai petokseen, taloudellisiin menetyksiin, sosiaaliseen vahinkoon tai pseudonymisoinnin kumoutumiseen. Riski voi olla korkeampi esimerkiksi silloin, kun käsitellään erityisiin henkilötietoryhmiin kuuluvia tietoja, lasten henkilötietoja tai kun käsitellään suuria määriä henkilötietoja ja käsittely koskee rekisteröityjen suurta määrää.

Riskin todennäköisyyttä ja vakavuutta arvioitaessa on otettava huomioon henkilötietojen käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset.

Pseudonymisoinnilla tarkoitetaan asetuksessa henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn rekisteröityyn käyttämättä lisätietoja ja tällaiset lisätiedot säilytetään erillään ja niihin sovellettavilla toimenpiteillä varmistetaan, ettei henkilötietoja yhdistetä tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön.

Katso tietosuoja-asetuksen artikla 24

5.2.3. Seloste käsittelytoimista

Rekisterinpitäjän on ylläpidettävä selostetta vastuullaan olevasta henkilötietojen käsittelystä. Velvoite vastaa pitkälti henkilötietolain velvoitetta laatia rekisteriseloste.

Selosteeseen on sisällytettävä seuraavat tiedot:

  • rekisterinpitäjän nimi ja yhteystiedot sekä tarvittaessa mahdollisen yhteisrekisterinpitäjän, rekisterinpitäjän edustajan ja tietosuojavastaavan nimi
  • käsittelyn tarkoitukset
  • kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä
  • henkilötietojen vastaanottajien ryhmät, joille henkilötietoja on luovutettu tai luovutetaan
  • tarvittaessa tiedot henkilötietojen siirtämisestä EU-alueen ulkopuolelle
  • mahdollisuuksien mukaan eri tietoryhmien poistamisen suunnitellut määräajat
  • mahdollisuuksien mukaan yleinen kuvaus käsittelyn turvallisuuden varmistamiseksi toteutetuista teknisistä ja organisatorisista turvatoimista.

Seloste on yksi keino osoittaa, että henkilötietojen käsittelyssä noudatetaan tietosuoja-asetuksen vaatimuksia, ja se on pyydettäessä toimitettava valvontaviranomaiselle.

Katso tietosuoja-asetuksen artikla 30

Katso tietosuoja-asetuksen artikla 30 sekä tietosuojavaltuutetun ohje ja mallilomake selosteen laatimisesta 

5.2.4. Tietosuojaa koskeva vaikutustenarviointi ja ennakkokuuleminen

Jos henkilötietojen käsittely todennäköisesti aiheuttaa korkean riskin rekisteröityjen oikeuksille ja vapauksille, rekisterinpitäjän on tehtävä tietosuojaa koskeva vaikutustenarviointi (ks. myös kohta 5.2.2). Yhtä arviointia on mahdollista käyttää samankaltaisiin vastaavia riskejä aiheuttaviin käsittelytoimiin. Jos henkilötietojen käsittelystä ei todennäköisesti aiheudu korkeaa riskiä, velvollisuutta vaikutustenarvioinnin tekemiseen ei ole.

Vaikutustenarviointi on tehtävä erityisesti, jos käsittelyssä on kyse:

  • erityisiin henkilötietoryhmiin kuuluvien tietojen tai rikostuomioita taikka rikkomuksia koskevien tietojen laajamittaisesta käsittelystä
  • järjestelmällisestä ja kattavasta automatisoituun päätöksentekoon perustuvasta henkilökohtaisten ominaisuuksien arvioinnista sekä
  • yleisölle avoimen alueen järjestelmällisestä ja laajamittaisesta valvonnasta.

 

Vaikutustenarvioinnissa on tarkasteltava erityisesti toimenpiteitä, joilla voidaan pienentää käsittelystä johtuvaa riskiä sekä varmistaa asetuksen vaatimusten toteutuminen rekisterinpitäjän toiminnassa.

Jos vaikutustenarvioinnin perusteella riskin taso arvioidaan korkeaksi, eikä rekisterinpitäjä pysty toteuttamaan toimenpiteitä riskin pienentämiseksi, on rekisterinpitäjän kuultava valvontaviranomaista ennen käsittelyn aloittamista. Rekisterinpitäjän on toimitettava valvontaviranomaiselle kuulemista varten rekisterinpitäjää, henkilötietojen käsittelyä ja suojatoimia koskevat perustiedot sekä tietosuojaa koskeva vaikutuksenarviointi.

Katso tietosuoja-asetuksen artiklat 35 ja 36

5.2.5. Käsittelyn turvallisuus

Rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava henkilötietojen käsittelyyn liittyvää riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet. On huomioitava, että tietojen suojaamisesta on huolehdittava kaikissa käsittelyn vaiheissa alkaen tietojen keräämisestä ja päättyen tietojen tuhoamiseen.

Velvoite vastaa pitkälti henkilötietolain velvoitetta tietojen suojaamisesta.

Rekisterinpitäjän ja henkilötietojen käsittelijän on lisäksi toteutettava toimenpiteet sen varmistamiseksi, että henkilöt, joilla on pääsy henkilötietoihin, käsittelevät niitä vain rekisterinpitäjän ohjeiden mukaisesti.

Katso tietosuoja-asetuksen artikla 32 

5.2.6. Henkilötietojen tietoturvaloukkauksista ilmoittaminen

Tietosuoja-asetus edellyttää, että rekisterinpitäjä ilmoittaa tietyissä tilanteissa henkilötietojen tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidyille. Tietoturvaloukkauksella tarkoitetaan loukkausta, jonka seurauksena on henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.

Rekisterinpitäjän on tehtävä loukkausta koskeva ilmoitus valvontaviranomaiselle mahdollisuuksien mukaan 72 tunnin kuluessa loukkauksen ilmitulosta.  Ilmoituksen voi jättää tekemättä, jos loukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Henkilötietojen käsittelijän on puolestaan ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan sen tietoonsa.

Ilmoituksessa on kuvattava loukkaus, loukkauksen todennäköiset seuraukset ja toimenpiteet, jotka on toteutettu loukkauksen johdosta sekä ilmoitettava tietosuojavastaavan nimi, jos sellainen on nimitetty, tai muu yhteyshenkilö.

Rekisterinpitäjän on ilmoitettava henkilötietojen tietoturvaloukkauksesta myös rekisteröidyille, jos loukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, jotta rekisteröity voi toteuttaa tarvittavat varotoimet.  Ilmoitus on tehtävä ilman aiheetonta viivytystä. Esimerkiksi tarve lieventää välittömien haittojen riskiä edellyttää sitä, että rekisteröidyille ilmoitetaan viipymättä, kun taas tarve toteuttaa asianmukaiset toimenpiteet loukkausten jatkumisen tai vastaavien loukkausten estämiseksi voivat perustella pidempää ilmoitusaikaa.

Ilmoitusta rekisteröidyille ei kuitenkaan tarvitse tehdä, jos:

  • rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet ja loukkauksen kohteena oleviin henkilötietoihin on sovellettu kyseisiä toimenpiteitä (etenkin, jos henkilötiedot on muutettu muotoon, jossa ne eivät ole sellaisten henkilöiden ymmärrettävissä, joilla ei ole lupaa päästä tietoihin) tai
  • rekisterinpitäjä on toteuttanut loukkauksen johdosta toimenpiteitä, joilla varmistetaan, että korkea riski luonnollisten henkilöiden oikeuksille ja vapauksille ei enää todennäköisesti toteudu.

Ilmoitusta ei myöskään tarvitse tehdä, jos ilmoittaminen vaatisi kohtuutonta vaivaa. Tällöin on kuitenkin toteuttava toimenpide, jolla rekisteröidyille tiedotetaan loukkauksesta tehokkaalla tavalla.

Katso tietosuoja-asetuksen artiklat 33 ja 34

5.2.7. Tietosuojavastaavan nimittäminen

Tietosuoja-asetus edellyttää, että rekisterinpitäjä ja henkilötietojen käsittelijä nimittävät tietosuojavastaavan, jos:

  • on kyse viranomaisesta tai julkishallinnon elimestä, joka ei ole tuomioistuin
  • organisaation ydintehtävät muodostuvat henkilötietojen käsittelytoimista, jotka edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa
  • organisaation ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu erityisiin henkilötietoryhmiin tai rikostuomioita ja rikkomuksia koskeviin tietoihin.

Konserni voi nimittää yhden ainoan tietosuojavastaavan edellyttäen, että tietosuojavastaavaan voidaan ottaa yhteyttä helposti jokaisesta toimipaikasta. Tietosuojavastaava voi olla organisaation henkilöstön jäsen tai hän voi hoitaa tehtäviään sopimuksen perusteella.

Tietosuojavastaavaa nimitettäessä on otettava huomioon henkilön ammattipätevyys ja erityisesti asiantuntemus tietosuojalainsäädännöstä ja alan käytänteistä.

Tietosuoja-asetus sisältää yksityiskohtaiset säännökset tietosuojavastaavan asemasta ja tehtävistä. Tietosuojavastaavan tehtävänä on muun muassa seurata henkilötietojen käsittelyn lainmukaisuutta ja auttaa organisaatiota toteuttamaan lainsäädännön asettamat velvoitteet. Tehtävänä on myös toimia valvontaviranomaisen sekä rekisteröityjen yhteystahona henkilötietojen käsittelyyn liittyvissä kysymyksissä. Tämän takia organisaation on julkistettava tietosuojavastaavan yhteystiedot ja ilmoitettava ne valvontaviranomaiselle.

Katso tietosuoja-asetuksen artiklat 37 – 39

5.2.8. Henkilötietojen käsittelyn ulkoistaminen

Henkilötietojen käsittelyn ulkoistamisesta on kyse esimerkiksi, jos yritys ostaa toiselta yritykseltä tietojen säilytys- ja analysointipalveluita tai palkkahallinnon palveluja.

Jos henkilötietojen käsittelyä ulkoistetaan, rekisterinpitäjän on saatava henkilötietojen käsittelijältä riittävät takeet siitä, että henkilötietojen käsittelijän suorittama henkilötietojen käsittely täyttää tietosuoja-asetuksen vaatimukset. Käytännössä kyse on esimerkiksi henkilötietojen käsittelijöiltä saatavasta dokumentaatiosta, josta käy ilmi asetuksen vaatimusten toteuttaminen käsittelijän toiminnassa.

Asetus edellyttää myös, että rekisterinpitäjä ja henkilötietojen käsittelijä laativat kirjallisen sopimuksen ulkoistettavasta henkilötietojen käsittelystä, ja määrittää varsin yksityiskohtaisesti mistä seikoista sopimuksessa on erityisesti sovittava.

Sopimukseen on kirjattava:

  • henkilötietojen käsittelyn kohde ja kesto,
  • henkilötietojen käsittelyn luonne ja tarkoitus,
  • henkilötietojen tyyppi ja rekisteröityjen ryhmät sekä
  • rekisterinpitäjän oikeudet ja velvollisuudet.

Lisäksi sopimuksessa on huomioitava muun muassa seuraavat asiat:

  • henkilötietojen käsittelijä varmistaa henkilötietojen käsittelyn turvallisuuden tietosuoja-asetuksen 32 artiklan edellyttämällä tavalla
  • henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän ohjeiden mukaisesti
  • henkilötietojen käsittelijä sitoutuu noudattamaan salassapitovelvollisuutta
  • henkilötietojen käsittelijä käyttää toisen henkilötietojen käsittelijän eli alihankkijan palveluita vain rekisterinpitäjän luvalla ja käsittelijällä on vastuu alihankkijansa toteuttamasta käsittelystä suhteessa rekisterinpitäjään
  • käsittelijä sitoutuu avustamaan rekisterinpitäjää tämän vastatessa rekisteröityjen pyyntöihin esimerkiksi tilanteissa, joissa rekisteröidyt haluavat pääsyn omiin tietoihinsa

Katso tietosuoja-asetuksen artikla 28

5.3. Rekisteröityjen oikeudet

5.3.1. Yleistä rekisteröityjen oikeuksista

Rekisterinpitäjän on huolehdittava rekisteröityjen oikeuksien toteuttamisesta. Tietosuoja-asetuksen mukaiset rekisteröityjen oikeudet vastaavat suurelta osin henkilötietolain mukaisia oikeuksia. Asetus kuitenkin antaa rekisteröidyille myös uusia oikeuksia, minkä lisäksi asetuksen sääntely on henkilötietolakia yksityiskohtaisempaa.

On tärkeätä huomioida, että henkilötietojen käsittelyn peruste (ks. kohta 5.1.2) vaikuttaa jonkin verran siihen, mitä oikeuksia rekisteröidyillä on. Esimerkiksi oikeus siirtää tiedot järjestelmästä toiseen ja oikeus vastustaa henkilötietojen käsittelyä liittyvät vain osaan käsittelyperusteista.

5.3.2. Oikeus saada läpinäkyvää informaatiota henkilötietojen käsittelystä

Ymmärrettävän ja selkeän informaation antaminen rekisteröidyille henkilötietojen käsittelystä on keskeistä mm. läpinäkyvyyden periaatteen toteuttamiseksi (ks. kohta 5.1.1).

Rekisterinpitäjän on informoitava rekisteröityjä siinä vaiheessa, kun tiedot saadaan rekisteröidyltä itseltään.

Rekisteröityjä on informoitava myös silloin, kun tiedot saadaan muualta kuin rekisteröidyltä. Tieto käsittelystä on tällöin toimitettava kohtuullisen ajan kuluessa ja viimeistään kuukauden kuluessa henkilötietojen saamisesta. Jos henkilötietoja käytetään viestintään asianomaisen rekisteröidyn kanssa, tieto käsittelystä on annettava viimeistään silloin, kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran.  Jos tietoja on tarkoitus luovuttaa toiselle vastaanottajalle, on tieto käsittelystä annettava viimeistään silloin, kun tietoja luovutetaan ensimmäisen kerran.

Tietosuoja-asetus ei määritä tiettyä muotoa tai mallia sille, miten informointivelvoite on täytettävä. Arvioitaessa sopivaa informoinnin tapaa on tärkeätä huomioida henkilötietojen käsittelyyn ja erityisesti tietojen keräämiseen liittyvät olosuhteet, kuten esimerkiksi se, mitä kautta henkilötietoja kerätään.

Informointi on tehtävä riittävän aktiivisella tavalla. Esimerkiksi jos asiakasta pyydetään yrityksen verkkosivuilla palvelua varattaessa antamaan henkilötietoja, on asiakasta samalla mahdollista informoida mahdollisuudesta tutustua yrityksen tietosuojakäytänteeseen tai tietosuojaselosteeseen laittamalla varaussivustolle tai varausvahvistukseen linkki kotisivuilla olevaan informointiaineistoon. Jos tietoja kerätään manuaalisesti, voidaan tietoja antaa esimerkiksi lehtisen avulla tai suullisesti.

Rekisteröidyille on informoitava:

  • rekisterinpitäjän ja hänen edustajan yhteystiedot sekä tietosuojavastaavan yhteystiedot, jos yritys on nimennyt asetuksessa tarkoitetun tietosuojavastaavan (tietosuojavastaavan nimittämisestä ks. kohta 5.2.7)
  • henkilötietojen käsittelyn tarkoitukset ja käsittelyn oikeusperuste (käsittelyn tarkoituksista ja oikeusperusteista katso kohdat 5.1.1 ja 5.1.2). Jos käsittely perustuu rekisterinpitäjän oikeutettuun etuun, on rekisterinpitäjän yksilöitävä tarkemmin oikeutettu etu (esimerkiksi asiakkuussuhde)
  • mitä henkilötietoryhmiä yritys kerää ja käsittelee sekä mistä lähteistä tietoja saadaan
  • tieto siitä, luovutetaanko henkilötietoja, ja jos luovutetaan, tietojen vastaanottajat / vastaottajien ryhmät
  • jos henkilötietoja siirretään EU:n ulkopuolelle, tieto siitä sekä asetuksen edellyttämä muu selvitys siirroista (ks. kohta 5.4)
  • henkilötietojen säilytysaika tai jos se ei ole mahdollista, kriteerit ajan määrittämiseksi
  • rekisteröidyn asetuksen mukaisista oikeuksista (mm. oikeus pyytää itseään koskevien henkilötietojen oikaisemista) sekä oikeudesta peruuttaa annettu suostumus ja tehdä valitus valvontaviranomaiselle
  • automaattisesta päätöksenteosta, ml. profiloinnin olemassaolosta, sekä siihen liittyvästä logiikasta, sen merkityksestä ja mahdollisista seurauksista rekisteröidyille informoitava, jos rekisterinpitäjä suorittaa henkilötietojen nojalla automaattista päätöksentekoa (ks. kohta 5.3.9)

Jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muihin tarkoituksiin kuin niihin, joihin henkilötiedot kerättiin, rekisterinpitäjän on informoitava rekisteröityä muista tarkoituksista ennen jatkokäsittelyä.

Em. tietoja ei tarvitse informoida, jos rekisteröity on jo saanut tiedot. Lisäksi silloin kun tietoja saadaan muualta kuin rekisteröidyltä, em. tietoja ei tarvitse informoida, jos

  • tietojen toimittaminen osoittautuu mahdottomaksi tai vaatisi kohtuutonta vaivaa tai niiltä osin kuin informointivelvoite todennäköisesti estää kyseisten käsittelyn tarkoitusten saavuttamisen tai vaikeuttaa sitä suuresti. Tällaisissa tapauksissa rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet rekisteröityjen oikeuksien ja etujen sekä oikeutettujen etujen suojaamiseksi.
  • tietojen hankinnasta tai luovuttamisesta säädetään nimenomaisesti rekisterinpitäjään sovellettavassa EU:n oikeudessa tai kansallisessa lainsäädännössä tai
  • tedot on pidettävä luottamuksellisina, koska niitä koskee EU:n oikeuteen tai kansalliseen lainsäädäntöön perustuva vaitiolovelvollisuus, kuten lakisääteinen salassapitovelvollisuus.

Tietosuojalaissa on tarkoitus säätää, että tietyissä rajoitetuissa tilanteissa velvollisuudesta informoida rekisteröityjä henkilötietojen käsittelystä on mahdollista poiketa (ks. HE 9/2018, ehdotettu 33 §)

Katso tietosuoja-asetuksen artiklat 13 ja 14

5.3.3. Rekisteröidyn oikeus saada pääsy tietoihin

Tietosuoja-asetuksessa säädetty rekisteröidyn oikeus saada pääsy tietoihin vastaa pitkälti henkilötietolain sääntelyä tarkastusoikeudesta, jonka mukaan rekisteröidyllä on pääsääntöisesti oikeus saada tietää, mitä häntä koskevia tietoja henkilörekisteriin on tallennettu.

Asetuksessa ei säädetä määrämuotoa pyynnön esittämiselle. Jos rekisterinpitäjällä on perusteltu syy epäillä pyynnön tehneen henkilöllisyyttä, rekisterinpitäjä voi kuitenkin pyytää toimittamaan lisätiedot, jotka ovat tarpeen henkilöllisyyden vahvistamiseksi. Rekisterinpitäjä voi myös pyytää rekisteröityä täsmentämään riittävällä tavalla, mitä tietoja tai käsittelytoimia rekisteröidyn pyyntö koskee.

Rekisteröidyn pyyntöön on reagoitava yhden kuukauden sisällä. Määräaikaa on mahdollista pidentää kahdella kuukaudella, jos pyynnöt ovat monimutkaisia tai niitä on paljon. Tällöin rekisterinpitäjän on ilmoitettava rekisteröidylle määräajan jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä kerrottava viivästymisen syyt.

Pyyntöjen toteuttamisen lähtökohtana on maksuttomuus. Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, esimerkiksi, jos niitä esitetään toistuvasti, rekisterinpitäjä voi kuitenkin kieltäytyä suorittamasta pyydettyä toimenpidettä tai periä kohtuullisen maksun ottaen huomioon tietojen toimittamisesta aiheutuvat hallinnolliset kustannukset.

Jos rekisteröity esittää pyynnön sähköisesti, rekisterinpitäjän on pääsääntöisesti annettava tiedot yleisesti käytetyssä sähköisessä muodossa, paitsi jos rekisteröity toisin pyytää.

Huomioitavaa on, että rekisteröidyn oikeus saada tiedot ei saa vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin. Tämän arvioiminen jää rekisterinpitäjän itsensä tehtäväksi. Asetuksen mukaan muiden oikeudet ja vapaudet voivat liittyä esimerkiksi tarpeeseen suojata liikesalaisuuksia.

Rekisteröidyllä on lisäksi oikeus saada seuraavat tiedot:

  • käsittelyn tarkoitukset
  • mitä henkilötietoryhmiä yritys kerää ja käsittelee
  • tieto siitä, luovutetaanko henkilötietoja, ja jos luovutetaan, vastaanottajat / vastaanottajien ryhmät
  • jos henkilötietoja siirretään EU:n ulkopuolelle, tieto siitä sekä asetuksen edellyttämä muu selvitys siirroista (ks. kohta 5.4)
  • henkilötietojen säilytysaika tai jos se ei ole mahdollista, kriteerit ajan määrittämiseksi
  • tieto rekisteröidyn asetuksen mukaisista oikeuksista (mm. oikeus pyytää itseään koskevien henkilötietojen oikaisemista) ja oikeudesta tehdä valitus valvontaviranomaiselle
  • tieto automaattisesta päätöksenteosta, ml. profiloinnin olemassaolosta, sekä siihen liittyvästä logiikasta, sen merkityksestä ja mahdollisista seurauksista rekisteröidyille informoitava, jos rekisterinpitäjä suorittaa henkilötietojen nojalla automaattista päätöksentekoa (ks. kohta 5.3.9)

Tietosuojalaissa on tarkoitus säätää, että tietyissä rajatuissa tilanteissa rekisteröidyillä ei ole oikeutta saada pääsyä häntä koskeviin tietoihin (ks. HE 9/2018, ehdotettu 34 §)

Katso tietosuoja-asetuksen artikla 15

5.3.4. Oikeus tietojen oikaisemiseen

Rekisteröidyllä on oikeus pyytää, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot.

Myöskään oikaisua koskevan pyynnön osalta asetuksessa ei säädetä määrämuotoa pyynnön esittämiselle. Määräajoista ja maksuttomuudesta ks. kohta 5.3.3.

Katso tietosuoja-asetuksen artikla 16

5.3.5. Oikeus tietojen poistamiseen

Rekisterinpitäjän on rekisteröidyn niin pyytäessä poistettava rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, jos jokin seuraavista edellytyksistä täyttyy:

  • henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin
  • rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut eikä käsittelyyn ole muuta laillista perustetta (katso kohta 5.1.2)
  • rekisteröity vastustaa henkilötietojen käsittelyä eikä käsittelyyn ole olemassa perusteltua syytä (ks. kohta 5.3.8) tai rekisteröity vastustaa henkilötietojen käsittelyä suoramarkkinointia varten
  • henkilötietoja on käsitelty lainvastaisesti
  • henkilötiedot on poistettava EU-oikeuteen tai kansalliseen lainsäädäntöön perustuvan rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi
  • henkilötiedot on kerätty suoraan lapselle tarjottavien tietoyhteiskunnan palvelujen tarjoamisen yhteydessä (ks. kohta 5.1.2)

Vaikka jokin edellä mainittu edellytys täyttyisi, tietoja ei kuitenkaan tarvitse poistaa, jos käsittely on tarpeen:

  • sananvapautta ja tiedonvälityksen vapautta koskevan oikeuden käyttämiseksi
  • rekisterinpitäjään sovellettavaan EU-oikeuteen tai kansalliseen lainsäädäntöön perustuvan, käsittelyä edellyttävän lakisääteisen velvoitteen noudattamiseksi, tai jos käsittely tapahtuu yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten
  • kansanterveyteen liittyvää yleistä etua koskevista syistä asetuksen edellyttämin tavoin
  • yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten asetuksen edellyttämin tavoin, jos tietojen poistaminen todennäköisesti estäisi kyseisen käsittelyn tai vaikeuttaa sitä suuresti tai
  • oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi

Jos rekisterinpitäjän on poistettava tiedot ja rekisterinpitäjä on julkistanut henkilötiedot, rekisterinpitäjän on lisäksi toteutettava kohtuulliset toimenpiteet ilmoittaakseen henkilötietoja käsitteleville rekisterinpitäjille, että rekisteröity on pyytänyt poistamaan henkilötietoihin liittyvät linkit tai näiden henkilötietojen jäljennökset tai kopiot.

Katso tietosuoja-asetuksen artikla 17

5.3.6. Oikeus käsittelyn rajoittamiseen

Seuraavissa tilanteissa rekisterinpitäjän on rekisteröidyn pyynnöstä rajoitettava henkilötietojen aktiivista käsittelyä:

  • rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä on rajoitettava siksi aikaa, kunnes rekisterinpitäjä voi varmistaa tietojen paikkansapitävyyden
  • käsittely on lainvastaista ja rekisteröity vaatii henkilötietojen poistamisen sijaan tietojen käsittelyn rajoittamista
  • rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi tai
  • rekisteröity on vastustanut henkilötietojen käsittelyä (ks. kohta 5.3.8) ja sen arviointi, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet on kesken.

Henkilötietojen käsittelyn rajoittamista koskevia menetelmiä voivat olla esimerkiksi valittujen tietojen siirtäminen toiseen käsittelyjärjestelmään tai käyttäjien pääsyn estäminen valittuihin henkilötietoihin.

Rekisterinpitäjä saa edelleen säilyttää henkilötietoja, muttei muutoin käsitellä niitä ilman rekisteröidyn suostumusta. Tietoja saa käsitellä myös oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi taikka toisen luonnollisen henkilön tai oikeushenkilön oikeuksien suojaamiseksi tai tärkeää yleistä etua koskevista syistä. Ennen kuin käsittelyn rajoitus poistetaan, siitä on ilmoitettava rekisteröidylle.

Katso tietosuoja-asetuksen artikla 18

5.3.7. Oikeus siirtää tiedot järjestelmästä toiseen

Jos henkilötietojen käsittely perustuu suostumukseen tai sopimukseen (ks. kohta 5.1.2) ja käsittelyä suoritetaan automaattisesti, rekisteröidyllä on oikeus saada rekisterinpitäjälle toimittamansa häntä koskevat henkilötiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa sekä oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle rekisteröity on alun perin toimittanut tiedot.

Jos rekisteröity käyttää em. oikeuttaan, hänellä on oikeus saada tiedot siirrettyä suoraan rekisterinpitäjältä toiselle, mikäli se on teknisesti mahdollista. Asetuksessa kuitenkin täsmennetään, että rekisteröidyn oikeus siirtää tiedot järjestelmästä toiseen ei tarkoita, että rekisterinpitäjillä olisi velvollisuus ylläpitää teknisesti yhteensopivia it-järjestelmiä.

Huomioitavaa on, että rekisteröidyn oikeus siirtää tiedot järjestelmästä toiseen ei saa vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin. Tämän arvioiminen jää rekisterinpitäjän itsensä arvioitavaksi.

Rekisteröidyllä ei ole oikeutta siirtää tiedot järjestelmästä toiseen, jos henkilötietojen käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten.

Määräajoista ja maksuttomuudesta ks. kohta 5.3.3.

Katso tietosuoja-asetuksen artikla 20

5.3.8. Vastustamisoikeus

Jos henkilötietojen käsittely perustuu rekisterinpitäjän tai kolmannen osapuolen oikeutetun edun toteuttamiseen, yleistä etua koskevan tehtävän suorittamiseen tai rekisterinpitäjälle kuuluvan julkisen vallan käyttöön, rekisteröidyllä on oikeus vastustaa häntä koskevien henkilötietojen käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella. Jos rekisteröity käyttää vastustamisoikeuttaan, henkilötietoja ei enää saa käsitellä, ellei rekisterinpitäjä pysty osoittamaan, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut ja oikeudet, tai jos käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

Rekisteröidyllä on lisäksi oikeus milloin tahansa vastustaa henkilötietojensa käsittelyä suoramarkkinointia varten, ml. profilointia, jos se liittyy suoramarkkinointiin. Jos rekisteröity vastustaa henkilötietojen käsittelyä suoramarkkinointia varten, tietoja ei enää saa käsitellä suoramarkkinointitarkoituksia varten.

Rekisteröityä on informoitava selkeästi vastustamisoikeudesta viimeistään silloin, kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran. Tietoyhteiskunnan palvelujen käyttämisen yhteydessä rekisteröidyn on voitava käyttää vastustamisoikeuttaan automaattisesti teknisiä ominaisuuksia hyödyntäen.

Katso tietosuoja-asetuksen artikla 21

5.3.9. Automatisoidut yksittäispäätökset

Kuten henkilötietolaki, myös tietosuoja-asetus kieltää pääsääntöisesti sellaisten pelkästään automaattiseen henkilötietojen käsittelyyn, kuten esimerkiksi profilointiin, perustuvien päätösten tekemisen, joilla on rekisteröityjä koskevia oikeusvaikutuksia tai jotka vaikuttavat häneen vastaavalla tavalla merkittävästi.

Asetuksen mukaan tällaisia päätöksiä ovat esimerkiksi online-luottohakemuksen automaattinen epääminen ja sähköisen rekrytoinnin käytännöt ilman ihmisen osallistumista.

Profiloinnilla tarkoitetaan asetuksessa henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan henkilön henkilökohtaisia ominaisuuksia ja erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin.

Em. automatisoitujen yksittäispäätösten tekeminen on sallittua, jos päätös:

  • on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten,
  • perustuu rekisteröidyn nimenomaiseen suostumukseen tai
  • on hyväksytty rekisterinpitäjään sovellettavassa EU-oikeudessa tai kansallisessa lainsäädännössä.

Jos automatisoitujen yksittäispäätösten tekeminen perustuu rekisteröidyn nimenomaiseen suostumukseen tai on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten, rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi. Tietosuoja-asetus määrittää, että rekisteröidyllä on oltava vähintään oikeus vaatia, että tiedot käsittelee rekisterinpitäjän puolesta luonnollinen henkilö, sekä oikeus esittää kantansa ja riitauttaa tehty päätös.

Automatisoidut päätökset eivät saa perustua erityisiin henkilötietoryhmiin. Tämä kielto ei kuitenkaan koske tilanteita, joissa on toteutettu asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi, ja rekisteröity on antanut nimenomaisen suostumuksensa kyseisten henkilötietojen käsittelyyn, tai käsittely on asetuksessa edellytetyin tavoin tarpeen tärkeää yleistä etua koskevasta syystä EU-oikeuden tai kansallisen lainsäädännön nojalla.

Katso tietosuoja-asetuksen artikla 22

5.4. Siirrot EU-alueen ulkopuolelle

Tietosuoja-asetuksessa määritetään perusteet, joiden nojalla henkilötietojen siirtäminen käsiteltäväksi EU:n ulkopuolelle on sallittua. Jos minkään asetuksessa määritetyn siirtoperusteen edellytykset eivät täyty, henkilötietojen siirtäminen EU:n ulkopuolelle ei ole sallittua.

Henkilötietojen siirto EU-alueen ulkopuoliseen maahan on sallittua, jos komission on tehnyt päätöksen, jossa todetaan, että kyseinen kolmas maa varmistaa riittävän tietosuojan tason.

Jos komissio ei ole tehnyt em. päätöstä, henkilötietojen siirto EU-alueen ulkopuolelle on sallittua, jos rekisterinpitäjä tai henkilötietojen käsittelijä ovat toteuttaneet asianmukaiset suojatoimet ja jos rekisteröityjen saatavilla on täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja. Asetuksen määrittämiä asianmukaisia suojatoimia ovat esimerkiksi komission hyväksymät vakiolausekkeet (mallisopimuslausekkeet), asetuksen mukaiset yritystä koskevat sitovat säännöt, jotka valvontaviranomainen on vahvistanut, tai vakiolausekkeet, jotka tietosuojaviranomainen on vahvistanut ja jotka komissio on hyväksynyt.

Henkilötietojen siirrot EU-alueen ulkopuolelle ovat lisäksi sallittuja asetuksessa määritetyissä poikkeuksellisissa erityistilanteissa, vaikka komissio ei olisi tehnyt päätöstä tietosuojan riittävästä tasosta eikä rekisterinpitäjä tai henkilötietojen käsittelijä olisi toteuttanut em. asianmukaisia suojatoimia.

Erityistilanteita ovat muun muassa seuraavat:

  • rekisteröity on antanut nimenomaisen suostumuksensa ehdotettuun siirtoon sen jälkeen, kun hänelle on ilmoitettu, että tällaiset siirrot voivat aiheuttaa rekisteröidylle riskejä tietosuojan tason riittävyyttä koskevan päätöksen ja asianmukaisten suojatoimien puuttumisen vuoksi
  • siirto on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöönpanemiseksi tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä
  • siirto on tarpeen rekisterinpitäjän ja toisen luonnollisen henkilön tai oikeushenkilön välisen, rekisteröidyn etujen mukaisen sopimuksen tekemiseksi tai täytäntöönpanemiseksi,
  • siirto on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi tai
  • siirto on tarpeen rekisteröidyn tai muiden henkilöiden elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan

Katso tietosuoja-asetuksen artiklat 44 – 49

5.5. Valvonta, vastuu ja seuraamukset

5.5.1. Tietosuoja-asetuksen soveltamisen valvonta

Tietosuoja-asetuksen soveltamista valvoo jokaisessa EU-maassa riippumaton valvontaviranomainen.

Tietosuoja-asetus sisältää sääntelyä valvontaviranomaisen toimivallasta, tehtävistä ja valtuuksista.

Tietosuojalaissa on tarkoitus säätää, että Suomessa valvontaviranomainen olisi tietosuojavaltuutettu, ja tietosuojavaltuutetulle keskitettäisiin tietosuoja-asetuksessa valvontaviranomaiselle määritetyt tehtävät ja toimivaltuudet. Nykyisin tärkein päätöstoimivaltaa käyttävä valvontaviranomainen, tietosuojalautakunta, lakkautettaisiin.

Tietosuoja-asetus sisältää lisäksi sääntelyä valvonnasta tilanteissa, joissa rekisterinpitäjä toimii useassa EU:n jäsenmaassa. Asetuksen myötä rekisterinpitäjän ei tarvitse asioida tällaisissa tilanteissa kuin yhden jäsenmaan valvontaviranomaisen kanssa. Toimivaltainen valvontaviranomainen määräytyy ns. yhden luukun periaatteen mukaisesti rekisterinpitäjän tai henkilötietojen käsittelijän ainoa toimipaikan tai päätoimipaikan mukaan.

Katso tietosuoja-asetuksen luvut VI ja VII

5.5.2. Vastuu ja hallinnolliset sakot

Jos henkilölle aiheutuu tietosuoja-asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta.

Vahingosta, joka on aiheutunut asetusta rikkovasta henkilötietojen käsittelystä, on vastuussa kukin tietojenkäsittelyyn osallistunut rekisterinpitäjä. Henkilötietojen käsittelijä on vastuussa käsittelystä aiheutuneesta vahingosta vain, jos se ei ole noudattanut nimenomaisesti henkilötietojen käsittelijöille asetuksessa osoitettuja velvoitteita tai se on toiminut rekisterinpitäjän lainmukaisen ohjeistuksen ulkopuolella tai sen vastaisesti.

Rekisterinpitäjä tai henkilötietojen käsittelijä on vastuusta vapaa, jos se osoittaa, ettei se ole millään tavalla vastuussa vahingon aiheuttaneesta tapahtumasta.

Tietosuoja-asetuksessa säädetään hallinnollisista sakoista. Päätettäessä sakon määräämisestä ja määrästä on kussakin yksittäisessä tapauksessa huomioitava muun muassa rikkomisen luonne, vakavuus, kesto, tahallisuus tai tuottamuksellisuus sekä rekisterinpitäjän tai henkilötietojen käsittelijän toteuttamat toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi.

Asetuksessa säädetään, minkä asetuksen säännösten rikkomisesta hallinnollinen sakko voidaan määrätä ja mikä on sakon enimmäismäärä. Esimerkiksi kohdissa 5.2.3 – 5.2.8 kuvattujen velvoitteiden rikkomisesta määrättävän sakon enimmäismäärä on 10 000 000 euroa tai kaksi prosenttia edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta. Esimerkiksi kohdissa 5.1.2 ja 5.3.2 – 5.3.9 kuvattujen velvoitteiden rikkomisesta määrättävän sakon enimmäismäärä puolestaan on 20 000 000 euroa tai neljä prosenttia edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta.

Hallinnollinen sakko on mahdollista määrätä valvontaviranomaisen valvontatoimenpiteiden lisäksi tai niiden sijasta.

Kansallisessa tietosuojalaissa on tarkoitus säätää muun muassa muutoksenhausta hallinnollista sakkoa koskevaan päätökseen.

Katso tietosuoja-asetuksen artiklat 82 ja 83

5.6. Yhteenveto henkilötietojen käsittelyn keskeisistä vaatimuksista

6. Tarkistuslista

Asetuksen vaatimuksiin valmistautumiseksi kannattaa tarkistaa ainakin seuraavat seikat:

  • noudatetaanko henkilötietojen käsittelyssä asetuksessa määritettyjä henkilötietojen käsittelyssä noudatettavia periaatteita (ks. kohta 5.1.1)
  • vaikuttaako asetus tämänhetkisiin laillisiin käsittelyperusteisiin (ks. kohta 5.1.2)
  • onko tietojen käsittelyä koskeva dokumentointi (ml. seloste käsittelytoimista ja muu käsittelyä kuvaava dokumentointi sekä sisäinen ohjeistus) riittävän kattavaa ja ajan tasalla – tämä on tärkeää uuden osoitusvelvollisuuden takia (ks. kohdat 5.2.1 ja 5.2.3)!
  • ovatko käsittelyn turvallisuutta ja tietojen suojaamista koskevat toimenpiteet riittävät (ks. kohta 5.2.5) ja onko yrityksellä prosessia mahdollisista tietoturvaloukkauksista ilmoittamista varten (ks. kohta 5.2.6)
  • onko henkilötietojen käsittelyn ulkoistuksia koskevia sopimuksia ja muuta ulkoistuksia koskevaa dokumentaatiota tarpeen päivittää vastaamaan asetuksen vaatimuksia (ks. kohta 5.2.8)
  • edellyttääkö asetus tietosuojavastaavan nimittämistä (ks. kohta 5.2.7)
  • onko rekisteröidyille annettava informaatio riittävän kattavaa ja selkeää – tämä on tärkeää läpinäkyvyyden takia (ks. kohta 5.3.2)!
  • pystytäänkö rekisteröityjen oikeuksia koskevat vaatimukset täyttämään (ks. kohdat 5.3.2 – 5.3.9)
  • noudatetaanko mahdollisissa henkilötietojen siirroissa EU:n ulkopuolelle asetuksen sääntelyä (ks. kohta 5.4)

Lisäksi on tarvittaessa tärkeätä huolehtia yrityksessä riittävästä koulutuksesta, jotta asetuksen vaatimukset otetaan jatkossa aina huomioon käsiteltäessä henkilötietoja sekä esimerkiksi tehtäessä it-järjestelmiä koskevia hankintoja.