Teknologian kehittyessä valtavaa vauhtia erilaisten käsiteltävien henkilötietojen määrä ja niiden käsittelyyn liittyvät riskit ovat kasvaneet organisaatioissa. Tietosuoja koskettaa jokaista organisaation jäsentä, sillä vastuu tietosuojasta jakautuu eri tasoille, ja on siten yhteinen.
EU:n yleinen tietosuoja-asetus (GDPR) on nostanut yksilön oikeudet keskiöön ja asettanut tiukat reunaehdot sille, miten henkilötietoja saa organisaatiossa käsitellä.
Tietosuoja rakentaa luottamusta
Kun asiakas, työntekijä tai yhteistyökumppani antaa organisaatiolle henkilötietojaan, hän luottaa siihen, että niitä käsitellään oikein ja vastuullisesti. Siksi henkilötietojen käsittelyä ohjaavat periaatteet, jotka varmistavat, että toiminta on läpinäkyvää, turvallista ja yksityisyyttä kunnioittavaa.
GDPR:ää noudattamalla organisaatio rakentaa luotettavampaa ja turvallisempaa yhteiskuntaa sekä antaa kuvan itsestään laadukkaana ja luotettavana toimijana.
Keskeiset tietosuojaperiaatteet
GDPR velvoittaa jokaista rekisterinpitäjää ja henkilötietojen käsittelijää noudattamaan seuraavia perusperiaatteita:
- Lainmukaisuus: Henkilötietojen käsittelyyn on oltava käsittelyperuste, jotta henkilötietojen käsittely on lainmukaista.
- Läpinäkyvyys: Rekisteröidylle on kerrottava ymmärrettävästi, miten ja miksi hänen tietojaan käsitellään.
- Asianmukaisuus: Henkilötietojen käsittelyn on oltava kohtuullista ja asianmukaista käsittelyn tarkoitukseen nähden.
- Tietojen minimointi: Vain tarpeellisia tietoja saa kerätä, eikä ylimääräisiä tietoja pidä haalia ”varmuuden vuoksi”.
- Käyttötarkoitussidonnaisuus: Tietoja saa käyttää vain siihen tarkoitukseen, jota varten ne on kerätty.
- Täsmällisyys: Tietojen on oltava täsmällisiä ja päivitettyjä. Vanhentuneet tai virheelliset tiedot on korjattava tai poistettava viipymättä.
- Säilytyksen rajoittaminen: Tietoja ei saa säilyttää pidempään kuin on tarpeen.
- Luottamuksellisuus ja turvallisuus: Tietojen käsittelyn tulee olla suojattua, luottamuksellista ja turvallista. Henkilötietoja on suojattava tietosuoja- ja tietosuojaohjeistuksella sekä teknisesti.
Lainmukainen käsittely
Henkilötietojen käsittely on sallittua vain silloin, kun siihen on selkeä oikeusperuste. GDPR määrittelee kuusi laillista perustetta, joista tavallisimmat ovat:
- Suostumus: Rekisteröity antaa vapaaehtoisesti ja tietoisesti luvan tietojensa käsittelyyn.
- Lakisääteinen velvoite: Tietojen käsittely on pakollista esimerkiksi verotuksen tai työturvallisuuden vuoksi.
- Sopimus: Tietoja käsitellään sopimuksen täytäntöön panemiseksi, kuten verkkokauppatilauksen toimittamiseksi.
- Oikeutettu etu: Tietojen käsittely perustuu organisaation perusteltuun tarpeeseen, kunhan se ei vaaranna rekisteröidyn oikeuksia.
Yksi peruste riittää, mutta sen on oltava selkeästi perusteltavissa.
Tietosuojaviranomaisen rooli
Tietosuojavaltuutettu:
- valvoo säädösten noudattamista
- käsittelee tietosuojaloukkauksia
- ohjeistaa sekä kansalaisia että organisaatioita tietosuoja-asioissa
Mitä tapahtuu, jos tietosuojaa rikotaan?
GDPR:n rikkomisella voi olla ankariakin seuraamuksia:
- Oikeus korvaukseen: Rekisteröity voi vaatia korvauksia, jos henkilötietojen käsittely aiheuttaa vahinkoa.
- Vastuu ulottuu kaikkiin osapuoliin: Sekä rekisterinpitäjä että henkilötietojen käsittelijä voivat olla vastuussa virheistä.
- Hallinnolliset sakot: Pahimmillaan sakot voivat nousta jopa 20 miljoonaan euroon tai 4 %:iin maailmanlaajuisesta liikevaihdosta.
- Rikosoikeudelliset seuraukset: Tahallisista ja vakavista rikkomuksista voi seurata myös rikoslain mukaisia rangaistuksia.
- Mainehaitta: Media uutisoi tietosuojarikkomuksista, eikä tämä uutisointi ole positiivista.
Tietosuoja on osa vastuullista toimintaa
Hyvä tietosuojakäytäntö on paitsi pakollista myös merkki siitä, että organisaatio toimii vastuullisesti, kunnioittaa yksilön oikeuksia ja rakentaa luottamusta sidosryhmiinsä.
Kun tietosuoja otetaan vakavasti, siitä hyötyvät asiakkaat, työntekijät ja organisaatio itse.
Kiinnostuitko aiheesta?
Jos haluat parantaa organisaatiosi tietosuojakäytäntöjä tai varmistaa GDPR:n vaatimusten täyttymisen, ota yhteyttä Lionan juristeihin.