Hei ja kiitos kysymyksestäsi!

GDPR ja henkilötietojen käsittely – mitä sinun tulee tietää

GDPR:ssä on asetettu erilaisia vaatimuksia niin rekisterinpitäjille kuin henkilötietojen käsittelijöillekin ja nämä vaatimukset koskevat kaikkia, jotka toimivat joko rekisterinpitäjän tai henkilötietojen käsittelijän roolissa. Rekisterinpitäjä on henkilö, yritys, viranomainen tai yhteisö, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Henkilötietojen käsittelijäksi puolestaan kutsutaan sitä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun ja rekisterinpitäjän ohjeiden mukaisesti. Henkilötietojen käsittelyllä tarkoitetaan henkilötietojen keräämistä, säilyttämistä, käyttöä, siirtämistä ja luovuttamista.

GDPR:n mukainen käsittelyperuste

Henkilötietojen käsittelylle tulee aina olla GDPR:n mukainen peruste, joita ovat :

• rekisteröidyn suostumus,
• sopimukseen perustuva henkilötietojen käsittely,
• rekisterinpitäjän lakisääteisen velvoitteen täyttäminen,
• elintärkeiden etujen suojaaminen,
• yleistä etua koskeva tehtävä tai julkisen vallan käyttö sekä
• rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu.

Ilman edellä mainittua perustetta henkilötietojen käsittely on kiellettyä.

Dokumentointi- ja osoitusvelvollisuus GDPR:ssä

Rekisterinpitäjällä on osoitusvelvollisuus, mikä tarkoittaa, että rekisterinpitäjän on pystyttävä osoittamaan, että noudattaa tietosuojalainsäädäntöä. Osoitusvelvollisuuteen kuuluu, että rekisterinpitäjä tekee tiettyjä toimenpiteitä ja kirjaa ne. Tätä puolestaan kutsutaan dokumentointivelvollisuudeksi, joka velvoittaa rekisterinpitäjää muun muassa laatimaan selosteen eli kuvauksen henkilötietojen käsittelystä, noudattamaan informointikäytäntöjä, dokumentoimaan henkilötietojen tietoturvaloukkaukset sekä arvioimaan henkilötietojen käsittelyperusteita.

Henkilötietojen säilytysaika GDPR:n mukaan

GDPR ei aseta henkilötietojen säilyttämiselle tarkkoja aikoja, joten rekisterinpitäjän on itse arvioitava henkilötietojen säilytysaikaa ja tarpeellisuutta kysymyksessä olevaa käyttötarkoitusta varten. Henkilötietoja saa kuitenkin säilyttää vain niin kauan kuin se on tarpeen tietojen käyttötarkoitusta varten. Rekisterinpitäjän on pystyttävä perustelemaan henkilötietojen tarpeellinen säilytysaika esimerkiksi asiakassuhteen päättymisen jälkeen. Myös kansallisessa laissa, kuten kirjanpitolaissa, on määräyksiä säilytysaikoihin.

Rekisterinpitäjän vastuu

Rekisterinpitäjänä sinua sitoo poikkeuksetta GDPR:n säännökset. Toiminnassasi sinun tulee siis huomioida määräykset muun muassa henkilötietojen käsittelyyn tarvittavasta GDPR:n mukaisesta oikeusperusteesta, tietojen säilytysaikojen määrittämisestä sekä dokumentointi- ja osoitusvelvollisuudesta.

Tarvitsetko lisää apua?

Jos sinulla on lisää kysyttävää, voit ottaa meihin yhteyttä!