Fråga: Mitä GDPR tarkoittaa minulle yrityksen omistajana?

Mitä GDPR tarkoittaa minulle yrittäjänä? Mikä on lain tarkoitus ja missä määrin minun on otettava GDPR homioon, jotta minä tai yritykseni ei jouduta vaikeuksiin?

Legalbuddy svarar

Bild på jurist


Hei ja kiitos kysymyksestäsi!


GDPR ja henkilötietojen käsittely yrityksessä

Yrittäjänä käsittelet henkilötietoja eri tavoin. Henkilötiedot ovat esimerkiksi osoitteita, puhelinnumeroita tai sähköpostiosoitteita. Tietosuoja-asetus, joka tunnetaan myös nimellä GDPR (General Data Protection Regulation), määrittelee, miten yrityksen tulee käsitellä henkilötietoja ja mitä velvollisuuksia sinulla on rekisterinpitäjänä tai henkilötietojen käsittelijänä. GDPR:n tarkoituksena on suojella yksilöitä estämällä heidän henkilötietojensa luvaton käsittely. Yrityksenä sinun on oltava avoin siitä, mitä tietoja keräät ja miksi. 


Mitä henkilötietoja yrityksesi käsittelee?

Aloita miettimällä, mitä henkilötietoja keräät tai aiot kerätä yrityksessäsi. Henkilötiedoiksi lasketaan kaikki tiedot, jotka voidaan suoraan tai epäsuorasti yhdistää henkilöön, kuten nimi, henkilötunnus, sähköpostiosoite tai puhelinnumero.


Arkaluontoiset henkilötiedot

Arkaluontoisia henkilötietoja GDPR:n mukaan ovat muun muassa:

  • etninen alkuperä,
  • uskonto,
  • poliittiset mielipiteet,
  • terveystiedot tai
  • seksuaalinen suuntautuminen.

Hyvä lähtökohta on kerätä vain sellaisia henkilötietoja, jotka ovat välttämättömiä liiketoimintasi kannalta. Jos et esimerkiksi koskaan postita mitään asiakkaille, heidän osoitteitaan ei ole tarpeen kerätä.

GDPR edellyttää, että kaikenlaiselle henkilötietojen käsittelemiselle on oltava tarkoitus. Ei ole hyväksyttävää kerätä henkilötietoja vain siksi, että ne saattavat olla hyödyllisiä tulevaisuudessa. 


GDPR:n mukaiset oikeudelliset perusteet henkilötietojen käsittelylle

Jokaisella henkilötiedolla, jonka yritys kerää, on oltava GDPR:ssä säädetty oikeudellinen peruste, jotta niiden käsittely on laillista GDPR:n mukaisesti. GDPR:n mukaisia, yritystoiminnallesi sopivia oikeudellisia perusteita ovat:

  • Sopimus - henkilötiedot, joita yritys tarvitsee esimerkiksi työsopimusten, asiakassopimusten tai toimitussopimusten tekemiseen. 
  • Oikeutettu etu - yritys voi osoittaa, että sillä on perusteltu tarve, joka on yksilön suojaa tärkeämpi. Henkilötietojen keräämisen tarkoituksen on oltava selkeästi määritelty ja yrityksen arvio henkilötietojen tarpeesta on dokumentoitava. 
  • Laillinen velvoite - esimerkiksi henkilötiedot, joita yritys tarvitsee täyttääkseen kirjanpitolain mukaiset vaatimukset. 
  • Suostumus - henkilö on antanut suostumuksensa siihen, että yritys kerää ja rekisteröi hänen henkilötietonsa. Yrityksen on kerrottava selkeästi, mitä tietoja kerätään ja mihin niitä käytetään. Lisäksi tietojen käyttötarkoituksen on oltava selkeä, eikä tietoja saa käyttää muuhun tarkoitukseen ilman uutta suostumusta.


Henkilötietojen säilyttäminen ja suojaaminen

Kun yritys kerää henkilötietoja, on tärkeää kartoittaa, missä ja miten niitä säilytetään. Miten yritys varmistaa, ettei ulkopuoliset pääse tietoihin käsiksi?

Henkilötiedot eivät saa olla vapaasti esillä siten, että kenellä tahansa on pääsy tietoihin. Jos tiedot ovat digitaalisessa muodossa, yrityksellä on oltava turvalliset salasanat ja selkeä strategia tietojen suojaamiseksi.

Arkaluonteisten henkilötietojen käsittelylle on asetettu GDPR:ssä erityisiä vaatimuksia, joita yrityksen on noudatettava. Arkaluonteisten henkilötietojen käsittelyyn voidaan tarvita erityisiä järjestelmiä. 


Tietosuojaseloste ja sisäinen dokumentaatio

Yrityksen olisi hyvä laatia verkkosivuilleen avoimesti saatavilla oleva tietosuojaseloste, jossa kerrotaan selkeästi:

  • mitä henkilötietoja yritys käsittelee,
  • mihin tarkoitukseen henkilötietoja käsitellään ja
  • miten henkilötietoja käsitellään

Tietosuojaselosteessa tulisi myös kuvata, miten henkilö voi tarkistaa, mitä tietoja hänestä on tallennettu ja miten hän voi pyytää tietojen poistamista.

Yrityksen tulisi lisäksi laatia sisäistä dokumentaatiota siitä, mitä henkilötietoja kerätään ja miksi, mitä GDPR:n mukaisia oikeudellisia perusteita tietojen käsittelylle on ja miten yritys varmistaa tietojen turvallisuuden. Yrityksellä tulee olla toimintasuunnitelma sellaisia tilanteita varten, joissa henkilötiedot vuotavat, joutuvat vääriin käsiin tai niitä käsitellään huolimattomasti. 


GDPR:n rikkomisen seuraamukset

Jos yrityksessä suunniteltu henkilötietojen käsittely todennäköisesti rikkoo GDPR:ää, tietosuojavaltuutettu voi antaa siitä yritykselle varoituksen. Jos GDPR:ää rikotaan, tietosuojavaltuutettu voi antaa huomautuksen puutteista ja yrityksen on korjattava toimintansa. Jos yritys ei paranna toimintaansa, sen oikeutta kerätä henkilötietoja voidaan rajoittaa tai oikeus peruuttaa kokonaan. Rikkomuksen luonteesta riippuen tietosuojavaltuutettu voi myös määrätä huomattavia hallinnollisia sakkoja. 


Tarvitsetko lisää apua?

Jos tarvitset lisää apua, autamme sinua mielellämme. Voit olla meihin yhteydessä puhelimitse, sähköpostitse tai varaamalla ajan suoraan juristiemme kanssa.

Relaterade frågor
Visa alla från denna kategori

Behöver du juridiska muskler i din verksamhet?

Testa vår digitala bolagsjurist gratis i 1 månad - Juridiskt stöd och avtalshantering för företag

Testa Legalbuddy Plus

Syötä sähköpostiosoitteesi jatkaaksesi.

Lataamalla hyväksyn ehdot ja vahvistan, että olen tutustunut tietosuojaselosteeseen.