Uutiset 10.11.2017

GDPR ja millä perustein käsittelemme henkilötietoja?


Euroopan unionin yleinen tietosuoja-asetusta aletaan soveltaa toukokuussa 2018. Kirjoitimme keväällä tietosuojauudistuksesta ja mitä siitä pitäisi tietää. Tässä jutussa käsittelemme uuden tietosuojalain keskiössä olevaa rekisterinpitäjän osoitusvelvollisuutta ja henkilötietojen käsittelyn lainmukaisuutta. Osoitusvelvollisuuden myötä esimerkiksi uutiskirjeen lähettäjällä tulee olla niin sanottu laillinen oikeusperuste henkilötiedon käsittelylle.

Rekisterinpitäjän osoitusvelvollisuus tarkoittaa sitä, että hän vastaa ja pystyy osoittamaan, että seuraavia GDPR-asetuksen mukaisia vaatimuksia on noudatettu:

Henkilötietojen käsittely on lainmukaista ainoastaan niiltä osin kuin seuraavat edellytykset täyttyvät:

Toisin sanoen, jos ylläpidät henkilörekisteriä, kuten postituslistoja, sinulla on oltava näiden henkilötietojen käsittelylle peruste, joka kohtaa vähintään yhden yllä lueteltujen GDPR-asetuksen 6. artiklan kohdan kanssa. Jos lähetät uutiskirjeen listoilla oleville kontakteille, on viestintäsi perustuttava yhtä lailla vähintään yhteen artiklan kohdista. 

Suomessa oikeusministeriön asettama työryhmä ehdottaa uutta tietosuojalakia täydentämään ja täsmentämään GDPR-asetusta. Tämän lain myötä saamme toivottavasti selvät ohjenuorat myös muihin tietosuoja-asetuksessa mietityttäviin kysymyksiin. Uusi tietosuojalaki on lausuntokierroksella ja hallituksen esitys uudesta laista eduskunnalle odotetaan saatavan vielä tänä syksynä.

Suosittelemme, että jokainen postituslistoja ja muita henkilötietoja yrityksessä käsittelevä tutustuu henkilötietojen käsittelyä koskeviin periaatteisiin GDPR-asetuksen 2016/679 artiklassa 5 ja oikeusperusteisiin artiklassa 6.

JAA