MyFondia VirtuaaliLakimies
30. marraskuuta, 2016

Miten maailmalle– henkilötietojen käsittely

Maailmalle voi tähdätä monella tavalla ja digitalisaatio on avannut pienellekin yritykselle mahdollisuuden tavoittaa potentiaalisia asiakkaita vaikka globaalisti Suomesta käsin. Luovien alojen kansainvälistymistä tavoittelevia yrityksiä kokoontui viime keväänä Fondialle lakiasioiden työpajan merkeissä. Tilaisuus oli osa Finpron Export Finland Luovimo Digital ohjelmaa. Yritysten mielenkiinnon kohteita ja nykytilannetta kartoitettiin etukäteen kyselyllä ja aiheiksi valikoituivat erityisesti sopimustoiminta, immateriaalioikeudet ja henkilötietojen käsittely. Tässä, sarjamme viimeisessä blogitekstissä, aiheena on henkilötietojen käsittely.

HENKILÖTIETOJEN KÄSITTELY

Kokemukseni mukaan seuraava asia tulee yllätyksenä hämmentävän monelle yritykselle: Jos yritykselläsi ylipäätään on toimintaa – henkilöstöä/liidejä/potentiaalisia asiakkaita/asiakkaita/verkkosivuilla vierailijoita jne. – niin yrityksesi käsittelee henkilötietoja ja sillä on lähes varmuudella yksi tai useampi henkilörekisteri. Jos yrityksesi täyttää jonkun edellä mainituista kriteereistä, seuraavassa esittelen pähkinänkuoressa asiat, jotka ainakin tulisi hallita aiheeseen liittyen.

Aloitetaan henkilötiedon käsitteellä. Se on erittäin laaja ja se kattaa lähtökohtaisesti kaikki tiedot tai tietojen yhdistelmät, joiden perusteella voidaan tunnistaa yksittäinen henkilö. Esimerkkejä ovat vaikkapa nimet, sähköpostiosoitteet, puhelinnumerot jne. Myös esimerkiksi äänitiedosto (yrityksen puhepostiin kertyvä) todennäköisesti sisältää henkilötietoja, koska henkilön ääni on tunnistettavissa.

Henkilötietoja on oikeus käsitellä (kattaen lähes kaiken toiminnan henkilötietojen suhteen) ainoastaan lakiin kirjatuilla perusteilla ja käsittelyssä on toimittava suunnitelmallisesti: mitä tietoja kerätään, miksi, mihin tarkoitukseen, miten tietoja käsitellään, kenelle ja mihin tarkoituksiin niitä luovutetaan, miten kauan tietoja säilytetään ja miten ne tuhotaan, miten tietoturvasta huolehditaan ja niin edelleen.

Henkilötietorekistereistä on pidettävä rekisteriselostetta, jossa henkilöitä informoidaan henkilötietojen käsittelyn periaatteista. Lisäksi moneen käsittelytapaan on oikeus vain ao. henkilöiden nimenomaisella ja informoidulla suostumuksella. Lupaa voi edellyttää esimerkiksi paikantaminen, suoramarkkinointi tai – tietyin poikkeuksin - tietojen luovuttaminen (tai pääsyn salliminen) EU /ETA alueen ulkopuolelle.

EU tasolla henkilötietojen käsittelyn sääntöjä ollaan uusittuja aihepiirin merkitys on vahvassa nousussa. Ei vähiten sen vuoksi, että uusiEU:n tietosuoja-asetus sisältää mahdollisuuden sakkoihin, jotka saattavat nousta jopa 4%:iin yrityksen liikevaihdosta.

Fondialla järjestetään EU-tietosuoja-asetusseminaaria, jossa käydäänkonkreettisten esimerkkien ja asiantuntevien kouluttajien avulla läpi, mitä ovat keskeisimmät tietosuoja-asetuksesta seuranneet vaatimukset ja millaisia toimenpiteitä ne yrityksiltä edellyttävät.Seuraava tietosuojaseminaari järjestetään 25.1.2017.