Tietosuojalaki on laki henkilötietojen käsittelystä. Sen tarkoituksena on suojata yksilön oikeuksia ja vapauksia henkilötietojen käsittelyssä sekä varmistaa henkilötietojen asianmukainen käsittely. Tietosuojalaki on voimassa koko Euroopan unionissa ja sen soveltamisala ulottuu kaikkiin henkilötietojen käsittelyyn liittyviin toimintoihin, kuten henkilötietojen keräämiseen, tallentamiseen, käyttämiseen, luovuttamiseen ja poistamiseen.
Tietosuojalain myötä yksilöillä on oikeus saada tietoa siitä, mitä henkilötietoja heistä on tallennettu ja mihin tarkoituksiin niitä käytetään. Yksilöillä on myös oikeus pyytää virheellisten tietojen korjaamista sekä pyytää tietojensa poistamista. Lisäksi henkilötietojen käsittelyssä on noudatettava tiettyjä periaatteita, kuten tietojen käsittelyn lainmukaisuus, asianmukaisuus ja läpinäkyvyys. Henkilötietoja ei saa käsitellä muuhun tarkoitukseen kuin mihin ne on kerätty, ellei siihen ole erikseen saatu suostumusta.
Henkilötiedot ovat tietoja, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön. Ne voivat olla esimerkiksi nimi, osoite, sähköpostiosoite, puhelinnumero, syntymäaika, henkilötunnus, kuvat, äänitteet, terveystiedot, koulutusta ja työkokemusta koskevat tiedot, ja muut vastaavat tiedot. Kaikki tiedot, jotka voidaan yhdistää henkilöön, ovat henkilötietoja.
Tietosuojalakiin liittyy myös sanktiojärjestelmä, joka mahdollistaa rangaistukset henkilötietojen käsittelyä koskevien sääntöjen rikkomisesta. Esimerkiksi tietosuoja-asetuksen rikkomisesta voi seurata sakkoja jopa 4 prosenttia yrityksen liikevaihdosta tai 20 miljoonaa euroa, kumpi on suurempi.
Tietosuojalaki koskee myös yritysten tietojen säilyttämistä, erityisesti henkilötietojen käsittelyä. Tämä tarkoittaa sitä, että yritysten on noudatettava henkilötietojen käsittelyyn liittyviä vaatimuksia, kuten henkilötietojen käsittelyn periaatteita, rekisteröityjen oikeuksia sekä tietoturvaan ja tietosuojaan liittyviä vaatimuksia. Yritysten on myös nimettävä tietosuojavastaava, jos ne käsittelevät laajasti henkilötietoja. Lisäksi yritysten on noudatettava muita lainsäädännön vaatimuksia, kuten kirjanpitolakia, joka asettaa vaatimuksia liiketoiminnan asiakirjojen säilyttämisestä.
Yritysten ja organisaatioiden on tärkeää noudattaa tietosuojalakia ja varmistaa, että henkilötietojen käsittely on lainmukaista ja asianmukaista. Tämä edellyttää muun muassa henkilötietojen käsittelyyn liittyvien prosessien ja käytäntöjen dokumentointia, tietosuojaselosteen laatimista sekä henkilöstön kouluttamista tietosuojaan liittyvistä asioista.
Yritysten tulee nimetä tietosuojavastaava, jos niiden ydinliiketoimintaan kuuluu laajamittainen henkilötietojen käsittely tai jos ne käsittelevät arkaluonteisia henkilötietoja. Tämä tarkoittaa esimerkiksi terveystietoja, etnisiä taustatietoja, poliittisia näkemyksiä tai uskonnollisia vakaumuksia koskevia tietoja.
Tietosuojavastaava voi olla joko yrityksen sisäinen henkilö tai ulkopuolinen palveluntarjoaja. Tietosuojavastaavan tehtävänä on seurata henkilötietojen käsittelyä yrityksessä, vastata henkilötietojen käsittelyyn liittyviin kysymyksiin ja neuvoa yrityksen henkilöstöä tietosuojakysymyksissä. Tietosuojavastaava on myös yhteydessä valvontaviranomaiseen tarvittaessa.
Tietosuojavastaavan nimeämiselle ei ole tarkkaa määritelmää, mutta se perustuu henkilötietojen käsittelyn laajuuteen ja arkaluonteisuuteen. Tämän vuoksi yritysten on arvioitava omaa henkilötietojen käsittelyään ja tehtävä päätös tietosuojavastaavan nimeämisestä sen perusteella.
SJR Consultig tarjoaa asiantuntevaa apua ja ohjausta yrityksesi tietosuoja- ja tietoturvakysymyksissä. Ota yhteyttä, niin keskustellaan tarkemmin siitä, miten voimme auttaa juuri sinun yritystäsi.